圖1-戰略性web滲透,重定向到WITCHCOVEN分析腳本
https://www2.fireeye.com/rs/848-DID-242/images/rpt-witchcoven.pdf
這起活動的策劃者積累了大量關于web流量和網站的訪客信息,涉及了100多家網站-攻擊者會有選擇地滲透這些網站,從而接觸到他們的受眾目標。
在過去的一年中,我們發現可能有政府贊助的攻擊者在參與大規模的網絡偵察活動。他們在活動中利用了web分析技術來收集、分析和報告從受害網站上的數據,從而被動地收集關于網站訪客的信息。這起活動的策劃者積累了大量關于web流量和網站的訪客信息,涉及了100多家網站-攻擊者會有選擇地滲透這些網站,從而接觸到他們的受眾目標。
攻擊者、市場商人和經銷商每天也會使用web分析技術來獲取信息,以便有效地接觸到他們的客戶和目標受眾。在本文中,我們研究了web分析技術造成的負面影響,通過演示攻擊者是如何利用相同的工具和方法,通過定向的投放內容和廣告,來精確地識別和攻擊受害者。
每天,我們都會瀏覽網頁,訪問喜歡的網站
我們承認,有些組織會定期地跟蹤我們的在線活動。有的公司會監控我們的點擊,從而了解什么樣的鏈接會吸引我們的注意,以及我們在某個網頁上停留了多長時間。廠商會跟蹤我們的位置信息,從而更好地理解我們作為消費者的需求。當我們點擊某個網站上的贊助鏈接,進入另一個網站時,廣告商就能從中獲利。購物網站會利用cookie,這樣我們在購物網站上瀏覽過的商品也會出現在其他我們經常訪問網站的廣告上。一些公司還知道我們使用的是什么計算機系統。后臺運行的腳本能夠識別瀏覽器類型,操作系統或移動設備,這樣網頁才能正常顯示。但是,我們很少知道,攻擊者也會利用同樣的工具來識別和攻擊他們的目標。
關鍵發現
攻擊者利用web分析工具和開源工具收集關于目標受害者的信息,以及目標使用的計算機,從而利用特定的木馬進行感染。
攻擊者會修改特定的網站,將網站訪客重定向到一個分析腳本- WITCHCOVEN。這個腳本會收集詳細的計算機信息,并安裝一個長期跟蹤工具- “supercookie”,這個工具會成為“瀏覽器指紋”的一部分,能夠用于識別用戶也的計算機。
我們認為,攻擊者會通過分析收集到的數據來識別特定的用戶,并確定相應的計算機信息,然后部署專門針對這臺計算機上存在的軟件和計算機配置漏洞。
根據,攻擊者收集的數據范圍,攻擊者的行動約束以及我們的目標評估,我們推測這起行動很可能是與政府有關聯的攻擊者策劃的。
今年年初,我們發現有攻擊者在利用免費工具和自定義腳本來偷偷地監控網絡用戶的在線活動。我們認為這些攻擊者正在尋找潛在的受害者,了解用戶計算機上都有哪些漏洞。商業公司也會使用同樣的技術來跟蹤自己的客戶,確保他們的網站能在不同類型的瀏覽器上正常運行,但是,攻擊者利用這些技術也能更方便的識別受害者,并制定相應的感染方法。
這些攻擊者首先會滲透大量的的合法網站。這些網站并不是隨機挑選的,而是有針對性的選擇,這種方式叫做戰略性web滲透。然后,攻擊者會修改網站主頁(和幾個子頁面)上的底層HTML代碼。在修改了代碼后,網站就會悄悄地把訪客重定向到另一個網站上,這個網站同樣已經被攻擊者控制,并掛載了一個分析腳本-WITCHCOVEN。WITCHCOVEN會在后臺偷偷地執行,捕捉訪客的計算機和瀏覽器配置(圖1),并在用戶的計算機上放置一個長期跟蹤工具(“suppercookie”)。我們總共發現了100多個網站會重定向用戶到十幾個WITCHCOVEN服務器上。
當用戶訪問這些網站時,一段內嵌在網站HTML中的代碼就會悄悄地把網站訪客重定向到另一個攻擊者入侵的網站上。在這個網站上會掛載著WITCHCOVEN腳本,這個腳本會使用分析腳本收集用戶計算機上的技術信息。截至2014年11月初,我們總共發現了14個網站上掛載著WITCHCOVEN分析腳本。
我們認為這些攻擊者正在尋找潛在的受害者,了解用戶計算機上都有哪些漏洞。
這個腳本會向攻擊者提供用戶計算機上的應用信息。WITCHCOVEN使用了大量的開源web工具來獲取這些信息,包括軟件版本。這些web工具都是免費的,并且網站設計師也經常使用這些或相似的工具來改善用戶體驗。比如,網站可能會定期收集用戶的瀏覽器類型和版本,從而能在用戶的瀏覽器上正常顯示。
下面是WITCHCOVEN代碼中內嵌的一些web工具,以及這些工具收集的數據:
WITCHCOVEN– 分析用戶計算機并跟蹤用戶
圖1-戰略性web滲透,重定向到WITCHCOVEN分析腳本
除了收集關于安裝應用、瀏覽器插件的數據和版本信息,WITCHCOVEN腳本還使用了另外一個開源工具-“evercookie”。“evercookie”設計用于在用戶的計算機上創建“相當長久的cookies”,通過:
因此,evercookies也叫做“supercookies”(因為使用了多種儲存機制)或“zombie cookies”(因為在刪除后可以重建)。
簡而言之,evercookie能夠長期識別和跟蹤某個網站訪客,并且對于大多數用戶而言,是無法清除這個工具的。evercookie和WITCHCOVEN腳本收集到的數據會使用HTTP POST請求發回到被攻破的web服務器。
網站經常會使用HTTP cookies來跟蹤訪客的操作。比如,新聞網站可能會跟蹤用戶的地區偏好,電商網站可能會跟蹤用戶購物車中商品。一般網站都會使用常規的HTTP cookies來改善用戶的瀏覽體驗。
第三方HTTP cookie可以由第三方提供商進行設置和讀取(比如廣告公司和數據分析服務提供商),這些提供商還會在其他網站上放置內容。因為這些第三方提供商托管的內容包括多個網站,所以,他們的cookie也能夠跟蹤這些網站上的用戶,在體育網站和購物網站上托管內容的提供商就能夠根據第三方cookie中的數據,判斷這名用戶是不是在同時訪問這兩種網站。經過一段時間,通過注意用戶訪問的網站類型,即使不知道用戶的身份,但是這些公司仍然可以確定用戶檔案(年齡,收入,位置,興趣)。雖然這些cookie并不是惡意的,但是,有些用戶認為是對隱私的侵犯。
無論常規cookie還是第三方cookie都是儲存在用戶的web瀏覽器中;當今的瀏覽器可以通過配置,定期刪除cookie或攔截某種類型的cookie。“supercookie”指的是用其他方法存儲的cookie,比如Flash cookies。在大多數情況下,這些cookie無法通過清除瀏覽器緩存來刪除、supercookie有特殊的標識符,因此,可以作為長期跟蹤和識別某個用戶的方法,即使用戶嘗試攔截或刪除cookie也無濟于事。
雖然,WITCHCOVEN的分析活動可以視為有入侵性的,但是,目前為止我們還沒有發現確切的惡意活動。沒有投放漏洞代碼,沒有攻擊任何網站訪客。如我們所說的,這些分析和跟蹤技術也可以用于合法用途,以便優化用戶體驗,支持營銷、人口統計和銷售分析。那么為什么這些活動會引起我們的注意呢?
首先,雖然很多網站都會分析和跟蹤用戶,但是這些活動都是通過第三方cookie、商業廣告和分析工具實現的。在這個例子中,攻擊者雖然使用了公開的工具,但是這些工具的目的很唯一。evercookie的使用說明這些攻擊者想要長期地識別和跟蹤用戶,并且不受隱私瀏覽器的影響,也無法刪除這些cookie。這就不能算是“正常的”web分析了。
第二,這些把訪客重定向到WITCHCOVEN腳本的合法網站本身就遭到了入侵。正常的營銷活動和web流量分析活動可不會這樣做;有人蓄意地在100多個合法網站上設置了重定向代碼,從而分析這些網站的訪客。
最后,雖然重定向代碼傳播的范圍很廣,但是這些受害網站并不是隨機選擇的,而是有模式選擇的。因而,我們認為這些活動也不是隨機性的,而是,出于特定的目的,針對特定的用戶。
通過這些發現,我們不禁要問:為什么有人要通過這種方式來收集這些特定的數據呢?這起活動的目的是什么?
我們認為,攻擊者會利用WITCHCOVEN腳本和evercookie收集的數據,結合從HTTP日志中收集到的基本瀏覽器數據,來識別感興趣的用戶,從而根據用戶計算機系統上的漏洞,利用專門的漏洞進行攻擊。
為什么這些無害的信息收集活動會是針對性攻擊呢?根據WITCHCOVEN收集的數據。
除了WITCHCOVEN本身收集的數據,這些攻擊者還能接觸到其他關于用戶瀏覽器的數據,有一部分是通過掛載WITCHCOVEN腳本的服務器上正常的HTTP日志中獲取的。這些數據中至少會包含下面的信息:
雖然,我們不知道攻擊者是否會使用這些日志數據,但是,他們至少已經取得了這些數據。通過總結攻擊者獲取到的數據(表1),我們就能知道他們是如何構建受害者檔案。攻擊者會利用這些數據來識別和分析用戶,以便在將來進行惡意活動。
表1-攻擊者掌握的數據與可能用途
|數據|來源|可能用途| |MS Office版本|WITCHCOVEN腳本|識別舊版,未修復或存在漏洞的應用| |瀏覽器插件版本(Java,Flash等)|WITCHCOVEN腳本|識別舊版,未修復或存在漏洞的應用| |evercookie特殊標識符|evercookie(WITCHCOVEN腳本)|識別特定“用戶”(即使身份未知)| |evercookie數據|evercookie(WITCHCOVEN腳本)|首次訪問被攻破網站的時間;通過時間戳聯系到HTTP日志,從而識別訪客的IP地址| |引用網站|WITCHCOVEN腳本和HTTP日志|幫助進一步識別或精煉用戶檔案| |IP地址|HTTP日志|潛在受害者的源網絡;可能識別感興趣的企業和組織| |瀏覽器類型/版本|HTTP日志|識別舊版,未修復或存在漏洞的應用;識別存在其他漏洞的瀏覽器(比如Flash漏洞)| |用戶語言|HTTP日志|幫助進一步識別或精煉用戶檔案|
雖然,上面的信息足夠說明某個用戶的習慣,但是這僅僅代表了一個網站的一個隨機用戶。攻擊者入侵了100多個網站,每個網站每天會接收上千名訪客。我們猜測,如果攻擊者想要利用這些數據來針對特定的受害者,他們需要通過一些手段來分析WITCHCOVEN腳本收集到的這些數據(和web服務器的日志文件),從而識別接下來的具體目標。
我們并不清楚攻擊者是如何使用或處理這些數據。但是,考慮到他們在這一年中收集到的數據數量,他們很可能需要用到大規模的數據管理和分析系統。至少,會涉及到目標數據庫,也可能會web分析收集到的數據,從而幫助識別感興趣到的目標。為此,他們可能使用像客戶關系管理(CRM)數據庫這樣的web分析工具。CRM能夠允許企業追蹤銷售額,客戶反饋和在線營銷活動。攻擊者可以根據特定的標準,挖掘收集到的數據,搜索潛在的受害者。提煉過程可能如下:
圖2-目標提煉示例
一旦根據信息確定了特定的目標,我們認為攻擊者就會設計和部署定制木馬來增加入侵的成功率。目前,我們還沒有發現任何漏洞攻擊活動,但是這可能是由于攻擊者攻擊范圍很小,致使我們在某個受害者那里發現漏洞和木馬有效載荷的概率很低。
雖然沒有確鑿的活動,但是,攻擊者收集的信息可以用來根據WITCHCOVEN找到的漏洞信息,部署自定義木馬,投放到受害者的計算機上。比如:
利用受害者檔案制定針對性活動
在本文中,我們討論了攻擊者使用了一種小范圍方法來選擇受害者。其他的一些網絡威脅小組也會利用腳本或其他服務器端的代碼來分析潛在的受害者,并在小范圍內投放定制漏洞。比如,網絡犯罪分子會創建包含有定制漏洞代碼的網站來感染特定的訪客,可能是根據某個地區(根據IP地址),或每10個訪客感染一次(為了避免惡意活動的暴露)。
有些技術能力比較強的政府小組也使用了類似的分析腳本來有效地投放漏洞和相關的有效載荷。
在這些案例中,分析腳本只是向目標計算機投放漏洞。這種技術能增加行動成功率,降低被發現的概率,因為只有很少一部分受害者會接收到漏洞,并且能拖慢研究人員發現0-day漏洞的速度。
收集到的數據是如何使用的
圖5-數據的可能使用方法
我們認為這次活動是政府小組策劃的,他們的目標是收集全球數據,支持未來的網絡行動。原因如下:
| A | B |
|---|---|
| 行動范圍 | 這次行動通過入侵世界各地的網站來收集數據。這樣規模的數據收集活動需要大量的資源來分析信息和識別目標。從這次活動的范圍也可以看出,攻擊者需要數據來滿足情報需求,可能是某個大國政府。 |
| 行動約束 | 戰略性web滲透很常見,但是這次行動的特殊之處在于缺少漏洞投放或木馬投放活動。如果攻擊者使用收集到的數據來確定受害者,這就說明這個小組想要限制工具的曝光度,并保證行動安全-這兩點都表明,這是一起有特定情報需求的長期行動。 |
| 可能的目標 | 根據被攻擊的網站,攻擊者的目標可能是對政府情報感興趣的個人。 |
前面我們已經提到,我們發現了100多個網站會重定向訪客到WITCHCOVEN分析腳本。總的來看,這些網站并不是隨機選擇 ,雖然種類繁多,這些網站都有共同得到興趣點。這些網站主要是吸引對下面這些領域感興趣的用戶:國際旅行,外交,能源生產政策,國際經濟,以及在外國政府就職的個人-所有這些目標都與國家戰略利益相關(參照圖4被攻破網站的行業劃分)。
被攻擊網站的地理位置分布
美國和歐洲的政府官員和高層
我們認為,通過被攻擊的網站就能看出,攻擊者對行政官員,外交官,政府官員和軍方人士很感興趣,尤其是美國和歐洲。被攻擊的網站包括Visa服務公司,美國大使館,可能會吸引美國官員前往俄羅斯、中東和非洲。在歐洲被攻擊的網站可能會吸引對歐洲政治、外交、研究機構和歐美商業感興趣的用戶。此外,通過被攻擊的網站還能看出攻擊者的目標涉及能源發現,生成和技術行業,尤其是天然氣提取和其他能源相關的活動。根據其他被攻擊的網站,攻擊者感興趣的目標可能包括:
關注東歐與俄羅斯組織
最后,其他網站表明,攻擊者感興趣的個人與下列相關:
相似報告
間接傷害:非預期受害者
通過被攻擊的網站來看,攻擊者只對特定類型的目標感興趣。但是,我們的客戶檢測發現WITCHCOVEN的影響要更廣泛。SWC經常會造成附帶傷害,而這些攻擊者也攻擊了一些無意中訪問相應網站的無關受害者。
在我們的客戶中,幾乎所有的行業都檢測到了WITCHCOVEN。教育、政府、金融服務、能源和娛樂業是最受影響的。圖5中列出了從2015年3月8日-10月31日,FireEye客戶中收到WITCHCOVEN警告的各行業比例。
圖5-2015年3月8日-10月31日,FireEye客戶中收到WITCHCOVEN警告的各行業比例
客戶經常問我們有什么辦法能對抗這起惡意網絡活動。對于本文中介紹的這次活動,應對辦法是一項挑戰,因為攻擊者是通過用戶的web瀏覽活動來收集潛在的受害者信息。攻擊者使用的腳本和方法也是合法網站在用于分析客戶和改善瀏覽體驗的方法。
雖然,這種分析活動感覺很有侵入性,但是受害者的計算機實際上并沒有被滲透。個人和組織可以攔截腳本執行,或使用第三方cookie,從而加強網頁瀏覽的隱私性,或使用匿名化服務(比如TOR瀏覽器)來隱藏自己的身份。但是,這些方法實施起來都很麻煩,并且在攔截惡意活動的同時,也阻止了合法網站的內容加載。
對于組織而言,可以專注于檢測或阻止后續的攻擊活動,包括禁用不必要的插件,保證給系統和應用打補丁,并監控主機和網絡中是否存在可疑流量。
WITCHCOVEN 分析腳本 (示例MD5: 634438A50AE1990C4F8636801C410460) 使用了JavaScript編寫。這個腳本中包含有 jQuery JavaScript庫,這個庫經過混淆去除了變量名稱。完整的腳本很長,但是主要是由一些相似的公開腳本組成的,包括 evercookie, PluginDetect 和 “detect Office” 模塊。
腳本收集的信息都列在了表1中,這些信息會編碼到一個URL請求中,請求的是掛載WITCHCOVEN腳本的網站。
表2-URL請求變量
| 變量名稱 | 變量數據 |
|---|---|
| sid | Adobe Shockwave版本 |
| fid | Adobe Flash 版本 |
| aid | Adobe Reader 版本 |
| mid | Microsoft Office 版本 |
| jaid | Oracle Java 版本 |
| rid | HTTP Referer |
| cid | evercookie supercookie 首次設置的時間(epoch時間),或者如果沒有設置,就是當前時間 |
| cart_id | 55(靜態值,根據WITCHCOVEN 實例變化) |