卡巴斯基：WinDealer恶意软件表现出极为复杂的网络能力

卡巴斯基研究人员发现一种被称为WinDealer的能够通过旁观者攻击进行入侵的恶意软件，该恶意软件由讲中文的高级可持续威胁（APT）行为者LuoYu传播。这一突破性的发展允许威胁行为者修改传输中的网络流量以插入恶意有效载荷。这种攻击非常危险且具有破坏性，因为攻击不需要与目标进行任何互动就能成功导致感染。

根据TeamT5的调查结果，卡巴斯基研究人员发现威胁运营者应用于传播WinDealer恶意软件的一种新的传播方法。具体来说，他们使用了一种旁观者攻击方式来读取流量并插入新的信息。旁观者攻击的通常概念是当攻击者看到对网络上特定资源的请求时（通过其拦截功能或在ISP网络中的战略位置），攻击者会试图比合法服务器更快地回复受害者。如果攻击者赢得了这场“竞赛”，目标计算机就会试用攻击者提供的数据，而非正常的数据。即使攻击者没有赢得大多数“竞赛”，他们也可以再次尝试，直到他们成功，保证他们最终会感染大多数设备。

成功进行攻击后，目标设备会收到一个间谍软件应用，能够收集大量信息。攻击者将能够查看和下载存储在设备上的任何文件，并对所有文档进行关键词搜索。通常情况下，LuoYu的攻击目标是在中国的外国外交组织和学术界成员，此外还包括国防、物流以及电信公司。该威胁行为者使用WinDealer恶意软件来攻击Windows设备。

通常情况下，恶意软件包含一个硬编码的命令和控制服务器，恶意软件运营者从那里控制整个系统。如果获取到有关该服务器的信息，就有可能拦截恶意软件与之交互的计算机的IP地址，从而消除威胁。但是，WinDealer依靠复杂的IP生成算法来确定要联系的计算机。这包括48,000个IP地址的范围，使得操作者几乎不可能控制哪怕是一小部分的地址。解释这种看似不可能的网络行为的唯一方法是假设攻击者在该 IP 范围内具有强大的拦截能力，甚至可以读取没有到达目的地的网络数据包。

旁观者攻击的危害性非常大，因为它不需要与受攻击目标进行任何互动，就可以成功感染：仅需一台连接到互联网的计算机就足够了。不仅如此，除了通过另一个网络路由流量外，用户无法采取任何措施来保护自己。这可以通过VPN来实现，但根据用户地理位置，这可能是一种无法使用的方法，并且通常不适用于中国公民。

大多数LuoYu的受害者都位于中国，所以卡巴斯基专家认为LuoYu这个APT组织的主要攻击目标是讲中文的受害者和与中国有关的组织。但是，卡巴斯基研究人员还注意到其他国家也存在攻击，例如德国、奥地利、美国、杰克、俄罗斯和印度。

WinDealer攻击的地理分布趋势

“LuoYu是一个非常复杂的威胁行为者，能够利用只有最成熟的攻击者才能使用的功能。我们只能推测他们是如何发展这种能力的。旁观者攻击极具破坏性，因为攻击设备所需的唯一条件是将其连接到互联网。即使第一次攻击失败，攻击者也可以一遍又一遍地重复该过程，直到他们成功为止。他们就是这样针对其受害者进行极度危险和成功的间谍攻击的，这些受害者通常包括外交官、科学家和其他关键部门的员工。无论攻击是如何进行的，潜在受害者保护自己的唯一方法是保持高警惕性，并运用强大的安全程序，例如定期进行反病毒扫描，分析出站网络流量和进行广泛的日志记录，以检测异常情况，”卡巴斯基全球研究与分析团队（GReAT）高级安全研究员Suguru Ishimaru评论说。

要阅读有关WinDealer的报告全文，请访问Securelist。

为了保护自己免受此类高级威胁的侵害，卡巴斯基建议：

采用强大的安全程序，包括定期进行反病毒扫描，分析出站网络流量和进行广泛的日志记录，以检测异常情况

对您的网络进行网络安全审计，并修复在网络外围或网络内部发现的任何弱点。

安装反APT和EDR解决方案，并启用威胁发现和检测、调查功能以及及时的事件修复功能。为你的SOC团队提供对最新威胁情报的访问，利用专业培训定期提升他们的技能。上述所有服务均可通过卡巴斯基专家安全框架获取。

除了适当的端点保护外，专门的服务可以帮助应对引人注目的攻击。卡巴斯基管理检测和响应服务能够帮助在攻击者实现其目标之前，在早期阶段识别和阻止攻击。