6月3日訊 美國國土安全部（DHS）和聯邦調查局（FBI）在2018年5月29號發(fā)布《隱藏眼鏡蛇：Joanap 后門木馬和 Brambul 服務器消息塊蠕蟲》的聯合技術警報 TA18-149A，提醒公眾注意與國家支持性黑客有關的兩個惡意軟件家族：Joanap、Brambul，并稱這兩個惡意軟件一旦成功部署，黑客可遠程訪問設備并竊取敏感信息。

DHS 和 FBI 已經在包括中國、西班牙、瑞典、印度、巴基斯坦、沙特阿拉伯和伊朗等17個國家和地區(qū)的87個受損網絡節(jié)點上發(fā)現了遠程訪問工具 Joanap 的痕跡。

兩個惡意軟件分析

警報對隱藏眼鏡蛇黑客組織（Hidden Cobra）所使用的遠程訪問工具 Joanap 后門木馬和惡意的 Windows 32位服務器消息塊（SMB）蠕蟲進行了分析。

遠程訪問工具——Joanap

Joanap 是一款兩階段的惡意軟件，可用于建立點對點通信和管理旨在啟用其他操作的僵尸網絡。該惡意軟件為隱藏眼鏡蛇提供了在被感染的 Windows 設備上泄露數據、刪除和運行輔助有效負載、初始化代理通信的能力。該軟件的其他功能還包括：文件管理、進程管理、創(chuàng)建和刪除目錄和節(jié)點管理。

分析表明，Joanap 惡意軟件使用 Rivest Cipher 4 加密來保護及隱藏與隱藏眼鏡蛇黑客組織之間的通信。一旦安裝完畢，這個惡意軟件會在名為 mssscardprv.ax. 文件的 Windows 系統(tǒng)目錄中創(chuàng)建一個日志條目。隱藏眼鏡蛇黑客組織使用此文件來捕獲和存儲受害者的信息，如主機的 IP 地址、主機名稱和當前系統(tǒng)時間等。

SMB蠕蟲——Brambul

Brambul 惡意軟件是一種惡意的 Windows 32位服務器消息塊（SMB）蠕蟲，其功能是作為一個服務動態(tài)鏈接庫文件或一個可移植的可執(zhí)行文件，經常由 dropper 惡意軟件下載并安裝到受害者的網絡中。執(zhí)行時，惡意軟件會嘗試與受害者系統(tǒng)和受害者本地子網上的 IP 地址建立聯系。一旦成功，黑客將通過使用嵌入的密碼列表來啟動暴力密碼攻擊，應用程序會試圖通過 SMB 協議(端口139和445)獲得未經授權的訪問。此外，惡意軟件會為隨后的攻擊生成隨機的 IP 地址。

分析者懷疑惡意軟件針對不安全或無安全保障用戶賬戶進行攻擊，并通過安全性較差的網絡共享進行傳播。一旦惡意軟件在受害者的系統(tǒng)上建立了未經授權的訪問，它會通過惡意的電子郵件地址將受害者系統(tǒng)的信息傳遞給隱藏眼鏡蛇黑客組織。這些信息包括每個受害者系統(tǒng)的 IP 地址、主機名、用戶名和密碼。隱藏眼鏡蛇黑客組織利用這些信息，通過 SMB 協議，遠程訪問被感染的系統(tǒng)。

研究人員對 Brambul 惡意軟件的一個新變種進行了分析，確定了該惡意軟件具有的功能包括：收集系統(tǒng)信息、接收命令行參數、生成并執(zhí)行自毀腳本、通過 SMB 在網絡上傳播、強制 SMB 登錄憑證以及生成包含了目標主機系統(tǒng)信息的簡單的郵件傳輸協議電子郵件信息。

“兩個軟件”已被使用近十年

官員們認為，隱藏眼鏡蛇至少從2009年開始使用這兩種形式的惡意軟件，針對包括美國在內的全球媒體、航空航天、金融和關鍵基礎設施組織進行攻擊，且都認為 Joanap 和 Brambul 這兩種形式的惡意軟件都能允許黑客遠程訪問設備并竊取敏感數據，或進行其他網絡攻擊活動。

美國官員定期發(fā)布與隱藏眼鏡蛇黑客攻擊的信息，隱藏眼鏡蛇被認定為政府支持的黑客組織。

此次 DHS 和 FBI 聯合警報表示，FBI 認為隱藏眼鏡蛇正在使用被列在本報告中的攻擊指示器（IOC）文件中的IP地址，以維持其在受害者網絡中的存在并對網絡進行開發(fā)。DHS 和 FBI 正在分發(fā)這些 IP 地址和其他攻擊指示器（IOC），以加強網絡防御。

官員們鼓勵私營部門立即向 DHS 和 FBI 報告任何與這兩種形式的惡意軟件相關的活動，并為加強緩解提供最高優(yōu)先級。

緩解策略

針對這兩種形式的惡意軟件攻擊，警報給出了緩解策略。DHS 建議用戶和管理員使用以下最佳實踐作為預防措施來保護其計算機網絡：

保持所運行的系統(tǒng)和軟件更新是最新版本。大多數的攻擊針對有缺陷的應用或操作系統(tǒng)。使用最新更新進行修補可大大減少攻擊者可利用的突破口數量。

保持防病毒軟件維持在最新版本，在執(zhí)行前，對從網上下載的軟件進行掃描。

限制用戶安裝和運行不需要軟件應用程序的權限，并將最小特權原則應用到所有系統(tǒng)和服務中。這些權限限制有助于阻止惡意軟件的運行或限制其通過網絡傳播的能力。

掃描并刪除可疑電子郵件附件。如果用戶打開惡意附件并啟用宏，嵌入的代碼將在機器上執(zhí)行惡意軟件。企業(yè)和組織應考慮阻止可疑的含有附件的電子郵件。

如果不需要，請禁用 Microsoft 的文件和打印機共享服務。如果需要此項服務，請使用強密碼或活動目錄進行身份驗證。

在組織工作站上啟用個人防火墻，并將其配置為拒絕未經請求的連接請求。

其他與隱藏眼鏡蛇有關的惡意軟件還包括：Destover和Wild Positron（也稱Duuzer），以及具有復雜功能的Hangman，如DDoS僵尸網絡、鍵盤記錄器、RAT和硬盤擦除器。