自 2016 年 1 月起，利用Trojan.Odinaff恶意软件所进行的网络攻击活动，已将全球众多金融机构作为攻击目标。这些攻击主要集中在银行、贸易和薪酬管理等领域的企业。同时，为这些企业提供支持的企业与机构同样面临攻击风险。

Odinaff通常部署在攻击活动的第一阶段，目标在于尽快占据网络中的据点，进而在目标网络中长期存在并安装附加工具。值得一提的是，这些附加工具均具备Carbanak高级攻击组织的攻击特征。Carbanak恶意软件从2013年就已将金融行业作为攻击目标。此次Odinaff的新一轮攻击同样使用了Carbanak活动中曾使用过的部分基础设施。

Odinaff攻击需要大量的手动操作，并在目标计算机的系统中部署大量轻量级后门病毒和用于特定目的的工具。攻击期间，攻击者需要对这些工具进行大量的协调、开发、部署和操作等。与此同时，定制化恶意软件工具同样会部署于计算机系统中，例如专门用于秘密通信 (Backdoor.Batel)、发现网络、盗取证书和监控员工等活动。

尽管这类针对银行的攻击难以实施，但回报十分可观，由Carbanak组织发起的网络攻击所造成的总损失高达数千万，甚至上亿万美元。

全球威胁

赛门铁克安全团队发现Odinaff攻击活动从 2016 年 1 月便已出现，并对多个国家地区的企业展开攻击。其中，美国是主要受到攻击的国家，其他主要攻击目标依次为中国香港、澳大利亚、英国和乌克兰。

图 1.Odinaff的攻击行业分布图

赛门铁克安全团队在深入了解遭遇攻击的企业业务本质后发现，金融机构是受到攻击最严重的行业，占攻击数量的34%。与此同时，部分攻击将安全、司法、医疗、政府及政府服务等行业作为攻击目标。赛门铁克尚未了解此类攻击是否出于牟利动机。

大约60%的攻击目标行业尚未清晰识别，但赛门铁克发现，主要遭遇攻击的电脑都曾运行金融类软件应用，这意味着，此类攻击背后以金融目标为导向。

攻击方法

Odinaff攻击者利用多种手段入侵目标企业的网络，其中最常见的方法便是通过含有恶意宏病毒的诱惑性文档感染目标企业。如果接收者选择启用宏，该病毒便会在计算机上安装Odinaff 木马。

图 2.含有Word宏启用方式指令的诱惑性文档

为了诱使受害者在计算机中安装Odinaff，攻击者还会使用受密码保护的RAR 文件进行攻击。尽管尚未清楚这些恶意文档或链接的传播方式，但赛门铁克安全团队认为，此类文档或链接极有可能通过鱼叉式网络钓鱼电子邮件来实现传播。

此外，Trojan.Odinaff还可通过僵尸网络进行传播。该木马能够植入到已感染其他恶意软件的计算机中，例如Andromeda (Downloader.Dromedan) 和 Snifula (Trojan.Snifula))。Andromeda 恶意软件是被植入木马的AmmyyAdmin安装程序。AmmyyAdmin是一种合法的远程管理工具，该安装程序可从官方网站进行下载，但官方网站最近频遭攻击，已被植入许多不同的恶意软件。

恶意软件工具包

Odinaff是一种相对轻量级的后门木马，能够连接到远程主机，并每五分钟寻求一次命令。Odinaff具有两项主要功能：下载 RC4 加密文件并执行;发布shell命令，并将这些命令写入批处理文件中并执行。

鉴于攻击的专业程度，攻击者需要实施大量的手动干预。因此，Odinaff组织始终谨慎管理攻击活动，尽量在企业网络中保持低调，并仅在需要时下载和安装新工具。

攻击者主要利用Trojan.Odinaff实施初期入侵，并辅助其他工具完成攻击。他们所使用的另一种恶意软件被称为Batle(Backdoor.Batel)，主要用于对目标计算机实施攻击。它能够完全在内存中运行负载，因此可秘密隐藏于受感染的计算机中。

攻击者通过使用大量不同的轻量黑客工具和合法软件工具入侵目标网络并识别关键计算机。这些工具包括：

·Mimikatz：一种开源密码恢复工具

·PsExec：一种来自SysInternals的流程执行工具

·Netscan：一种网络扫描工具

·Ammyy Admin (Remacc.Ammyy)和Remote Manipulator System变体 (Backdoor.Gussdoor)

·Runas：一种可使用其他用户身份运行流程的工具。

·PowerShell

此外，该攻击组织很可能已经开发出用于入侵特定计算机的恶意软件。这些工具的创建时间与部署时间非常接近。这些工具中，含有每间隔5-30秒便可捕获屏幕截图的组件。

针对SWIFT用户的攻击证据

赛门铁克安全团队已经掌握Odinaff组织针对SWIFT用户进行攻击的证据 ——使用恶意软件隐藏与欺诈交易相关的 SWIFT用户信息。同时使用工具监控SWIFT用户的本地信息日志，并搜索与特定交易相关的关键词。不仅如此，攻击者还会将这些日志从用户本地的SWIFT软件环境中移出。目前，尚无迹象表明SWIFT网络已感染病毒。

“suppressor”组件是写入 C 盘的小型可执行文件，主要用于监控包含特定文本字符串文件的特定文件夹。赛门铁克发现，这些字符串均提及日期与特定的国际银行账号 (IBAN) 。这些系统中的文件夹结构大部分为用户定义和专有。这表明，每个可执行文件都专门面向一个目标系统。

在与suppressor共同发现的文件中，其中包括一个可覆盖硬盘前 512B 数据的小型磁盘格式化工具。该工具包含主引导记录 (MBR)，攻击者无需使用特殊工具便可访问硬盘。赛门铁克认为，每当攻击者弃用系统或阻止调查时，便会使用该工具掩盖其行踪。

继Lazarus组织抢劫孟加拉国央行之后，Odinaff攻击已经成为另一组织从事此类攻击活动的一大案例。Odinaff攻击与Lazarus的SWIFT攻击无明显联系，且Odinaff团伙所使用的SWIFT恶意软件与 Lazarus相关攻击使用的恶意软件Trojan.Banswift无任何相似性。

与 Carbanak的潜在联系赛门铁克发现Odinaff相关攻击与Carbanak组织存在某种联系。Carbanak组织的攻击活动于 2014年年底为公众所知，该组织擅长对金融机构发起高价值攻击，并涉及多起针对银行的攻击和销售点(PoS)入侵攻击。

除了相似的作案手法外，Odinaff 和 Carbanak之间同样存在许多其他关联：

·3个命令和控制 (C&C) IP地址都与之前暴露的Carbanak活动有关;

·Odinaff使用的其中一个IP地址与Carbanak组织造成的Oracle MICROS数据泄露事件有关;

·Backdoor.Batel曾多次出现在Carbanak的相关攻击活动中。

尽管Carbanak所使用的主要木马 Anunak(Trojan.Carberp.B和Trojan.Carberp.D)从未在Odinaff的攻击活动中被发现，但赛门铁克安全团队仍然认为，该组织使用了多种隐蔽传播方法来入侵金融机构。

虽然 Odinaff可能从属于更大的攻击组织，但基础设施的交叉并不具有典型性。因此它也有可能是一个相似的组织或攻击团体。

银行面临严重威胁

Odinaff 攻击的发现表明，银行面临的攻击风险正在不断加大。在过去几年间，网络攻击者已经对银行所使用的内部金融系统进行深入了解，获知银行内部所采用的多种系统，并投入大量时间研究运行原理和员工的操作方式。由于某些攻击组织具有较高的专业技术水平，赛门铁克认为，任何被列入潜在攻击目标的企业与机构都面临着重大的安全威胁。

赛门铁克安全防护

赛门铁克和诺顿产品可检测出以下威胁：

防病毒程序

·Trojan.Odinaff

·Trojan.Odinaff!g1

·Trojan.Odinaff!gm

·Backdoor.Batel

·Remacc.Ammyy

·Backdoor.Gussdoor

入侵防御系统

·受感染的系统：Trojan.Odinaff 活动

Bluecoat

Bluecoat产品能够：

·拦截违规网络流量

·检测并拦截使用Backdoor.Batel & Trojan. Odinaff的恶意软件

Odinaff droppers

·f7e4135a3d22c2c25e41f83bb9e4ccd12e9f8a0f11b7db21400152cd81e89bf5

·c122b285fbd2db543e23bc34bf956b9ff49e7519623817b94b2809c7f4d31d14

Odinaff document droppers

·102158d75be5a8ef169bc91fefba5eb782d6fa2186bd6007019f7a61ed6ac990

·60ae0362b3f264981971672e7b48b2dda2ff61b5fde67ca354ec59dbf2f8efaa

Odinaff samples

·22be72632de9f64beca49bf4d17910de988f3a15d0299e8f94bcaeeb34bb8a96

·2503bdaeaa264bfc67b3a3603ee48ddb7b964d6466fac0377885c6649209c098

SWIFT log suppressors

·84d348eea1b424fe9f5fe8f6a485666289e39e4c8a0ff5a763e1fb91424cdfb8

Backdoor.Batel RTF document dropper

·21e897fbe23a9ff5f0e26e53be0f3b1747c3fc160e8e34fa913eb2afbcd1149f

Backdoor.Batel stagers

·001221d6393007ca918bfb25abbb0497981f8e044e377377d51d82867783a746

·1d9ded30af0f90bf61a685a3ee8eb9bc2ad36f82e824550e4781f7047163095a

Older Batel *.CPL droppers

·1710b33822842a4e5029af0a10029f8307381082da7727ffa9935e4eabc0134d

·298d684694483257f12c63b33220e8825c383965780941f0d1961975e6f74ebd

Cobalt Strike, possible ATM implants

·429bdf288f400392a9d3d6df120271ea20f5ea7d59fad745d7194130876e851e

·44c783205220e95c1690ef41e3808cd72347242153e8bdbeb63c9b2850e4b579

Cobalt Strike implants

·1341bdf6485ed68ceba3fec9b806cc16327ab76d18c69ca5cd678fb19f1e0486

·48fb5e3c3dc17f549a76e1b1ce74c9fef5c94bfc29119a248ce1647644b125c7

Backdoor.Batel loaders

·0ffe521444415371e49c6526f66363eb062b4487a43c75f03279f5b58f68ed24

·174236a0b4e4bc97e3af88e0ec82cced7eed026784d6b9d00cc56b01c480d4ed

Stagers (MINGW)

·d94d58bd5a25fde66a2e9b2e0cc9163c8898f439be5c0e7806d21897ba8e1455

·3cadacbb37d4a7f2767bc8b48db786810e7cdaffdef56a2c4eebbe6f2b68988e

Disk wipers

·72b4ef3058b31ac4bf12b373f1b9712c3a094b7d68e5f777ba71e9966062af17

·c361428d4977648abfb77c2aebc7eed5b2b59f4f837446719cb285e1714da6da

Keylogger

·e07267bbfcbff72a9aff1872603ffbb630997c36a1d9a565843cb59bc5d97d90

Screengrabbers

·a7c3f125c8b9ca732832d64db2334f07240294d74ba76bdc47ea9d4009381fdc

·ae38884398fe3f26110bc3ca09e9103706d4da142276dbcdba0a9f176e0c275c

Command shells

·9041e79658e3d212ece3360adda37d339d455568217173f1e66f291b5765b34a

·e1f30176e97a4f8b7e75d0cdf85d11cbb9a72b99620c8d54a520cecc29ea6f4a

HTTP Backconnect

·b25eee6b39f73367b22df8d7a410975a1f46e7489e2d0abbc8e5d388d8ea7bec

Connection checkers

·28fba330560bcde299d0e174ca539153f8819a586579daf9463aa7f86e3ae3d5

·d9af163220cc129bb722f2d80810585a645513e25ab6bc9cece4ed6b98f3c874

PoisonIvy loaders

·25ff64c263fb272f4543d024f0e64fbd113fed81b25d64635ed59f00ff2608da

·91601e3fbbebcfdd7f94951e9b430608f7669eb80f983eceec3f6735de8f260c

Ammyy Admin remote administration tools

·0caaf7a461a54a19f3323a0d5b7ad2514457919c5af3c7e392a1e4b7222ef687

·295dd6f5bab13226a5a3d1027432a780de043d31b7e73d5414ae005a59923130

Ammyy Admin, Trojanized

·cce04fa1265cbfd61d6f4a8d989ee3c297bf337a9ee3abc164c9d51f3ef1689f

RemoteUtilities remote administration tools

·2ba2a8e20481d8932900f9a084b733dd544aaa62b567932e76620628ebc5daf1

·3232c89d21f0b087786d2ba4f06714c7b357338daedffe0343db8a2d66b81b51

Runas

·170282aa7f2cb84e023f08339ebac17d8fefa459f5f75f60bd6a4708aff11e20

Mimikatz

·7d7ca44d27aed4a2dc5ddb60f45e5ab8f2e00d5b57afb7c34c4e14abb78718d4

·e5a702d70186b537a7ae5c99db550c910073c93b8c82dd5f4a27a501c03bc7b6

Kasidet

·c1e797e156e12ace6d852e51d0b8aefef9c539502461efd8db563a722569e0d2

·cee2b6fa4e0acd06832527ffde20846bc583eb06801c6021ea4d6bb828bfe3ba

###

关于赛门铁克

赛门铁克公司(纳斯达克：SYMC)是全球网络安全领导厂商。拥有全球最大的数据智能网络之一，能够监测全球更多网络威胁，保护更多客户从容应对下一代网络威胁。赛门铁克公司旨在为个人、企业和政府机构的重要数据提供全面的安全保护。

欢迎登录赛门铁克新浪微博：@赛门铁克官方微博，赛门铁克官方微信账号：赛门铁克数据安全与防护，参与实时互动沟通：http://www.weibo.com/symantecchina