提起“熊貓燒香”這款病毒，相信很多人仍然能夠憶起，那個出現(xiàn)在全民網(wǎng)絡時代前夜、憨態(tài)可掬地抱著三支香的熊貓圖標。同時，“熊貓燒香”也致使全國數(shù)萬電腦被控制，該“疫情”的出現(xiàn)更是讓不少人心有余悸。幸運的是，微軟于2011年開始對Windows自動運行功能進行了限制，屏蔽了除光盤外的其它存儲介質(zhì)的自動運行功能，有效避免了來自此類病毒的攻擊。

然而，近期360烽火實驗室在監(jiān)測黃金鼠組織(APT-C-27)的攻擊活動過程中，發(fā)現(xiàn)其新版本的移動端手機攻擊樣本首次具備了針對PC的RAT誘導跨越攻擊。這也就意味著，當移動端手機作為移動存儲介質(zhì)存在時，存在有一定的安全隱患，極有可能被不法分子利用，通過手機端的偽裝攻擊文件向PC端發(fā)起APT攻擊。為此，360烽火實驗室聯(lián)合360互聯(lián)網(wǎng)安全中心共同發(fā)布了《移動端跨越攻擊預警：新型APT攻擊方式解析》報告。

跨越組合型APT攻擊：偏愛“圖片目錄”作偽裝

APT攻擊作為一種行之有效的手段不斷出現(xiàn)在各類對抗戰(zhàn)中，如目前業(yè)界認為屬于“滅霸級別”的兩個APT組織：方程式和索倫之眼，便將APT攻擊視為秘密武器。隨著APT對抗烈度的增加，跨平臺的攻擊逐漸成為主流，而不再單一聚焦于單一的Windows平臺，移動設備、智能硬件等領域也是攻擊者目標。但是此前的跨平臺攻擊中，各平臺均為獨立存在。

據(jù)360安全專家介紹，通過分析對比發(fā)現(xiàn)，新版本的移動端手機攻擊樣本除了保留原版的移動端RAT功能之外，還新增了移動存儲介質(zhì)誘導攻擊方式，首次實現(xiàn)了從移動端到PC端的攻擊跨越，移動端手機會釋放PC端惡意軟件，組合型APT攻擊方式已出現(xiàn)。

圖1：攜帶的PE RAT攻擊文件

當移動端攻擊樣本攜帶有針對PC的PE格式RAT攻擊文件“hmzvbs”并運行后，該攻擊文件便會被釋放到指定好的移動端外置存儲設備中的圖片目錄下，并且偽裝成特殊名稱，這個偽裝便是跨越攻擊前的特殊準備。據(jù)悉，該偽裝還具備如下兩個特點：攻擊文件名稱偽裝成常見的圖片相關目錄名;攻擊文件的擴展名為“.PIF”。

而為使用戶中招，不法分子還需借助用戶不定期使用PC瀏覽手機里照片這一習慣。假如用戶在使用PC瀏覽移動端手機照片，一旦被誘導觸發(fā)了偽裝后的“圖片目錄”，該PE RAT攻擊文件就會即刻運行，從而使受到移動端攻擊的PC目標受損。

圖2：正常目錄和偽裝后的攻擊文件對比虛擬圖

攻擊或與政治活動掛鉤 安全防護措施必不可少

現(xiàn)階段，智能手機已成為人們生活中不可分割的一部分，它影響到個人的隱私和財產(chǎn)安全，甚至也可能會威脅到企業(yè)和國家安全。據(jù)360安全專家披露，黃金鼠組織(APT-C-27)攻擊的目標便是敘利亞及其周邊的軍事機構和政府機關，其目標人群在辦公及日常生活中通常都同手機和電腦緊密聯(lián)系在一起。而一旦攻擊目標的手機和電腦被成功攻破，由此產(chǎn)生的危害和損失不可預估。

圖3：受攻擊的主要地區(qū)分布統(tǒng)計情況(土耳其、約旦、敘利亞)

此外，360安全專家還強調(diào)，此次新型跨越攻擊，也是手機首次被主動當作移動終端跨界攻擊PC端的跳板而實行的攻擊。由此也可預見，不久的將來，這類跨越攻擊方式也會被不法分子運用到加密勒索、蠕蟲破壞等傳播中來。再加上，手機還可與移動互聯(lián)網(wǎng)相連接，這也便更利于不法分子直接通過網(wǎng)絡發(fā)起攻擊。

面對如此嚴峻的移動安全形勢，移動端的安全防護必不可少。對于企業(yè)來說，除做好自身安全防護外，還要加強內(nèi)部人員的個人安全意識，提醒員工切勿在企業(yè)內(nèi)部貿(mào)然打開不明來源的鏈接內(nèi)容;不僅如此，企業(yè)還需要做好網(wǎng)絡和硬件的隔離防護，并使用可信的企業(yè)版軟硬件安全防護產(chǎn)品做好實時防護，定期數(shù)據(jù)隔離備份等。只有切實做好移動安全防護措施，才能從最大程度上杜絕攻擊，長治久安。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。