趋势科技发现了一个正在进行中的高级持续性渗透攻击（APT），可将其称之为“LURID”。该攻击已经成功入侵了位于61个不同国家和地区的1465台电脑。趋势科技已经从中确定了47个受害者，包括外交单位、政府部门，甚至与太空工程有关的政府机构和公司，以及研究机构。

　　受害最深的国家是俄罗斯、哈萨克斯坦、越南，以及其他一些国家，其中以独联体国家居多。

　　这次特殊的APT攻击事件包括超过300次恶意的目标攻击，攻击者在攻击用的恶意软件中嵌入了一个独特的识别特征以供监视。趋势科技对于这次攻击事件的分析显示，攻击者所选择的对象具有特定的地域性，也是针对某些特定的团体。总的来说，攻击者通过一个命令和控制殭尸网络，用了15个域名和10个活跃的IP位址，以确保能持久控制这个由1465个受害者组成的殭尸网络。

　　“Lurid Downloader”通常也被称为“Enfal”，是一个众所周知的恶意软件家族，不过它并不是一般网络犯罪分子可以买得到的犯罪工具包。这个恶意软件家族在过去曾被用来针对美国政府机构和非政府组织发动攻击。然而现在这次特殊的攻击网络似乎和过去的攻击活动之间没有直接关系。

　　APT越来越频繁。目标通常会收到一封电子邮件，诱导他打开附件。这个由攻击者添加的附件内嵌入了恶意程序代码，可以攻击常用软件的漏洞，例如Adobe Reader（PDF）和微软Office（DOC）。

　　这些漏洞攻击的目的是偷偷地在目标电脑上执行恶意软件，这样就可以让攻击者获得电脑控制权，并访问数据。随后攻击者可能会入侵目标所处的整个网络，而且通常可以长时间地控制受害者电脑。最终，攻击者会找到并且取得受害者所处网络内部的敏感数据。

　　解析攻击

　　高级：这是一个正在进行的连续目标攻击，会使用各种针对Adobe Reader漏洞的恶意程序代码，包括CVE - 2009 - 4324，CVE - 2010 - 2883，以及利用RAR压缩文件夹带恶意的屏幕保护程序。

　　除了攻击进入的手段外，“LURID”恶意软件会在受害者的电脑上执行，并连接到命令和控制服务器。攻击者并不总是利用零时差弱点攻击，很多时候往往会利用旧的、可靠的漏洞。而保留零时差弱点攻击则可以针对那些进行定时更新与强化的目标。当我们找出那些被用在零时差弱点攻击的样本后，攻击者在这些攻击活动中用来做识别的特征就可以当作指标了。

　　持续性：在趋势科技的研究中，我们发现恶意软件用了两种不同的持续性设计。其中一个版本会将自己安装成Windows服务，以确保持续性；另外一个版本则会将自己复制到系统文件夹，并且将一般的启动程序文件夹变成它所建立的文件夹。接着会将所有常用的自动启动项目和恶意程序本身复制到启动文件夹，以确保自动运行。此外，我们已经可以将恶意软件和受害者根据事件组织到一起（恶意软件进行通讯时会带有一定特征，就跟宣传活动一样），这样就可以追踪到是谁被哪个恶意软件给感染了。

　　威胁：恶意软件从被感染的电脑上收集数据，并通过HTTP POST发送给控制服务器。通过与控制服务器进行通讯，攻击者能够给被感染的电脑发出各种命令。这些命令使得攻击者可以发送和接收文件，或是启动受害系统的远程命令行窗口。攻击者通常会从被害电脑中列出目录清单，并窃取数据（例如特定的XLS文件）。趋势科技的研究人员已经取得了一些指令，但没有获得实际文件内容。

　　从命令服务器所取得的数据来看，趋势科技可以确认以下信息：

　　前10个受害国家（根据2272个IP地址确定）：

　　和以往一样，很难确定谁是这一连串攻击背后真正的黑手。因为许多信息都很容易被假造，例如IP地址和域名的注册资料。这主要是为了误导研究人员相信这些攻击应该由某个特定团体负责。

　　虽然趋势科技的研究没有显示出这次攻击的目标是针对哪些信息，但我们能确定的是，在某些情况下，攻击者试图窃取特定的文件数据和电子表格。

　　通过揭露“Lurid”网络，趋势科技希望能让大家了解这类攻击的程度和频率，以及传统防御措施面对目标攻击时所遇到的挑战。

　　了解恶意软件的目标攻击如何运作，可以有效帮助加强防御策略。包括了解攻击背后的幕后黑手所使用的工具、策略和步骤的发展趋势。通过有效利用来自外部和内部人士所揭露的威胁情报，加上通过信息安全工具进行强化的人为分析，企业可以更好地检测和避免这种针对性攻击所带来的威胁。