无论是谁组织了此次针对一家或者多家乌克兰能源供应商的攻击活动，安全专家指出，如果受害目标能够采取一些基础性的信息安全防御方案，那么攻击者所使用的鱼叉式钓鱼邮件以及相关恶意软件感染行为本应得到有效遏制。

“总结来讲，‘如果这种状况发生在我们身上，我们该如何加以应对？’”

然而，我们要做的并不是以马后炮的方式指责谁。“我并不会去猜测乌克兰能源公司的防御机制是否完善，”企业安全企业Sohpos公司安全分析师Paul Ducklin告诉我们。“从某些程度上讲，他们只是运气不好——他们只是碰巧成为恶意软件的攻击对象，而且任何其它企业都不敢保证自己的作法能够更好地解决此类问题。”

相反，Ducklin建议每家企业都应当从乌克兰黑客事件当中吸取教训，了解其是怎样沦为受害者的，并借此应对未来可能出现的类似攻击。“对我来说，总重要的并不是‘为什么那些能源企业没能设置更出色的安全保护机制？’”他表示。“最重要的是，‘如果这种状况发生在我们身上，我们该如何加以应对？’”

当然，乌克兰黑客攻击确实值得关注，因为这似乎是第一例黑客通过网络攻击破坏变电站设施的行为。

不过安全专家们仍然等待着由乌克兰计算机紧急响应小组——即CERT-UA发布的完整报告。该小组已经证实称，其正在不断对此次攻击活动进行调查。其同时表示，由安全厂商ESET公司发布的报告称，此次遭受入侵能源供应商（Prykarpattya地区能源公司）系统中已经发现了BlackEnergy木马与KillDisk清除式恶意软件的存在。CERT-UA曾于2015年11月发布警告称，其曾在一次针对乌克兰媒体企业的针对性攻击当中发现了KillDisk的使用迹象。

目前，威胁情报企业iSight Partners公司报告称，其认为这一此前曾经同俄罗斯政府方面有所牵连的Sandworm高级持续威胁集团应当为本次乌克兰电力供应商入侵与破坏事件负责。

在今年1月7日发布的一篇博文当中，iSight Partners公司网络间谍分析主任John Hultquist表示，在此次攻击中所使用的恶意软件——BlackEnergy 3变种方案——最初曝光于2015年年初，而且显然是主要针对乌克兰与欧洲地区的目标所开发。

无论是BlackEnergy 3还是KillDisk都确实现身于至少一套受入侵电力企业的系统当中，Hultquist补充称，不过他同时强调“我们无法确认KillDisk恶意软件是否正是造成此次停电的直接原因。”而呼应其他研究人员的观点，他指出这种清除式恶意软件很可能旨在延长停电时间，并补充道乌克兰安全局（简称SBU）已经宣称在电力中断期间，“与该供电设施相关的技术支持人员们被大量来电所吞没，这可能是为了进一步打击处理人员的工作推进速度。”

不过很多专家警告称，尽管政府当局或者相关交涉人员确实肩负一定职责，但最终还是应该由企业内部的信息安全专业人士来保护所在组织免受这类攻击活动的影响——无论其源自犯罪分子、黑客行动主义者还是APT团队。

比利时逆向工程专家Dider Stevens在一份与乌克兰攻击事件（也包括去年11月发生的媒体企业攻击事件）相关的Excel电子表格当中发现了蹊跷，并报告称此表格使用了恶意宏。

对乌克兰鱼叉式钓鱼攻击相关之恶意Excel文件开展研究。

不过无论是Excel还是Word都在默认状态下允许宏执行，这意味着这份乌克兰鱼叉钓鱼攻击邮件当中包含一条要求收件人激活Office宏的请求，Ducklin指出，而这种作法在此前的攻击活动中也时有出现。如果用户通过了其请求，那么该宏将安装BlackEnergy，并以“家庭呼叫”的方式与某台命令与控制服务器相对接，且能够接收进一步指令、exfilterate数据以及下载并安装更多恶意代码。在乌克兰电力供应商攻击当中，Ducklin表示攻击者似乎在受感染的系统当中安装了KillDisk，同时保留了一份遭受破解之DropBear SSH服务器副本，其中包含有大量硬编码密码。攻击者能够利用这些信息对该系统进行后续远程接入。

KillDisk恶意软件非常讨厌，Ducklin报告称，因为它使得攻击者能够清除Windows系统中的事件日志、删除全部Windows备份文件并利用“format”命令迫使连网逻辑分卷进行初始化——这条命令的基本作用在于清除磁盘上的全部数据，例如重新安装操作系统等场景。最后，该恶意软件还能够覆写每一个物理扇区，“包括引导扇区、操作系统文件、交换文件、应用程序以及数据，且最多可处理10块磁盘驱动器，”他解释道。

“KillDisk确实是一种名符其实的恶意软件，它所运行过的地方寸草不生，”他补充称，“只留下那些可能会给我们以及IT部门造成巨大麻烦，甚至带来可怕噩梦的恶意代码。”

杀毒工具能够帮助我们检测并清除像KillDisk这样的恶意软件，但它们并非万无一失，特别是在攻击者利用恶意软件加壳方式混淆攻击代码并试图回避基于签名的扫描工具的情况之下。同样的，诱导受害者启用恶意宏使得攻击者能够在目标的计算机上执行任意代码并借此获得设备控制权。

因此，我们必须防止鱼叉式钓鱼邮件被查看——其附件也绝不可交付执行。Ducklin就此提出以下建议：

• 过滤器：使用邮件过滤工具以尽快查找并消除可疑的附件。

• 标注：以高度谨慎的态度处理所有不请自来的附件。

• 忽略：绝对不要启用Excel或者Word宏，即使邮件——甚至可能是我们认识的熟人所发来——要求我们这样做。

• 查看：微软为Windows以及Mac OS X系统提供免费的Word与Excel查看工具，其能够帮助用户直接查看文档内容，但却不会触发任何嵌入其中的宏，意味着恶意内容不会被执行。

• 升级：Windows的最新版本拥有更出色的保护机制，能够帮助用户对抗恶意磁盘清除攻击。

• 屏蔽：IT部门必须对未知软件加以屏蔽，从而阻断那些“家庭呼叫”、应用程序安装乃至与僵尸网络的通信活动。

• 更新：确保所有杀毒软件皆处于最新版本并启用主动防护功能——有时候也被称为“访问中扫描”或者“实时扫描”——从而更好地检测并阻断任何恶意软件的执行。

上述步骤并不一定能够阻断或者防止所有恶意软件片段被最终用户所触及或者为目标系统所执行。但它们足以帮助大家确保“廉价”攻击活动的成功实施——包括那些旨在启用Office宏的鱼叉式钓鱼邮件。

转载请注明来自 E安全 （www.easyaq.com）

您也可以下载E安全app获取及时最及时的安全资讯