今年四月初，Adobe Flash Player 出現了一個 零時差漏洞  (CVE-2016-1019)。此漏洞很快就被收錄到  Magnitude 漏洞攻擊套件 當中，Adobe 被迫緊急釋出修補程式。駭客利用此漏洞並搭配「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載. 網頁掛馬）技巧來散布 Locky勒索病毒(勒索軟體/綁架病毒)。

不過，使用者所面臨的威脅還不只這樣。最近，趨勢科技發現這項攻擊又增加了一個新的技巧。除了利用 Flash 漏洞之外，駭客更利用一個 舊的 Windows 權限升級漏洞 (CVE-2015-1701) 來躲避資安軟體的沙盒模擬分析技術。

隱匿的惡意行為

趨勢科技不僅分析了擷取到的網路流量，也分析了一個相關的檔案下載程式  (也就是 TROJ_LOCKY.DLDRA)。從網路流量可發現此威脅利用的是 CVE-2016-1019 漏洞。至於檔案下載程式，則是利用了一個罕見的 Windows 核心漏洞。檔案下載程式可藉此連上其幕後操縱 (C&C) 伺服器 (IP：202.102.110.204:80)，並且下載Locky勒索軟體到系統上。這項技巧利用了多項核心層級的系統機制，包括：工作項目、系統執行緒以及非同步程序呼叫 (APC)。由於這些機制在使用時都不需要透過任何檔案，因此惡意程式可以在不被偵測的狀況下植入系統中。

檔案下載程式會將其惡意程式碼植入 Windows 用來執行各種服務的  svchost.exe 系統執行程序當中。此外，它還會檢查 Windows 的版本及 win32k.sys 檔案的日期來確認系統是否含有漏洞，藉此降低被偵測的風險。

這項漏洞可用於躲避偵測，尤其是能躲避沙盒模擬分析技術。此外，以這項核心漏洞為基礎的隱藏技巧，也讓分析和沙盒模擬技巧更難偵測這項威脅。我們在分析惡意程式檔案時發現它在遇到新版的 Windows 作業系統時可能會改用其他漏洞。 繼續閱讀