一種與 Emmental 攻擊行動手法類似的新形網路銀行惡意程式正肆虐日本,這就是趨勢科技所偵測到的 TROJ_WERDLOD 木馬程式,此一新的惡意程式從2014 年 12 月肆虐至今,已確定的受害者數量超過 400。
這項威脅藉由兩項系統設定變更來讓它能直接在網路層次竊取資訊 (也就是不需借助資料竊盜惡意程式)。其優點是不需要重新開機或者在感染的系統上執行任何常駐程式。
第一項變更是系統的 Proxy (網站代理伺服器) 設定,將某些使用者的網際網路流量重導到一個駭客掌握的 Proxy。第二項變更是將惡意根憑證加到系統信任的根憑證清單當中。如此一來,歹徒就能從其 Proxy 發動中間人攻擊 (Man-In-The-Middle,簡稱 MITM) 並使用惡意網站的憑證而不會造成系統出現警告或錯誤訊息。
這項惡意 Proxy 搭配新增根憑證的技巧,曾經出現在 Emmental 攻擊行動當中,所以,顯然這項技巧已經傳到了日本。
感染途徑
TROJ_WERDLOD 會利用含有 .RTF 附件檔案的垃圾電子郵件來感染使用者。該文件會偽裝成購物網站寄來的發票或帳單。這個 .RTF 檔案開啟之後,其內容會指示使用者點兩下文件當中的某個圖示 (見下圖),使用者一旦照做,就會讓 TROJ_WERDLOD 得以執行。
圖 1:導致使用者感染 TROJ_WERDLOD 的垃圾郵件
設定惡意的 Proxy
該程式一旦執行,就會修改系統登錄值,將「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL」設為一個 proxy.pac 檔案,這是歹徒預先設計好的檔案,proxy.pac 檔案內含一些系統 Proxy 伺服器自動化設定,包括用來判斷該使用哪一個 Proxy 伺服器的 JavaScript 程式碼。
圖 2:被修改後的系統登錄設定
Internet Explorer 和 Google Chrome 兩種瀏覽器都會使用這項系統設定。Mozilla Firefox 則有自己的設定 (儲存在一個名為 pref.js 的檔案中),不過惡意程式也不放過這項設定。
這個 proxy.pac 檔案是一個經過特殊編碼的檔案,解密後的內容如圖 3 所示。從內容當中可以發現某些網域的流量會被重導至惡意的 Proxy 伺服器,內容當中列了 26 個日本的網域,其中包括多家網路銀行在內。基於這項原因,我們認為這項攻擊是針對日本的使用者而來。
圖 3:解密後的 proxy.pac 檔案
新增惡意根憑證
將網路流量重導至惡意的 Proxy 伺服器,可讓網路犯罪集團進行所謂的中間人 (MITM) 攻擊。不過,網路銀行會使用 SSL/TLS 來將流量加密。因此若 Proxy 伺服器將流量解密,會在端點裝置上出現 SSL 錯誤,因而讓使用者察覺異狀。
為了避免這樣的情況,TROJ_WERDLOD 便將自己的根憑證加入系統信任的根憑證清單。該憑證偽裝成某個受信任的知名根憑證簽發機構 (Root CA),但其簽章與正牌的簽章不符。
正常來說,當系統在看到假的憑證要加入信任的根憑證清單時會發出安全警告訊息。不過,TROJ_WERDLOD 會自動幫使用者按錯誤訊息上的「是」按鈕,因此就能安裝這個假憑證而不引起使用者注意。
讓 SSL/TLS 連線也可能遭到中間人攻擊
這就是為何歹徒能夠攻擊其鎖定的網路銀行網站。歹徒鎖定的網站都列在其下載的 proxy.pac 當中。凡是前往這些網站的流量都會被重導至惡意的 Proxy。
惡意的 Proxy 會利用中間人攻擊來侵入使用者與網站之間的安全連線。在正常情況下,這會造成 SSL 錯誤,因為 Proxy 使用的假 SSL 憑證會被視為無效。但是,因為系統當中已經將這個假憑證加入信任的根憑證清單,因此系統不會發出任何錯誤訊息。接著歹徒就能攔截任何傳送至銀行網站的帳號登入資訊,或者,歹徒也可能顯示一個假的網站給使用者看,並要求使用者輸入帳號登入資訊。
SSL/TLS 原本應該是有能力防範 MITM 攻擊的,但此案例當中,歹徒的惡意根憑證讓原本的安全機制完全破功,使用者因而陷入攻擊的危險當中。
TROJ_WERDLOD 反範之道
電子郵件附件檔案長久以來一直是大家所知的重要感染途徑。我們建議使用者不要輕易開啟電子郵件附件,除非是預期會收到的檔案。
許多金融機構已經開始採用延伸驗證 (Extended Validation,簡稱 EV) 憑證。這類憑證的審核機制比一般的 SSL 伺服器憑證更加嚴格,例如需檢查簽發者是否有註冊,或者簽發者是否可以連繫得到。
EV 憑證較傳統的網域驗證 (Domain Validation) 憑證更為可靠,因為任何人只要能證明自己擁有一個網域就能取得網域驗證憑證。當伺服器使用的是正確無誤的 EV 憑證時,瀏覽器的網址列當中會變成綠色,如下圖所示:
圖 5:使用 EV 憑證的網站網址列會變綠色
目前已在使用 SSL/TLS 連線來進行網站登入的企業,皆應該改採 EV 憑證。企業採用 EV 憑證事實上也可「教育」客戶有關中間人攻擊的問題,進而提升雙方彼此的交易安全。
TROJ_WERDLOD 的未來發展
正如我們先前所提到,採用惡意憑證搭配 Proxy 伺服器的手法在之前的 Emmental 攻擊行動當中已出現過。該攻擊還使用了假的行動裝置 App 來攔截網路銀行所發出的認證簡訊。因此,此惡意程式未來也很可能出現同樣的行為,儘管日本的銀行目前很少使用簡訊認證。
清除感染
要將感染此惡意程式的電腦還原至正常狀態,請採取以下步驟來清除惡意程式並還原兩項系統設定。
- 在 Windows 和 Firefox 當中移除 Proxy 自動設定 (pac),或者將此設定還原成先前原本的狀態 (例如 ISP 或系統管理員提供的設定)。
- 清除 TROJ_WERDLOD 在 Windows 和 Firefox 上安裝的惡意根憑證。(請參閱 Microsoft和 Mozilla 所提供的說明。)惡意根憑證的數位簽章如下:
A134D31B 881A6C20 02308473 325950EE 928B34CD
趨勢科技解決方案
趨勢科技的用戶端防護產品,如趨勢科技 PC-cillin、OfficeScan 以及 Worry-Free Business Security 皆已內含可偵測這類威脅的行為監控能力。此外,還有檔案信譽評等可偵測所有此攻擊中出現的惡意程式,包括 TROJ_WERDLOD 在內。另外,電子郵件信譽評等可攔截來自可疑使用者的電子郵件和惡意郵件。閘道端的郵件防護產品,可藉由內容過濾來擋掉含有執行檔附件的電子郵件。最後,還有網站信譽評等可防止相關後門程式連上惡意網站與幕後歹徒通訊。
以下是這項攻擊相關的雜湊碼:
- 17ca16506b4a1a92b9e4c5fb809f425c7b670bb8
- 36ca118945ee4d9ba60c9178b47ea0a5d9547b7b
- 3860DC86D0300B9C38C4029C8C6DA2D0014695EE
- 46070ec0b7d4e1b7d6d8152bb1d1e6e7475c5b20
原文出處:TROJ_WERDLOD:新形態銀行木馬程式侵襲日本| 作者:Hitomi Kimura (資安防護專家)
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
◎ 歡迎加入趨勢科技社群網站
