對許多物聯網(IoT ,Internet of Thing)使用者來說,裝置端口遭受攻擊一直是個問題。特別是TCP端口5555,因為廠商的預設開啟而在過去帶來許多問題,讓使用戶暴露在攻擊之下。
趨勢科技最近在7月9日至10日及7月15日偵測到兩個可疑的活動高峰,發現了使用端口5555的新漏洞攻擊。這一次攻擊利用了Android Debug Bridge(ADB)命令列工具,這個Android SDK工具可以用來處理裝置間的通訊,也讓開發人員可以在Android裝置上執行和除錯應用程式。我們的資料顯示第一波主要出現在中國和美國,而第二波主要是韓國。
圖1、7月1日至7月15日間TCP端口5555的活動資料。注意到7月9日和10日出現的高峰及7月15日的第二次高峰
我們的上一份Necurs殭屍網路報告提到它會利用網址捷徑或.URL檔來躲避偵測,而現在病毒作者還在加以更新。趨勢科技的最新發現顯示開發者在積極地設計新方法來躲避安全措施。這一次,新一波的垃圾郵件利用Web查詢檔案IQY來躲避偵測。
這些年來,Necurs出現在各個網路攻擊報告中,包括在2017年的一起攻擊事件中用來散播Locky勒索病毒。而它現在使用IQY檔做為感染載體讓其更加值得注意。IQY檔案是種特定格式的文字檔。作用是讓使用者從外部來源的導入資料到Excel試算表。在預設情況下,Windows會將IQY檔識別為MS Excel的Web查詢檔案並自動在Excel中執行。
IQY檔案的作用
新一波的垃圾郵件夾帶著IQY附件檔。主旨和附件檔包含了促銷、優惠和折扣等字眼,應該是為了要偽裝成在Excel內打開的資料類型。
圖1、夾帶IQY附件檔的郵件樣本
一旦使用者執行了IQY檔案,它會查詢裡面所指示的網址,這Web查詢檔案會將資料(範例內的2.dat)從目標網址提取到Excel工作表中。
圖2、IQY檔程式碼片段
檢查所提取的資料會發現它包含了一個腳本,這腳本會利用Excel的動態資料交換(DDE)功能,執行命令列來啟動一個PowerShell程序。這程序會直接執行遠端的PowerShell腳本(範例中的1.dat)。
圖3、取回資料的程式碼片段
圖4、PowerShell腳本的程式碼片段
PowerShell腳本會下載可執行檔、木馬化遠端連線工具及其最終目的:後門程式FlawedAMMYY(被偵測為BKDR_FlawedAMMYY.A)。這後門程式似乎是利用被稱為Ammyy Admin的遠端管理軟體所流出的程式碼所開發。
在最新一波的垃圾郵件中,腳本會先下載一個圖片檔。這其實是偽裝過的下載病毒(被偵測為BKDR_FlawedAMMYY.DLOADR),它會下載一個加密過的元件(被偵測為BKDR_FlawedAMMYY.B),裡面包含相同的主要後門程式。
圖5、從附件IQY檔開始的感染鏈
後門程式FlawedAMMYY會執行以下從遠端惡意伺服器來的命令。
Necurs的這層新躲避技術也帶來了新挑戰,因為Web查詢通常以明文的形式出現,所以IQY檔內的網址成為惡意軟體活動的唯一指標。而且它的結構也跟普通的Web查詢相同。因此,封鎖惡意網址的安全解決方案可以用來對抗這種威脅。
解決方案和緩解措施
要對抗Necurs及其他透過垃圾郵件散播的威脅,採用嚴格的安全協定及最佳實作仍然可以有效地防禦這些威脅。在這次的情況裡,使用者要下載並執行非常見附件檔時都要特別小心。Microsoft已經意識到這種感染載體會去利用DDE功能。所以它在執行IQY附件檔時會跳出兩個明確的警告視窗,讓使用者有機會再重新考慮是否繼續開啟。
圖6、第一次跳出警告視窗
圖7、第二次跳出警告視窗
Necurs攻擊活動顯示出殭屍網路會開發新技術來躲避未經修補或過時的安全解決方案。為了防止像Necurs這樣會進化的垃圾郵件威脅,企業可以使用趨勢科技 Smart Protection Suites和Worry-Free Pro等趨勢科技端點解決方案。這兩種解決方案都會偵測惡意檔案和垃圾郵件並且封鎖所有相關惡意網址來保護使用者和企業。趨勢科技”進階網路安全防護 也會檢測電子郵件來提供企業防護,去偵測惡意附件檔和網址。即使遠端腳本沒有實際下載到端點,Deep Discovery也可以檢測該遠端腳本。
趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件、勒索病毒和進階針對性攻擊進入企業網路前先加以封鎖。它可以保護Microsoft Exchange、Microsoft Office 365、Google Apps及其他代管或本地端的電子郵件解決方案。趨勢科技的電子郵件信譽評比服務可以在惡意郵件抵達時加以偵測。
由XGen™ 防護端點防護技術所驅動的趨勢科技OfficeScan結合高保真機器學習與其他偵測技術以及全球威脅情報,能夠全面性地防禦進階惡意軟體。
入侵指標
| SHA-256 | 偵測名稱 |
| 30e2f8e905e4596946e651627c450e3cc574fdf58ea6e41cdad1f06190a05216 | TROJ_CVE20143524.A |
| 0bd5f1573a60d55c857da78affa85f8af38d62e13e75ebdd15a402992da14b0b | TROJ_MALIQY.A |
| 602a7a3c6a49708a336d4c9bf63c1bd3f94e885ef7784be62e866462fe36b942 | TROJ_FlawedAMMYY.A |
| 7c641ae9bfacad1e4d1d0feef3ec9e97c55c6bd66812f5d9cf2a47ba40a16dd4 | TROJ_FlawedAMMYY.A |
| 7f9cedd1b67cd61ba68d3536ee67efc1140bdf790b02da7aab4e5657bf48bb6f | BKDR_FlawedAMMYY.DLOADR |
| a560c53982dd7f27b2954688256734ae6ca305cc92c3d6e82ac34ee53e88e4d3 | BKDR_FlawedAMMY.ENC |
| ba8ed406005064fdffc3e00a233ae1e1fb315ffdc70996f6f983127a7f484e99 | BKDR_FlawedAMMYY.B |
| ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c | BKDR_FlawedAMMYY.A |
| d9cd31184c56931ae35b26cf5fa46bf2de0bdb9f88e5e84999d2c289cbaf1507 | TROJ_POWLOAD.IQY |
@原文出處:Necurs Poses a New Challenge Using Internet Query File 作者:Jed Valderama,Ian Kenefick和Miguel Ang
資安研究人員最近發現了一個新的惡意程式並將它命名為「MyloBot」,此惡意程式有精密的躲避、感染與散播技巧,因此其幕後的歹徒很可能擁有豐富的經驗且犯罪基礎建設雄厚。該惡意程式是在一家資料與電信設備一線品牌廠商的系統上發現。研究人員觀察到 MyloBot 具有下列能力:掏空執行程序、Reflective EXE (從記憶體內直接執行 EXE 檔)、程式碼注入、下載勒索病毒 Ransomware (勒索軟體/綁架病毒)以及竊取資料。當它感染某台電腦並將該電腦納入其殭屍網路旗下時,還會刪除系統上的其他惡意程式,並且造成系統嚴重損壞。
雖然研究人員目前尚未查出該惡意程式的感染來源及作者,但惡意程式內採用了一種鍵盤配置偵測的技巧,當偵測到亞洲的某種鍵盤配置時就會停止攻擊。除此之外,MyloBot 還具備以下躲避技巧:
[延伸閱讀:勒索病毒:歹徒到底要什麼?我該如何防範?]
此惡意程式可讓駭客完全掌控被感染的電腦並下載新的惡意程式或從事其他不法活動,如:銀行木馬程式、鍵盤側錄程式、發動分散式阻斷服務攻擊 (DDoS)攻擊。
MyloBot 在安裝時會停用 Windows Defender 和 Windows Update,並封鎖防火牆以方便其部署和進行 C&C 通訊。此外,研究人員也發現,該程式撰寫風格類似 Dorkbot 和 Locky,或許此惡意程式的作者與之前這些惡意程式的作者 (或地下市場賣家) 有所交流。此外,研究人員追溯到其黑暗網路上的 C&C 伺服器也曾用於之前的惡意程式攻擊,因此更提高了這項推測的可能性。
MyloBot 還有一項行為就是會終止並刪除系統上已感染的惡意程式,它會掃瞄 %APPDATA% 資料夾底下的特定資料夾和執行中檔案。研究人員認為,這樣的獨特行為應該是為了排除其他駭客的惡意程式,以盡可能獨占被感染的裝置以提高獲利。
[延伸閱讀:KOVTER 已演化成無檔案式惡意程式]
今日網路犯罪集團不但要對抗資安廠商,還要和同業競爭,因此要應付像這樣的威脅,我們需要更進階、更主動的因應技術來防範數位勒索。以下是企業該如何保護系統和資產的一些建議:
原文出處:MyloBot Uses Sophisticated Evasion and Attack Techniques, Deletes Other Malware
