從逮捕勒索軟體集團的首腦之一,到成功打下Rove Digital(請參考:趨勢科技協助 FBI 破獲史上最大殭屍網路始末),我們可以時常地看到執法單位和安全廠商間的合作行動,並且有著豐碩的成果。這一次,台灣刑事單位和趨勢科技合作偵破駭客假冒健保局,盜取萬筆中小企業個資案件,解決利用知名的Ghost遠端存取木馬家族所進行的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。執法單位也逮捕了一名對象。
BKDR_GHOST(又名Gh0st遠端存取木馬或TROJ_GHOST),是有名的遠端存取木馬(RAT),常常被用在目標攻擊,也被資安威脅份子和網路犯罪分子廣泛的使用。
在這起目標攻擊內,攻擊者透過特製的魚叉式網路釣魚(Phishing)電子郵件將BKDR_GHOST派送給不知情的目標。上述郵件包含一個會去自動下載該惡意軟體的連結。而且它會偽裝成健保局的來信,好產生足夠的說服力來吸引目標點入並執行這惡意軟體。
為了避免被偵測,攻擊者將這些電子郵件設計成為包含一個連結,將使用者導到一特定網站,並自動下載看起來是官方檔案的RAR壓縮檔。此外,為了進一步讓使用者願意去打開壓縮檔內的檔案,攻擊者利用了一個舊卻有效的文件命名詭計,將多個空格加到文件副檔名(在這案例內是DOC)和可執行副檔名(在這案例內是EXE)之間。這方法還是很有效,多個空格會將真正的副檔名隱藏起來,因為壓縮檔視窗並不大。趨勢科技的威脅解決方案可以利用ATSE 9.740.1046來將利用這種伎倆的惡意軟體偵測為HEUR_NAMETRICK.A。
BKDR_GH0ST感染鏈
一旦使用者打開偽裝的惡意軟體,它實際上是個可執行壓縮檔,就會產生下列的檔案並執行:
- %WINDIR%\addins\ACORPORATION.VBS(偵測為VBS_GHOST)– 執行Gh0st遠端存取木馬安裝腳本(AMICROSOFT.VBS)
- %WINDIR%addins\AMICROSOFT.VBS(偵測為VBS_GHOST) – 解壓縮有密碼保護的Gh0st遠端存取木馬壓縮檔(f2o.zip)
- %WINDIR%\addins\Atask.bat(偵測為BAT_GHOST) – 搜尋以下檔案並用解開的Gh0st遠端存取木馬組件來加以覆蓋:
- AdobeARM.exe
- jusched.exe
- Reader_sl.exe
- %WINDIR%\addins\f2o.zip – 包含兩個BKDR_GHOST變種,執行類似的惡意行為:
- put.exe(偵測為BKDR_GHOST)
- cd.exe(偵測為BKDR_GHOST)
一個較不被注意的行為是BKDR_GHOST會將最終檔案儲存在有密碼保護的壓縮檔(f2o.zip)內,它的密碼可以在安裝腳本AMICROSOFT.VBS內找到。一旦執行這些BKDR_GHOST惡意檔案,攻擊者就對這些受感染電腦有完全的控制能力,可以執行他們惡意的計畫,存取整個系統,並擷取珍貴的資料,像是個人檔案。
圖一:這次目標攻擊的流程
