企業資安 - 資安趨勢部落格

Android 後門程式 GhostCtrl ,可暗中錄音、錄影，還可隨心所欲操控受感染的裝置

2017 年 07 月 20 日2017 年 07 月 26 日趨勢科技 TrendMicro

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後，沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際，趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App，被駭客鎖定放置惡意後門程式，以竊取裝置的帳號資料還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式，主要是針對安卓 (Android )用戶，會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲，誘騙使用者上鉤。

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料，能造成的威脅還不只這樣 (至少就衝擊面來看是如此)，它還會引來一個更危險的威脅，那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名，是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能，第二版會進一步操控更多功能，第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看，未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地，各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學，有些人甚至還幫它開發了一些修補程式。

事實上，有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖)，由於這是一個 RAT 服務，因此這一點其實可以在程式編譯的時候修改 (或移除)。

圖 1：從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsapp、Pokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式，名稱大多叫做 App、MMS、whatsapp，甚至是 Pokemon GO。當應用程式啟動時，它會從資源檔解開一個 base64 編碼的字串並寫入磁碟，這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它，然後要求使用者安裝它。這程式非常難纏，就算使用者在要求安裝的頁面上點選「取消」，訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後，外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行：

圖 2：外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能，而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來，惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令，透過「new Socket(“hef–klife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密，APK 在收到之後會自行解密。有趣的是，趨勢科技也發現此後門程式在連線時會使用網域名稱，而非 C&C 伺服器的 IP 位址，這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址：

hef–ddns.net
f–ddns.net
no-ip.biz
no-ip.biz

值得注意的是，指令中可包含動作代碼和物件資料，駭客可透過這方式來指定攻擊目標和攻擊內容，因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能，讓使用者毫不知情。

以下是一些動作代碼和其對應的動作：

動作代碼 = 10、11：操控 Wi-Fi 狀態。
動作代碼 = 34：監控手機各感應器的即時資料。
動作代碼 = 37：設定手機使用介面模式，如夜晚模式/車用模式。
動作代碼 = 41：操控震動功能，包括振動方式和時機。
動作代碼 = 46：下載圖片來當成桌布。
動作代碼 = 48：列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
動作代碼 = 49：刪除指定目錄中的檔案。
動作代碼 = 50：重新命名指定目錄中的檔案。
動作代碼 = 51：上傳某個想要的檔案至 C&C 伺服器。
動作代碼 = 52：建立一個指定的目錄。
動作代碼 = 60：使用文字轉語音功能 (將文字轉成音訊)。
動作代碼 = 62：傳送 SMS/MMS 簡訊至駭客指定的號碼；內容可自訂。
動作代碼 = 68：刪除瀏覽器歷史記錄。
動作代碼 = 70：刪除 SMS 簡訊。
動作代碼 = 74：下載檔案。
動作代碼 = 75：撥打駭客指定的電話號碼。
動作代碼 = 77：打開活動檢視應用程式，駭客可指定統一資源識別碼 (Uniform Resource Identifier，簡稱 URI)，如：開啟瀏覽器、地圖、撥號的檢視等等。
動作代碼 = 78：操控系統的紅外線發射器。
動作代碼 = 79：執行駭客指定的指令列命令，並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令，用於竊取裝置的資料，包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊，如：通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

PC-cillin 跨平台防護 Windows、Mac、Android、iOS跨平台全面防毒》即刻免費下載試用

繼續閱讀

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

2017 年 07 月 17 日2017 年 07 月 19 日趨勢科技 TrendMicro

強烈建議使用者不要使用Classic Ether Wallet的服務，因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣（古典以太坊，ETC），在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意，古典以太坊與 Ethereum（以太坊，ETH）是不同的，這是因為一次駭客事件讓以太坊社群分裂所造成。

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商，進而劫持了該網站

根據 Ethereum Classic的開發者，駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商，進而劫持了該網站（偽裝成高階主管或上級主管是常見的社交工程詐騙手法，常被用來取得寶貴資料）。經由此作法，駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來，讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件，並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告，不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導，數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者，讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限，詐騙者會鎖定受害者，從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難，因為交易在本質上是不可逆轉的。

除了社交工程外，還有其他更加複雜的威脅，尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上，而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年，我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進，有漏洞的物聯網（IoT ,Internet of Thing）設備成為首要目標。從數位錄影機到路由器和連網監控攝影機，惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年，我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統，可能會影響生產力和運作能力，進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統，需要小心警慎和積極作為：繼續閱讀

主要鎖定台灣,專偷機密技術的 BlackTech 網路間諜集團

2017 年 07 月 07 日2017 年 07 月 03 日趨勢科技 TrendMicro

2014 年趨勢科技目前發現一起專門針對台灣政府和行政單位的 APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 活動。這起特定攻擊活動命名為 PLEAD，據趨勢科技分析發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後很有可能都同屬一個駭客團體 BlackTech 網路間諜集團。

BlackTech 是一個在東南亞地區相當活躍的網路間諜集團，尤其是在台灣，偶爾也在日本和香港地區活動。根據其幕後操縱 (C&C) 伺服器的 mutex 和網域名稱來看，BlackTech 的行動主要是竊取攻擊目標的機密技術。

據趨勢科技對其活動以及不斷變換的手法與技巧所做的分析，我們發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後有所關聯。

我們分析了他們的犯案手法並剖析了他們所用的工具之後發現，PLEAD、Shrouded Crossbow 和 Waterbear 很有可能都同屬一個駭客團體。

PLEAD: 曾經攻擊台灣的政府機關和民間機構

PLEAD 是一個資料竊取行動，尤其專門竊取機密文件。該項行動從 2012 年活躍至今，曾經攻擊台灣的政府機關和民間機構。PLEAD 所使用的工具包括同名的 PLEAD 後門程式以及 DRIGO 資料搜刮外傳工具。PLEAD 會利用魚叉式網路釣魚郵件來夾帶惡意的附件檔案或雲端儲存空間連結，以散布並安裝其木馬程式。歹徒使用了一些雲端儲存空間帳號來提供 PLEAD 木馬程式，並且接收 DRIGO 所搜刮外傳的文件。

PLEAD 的安裝程式經常使用從右至左書寫 (RTLO) 的技巧來讓惡意程式的檔名看起來像文件檔，且大多會搭配一個誘餌文件來轉移使用者的注意力。此外，我們也看過 PLEAD 使用以下漏洞來攻擊：

CVE-2015-5119 (Adobe 已在 2015 年 7 月修補)。
CVE-2012-0158 (Microsoft 已在 2012 年 4 月修補)。
CVE-2014-6352 (Microsoft 已在 2014 年 10 月修補)。
CVE-2017-0199 (Microsoft 已在 2017 年 4 月修補)。

趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出，在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。

趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD，來自於其相關惡意軟體所發出後門指令的字母。

此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡，攻擊者利用RTLO（從右至左覆蓋）技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr 顯示成xxx.rcs.pdf）

在某些 PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術，如同一起針對台灣某部會的案例，聲稱是關於技術顧問會議的參考資料：

一旦.7z 附加檔案被解開，收件者會看到兩個檔案，看來像一個 PowerPoint文件和一個 Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元，可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。

針對台灣政府單位的APT 攻擊：解開的附件檔顯示RTLO 伎倆,副檔名看似PPT,其實是.SCR 螢幕保護程式上

為了進一步讓受害者相信.SCR檔案是PPT文件，這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。

針對台灣政府單位的APT 攻擊.SCR 檔案刻意以假亂真產生一個 PPT檔案作為誘餌

《延伸閱讀》< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)

PLEAD 還曾經短暫使用過一個無檔案式惡意程式版本來攻擊 Flash 的漏洞 (CVE-2015-5119)，也就是當年 Hacking Team 所外流的漏洞。

繼續閱讀

熱門的辦公室通訊平台,如何被網路犯罪分子濫用?

2017 年 07 月 06 日2017 年 06 月 30 日趨勢科技 TrendMicro

網路犯罪分子利用聊天平台API作為 C&C 基礎設施

聊天平台如 Discord、Slack和Telegram已經成為相當熱門的辦公室通訊工具，這三個例子都深受世界各地企業和組織的青睞。一個重要的原因是這些聊天平台可以讓使用者透過API將他們的應用程式與自己的平台整合。這種作法在工作環境內可以減少應用程式切換的時間，進而簡化工作流程並提高效率。但有一點必須提出來，這樣的功能是否會被網路犯罪分子濫用？畢竟，我們已經看過許多將合法服務和應用程式用在惡意網路犯罪行為的例子，像是IRC就是個知名的例子，曾在過去被許多網路犯罪分子作為「Botnet傀儡殭屍網路」的命令與控制（C&C）基礎設施。

將聊天平台API轉換為命令與控制基礎設施

趨勢科技的研究重點是分析這些聊天平台API是否可作為C&C之用，並且看看是否有現行惡意軟體在利用此漏洞。通過大量的監視、研究和製作概念證明程式碼，我們已經可以證明每個聊天平台的 API功能都可能被濫用 – 將聊天平台轉變成C&C伺服器，網路犯罪分子可藉此與中毒或被駭系統進行通訊。

發現濫用API的惡意軟體樣本

我們對聊天平台的大量監視也顯示出網路犯罪分子已經在利用這些聊天平台進行惡意攻擊。在Discord，發現許多惡意軟體，包括檔案注入程式，甚至是比特幣Bitcoin) 採礦程式。同時，Telegram也被發現遭到某些KillDisk變種及TeleCrypt（一種勒索病毒 Ransomware (勒索軟體/綁繼續閱讀

濫用 PowerShell 的無檔案病毒興起

2017 年 07 月 04 日2017 年 06 月 29 日趨勢科技 TrendMicro

網路犯罪分子越來越常利用系統內建工具或服務來散播惡意軟體,原因是方便、有效和隱蔽。舉例來說，利用這些合法工具可以讓威脅活動混在正常的網路流量或IT/系統管理工作內,也讓這些惡意威脅能夠留下較少的痕跡，使得偵測更加困難。無檔案病毒就是其中一個例子。

無檔案病毒意味著沒有檔案被寫入或下載至受感染機器的本地磁碟執行。相對地，它們會在系統的記憶體內執行，或駐留在系統註冊表內以取得持久性。在典型的無檔案病毒感染中，有效載荷可以被注入現有應用程式/軟體的記憶體內，或透過白名單內的應用程式（如PowerShell）來執行腳本。

即便它們不是基於檔案（或可執行檔）的威脅，我們知道它們確實在外活動著，因為此類技術已經常地被使用在針對性攻擊/鎖定目標攻擊(Targeted attack )中。無檔案病毒最可被察覺的是網路蹤跡，像是命令與控制（C&C）連線，和其他留在中毒系統內的惡意程式碼。不幸的是無檔案病毒也可以在公開的專案計畫中取到，甚至在網路地下市場作為產品（或服務）提供。無檔案病毒也是如Angler等漏洞攻擊的主要功能之一。舉例來說，網路犯罪集團Lurk利用自己所開發的漏洞攻擊套件來透過無檔案病毒從金融機構竊取超過4,500萬美元。

[延伸閱讀：無檔案勒索病毒技術全貌 – UIWIX]

惡意PowerShell腳本是許多無檔案病毒的關鍵要素。Windows PowerShell是內建基於.NET框架的命令列Shell，提供使用者存取作業系統（OS）服務的介面，也是能夠建立腳本的程式語言。PowerShell主要用來自動化系統管理工作，像是檢視系統內所有的USB設備、磁碟和服務，排程工作並在背景執行，或是終止程序（就像是工作管理員）。PowerShell也可以讓管理員無縫管理系統和伺服器及軟體或服務所運行環境的設定。繼續閱讀