藉自動更新系統散佈惡意程式 建立殭屍大軍,企業及政府請盡快建置重要主機異動監控機制
【2013年06月26日 台北訊】南韓最高政治中心青瓦台網站於昨日爆發網站遭受駭客攻擊,導致網頁被置換並關閉事件,引起全球矚目。根據趨勢科技全球病毒防治中心Trend Labs的最新研究發現,韓國雲端儲存服務軟體「SimDisk 」伺服器在此波攻擊中疑似遭駭客攻擊並置入檔名為「SimDiskup exe.」的惡意程式,其透過自動更新系統散佈至使用者端,試圖造成大量的感染,成為受駭客控制的網路「殭屍大軍」,進一步發動DDoS 攻擊試圖癱瘓政府網站。
根據趨勢科技Trend Labs最新分析發現,駭客攻擊韓國雲端儲存服務廠商「SimDisk」的伺服器並取得控制權後,即置換「SimDisk exe.」執行檔,並透過自動更新系統散佈一隻名為「SimDiskup exe.」的惡意程式至使用者端,一旦更新下載完成,此裝置將遭惡意程式感染,該惡意程式會連回特定網址接收指令,並下載另一隻名為DDOS_DIDKR.A的惡意程式,以培養網路「殭屍大軍」,並運用這些受感染裝置針對政府網站發動DDoS攻擊,癱瘓目標網站。
雖然自從上個月匿名者組織Anonymous宣告#OpPetrol攻擊之後,估計有1000個網站、35000個電子郵件憑證和超過10萬個Facebook帳號被聲稱已經淪陷,但直到目前,攻擊者的參與程度和攻擊的整體複雜性似乎還是有限。這些篡改網頁和資料外洩的狀況和最近其他行動裡所看到的一致,攻擊似乎並沒有得到太多注意。
但是像#OpPetrol這樣的行動讓擁有不同技能和目的的各種攻擊者有機會可以參與其中,並且進行自己的工作。而且並非所有單位都有相同的應變能力和對應措施,所以還是強烈建議利用主動式安全措施來加緊戒備。
趨勢科技的研究人員,一直透過大量的全球威脅情報資源來密切監視狀況。我們追蹤了連向目標網站的惡意活動,發現了之前就已經被確認是已經淪陷,被殭屍網路/傀儡網路 Botnet幕後黑手所控制的IP地址。看起來,這些連向目標網站的連線是為了要獲取進一步的存取能力,或是準備要進行DDoS攻擊。
趨勢科技還發現惡意軟體 CYCBOT 被用來將被感染系統導向目標網站。CYCBOT最初是在2011年出現,過去主要是被用來將流量導到指定網站,特別是廣告網站。它最為人所知的就是透過按次付費安裝的方式來散播。
在科威特、卡達和沙烏地阿拉伯有大量的目標政府網站在受到最近淪陷的IP地址攻擊後離線。這些IP地址在之前從未有過連上這些政府網站的紀錄。
我們會持續監視這起攻擊,並且報告調查結果。你也可以參考一些組織在面臨這類攻擊的前中後期,要如何保持安全的作法,像是我最近的文章:「Anonymous的OpPetrol攻擊:它是什麼?會發生什麼事?為何要關心?」
@原文出處:Anonymous’ #OpPetrol: Leading into June 20
@延伸閱讀
中東地區特定政府網站疑已遭攻擊關閉 政府及企業應加強戒備以防受骇
【2013年06月20日 台北訊】駭客組織「 Anonymous匿名者」於月初宣稱將於今日發動代號為「Operation Petrol」的攻擊行動,鎖定全球主要石油產業相關的政府及企業,趨勢科技(TSE:4704)分析該組織很可能已經在五月即開始部署可發動目標性攻擊的惡意行動,以達到癱瘓大量網站目的。目前已知部分中東政府網站與特定企業也已遭攻擊,趨勢科技呼籲全球政府與企業都應提高警覺,建議企業與政府於近期進行內部IT資安防護能力檢測,確實更新修補元件、提高對網路與電子郵件釣魚的警覺心,以防成為此波攻擊受害者。
駭客團體「 Anonymous匿名者」於月初表示為了抗議石油交易以美金計價,嚴重剝奪石油產出國權益,預計於6月20日發動一波代號為「Operation Petrol」的攻擊,攻擊對象遍及全球主要國家,多數為該組織認為「石油美金」既得利益國家政府與石油產業網站,匿名者組織更進一步公布已經掌握一千個網站、三萬五千個email帳號密碼,以及十萬個Facebook帳號密碼,彰顯其具備癱瘓大量網站的能力。
根據趨勢科技病毒防治中心TrendLabs的分析,該組織已經於五月開始佈局,透過遠端C&C伺服器控制遭後門程式CYCBOT感染的電腦形成殭屍網路,駭客將可運用殭屍網路發動DDOS攻擊,癱瘓大量網站。目前已知沙烏地阿拉伯與科威特部分政府網站已經遭到零星攻擊而暫時關閉,亦有數家被駭客鎖定的機構已確定遭到攻擊。
在上個月,駭客集團匿名者Anonymous 宣稱他們打算對石油公司發動網路攻擊(代號:#OpPetrol),預計將會持續到6月20日。
他們聲稱這次的攻擊的主要原因是因為石油用美元計價,而非石油產國本身的貨幣。不過也有討論指出,會想要進行這波新的攻擊是因為前兩次的攻擊(代號:#OpIsrael和#OpUSA)被認為沒有效果。
要注意的是,6月20日指的是預期大多數攻擊會發生或被公開的那一天。和上個月的#OpUSA一樣,他們在這天之前就已經開始動員。自從這次行動公布以來,就開始有目標被攻擊,憑據被竊取,目標列表已經越來越長了。
而且這類攻擊被當做幌子,用來掩護其他攻擊的例子也並不少見。根據之前行動所記錄的附加損害和在公開攻擊日以外進行的資料外洩來看,不管是目標還是時間都沒有辦法被精確的掌握。
像這樣的Anonymous行動對現在或潛在的目標來說,都是個很好的機會來演練各種保護自己的步驟。每個人都可能會成為目標,總會有漏洞可被用來攻擊。
如果你所防衛的組織或國家是這次行動的潛在目標,你應該要考慮下文內的步驟,或許還要做得更多。如果你會連到這些目標組織,或位在潛在目標的國家內,我們建議你還是要採取這些步驟。但如果你和預定目標並沒有交集,你也可以利用這些步驟做為主動防禦的措施,對抗類似#OpPetrol這類的攻擊。
6月20日:
在6月20日:
6月20日過後:
• 2013 年 3 月 20 日在韓國發生什麼?
在 3 月 20 日下午,多家韓國民間企業遭受數次攻擊,業務運作嚴重中斷。此次事件的開始是受害企業內部數台電腦黑屏,網路凍結,造成電腦無法使用。
*本事件有一說為南韓 DarkSeoul 大規模APT攻擊事件)
4月中事件調查出爐,報導說北韓至少策畫了8個月來主導這次攻擊,成功潛入韓國金融機構1千5百次來部署攻擊程式,受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點,部分地點與北韓之前發動網路攻擊所使用的地址相同。駭客所植入的惡意程式總共有76種,其中9種具有破壞性,其餘惡意程式僅負責監視與入侵之用,相關報導:
韓國320駭客事件調查出爐,北韓花8個月潛入企業千次部署攻擊
• 誰在此次攻擊事件中受到影響?
數家韓國媒體與金融機構的網路受到影響,尤其是媒體,據報導他們的業務運作受到嚴重中斷,要完全恢復至少需要4至5天。
• 攻擊者的意圖為何?
目前還不知道攻擊者的動機,但是攻擊造成的影響是終端正常業務運作,表明了這是一次破壞行動。如果不知道攻擊者的真面目,很難去判定此次攻擊的意圖為何。
• 攻擊活動如何開始? 相關的惡意軟體如何入侵?
一封偽裝成三月份信用卡交易紀錄的郵件被送給被害者,該郵件包含兩個附件,一個是無害的 card.jpg,另一個是惡意的 .rar 文件,文件名寫著「您的帳戶交易歷史」
• 此次攻擊事件的感染途徑為何?
附件的 .rar 文件是一個 downloader,它會連接數個惡意 IP 地址並下載 9 個文件。企業內部的中央更新管理伺服器也遭受入侵而被植入惡意程序,更新管理機制讓這個惡意程序能夠相當快速地散播到所有連接此伺服器的電腦。該惡意程序會新增數個組件,其中包含一個 MBR (主開機記錄,Master Boot Record) 修改器。
• 在終端電腦上發生什麼?
這個 MBR 修改器,經趨勢科技偵測分析,定名為 TROJ_KILLMBR.SM 惡意程序。該惡意程序被設定在 2013 年 3 月 20 日執行,在這個時間之前,它只是安靜地存在系統之中。當設定的時間到達之後,TROJ_KILLMBR.SM 覆蓋MBR並且自動重啟系統,讓此次破壞行動能夠生效。它並且利用保存的登入訊息嘗試連接 SunOS、AIX、HP-UX 與其他 Linux 伺服器,然後刪除服務器上的 MBR 與文件。
對於Windows Vista 或是更新的版本,它會搜尋所有固定或移動硬碟中文件夾裡的全部文件,用重複的單詞去覆蓋文件,然後刪除這些文件與文件夾。在根目錄的文件是最後被覆蓋的。對於比 Windows Vista 舊的操作系統,它會覆蓋所有固定或移動硬碟的開機引導紀錄 (boot record)。
• 在 3 月 20 日之前有沒有對於此事攻擊事件的提前預警?
在一個趨勢科技的客戶環境中,我們能夠判斷至少在一天前,也就是 3 月 19 日,他們就已經遭遇了這個威脅。然而藉由趨勢科技威脅發現設備 DDI 的協助,他們能夠提早知道並且採取防禦措施。
• 趨勢科技對於此次攻擊事件提供什麼保護?
趨勢科技 DDI 利用偵測到相關郵件中的惡意附件,啟發式偵測名稱為 HEUR_NAMETRICK.B,我們也提供特徵碼去查殺 MBR 修改器,同時我們能夠偵測此次攻擊相關的所有 URL 與垃圾郵件。
• 趨勢科技客戶在此次事件中有受到影響嗎?
趨勢科技 DDI 能夠利用啟發式偵測與沙盒分析提示與此次攻擊相關郵件中的惡意附件。由於 DDI 提供的訊息,客戶能夠提早採取預防措施,防止威脅影響他們的系統。
面對 APT 攻擊企業該怎麼辦呢? 這是我們的建議
• 確保重要主機的防護及安全
。 駭客企圖利用具有中控管理的程式來散播惡意程式,所以包含防毒軟體、資產管理、軟體派送及 AD 等等,因此做好主機保護很重要。
。 程式本身也必須做好防護,以免成為攻擊的管道。 繼續閱讀