圖像隱碼術(Steganography)與惡意程式:原理和方法

能夠躲避偵測的威脅,是今日所面臨最危險的威脅。而那些最令人頭痛的資安問題也都具備這樣的特性,例如「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊) 和零時差漏洞攻擊。駭客只要能不被發現,就能立於不敗之地,也因此,這項能力一直是他們不斷追求的目標。在這一系列的部落格文章當中,趨勢科技將探討網路犯罪集團用來躲避偵測及分析的技巧。

駭客

在第一篇當中,我們首先將介紹所謂的圖像隱碼術 (Steganography),我們將說明何謂隱寫術,以及今日惡意軟體如何利用這項技術。希臘文中的 steganos 一詞代表隱藏的意思,而惡意程式就是喜歡偷偷暗藏東西。對於駭客來說,這真是天上掉下來的禮物。

當然,隱寫術也能應用在真實生活當中。例如將秘密訊息暗藏在特別的地方 (下文就是一篇有趣的例子),不過,此處我們要討論的是資料檔案,以及歹徒如何利用這些檔案。

steganography

圖 1:當年的加州州長阿諾史瓦辛格回覆加州議會的信函,解釋為何他在某議員於演講中羞辱他之後否決了議會的一項決議。其實這是一篇藏頭文,只要將正文的每一行第一個字圈出來就會看到隱藏的訊息:I Fuck You.

 

Continue reading “圖像隱碼術(Steganography)與惡意程式:原理和方法”

< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?

台灣和菲律賓已成為一項名為 Tropic Trooper (熱帶騎警) 的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的目標,而這項攻擊使用的只是舊的技倆:兩個 Windows 經常遭到攻擊的漏洞、社交工程(social engineering 巧以及簡單的圖像隱碼術 (Steganography)。這項攻擊從 2012 年至今一直不斷在竊取政府機關與產業的機密。

攻擊 入侵 駭客 一般 資料外洩

Tropic Trooper 攻擊行動專門鎖定台灣和菲律賓的政府機關、軍事單位以及重工業企業。值得注意的是仍有許多機構遭到這些老舊技倆的滲透,但它其實是可以利用漏洞修補、資安教育、惡意程式防護偵測等一些主動的作為和技術來事先加以防範。

在這項攻擊行動當中,歹徒對其攻擊目標的網路瞭若指掌,而且知道該用什麼誘餌來吸引受害者上鉤。歹徒精心製作了魚叉式網路釣魚(Phishing)電子郵件,並且附上炸彈攻擊預告信、履歷表、政府預算表等等吸引受害者開啟的附件檔案。這些隨附的文件當中暗藏了程式碼來攻擊 Windows 經常被利用、並可執行木馬程式的兩項漏洞:CVE-2010-3333 和 CVE-2012-0158。

[延伸閱讀:進階持續性滲透攻擊 (APT) 最常利用的漏洞 (Most Commonly Exploited Vulnerabilities Related to Targeted Attacks)]

歹徒的木馬程式 (TROJ_YAHOYAH) 最後會下載並解碼出一個惡意的圖片檔或一個誘餌文件。這個圖片檔看似無害,而且很像 Windows XP 系統內建的桌布。但其實歹徒利用了隱寫術來將 BKDR_YAHAMAM 後門程式暗藏在圖片當中,此程式會竊取系統上的資料、中止執行中的程序及服務、刪除檔案和目錄、將系統睡眠,或是執行其他的後門功能。

Tropic Trooper 攻擊行動所使用的圖片範例
Tropic Trooper 攻擊行動所使用的圖片範例

Continue reading “< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?”