解析專攻擊日本的ChessMaster 網路間諜行動

蒐集情報、社交工程誘餌、攻擊系統漏洞、在企業網路內部橫向移動,駭客有各式各樣的針對性攻擊工具可以利用。而且這些工具就像西洋棋的棋子一樣,各有不同用途。

就以 ChessMaster (西洋棋大師) 攻擊行動為例,這是一個專門以日本學術機關、科技公司、媒體機構、託管式服務供應商以及政府機關為目標的網路間諜行動。它派出的小兵就是挾帶誘餌文件的魚叉式釣魚攻擊(SPEAR PHISHING)郵件。不過,趨勢科技也發現了一些蛛絲馬跡顯示,ChessMaster 跟 APT 10 有所關連 (後者亦稱為 menuPass、POTASSIUM、Stone Panda、Red Apollo 及 CVNX)。

ChessMaster 網路間諜行動的名稱取自其主要後門程式內部資源區段的名稱「ChChes」,趨勢科技將它命名為 「BKDR_CHCHES」。

此攻擊行動獨特之處在於其使用的工具和技巧:

  • 惡意的捷徑 (LNK) 檔案與 PowerShell 工具該捷徑檔會執行「命令提示字元」程式去下載一個 PowerShell 腳本,此腳本會直接在系統上植入或載入 ChChes,第二種方法也就是所謂無檔案式攻擊。
  • 自我解壓縮檔案 (SFX)。此壓縮檔會解出一個執行檔 (EXE)、一個動態連結程式庫 (DLL) 和一個二進位檔 (.BIN)。解開之後,惡意程式碼會被注入到一個正常的執行程序當中 (透過 DLL 挾持技巧)。ChessMaster 將此技巧進一步發揚光大,利用載入時期動態連結技巧來呼叫惡意 DLL 內的函式。
  • 執行時期包裝程式。在整個間諜行動當中,ChChes 使用了三個檔案包裝程式來將自己加密編碼以躲避偵測。第一個不具備加密功能,但含有各種載入程式碼。第二個具備 XOR 加密技巧 (用以反制模擬分析)。第三個在 XOR 之上又增加了 AES 加密。這些程式的組譯日期彼此重疊,可見 ChChes 的作者不斷地在改進並微調其惡意程式。
  • 第二階段惡意程式。歹徒會在系統上植入更多惡意程式,以便能持續躲藏在系統當中。這些其實都是 ChChes 的變種,其程式進入點皆相同,但加密和幕後操縱 (C&C) 通訊卻不盡相同。
  • 駭客工具。ChessMaster 會利用合法的電子郵件以及駭客專為其攻擊行動而修改而來的瀏覽器密碼復原擷取工具。這些工具能在使用者忘記密碼時救回密碼,因此也可讓駭客用來擷取密碼。有了這項資訊之後,就能從事橫向移動與進一步攻擊。
  • TinyX。這是 PlugX 的衍生版本,只不過少了增加新功能的能力。TinyX 是經由魚叉式網路釣魚郵件挾帶並散布。
  • RedLeaves。這是一個第二階段後門程式,其運作方式類似 Trochilus 這個開放原始碼無檔案式遠端遙控木馬程式 (RAT),後者賦予歹徒在已感染系統上進行橫向移動的能力。RedLeaves 的功能衍生自 PlugX。今年四月,一個名為「himawari (向日葵的日文)」的 RedLeaves 變種現身,在當時具備了躲避 YARA 偵測規則的能力。

 

ChessMaster 和 APT 10 其實同屬一個網路間諜行動。
APT 10/menuPass 是一個網路間諜集團,其攻擊行動名為「Operation Cloud Hopper」,專門攻擊鎖定目標的中介機構,也就是代管式服務供應商 (MSP)。其最知名的是非常會善用各種專門竊取資訊的後門程式與漏洞攻擊套件,再配合詭計多端的手法,從各種魚叉式網路釣魚郵件到各種攻擊與感染途徑。此外還會使用合法或開放原始碼的遠端遙控工具來竊取資訊。

這聽起來是否有點熟悉?這是因為 ChessMaster 和 APT 10 似乎同屬一個網路間諜行動。下圖進一步詳細說明兩者的攻擊流程:


圖 1:ChessMaster 與 APT 10 的攻擊流程。

我們一開始是發現 ChChes 盯上了某個遭到 APT 10/menuPass 長期攻擊的目標。然而,當我們取得並分析了越來越多 ChChes 的樣本之後卻發現,兩者的攻擊模式幾乎如出一轍:專用的檔案包裝程式、相同的攻擊目標、共用的 C&C 基礎架構。

例如,ChChes 的檔案包裝程式與 menuPass 舊版的 PlugX 很像。此外,從 DNS 記錄也可看出,其某些 C&C 伺服器和網域對應到的 IP 位址根本是同一個,或者位於同一個子網路 (subnet) 之內。所以,他們背後到底是否為同一集團?從種種相似性來看的確如此。而這樣情況以前也發生過,例如 BlackTech 網路間諜行動就是一個例子。 Continue reading “解析專攻擊日本的ChessMaster 網路間諜行動”

企業資安: 一次搞懂 BPC、BEC及 Targeted attack

商業流程入侵(BPC)、商務電子郵件入侵(BEC)及目標式攻擊:有什麼差異?

2015 年,在攻擊者取得 SWIFT 金融網路的資金交易代碼之後,一家厄瓜多銀行損失 1,200 萬美元。隔年,另有一起牽涉 SWIFT 的網路洗劫案例,造成孟加拉中央銀行損失 8,100 萬美元。同樣在 2016 年,一家越南銀行成功防止一起類似的攻擊事件,阻止攻擊者移轉 113 萬美元到攻擊者帳戶中。

我們將這一系列新的攻擊分類為商業流程入侵 (BPC),主謀偷偷修改關鍵流程及系統,以進行看似正常卻未經授權的操作。那麼 BPC 是如何運作?BPC 的獨特之處在哪,與商務電子郵件入侵或稱為變臉詐騙 (BEC) 或目標式攻擊有何相似之處?企業又要如何找出 BPC?

BEC變臉詐騙的五種類型

BPC 及 BEC 擁有同樣的最終目標 (即經濟利益),但兩者僅有這點相似。

BEC 是極度仰賴社交工程(social engineering )策略的詐欺手段,誘騙受害者移轉資金到詐欺犯名下帳戶。在 BEC 中,攻擊者通常假扮成與金融或電匯付款業務相關的執行長或任何高階主管。根據 FBI 指出,BEC 有下列五種類型:

  1. 偽造發票收據
  2. 執行長詐欺
  3. 帳戶入侵
  4. 偽裝律師
  5. 資料竊取

[請參閱:商務電子郵件入侵(變臉詐騙)是如何運作?]

BPC的三種類型

另一方面,BPC 則是更為複雜的攻擊,其中牽涉修改程序,產生與原先預期的不同結果。這往往能讓攻擊者獲得極高的經濟利益。根據趨勢科技所觀察到的案例,BPC 有下列三種類型:

  • 聲東擊西
  • 冒用身分
  • 五鬼搬運

 

[請參閱:商業流程入侵(BPC)的種類及個別案例]

鎖定目標攻擊及 BPC: 都能無限期留在網路中,而不被偵測到

針對性攻擊/鎖定目標攻擊(Targeted attack )及 BPC 間僅有一線之隔,兩者皆使用相同工具、技術及元件,且能在不受偵測的狀況下,滲透並留存於目標網路當中。兩者都能無限期留在網路中,而不被偵測到。然而,鎖定目標式攻擊的主要目的是滲透到公司中最重要的資產 (商業機密、智慧財產等),以進行商業間諜或破壞行為。另一方面,BPC 的詐欺犯主要是為取得不法利益。BPC 可能也會使用與鎖定目標式攻擊相同的手法,如情報收集、橫向移動,到維護和資料滲透等。

圖 1BPC、BEC 及目標式攻擊之間的差異與相似之處
圖 1BPC、BEC 及鎖定目標式攻擊之間的差異與相似之處

Continue reading “企業資安: 一次搞懂 BPC、BEC及 Targeted attack”

商業流程入侵 (BPC):進階目標式攻擊的下一個步驟

近幾年來,針對性攻擊/鎖定目標攻擊(Targeted attack )  已有長足發展,其會鎖定特定對象並採用越來越進階的技術來發動攻擊。一般來說,這類駭客會鎖定企業內的單一成員、竊取其憑證、登入帳戶,並冒用這個帳戶來尋找敏感資訊。變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)就是駭客將惡意活動推展到新境界的手法之一,其會運用密集研究與量身訂做的訊息來達到入侵目的。

不過,現在又有新的威脅曝光了:商業流程入侵 (BPC)。BPC 聽起來跟 BEC 很像,但卻是完全不同的概念。

BPC 的運作方式

從趨勢科技的這段影片可以看出,BPC 駭客並非鎖定受害組織中的特定成員,而是鎖定企業中的特定流程,這些流程是完成重要日常作業的關鍵環節。一旦侵入系統之後,駭客就會試圖透過活動、漏洞或整個系統進行滲透,並使用這項弱點作為攻擊主力。

這種攻擊模式的目的是要盡量取得組織的流程資訊,包括商業用的所有活動和系統。駭客可以從這裡查出相關流程和平台的漏洞,並進行巧妙的調整或操控。如此一來,從公司的角度來看,系統仍照常運作。但是,網路罪犯卻躲在背後竊取資料、詐取利潤,甚至盜取實際商品。

BPC 有成功過嗎?

Continue reading “商業流程入侵 (BPC):進階目標式攻擊的下一個步驟”

檢視義大利知名駭客事件惡意軟體EyePyramid

義大利當局(與美國聯邦調查局合作)逮捕了兩名義大利駭客,原因是他們竊取國家機密和非法網路入侵,造成數以萬計電子郵件被駭,嫌犯以「魚叉式網路釣魚(Spear Phishing)」夾帶EyePyramid惡意軟體,入侵政府官員、銀行家、律師、企業家等身居國家要位成員的電子郵箱。這惡意軟體得手超過87 GB的不法機敏資料,包括使用者名稱、密碼、瀏覽資訊跟檔案系統內容。

感染鏈: 從律師事務所開始

根據現有資訊和趨勢科技對樣本的初步分析來看,此魚叉式釣魚攻擊的目的是要入侵電子郵件帳號,特別是數家律師事務所的律師和合夥人。駭客誘使目標開啟惡意電子郵件附件檔。一旦打開,這惡意附件檔(也就是上面所提到的惡意軟體),會啟動其惡意行為並將自己用隨機名稱加上.exe副檔名複製到系統上。底下是我們所看到的一些已知名稱(其他版本的惡意軟體可能會加以改變):

圖1、所用的檔案名稱

 

初步樣本分析

該惡意軟體最初看起來是用.NET(> = 4.5.x)編寫的程式碼,深入研究則發現其他事情。在標準混淆(可以用現成工具來進行逆向工程),反組譯原始碼的敏感部分被進行混淆,這讓偵測和分析變得更加棘手。例如關於命令和控制伺服器的網址及MailBee的授權碼(據稱用攻擊者的名字購買)等資訊經過重度混淆,如下面的程式碼節錄所示:

圖2、混淆過程式碼範例

Continue reading “檢視義大利知名駭客事件惡意軟體EyePyramid”

攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅

攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅

自從在今年九月第一次寫到關於HDDCryptor的發現,趨勢科技就一直緊密追踪此一勒索病毒Ransomware(勒索軟體/綁架病毒)的演變。它在上個禮拜出現了一個新版本。根據分析,這新變種在最近被用來攻擊舊金山市交通局(SFMTA)。系統被入侵後,所有的電子售票機都出現了「停止服務」或是「捷運(地鐵)免費」的訊息。

⊙延伸閱讀: 勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

此次攻擊就跟我們在HDDCryptor的其他版本所看到的一樣,勒索病毒會植入一些工具來加密整個磁碟,同時會加密掛載的網路磁碟。趨勢科技認為此次攻擊並沒有用漏洞攻擊套件和自動安裝工具來入侵感染受害者。而是先透過針對性攻擊/鎖定目標攻擊(Targeted attack )或攻擊漏洞等作法取得對機器的存取能力,接著再手動執行惡意軟體。儘管我們沒有詳細資料去解釋這攻擊如何涵蓋SFMTA內的2000台機器,但很有可能是透過管理權限在所有設備上設定排程任務來達成。

Continue reading “攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅”

2015年十大資安關鍵字

本部落格從 2015年熱門資安新聞相關的十大資安關鍵字,回顧即將過去的這一年發生的資安大事件:

  1. CryptoLocker (加密勒索軟體)

    1200 627 cryptolocker
    有史上最狠毒勒索軟體 Ransomware (勒索病毒/綁架病毒)之稱,2014年開始入侵臺灣,2015年災情持續蔓延。
    前一陣子有位台北市某公司會計人員,誤點免費中獎iPhone 6S的釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選,「勒索軟體肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索軟體)奪魁,得票數占42.11%

    【相關新聞

    CryptoLocker勒索軟體肆虐可能助長網路銀行惡意程式
    透過可移除媒體散播的新CryptoLocker 勒索軟體
    勒索軟體CryptoLocker,攻擊個案翻兩倍
    勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊
    Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
    真有其事還是虛張聲勢?Chimera 加密勒索軟體/綁架病毒,威脅將您的資料公布在網路上
    加密勒索軟體:用比特幣贖回你的檔案!!

    >> 看更多

    ransom1224


    PCC2016_1Y3U_TW box

    PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密!即刻免費下載

     


     

     

  2. PoS Malware (端點銷售惡意軟體)

    POS

    端點銷售(PoS)惡意軟體攻擊呈現巨大的跳躍,全功能PoS 惡意軟體,可回傳信用卡號碼

    【 相關新聞

    PoS攻擊的演進 – 更加複雜也更具針對性
     IOE攻擊情境POS 端點銷售惡意軟體 POS銷售端點(POS)記憶體惡意軟體
    【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料
    2015年第三季資安威脅總評: 駭客已悄悄將PoS攻擊目標移轉到中小企業 (SMB)
     MalumPoS 惡意程式,可針對任何POS系統發動攻擊
    < IoT物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in
    全功能PoS 惡意軟體,可回傳信用卡號碼,竊取巴西 22,000筆信用卡資訊
    < IoT 物聯網-PoS 攻擊>付款終端機在交易中如何處理你的信用卡資料?
    < IoT 物聯網新趨勢 >飛機、火車與汽車 – 有哪裡可以逃過PoS惡意軟體的威脅?
    資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長
    >>看更多

  3. Pawn Storm (網路間諜行動)

    間諜軟體
    一項持續性網路間諜行動。曾攻擊北大西洋公約(NATO)會員國與美國白宮,亦曾攻擊馬航MH17失事調查委員會

    【相關新聞
    Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼新的棘手問題:Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭
    Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列
    Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標
    分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施
    < APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增
    數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊
    第三季資安總評:資料外洩成零時差漏洞攻擊利器,甚至危及人身安全

    >> 看更多

  4. XcodeGhost (iOS木馬)

    iOS 開發工具染毒,蘋果出現嚴重漏洞,安全神話遭打破
    mobile iphone手機
    【 相關新聞

    【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)
    Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全
    >> 看更多

Continue reading “2015年十大資安關鍵字”

 < CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?

作者:Raimund Genes (趨勢科技技術長,CTO)

前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。

APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。

攻擊,APT,目標攻擊

不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。

這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。

然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。

針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧Continue reading ” < CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?”

什麼是針對性攻擊/鎖定目標攻擊 ( Targeted attack )?

networks網路 通用 ioe

針對性攻擊/鎖定目標攻擊(Targeted attack )可說是今日網路環境中對組織最大的網路威脅之一。對於任何規模的任何公司來說都屬於最糟的狀況,被鎖定目標的公司不僅會損失商譽,也可能造成數以百萬計的損失。

這些針對性目標攻擊(Targeted attack )在新聞中都會作為資料外洩事件被報導,就如同影響Sony被駭Target資料外洩Ashley Madison偷情網站入侵事件一樣。

就如它們在新聞中所聽起來的那樣驚人跟破壞性,資料外洩本身並不足以描繪整個故事。 針對性目標攻擊(Targeted attack )所做的比扳倒大公司還要多,就像它們也用在對付國家及其政府機構的網路間諜活動。

所以什麼是針對性攻擊/鎖定目標攻擊(Targeted attack )?它們跟我們經常在新聞中所聽到的其他威脅有何不同?我們將會在這系列文章的第一部中回答這些問題,這系列文章將會探討這些能夠輕易將百貨業者搞得天翻地覆,也將政府搞得人仰馬翻的威脅。

什麼時候會將攻擊認定是針對性攻擊/鎖定目標攻擊 (Targeted attack )

當攻擊滿足三個主要條件時,可以被認為是針對性攻擊/鎖定目標攻擊(Targeted attack ):

  • 攻擊者有個具體的目標,也顯然花費相當長的時間、資源和精力來設置或進行針對性攻擊/鎖定目標攻擊 ( Targeted attack )
  • 針對性攻擊/鎖定目標攻擊 ( Targeted attack )的主要目的是滲透目標網路和竊取其伺服器資訊
  • 攻擊是持久的,攻擊者花費相當大的努力確保攻擊在一開始滲透網路並取出資料後能夠繼續下去。

針對性攻擊/鎖定目標攻擊 ( Targeted attack )往往過了數年才被發現,且通常那時已經有數千甚至數百萬的客戶紀錄或資料被竊。

針對性攻擊/鎖定目標攻擊(Targeted attack )跟激進駭客主義(hacktivism)有何不同?

激進駭客主義(hacktivism)或激進主義相關的駭客攻擊跟針對性攻擊/鎖定目標攻擊(Targeted attack )不同,因為前者有著一次性與破壞性質。他們往往更像是非法騷擾 — 不那麼有害而比較容易處理,就像是在牆壁塗鴉一樣。激進駭客攻擊往往不會出現網路滲透,很少或沒有出現資訊竊取。

他們也會以誇張的做法來追求最大的能見度 — 目的是被看見,而非針對性目標攻擊(Target attack )那樣設計成不被注意到。

針對性攻擊/鎖定目標攻擊 ( Targeted attack )跟網路犯罪活動有何不同?

針對性攻擊/鎖定目標攻擊(Targeted attack )跟網路犯罪活動的最大區別是範圍。網路犯罪活動的目的是在最短時間(在資安公司反應前)內盡可能找到最多受害者。

而另一方面, 針對性攻擊/鎖定目標攻擊(Targeted attack )行動的範圍十分限縮 — 通常將目標限制在一家公司或組織。有時範圍甚至會進一步縮小到組織中的特定員工或一小撮員工。所有的工作、努力跟研究都是為了確保目標上鉤落入他們的圈套 — 然後讓他們得以進入目標網路。 Continue reading “什麼是針對性攻擊/鎖定目標攻擊 ( Targeted attack )?”