Kinsing 惡意軟體使用 Rootkit的分析

Kinsing附帶了數個shell腳本。這些shell腳本負責下載和安裝、移除或反安裝各種資源密集型服務和程序。這篇文章會重點介紹rootkit組件的作用。

我們上一次討論Kinsing惡意軟體是在2020年4月,當時我們分析其基於Golang的Linux程式會針對設定不當的Docker Daemon API端口植入虛擬貨幣挖礦程式。

隨著Shell腳本以及Linux惡意後門和程式的不斷發展,Kinsing作者會持續跟上腳步也不足為奇了。在本文中,我們會討論惡意軟體變種當前的功能,包括加入更難被受感染機器偵測到的功能。與Trident惡意軟體使用rootkit來隱藏虛擬貨幣挖礦程式的作法類似,Kinsing也整合了會預載程式庫的使用者模式rootkit

惡意軟體本身附帶了數個shell腳本。這些shell腳本負責下載和安裝Kinsing後門程式,挖礦程式和rootkit,以及移除或反安裝各種資源密集型服務和程序。這些腳本與前面文章裡討論的腳本類似。這篇文章會重點介紹rootkit組件。

技術分析


部署shell腳本的第一步是移除/etc/ld.so.preload(如果存在)。

Removing the immutable file flag
Removing the immutable file flag
圖1. 移除/etc/ld.so.preload

這/etc/ld.so.preload檔案會在開機時將共享物件或程式庫路徑列表載入每個使用者模式程序,早於任何其他的共享程式庫 – 包括C執行時期程式庫(libc.so)。各Linux發行版本預設不會存在該檔案。因此,必須特意去建立。

繼續閱讀

指令列惡意腳本正持續演進

本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何演進,以及如何搭配惡意程式的發展以從事惡意活動。

Unix 程式設計師經常運用指令列腳本 (shell script) 來讓他們很方便地在一個檔案中指定所要執行的多個 Linux 指令。許多使用者也都會利用這個方式來管理檔案、執行程式或執行列印。

不過由於每台 Unix 電腦都內建了指令列腳本的解譯器,所以這也成為歹徒喜愛的一個泛用工具。我們先前就曾撰文說明駭客如何利用指令列腳本來散布惡意程式,並用來攻擊組態設定不當的 Redis 運算實體暴露在外的 Docker API 或者清除競爭對手的虛擬加密貨幣挖礦程式。本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何不斷演進、如何配合不斷發展的惡意程式來從事惡意活動。

指令與程式設計技巧不斷變化


使用指令列腳本並非什麼最新技巧,網路上早已相當盛行。不過我們確實注意到這類腳本開始出現一些變化,而且能力正大幅攀升。

繼續閱讀

解析 Ngrok 曲折的攻擊程序

趨勢科技 Managed XDR 託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。


採用 端點偵測及回應 (EDR) 資安解決方案的一項主要好處就是,能讓維護及分析企業網路防禦狀況的資安團隊能掌握自身環境的可視性來提早偵測攻擊,並透過視覺化方式了解正在發生的資安事件。雖然像這樣的技術確實讓網路資安產業整體都有所提升,但歹徒的工具和技巧卻也同樣因應這樣的發展趨勢而演進。

 趨勢科技 Managed XDR託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

初步調查

2020 年 7 月,我們經由 趨勢科技Apex One在客戶環境觀察到以下可疑的系統事件:

Process: c:\windows\system32\reg.exe CommandLine:REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d “\”c:\Windows\system32\<random name>\”” /f

此事件有幾點值得注意:首先,該指令所建立的系統登錄數值的名稱是根據某個資安廠商來命名。其次,登錄數值的名稱 (在 <value> 部分) 出現了一個拼字錯誤 (也許是故意的,此處為了保密暫不顯示)。最後,在系統目錄當中有一個隨機命名的執行檔。這所有因素加在一起,讓我們直覺認為這是一項警訊。

結果這個執行檔確實是一個鍵盤側錄程式,它會將側錄到的滑鼠與鍵盤輸入傳送到某個 Gmail 帳號。我們在二進位檔案中發現了一些寫死的資訊,證明它是專為某個目標機構而量身訂製。不僅如此,我們也從二進位檔案中得知,駭客對該機構有相當程度的了解。

我們用這個鍵盤側錄程式的檔名和雜湊碼在系統記錄和事件當中搜尋之後發現以下情況:

繼續閱讀

下載超過 3200 萬次的111個 Chrome 的惡意擴充套件會竊個資

Awake Security 揭露,有項活動利用 Google Chrome 擴充套件和 Communigal Communication Ltd. (Galcomm) 的網域,追蹤使用者的活動與資料。在過去三個月中,研究人員發現有 111 個惡意或偽造的 Chrome 擴充功能,利用 Galcomm 網域作為其命令及控制 (C&C) 的基礎架構。撰寫本文時,這些惡意擴充功能的下載次數已至少達 3200 萬次。

該活動利用將近 15,160 個透過 Galcomm 註冊的網域,託管惡意程式與以瀏覽器為基礎的監控工具,數量占了此網域註冊商 26,079 個可訪問網域中的近 60%。在與通訊商 Reuters 的往來信件中,Galcomm 負責人 Moshe Fofel 堅稱:「Galcomm 並未牽涉其中,也不會參與任何惡意活動。」

影響產業含金融、石油和天然氣、媒體、健康照護、零售、科技、教育及政府部門


Moshe Fofel 寫道:「應該說正好相反,我們常與執法和安全機構合作,盡我們所能地預防惡意活動。」

這些攻擊成功躲避了諸如沙盒、端點安全解決方案、網域信譽評等引擎等機制的偵測。受到影響的產業包含金融、石油和天然氣、媒體、健康照護、零售、科技、教育及政府部門。

繼續閱讀

竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!

1-5 月威脅醫療,製造和政府部門三大產業的 Qakbot 變種,透過帶有惡意連結的郵件散播,這些郵件看起來像是在回覆一串業務討論郵件。

除了收件匣外,還在”已傳送”郵件資料夾內偵測到惡意威脅,這意味著不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。

已知的惡意軟體會不停地以更新更複雜的變種面貌再次出現,再加上有完全未知的威脅冒出,這些都需要具備先進偵測及回應功能的解決方案。

竟在”已傳送”郵件資料夾內偵測到 Qakbot 病毒?原來帳號被盜了!
竟在”已傳送”郵件資料夾內偵測到 Qakbot 病毒?原來帳號被盜了!

Qakbot重出江湖,威脅醫療產業,製造業和政府部門

趨勢科技經由託管式偵測及回應(MDR)服務發現有許多威脅來自寄入的電子郵件。這些郵件經常包含了網路釣魚(Phishing)連結、惡意檔案或指示。而且從每日對電子郵件後設資料(metadata)的分析調查可以看出不止是寄入郵件,還可以從使用者自己的”已傳送”郵件資料夾內偵測到惡意威脅。顯示出不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。從這類事件裡,我們關聯出電子郵件入侵來散播Qakbot相關郵件。

已知此惡意軟體會經由網路分享、可移除磁碟或軟體漏洞進行散播。我們最近所看到的例子是透過帶有惡意連結的郵件散播。點入連結會下載包含VBS檔(偵測為Trojan.VBS.QAKBOT.SM)的zip檔案,接著會下載一個惡意執行檔(趨勢科技偵測為Backdoor.Win32.QBOT.SMTH)。

繼續閱讀