愈來愈多惡意軟體嵌入RTF檔案,會竊取帳密

網路犯罪份子之前就利用過RTF(Rich Text Format)檔案,不過看來最近他們又更有創意的去利用這個格式。

Trojan 木馬

趨勢科技之前談論過CPL檔案如何被嵌入到RTF文件,並且以附件檔的方式傳送給目標受害者。這些CPL檔案接著會下載惡意檔案並執行在受影響的系統上。

早期樣本裡的指示使用的是葡萄牙文,不過現在較新的樣本則是使用德文:

圖一、德文的RTF文件

 

總的來說,所用的手法還是一樣 – RTF檔案內含一個嵌入的「收據」,並指示使用者去打開這份收據。打開該檔案會執行CPL惡意軟體,它會接著下載其他的惡意檔案。

圖二、RTF文件碼

 

在此案例裡,該網址已經無法存取,所以我們無法百分百地肯定接著會下載的是什麼。不過之前的案例使用過資料竊取程式,所以這次很有可能也是一樣。我們將這CPL惡意軟體變種偵測為TROJ_CHEPRTF.SM2 木馬病毒。

另一起案例也將惡意軟體嵌入RTF檔案,但這次的嵌入惡意軟體屬於ZBOT惡意軟體家族。這個ZBOT變種被偵測為TSPY_ZBOT.KVV 木馬病毒,它會竊取使用者名稱和密碼,像是電子郵件、FTP和網路銀行。

這些事件強調了網路犯罪技術一直在提升。RTF文件可能已經被用在許多案例之中,只是使用者並不知道RTF檔案可以被用來散播惡意軟體。即使他們知道,他們也未必能夠很容易地確認哪些檔案是惡意的,而哪些不是。

此外,使用RTF檔案來散播ZBOT並不尋常,因為它通常是透過其他的方式(如下載程式、惡意網站或垃圾郵件)散播。這顯示出網路犯罪份子是如何地願意接受新方法來達到自己的目的。

趨勢科技強烈建議使用者在打開電子郵件和附件檔時要小心謹慎。在可以確認之前,絕對不要下載並打開附件檔。企業應該在網路上部署郵件掃描解決方案,並啟動對電子郵件的掃描。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以透過封鎖所有相關惡意網址並防止惡意檔案被下載或執行來保護使用者。

 

@原文出處:More Malware Embedded in RTFs作者:Jeffrey Bernardino(威脅研究員)

 

認識電腦病毒:什麼是木馬(Trojan)?遠端存取木馬(RAT)?

 為什麼到處都是木馬,我要如何阻止他們?

想要在網路上保持安全、不受傷害可能是個艱難的任務。網絡上有許多很棒的東西,不過同樣地,對初學者來說也可能是個地雷區,充斥著網路釣魚(Phishing)詐騙、垃圾郵件(SPAM)和惡意軟體。

在資訊安全產業中,我們可能難以避免地去使用一些難懂的術語。你可能已經在一些新聞報導裡聽過木馬程式,如果他們詳細的介紹網路攻擊。因此,讓我們用白話來介紹,來看看最常見的威脅之一:木馬(Trojan)。

所以它跟蠕蟲(Worm)一樣嗎?或病毒(Virus)?嗯,不完全是

他們都是惡意軟體的一種,或說是惡意程式。但是和病毒或蠕蟲不同,木馬並不進行自我複製。簡單的說,它們是偽裝成無害軟體的惡意程式,這個詞源自於經典的特洛伊戰爭故事,一群希臘士兵藏在一個巨大的木馬以進入特洛伊城,然後跳出來大肆攻擊敵人。

而在電腦世界裡,木馬是種惡意軟體,透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後,惡意軟體就可以做各種壞事了。

什麼是遠端存取木馬(RAT)?

有些木馬程式被稱為遠端存取木馬(RAT),設計用來遠端操縱使用者的電腦,讓駭客可以完全控制。有些則可能有不同的目的,像是竊取個人資料,側錄鍵盤,甚至將受害者電腦作為殭屍網路/傀儡網路 Botnet的一部分。

P2P和社群媒體攻擊

不幸的是,木馬攻擊已經變得越來越普遍。在網路上就可以買到工具包,像是黑洞漏洞攻擊包(Blackhole Exploit Kit),讓壞蛋們只需要具備有限的技術能力,就可以幫他們把製造和發動惡意軟體最難的部份做掉。通常木馬會偽裝成看似正常的檔案夾帶在不請自來的電子郵件中,不然就是被隱藏在被入侵的一般網站上,或偽裝成一般檔案放在P2P網站,甚至潛伏在社群網站上的連結裡。

繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線,就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取,那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站 如 FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣,網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具,內含了一個密碼還原程式,可有效蒐集使用者的登入帳號密碼,即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料,此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼,使用的是類似「PasswordFox」的工具。

過去,趨勢科技已發現多個專門竊取資料的惡意程式,包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似,但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊,然後儲存在一個名為 {電腦名稱}.txt  的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式,PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料,這是一個專為 FireFox 瀏覽器設計的程式,叫做「PasswordFox」。

 

PASSTEAL 一旦蒐集到資料,就會執行命令列指令程式的「/sxml」選項,將竊取到的帳號密碼儲存成 .XML 檔案,然後再將它轉成 .TXT 檔案。接著,PASSTEAL 會連線至遠端 FTP 伺服器,將蒐集到的資訊上傳。

事實上,此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括:FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行。 繼續閱讀

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

最近似乎出現了一種新形態的資料竊取:趨勢科技發現了一個專門從感染裝置上竊取影像檔案的惡意程式TSPY_PIXSTEAL.A,此間諜木馬會將檔案傳送至某個遠端 FTP 伺服器。

TSPY_PIXSTEAL.A會開啟一個隱藏的指令列視窗,然後複製所有的 .JPG.JPEG.DMP 檔案。前二種檔案 (.JPG.JPEG) 是一般常用的影像格式,而 .DMP 檔案則是系統的記憶體傾印檔,內含某次系統當機時的記憶體內容。

下圖顯示 TSPY_PIXSTEAL.A 將感染電腦 C、D、E 磁碟上的影像檔案複製到 C:\ 。

APT 威脅攻擊
TSPY_PIXSTEAL.A 將感染電腦 C、D、E 磁碟上的影像檔案複製到 C:\
<apt 威脅/攻擊 >複製完成之後,木馬會連線至某個 FTP 伺服器,並且將前 20,000 個檔案上傳至該伺服器
複製完成之後,木馬會連線至某個 FTP 伺服器,並且將前 20,000 個檔案上傳至該伺服器

複製完成之後,它就會連線至某個 FTP 伺服器,並且將前 20,000 個檔案上傳至該伺服器。這樣的作法儘管看起來費力,但如果歹徒成功竊取到有用的資訊,其報酬將相當可觀。一直以來,資訊竊盜的形態大多侷限於文字,因此這個惡意程式對使用者來說,是一項新的風險。因為使用者通常也會用照片來保存資訊,不論是個人或工作相關資訊,這使得資訊外洩的風險變得很高。歹徒蒐集到的相片可用於身分詐騙、恐嚇,甚至用於未來鎖定目標攻擊,對鎖定機構展開APT進階持續性威脅 (Advanced Persistent Threat, APT)繼續閱讀

有合法Adobe憑證的惡意工具

程式碼簽章可以讓使用者確認軟體並沒有被惡意篡改過。但如果有惡意程式會利用一個合法的數位憑證會怎樣?

 

9月底,Adobe公司發布通告警告使用者有惡意工具含有合法的Adobe數位憑證。根據這份通告,他們目前正在調查使用合法Adobe數位憑證的工具程式。想要立即解決這被誤用的問題,這家軟體廠商預計要在10月4日撤銷所有在2012年7月10日後簽章程式碼的數位憑證。

 

趨勢科技的研究人員已經收集並分析這些工具程式。我們將其偵測為:

 

 

根據我們的分析,HTKL_PWDUMP是一個已知的工具程式,會從檔案系統內的二進位檔案 – SAM和SYSTEM提取雜湊值,可能會在未經授權下取得Windows密碼。而TROJ_AGENT.MGSM則會將網頁伺服器上的流量重新導向。

 

被誤用的憑證成為有效的社交工程陷阱( Social Engineering)攻擊工具

 

被惡意軟體使用有效憑證的真正風險是攻擊者可以將它用在社交工程陷阱( Social Engineering)攻擊中。因為數位簽章是用來向使用者保證程式本身是合法而未經修改的,使用者很可能會誤信這些憑證而去執行惡意程式。被誤用的數位憑證也出現在一些目標攻擊中。你可能還會記得,針對伊朗和其他預定目標的FLAME攻擊所用的特定組件中,就被發現有用到微軟發出的憑證。

 

Adobe澄清說這問題不會影響到使用正版Adobe軟體的系統,目前也尚未對一般消費者造成安全問題。但是少數使用者,尤其是IT管理員,可能需要進行一些預防措施。要了解更多關於Adobe的行動和通告,可以參考Adobe的部落格文章

 

趨勢科技主動式雲端截毒服務  Smart Protection Network可以偵測並刪除這些工具程式,保護使用者免於此威脅。

 

 

@原文出處:Trend Micro Detects Reported Malicious Utilities with Adobe Certificates

作者:Gelo Abendan
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎即刻加入趨勢科技社群網站,精彩不漏網