趨勢科技 之前討論了「破壞性」美國聯邦調查局安全通報和關於WIPALL惡意軟體家族的分析及其對索尼影視(Sony Pictures)大規模駭客攻擊的直接關聯。
在此篇文章中,我們將進一步討論其他 WIPALL惡意軟體變種和它們與索尼影視(Sony Pictures)員工受感染電腦內所見#GOP警告相關的主要行為。下面是對此文章所要討論感染鏈的概述:
BKDR64_WIPALL.F停用McAfee服務
WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數(-a、-m、-d、-s)執行數個自身複本,其中包含其主要行為。
圖1、BKDR_WIPALL.C的主要惡意軟體行為
趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。
美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。
下面是趨勢科技的調查分析結果:
BKDR_WIPALL惡意軟體分析
我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。
這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:
圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼
這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。
圖2、惡意軟體登入到網路的程式碼片段 繼續閱讀
處理攻擊、入侵和資料竊取問題是目前許多組織要面對的工作之一。這類威脅就像是組織固定會面對的問題,而不正確防禦策略所帶來的後果將會很快地顯現出來。
索尼影視(Sony Pictures)最近的攻擊事件突顯出這個問題。在11月下旬,該公司企業網路被自稱為和平守護者(#GoP)的團體所入侵。一張首先發表在Reddit的圖檔表示此圖被秀在每一位員工的電腦上,帶來駭客們的訊息,要求他們的「需求需要得到滿足」。
駭客聲稱他們擁有數個包含機密員工資料的ZIP檔案,包括姓名、個人檔案、薪資和生日。其他據稱被竊的資料是主演索尼影視(Sony Pictures)電影明星的個人資料。
五部尚未發表的完整長度影片也被洩露到各個檔案分享網站。
索尼影視(Sony Pictures)對此事件的反應也值得強調。對於這類高層級攻擊的典型反應是要讓組織可以適當地調查現有攻擊並將對組織的日常運作影響減至最低。然而,現有關於此次攻擊的報告顯示他們的反應是禁用整個企業網路。不僅嚴重地影響日常營運,也讓調查任何攻擊變得更加困難。
一般來說,攻擊企業網路被認為是對竊取金錢或資訊有興趣。這次攻擊提醒了IT管理員某些攻擊主要是被設計來破壞目標組織的運作 – 實際上,就是駭客主義的呈現。組織必須考慮到這一點並相對應地來保護自己的網路。
@原文出處:Sony Pictures Corporate Network Hit by Major Attack: Why You Need to Stay Ahead of Targeted Attacks
對索尼被攻擊事件的報導隨著我們看到更多發展而繼續下去。這裡是跟此事件有關的文章列表:
趨勢科技最近發現 ROVNIX 惡意軟體家族能夠透過巨集下載器來散播。這種惡意伎倆之前在DRIDEX惡意軟體上見到,它以使用相同招數著稱。DRIDEX同時也是CRIDEX銀行惡意軟體的後繼者。
雖然感染方式相當古老,網路犯罪分子了解使用惡意巨集也能夠達到想要的目的 – 甚至可以對抗複雜的防禦措施。
ROVNIX惡意軟體行為
根據趨勢科技的分析,ROVNIX會將 rootkit 驅動程式寫入 NTFS 磁碟機未分割的空間。這可以有效地隱藏該驅動程式,因為這個未分割空間不會被作業系統和安全產品所看到。
為了載入惡意驅動程式,ROVNIX會修改IPL的內容。這程式碼被修改以讓惡意rootkit驅動程式在作業系統前被載入。這做法主要有兩個目的:逃避偵測,並且在Windows 7及之後的版本載入未簽章過的驅動程式。
ROXNIX感染鏈
在此攻擊中,惡意文件包含一個社交工程誘餌,特製成來自微軟Office的假通知來指示使用者啟用巨集設定。
圖1、帶有惡意巨集文件的螢幕截圖
啟用巨集會去執行惡意巨集程式碼,被偵測為W97M_DLOADER.AI。這個惡意巨集和之前CRIDEX所用的不同之處在於ROXNIX有加上密碼保護。這讓分析此惡意軟體變得困難,因為沒有密碼或特殊工具就無法檢視或打開巨集。
圖2、惡意巨集ROVNIX需要密碼
圖3、該腳本的程式碼片段
這個惡意軟體腳本使用簡單的字串拼接和多個變數替換,企圖混淆程式碼以躲避防毒偵測。當巨集被執行,會植入三個不同類型的隱藏腳本,包括一個Windows PowerShell腳本。這策略意味著網路犯罪分子會去針對Windows 7,開始預設安裝了Windows PowerShell。
圖4、W97M_DLOADER.AI植入的檔案
名為adobeacd-update.bat的腳本會執行adobeacd-update.vbs(VBS_POWRUN.KG),提升使用者權限,然後再執行另一個名為adobeacd-update.ps1(TROJ_POWDLOD.GN)的腳本。TROJ_POWDLOD.GN接著會從http//185[.]14[.]31[.]9/work.exe下載並執行TROJ_ROVNIX.NGT,這是一個ROVNIX載入器。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,德國出現了最多使用者有著受感染系統。
表1、2014年11月6日到2014年11月18日最受影響的國家
結論
ROVNIX對使用者和企業都會造成危險,因為除了其後門能力外,它還可以竊取密碼和記錄按鍵資訊。這種攻擊可能被用在資料入侵外洩上,因為資料竊取是其主要行為。此外,這攻擊突顯出有更多惡意軟體可能會去利用巨集文件來濫用PowerShell以散播其惡意程式。不過要注意的是,在此次攻擊中,PowerShell功能並未被濫用。
使用者可以輕易地將其巨集設定設到最大安全性以保護其系統。如果檢視文件需要用到這功能,請確保檔案來自可信任的來源。趨勢科技透過主動式雲端截毒技術來偵測惡意檔案以保護使用者免受此威脅。
相關雜湊值如下:
@原文出處:ROVNIX Infects Systems with Password-Protected Macros作者:Joie Salvio(趨勢科技威脅回應工程師)
八種駭客用來竊取企業資料的後門程式技巧
後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。
當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。
下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)
延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門
為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:
若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。
若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。
通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。