資訊竊取檔案感染程式,鎖定教育、金融和製造業

趨勢科技注意到惡意軟體 URSNIF 突然出現了感染高峰。URSNIF家族已知會竊取資料(比如:密碼)。一般間諜軟體總會被認為具備有高風險,但這些 URSNIF 變種可能會帶來資料竊取以外的損害。因為這些變種是檔案感染病毒 – 這是出現偵測數量激增的原因。

 

網路安全 密碼 個資 資料外洩

感染資料

根據趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料,受影響最嚴重的國家是美國和英國。這兩個國家佔了全部URSNIF變種感染數量的近75%。加拿大和土耳其則是受影響次嚴重的國家。

圖1、受到URSNIF影響的國家,根據收集至2014年12月的資料

 

其他反饋資料顯示教育、金融和製造業是最受影響的產業。

URSNIF,檔案感染程式

正常的PE感染程式會用寄主檔案來執行其程式碼,或在執行寄主檔案程式前先執行自己的程式碼。會利用cavity、appending、pre-pending或進入點混淆等技術來插入惡意程式碼到寄主檔案。不過PE_URSNIF .A-O的 URSNIF變種似乎會將寄主檔案插入其資源區段。

圖2、嵌入URSNIF資源區段內的PDF

它會感染所有卸除式磁碟機和網路磁碟機內的PDF、EXE和MSI檔案。URSNIF會將找到的檔案打包嵌入其資源區段。當這些受感染檔案被執行時,會將原始檔丟入%User Temp%(~{隨機}.tmp.pdf、 ~{隨機}.tmp.exe然後加以執行,以欺騙使用者認為打開的檔案沒有問題。

圖3、視覺化呈現PDF、EXE和MSI檔案的感染鏈

 

刪除原本的PDF檔案後,它將建立一個根原本PDF檔名一樣的EXE檔。至於MSI和EXE檔,它會將自己的程式碼插入目前的可執行檔。它只會感染檔名內有「setup」的EXE檔。

 

圖4、受感染(上方)和乾淨(下方)PDF檔的區別。受感染檔案是3.18MB,而乾淨檔案是2.89MB

對於MSI檔,會在執行其惡意程式碼前先執行原本的檔案。至於PDF和EXE檔,會產生植入型的木馬程式,其會植入並執行原始檔案和主檔案感染程式。

延伸惡意行為

惡意軟體家族URSNIF被認為是個間諜軟體。變種可以掛勾常見瀏覽器(Internet Explorer、Google Chrome、Firefox)相關的網路API來監視網路流量。它也已知會收集資料。不過,已知間諜軟體家族現在包含檔案感染行為這事實顯示網路犯罪分子會調整既有的惡意軟體,延伸其惡意行為。

延伸到檔案感染可以視為是一種戰略。不同的檔案感染模式(例如appending)需要安全解決方案不同的偵測方式;並非所有的解決方案都可以加以偵測。此一惡意軟體另一個顯著特點是它會在執行30分鐘後開始其感染行為。這可以視為是種反沙箱技術,因為大多數沙箱工具僅會監視惡意軟體二到五分鐘左右。

對策

使用者要小心保護自己的設備免受威脅所害,包括URSNIF。注意小細節是有幫助的,就如同我們上面所看到的PDF檔案比較。

因為這變種可以透過卸除式磁碟機和網路分享散播,使用者必須進行額外的安全措施。使用者不要將卸除式磁碟機插入未知電腦或不受安全解決方案防護的電腦。IT管理員也要正確地配置網路分享。例如,電腦不應該可以隨意地存取內部網路。也可以將網路存取設定為唯讀,而非可讀寫。

使用者也要使用可以不斷地跟上威脅變化的安全解決方案。URSNIF變種通常會透過垃圾郵件和木馬植入/下載惡意軟體抵達。使用者需要全面性的安全解決方案,不僅是可以偵測和封鎖惡意軟體。像電子郵件信譽評比服務等功能可以偵測和封鎖垃圾郵件與其他電子郵件相關威脅來大大地提高電腦安全性。

趨勢科技將受感染的PDF和EXE檔偵測為PE_URSNIF.A2。受感染的MSI檔偵測為PE_URSNIF.A1

 

相關檔案的雜湊值:

  • dd7d3b9ea965af9be6995e823ed863be5f3660e5
  • 44B7A1555D6EF109555CCE88F2A954CAFE56B0B4
  • EFC5C6DCDFC189742A08B25D8842074C16D44951
  • FD3EB9A01B209572F903981675F9CF9402181CA1

 

@原文出處:Info-Stealing File Infector Hits US, UK作者:RonJay Caragay(威脅回應工程師)