監視網路流量是IT管理員用來判斷網路內是否有進行中之APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的方法之一。遠端存取工具(或稱RAT)常見於針對性攻擊活動,用來建立指揮與控制(C&C)通訊。儘管這些遠端存取工具(如Gh0st、PoisonIvy、Hupigon和PlugX等等)都有已知的網路特徵且可被偵測,惡意份子還是能夠有效地將這些工具用在針對性攻擊中。
趨勢科技在五月發現攻擊台灣政府機構的APT攻擊。在此波攻擊中,惡意份子所用的PlugX遠端存取工具會利用Dropbox來下載C&C設定。Dropbox被濫用就非新聞,之前就有攻擊利用此一平台來放置惡意軟體。然而,在我們所分析過的APT攻擊裡,還是第一次看到利用Dropbox來更新C&C設定。
在過去幾周內,趨勢科技報導過其他威脅(像是Cryptolocker和UPATRE)會利用此公共儲存平台以擴散惡意活動。我們所取得的樣品由趨勢科技偵測為BKDR_PLUGX.ZTBF-A和TROJ_PLUGX.ZTBF-A。
當BKDR_PLUGX.ZTBF-A被執行,它會執行各種來自遠端使用者的指令,包括記錄按鍵、進行端口映射、遠端Shell等,進而導致後續的攻擊階段。在一般情況下,遠端shell讓攻擊者可以在受感染系統上執行任何指令以破壞安全防護。
這後門程式也會連到特定網址以取得其C&C設定。使用Dropbox有助於在網路中掩蓋其惡意流量,因為這是個用來儲存檔案和文件的正常網站。我們也發現這惡意軟體有個觸發日期為2014年5月5日,代表它從該日開始運行。可能這樣做也可以讓使用者不會馬上懷疑其系統上有任何惡意活動。
這是個第二型的PlugX變種,具備第一型之後的新功能和修改。其中一個改變是使用「XV」作為標頭,而非之前的MZ/PE標頭。這可能是種反鑑識技術,因為它一開始載入「XV」所以二進位檔不會運行,除非XV換成MZ/PE。此外,它還具備來自攻擊者的認證碼,在此案例中是20140513。不過,PlugX的一個共同特點是用普通應用程式載入惡意DLL的預載技術。這惡意DLL接著會載入包含主要行為的加密組件。此外,它會攻擊某些防毒產品。
工具箱:深入到網路
根據趨勢科技的研究結果,此次攻擊相關的C&C伺服器如下:
- 98[.]126[.]24[.]12
- 173[.]208[.]206[.]172
- imm[.]heritageblog[.]org
- bakup[.]firefox-sync[.]com
- immi[.]firefox-sync[.]com
我們深入調查了98[.]126[.]24[.]12,發現它似乎和Krypt Technologies/Krypt Keeper有關,同時173[.]208[.]206[.]172會連到應該為Zhou Pizhong所有的WholeSale Internet。檢查了imm.heritageblog.org的Whois資料後,主網域heritageblog.org是註冊在Whois Privacy Protection Service, Inc。目的是要隱藏其網域的註冊資訊。
跟利用Dropbox的原因類似,惡意份子也想誘騙使用者認為網域firefox-sync.com是個正常網站,因為看起來就跟「FireFox Sync」有關。此外,此主要網域(firefox-sync)用一個Gmail郵件地址註冊。PassiveDNS的資料顯示firefox-sync.com有個記錄對應到IP 0.0.0.0。「IP 0.0.0.0」是特別的保留地址,通常指定給本地網路中的未知對象。攻擊者可能將它作為備用網域,需要的時候再將其啟用。
一旦建立C&C通訊,惡意份子會借助惡意和合法工具來在網路內進行橫向移動以避免被追蹤和偵測。關於此次攻擊,我們所發現到一些工具是:
- 密碼回復工具
- 遠端管理工具
- 代理伺服程式
- 網路工具
- 端口掃描程式
- Htran工具
密碼回復工具可以用來從登錄表和本地磁碟提取儲存在應用程式和作業系統的密碼。透過被稱為雜湊值注入(Pass-the-hash)的技術,惡意份子可以取得管理員權限或較高權限來存取特定網路,以找到機密檔案或公司的關鍵資料。
Htran工具可以重導TCP流量到不同國家轉連線以混淆攻擊者來源IP。這樣做可以讓IT管理員無法輕易地追蹤惡意份子的IP,也就能在長久隱藏在網路內。
為什麼威脅情報很重要
我們在2012年就已經報導過PlugX,這是個早在2008年就被數個針對性攻擊活動所使用的客製化遠端存取工具。在我們的研究結果裡,我們提到一特定PlugX變種攻擊韓國公司和美國工程公司。
更多關於PlugX的各種安全事件資訊,可以參考下列文章:
- 新的Adobe Flash Player零時差漏洞帶來PlugX
- 新一波PlugX針對合法應用程式
- 解密PlugX功能
- < 病毒警訊 > 播放軟體 KMPlayer更新機制異常,原來是BKDR_PLUGX 後門程式在搞鬼
- PlugX:客製化的遠端存取工具, 針對臺灣在內特定目標發動 APT 攻擊
- 八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)
雖然第一型和第二型PlugX的功能有差異,但其特定技術和入侵指標(IOC)的相似之處可以幫助減輕其對機密資料造成的危險。可以透過威脅情報偵測使用PlugX的針對性攻擊活動。公開可用的入侵指標(IOC)資訊可以用來判斷企業是否遭受到針對性攻擊。可能與他們的安全解決方案協同合作,進而打破攻擊週期及可能從目標企業或大型組織的資料滲出。
趨勢科技透過Deep Discovery來保護使用者和企業對抗此針對性攻擊,它會識別橫跨攻擊順序各個階段的惡意內容、通訊和行為。
要注意我們並沒有在研究調查中找到任何Dropbox的漏洞,其他類似的雲端應用程式也可以被拿來做相同用途。Dropbox在本文發表時已經被告知此一事件。
關於各種針對性攻擊及企業最佳實作的更多詳細資訊,可以參考我們的針對性攻擊威脅情報資源。
更新於2014年6月30日
Dropbox已經刪除與此攻擊有關的檔案。
@原文出處:PlugX RAT With “Time Bomb” Abuses Dropbox for Command-and-Control Settings作者:Maersk Menrige(威脅分析師)