< APT 攻擊 >透過自動啟動機制,攻擊者在一亞洲政府內部取得立足點

一個亞洲的政府單位陷入了危機,因為攻擊者針對了他們網路內部的伺服器。這起攻擊顯示出對方對單位內部網路架構、使用工具和軟體的熟悉及深入的了解,能夠存取他們的目標伺服器並安裝惡意軟體。之後,他們不只將入侵的伺服器作為其網路的閘道,也用來做為C&C伺服器。這起攻擊從2014年以來就一直持續活躍著。

攻擊者試圖修改安裝在伺服器上的應用程式將讓自己在網路內繼續存在。上述應用程式的某些檔案(通常是作業用軟體、安全軟體和系統工具)被篡改以載入惡意DLL檔案。這些應用程式被篡改的共同點是會在系統啟動時自動執行。這說明了應用程式被修改以確保所安裝的惡意軟體會在伺服器每次啟動時執行。

APT

伺服器是首要目標

我們的調查顯示有五個應用程式被攻擊者修改:

 

  • Citrix XenApp的IMA安全服務(exe
  • EMC的NetWorker(exe
  • HP系統管理主頁(exe
  • IBM BigFix客戶端(exe
  • VMware工具(exe

 

根據我們的監測,攻擊者一開始攻擊了兩個伺服器,然後在網路中繼續移動以尋找更多目標。這一直進行到2015年初,影響了更多的伺服器。一些受影響的電腦是網路管理伺服器,這代表它們能夠存取子網路內所有的系統。我們沒有發現攻擊者是如何去利用對網路這樣等級的存取能力,但我們認為他們會用此權限來維持其在網路中的存在及竊取資料。

 

使用目標的環境來對付目標

攻擊者能夠識別安裝在伺服器的應用程式並加以修改以執行惡意程式碼。目標應用程式的導入表被修改以載入一個惡意DLL(DLL的名稱各不相同以符合目標應用程式)。當修改過的應用程式執行時就會載入惡意DLL。

 

圖1、修改導入表來鏈結惡意DLL(以藍色顯示)

原始版本和修改後版本間幾乎沒有差異,因為它們甚至連檔案大小都完全一樣。然而有個很明顯的差別,如果檔案有簽章過,也就是我們所分析五個檔案中的其中四個的狀況。因為修改會讓檔案簽章變成無效,攻擊者將簽章從修改過的版本移除。下圖在左邊顯示原本的BESClient.exe,在右邊是修改後的版本。

圖2和圖3、原始檔案和修改過檔案的屬性

 

如前所述,BESClient.exe被修改以載入libBEScrypto_1_0_0_6.dll,這個DLL檔案是惡意軟體載入器,會接著去解密和重新命名檔案(其名稱和資料夾也符合修改過的應用程式)。在這起案例中,位在C:\Program Files (x86)\BigFix Enterprise\BES Client\BESInfo.dat會被解密並重新命名成%Temp%\mesnt.exe,惡意軟體載入器將執行mesnt.exe

一旦mesnt.exe被執行,它會建立一個帶有暫停旗標的新svchost.exe程序,它可以讓惡意程式碼執行。Mesnt.exe接著會被刪除,現在取消暫停svchost.exe程序連回指定的命令和控制(C&C)伺服器(也位在目標網路中)。正如前面所提到,這顯示了攻擊者收集了多少目標情報。使用一個內部IP地址可以確保其活動不會被視為惡意,而被視為正常的網路活動。

圖4、內部IP作為惡意軟體的C&C

 

我們還發現攻擊者試圖刪除其後門程式,移除惡意DLL以回復他們對應用程式所作的變動以抹去自己的痕跡。這可能是因為攻擊者能夠偵測到環境已被監視,或是他們已經要停止資料收集活動。無論如何,我們會繼續監測是否有任何發展。

 

需要更好的警示能力

熟悉目標環境讓攻擊者有更多機會去融入其中,並隱匿自己以進行監控。攻擊者在這起攻擊中所取得的存取權限等級顯示出他們能夠多深入網路,及這層級的存取權限可以如何被用來確保攻擊者的活動不被偵測。

因此,組織能夠更加敏銳地監測網路可疑行為是非常重要的,不管是一個檔案被一已知程式啟動,或是網路內部的網路連線。

趨勢科技的客製化防禦解決方案可以保護組織免於此類攻擊。它提供深入的脈絡分析和見解,可以幫助IT管理者正確地識別網路內的可疑行為,比方說在這次攻擊中對伺服器的存取。

組織可以在網路內啟用趨勢科技Endpoint Application Control以偵測對應用程式所作的變動,並防止它們被執行。

更多關於APT攻擊的資訊可以參考我們的年度APT攻擊報告

下表提供此次攻擊內相關檔案的資訊:

 

檔案名稱SHA1敘述偵測名稱
IMAAdvanceSrv.exed955d7a581cc8f1d428a
282683351b9ec3c119d1
(Citrix) 修改過的執行檔PTCH_POISON.ZTCC-A
imaInst.dllab85f8bdd369f2fa3089
f39588a2cb11884640f7
(Citrix) 惡意程式載入器BKDR_POISON.ZTCC-A
imaUpd.dat57ec4f26e77521198483
c2b4bfd569f634a2c248
(Citrix) 加密過的後門程式BKDR_POISON.ZTCC-A
nsrexecd.exe842a9402714bd0d8838b
7d4b20575c6d7a85b6d6
(EMC) 修改過的執行檔PTCH64_POISON.ZTCB-B
nsrinit.dlld460baf807076ab95290
229bade2be1addeea9cd
(EMC) 惡意程式載入器BKDR_POISON.ZTCB-B
libuni.jara257bc3c6f05e59ef319
c46e30e7e009c125408f
(EMC) 加密過的後門程式BKDR_POISON.ZTCB-B
BESClient.exec5bc692ceb22dd8c6e49
3e93cee62a4cbe4232e4
(IBM) 修改過的執行檔BKDR_POISON.TUFM
libBEScrypto_1_0_0_6.dll3b6e637504d535f30745
959eeefa63d11a622a72
(IBM) 惡意程式載入器BKDR_POISON.TUFM
BESInfo.dat7f40deb2875543008462
7c024a46275a059ad835
(IBM) 加密過的後門程式TROJ_AGENT.GLI
vmtoolsd.exe1b0c561d5fe78168cc34
e9de64824b04df895688
(VMWare) 修改過的執行檔PTCH64_POISON.ZTCB-A
VmUpgrade.dll1822b8d10ebb5a363755
7fa5e42284c7bf794f36
(VMWare) 惡意程式載入器BKDR_POISON.ZTCB-A
VMwareRes.pkg65bd14bf85d26ecd7cec
4c7dc7aaad15df268f0a
(VMWare) 加密過的後門程式rBKDR_POISON.ZTCB-A

 

 

@原文出處:Attack Gains Foothold Against East Asian Government Through “Auto Start” 作者:Dove Chiu(威脅研究員)

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇<strong>接收通知</strong>和<strong>新增到興趣主題清單</strong>,重要通知與好康不漏接