針對西藏運動的攻擊活動利用混合惡意軟體
在趨勢科技部落格之前的文章裡,我們提到了混合惡意軟體的出現,這種惡意軟體會經由另一個檔案型病毒感染而進入系統。所以實際上會有兩種不同的惡意軟體家族在受感染電腦上執行。在這種情況下,攻擊者能夠透過一次執行就產生兩種不同的行為,最大限度地去增加被感染的電腦。
這種作法在趨勢科技最近監測利用藏族運動的惡意軟體攻擊活動裡又再度出現了。它是種後門程式 – BKDR_RILER.SVR,會經由PE_SALITY.AC感染而被帶入系統。
在Windows系統上,這種感染從垃圾郵件(SPAM)開始,內容是提供藏文輸入法(Tibetan Input Method)給Apple iOS 4.2。
這封電子郵件會誘使收件者打開兩個附加檔案:
- 一個檔名為「Tibetan Input Method for Apple iOS 4.2 devices (iPhone, iPad, iPod touch).doc」的RTF檔案
- 一個壓縮檔裡有著檔名為「Tibetan Input Method for Apple iOS 4.2 devices (iPhone, iPad, iPod touch).exe」 的執行檔。
這些附件檔其實是同一個RTF檔案(偵測為TROJ_ARTIEF.EDX),會攻擊漏洞CVE-2010-3333來植入經由PE_SALITY.AC感染的後門程式BKDR_RILER.SV到使用者的暫存目錄。這個惡意RTF檔案也會產生並執行一個作為煙幕彈的DOC檔案 – document.doc來掩飾他們的惡意行為。這個DOC檔案包含以下內容:
BKDR_RILER.SVR和PE_SALITY.AC的最終目的是在中毒電腦上打開一道後門。讓受感染電腦可以被RILER和SALITY的幕後黑手來遠端控制。
新的攻擊,舊的伎倆
RILER和SALITY並不是什麼新的惡意軟體。但是,看到它們可以合在一起出現,混合式執行,並且利用情境式攻擊,充分表現出現今的惡意軟體攻擊是有多麼的多樣化。通常我們會看到垃圾郵件夾帶有漏洞攻擊碼的文件,然後一次植入一個惡意軟體。但在這次攻擊活動裡,我們看到攻擊者了開始最大限度地利用這載體來散播惡意軟體,透過之前的混合式感染方式來植入多種惡意軟體。這不僅僅是因為混合式攻擊本身的好處,這也可以幫他們避開要進一步安裝其他惡意軟體所面對的問題(封鎖惡意軟體下載網站,防毒軟體偵測等等)。
雖然這是惡意軟體和防毒技術間貓捉老鼠的競爭追逐,這種攻擊也提醒了我們,監測攻擊趨勢包括新舊招數,是對抗攻擊的重要因素。如果能夠了解攻擊手法在前端是如何變化,以及整個使用的伎倆,資安團體就可以更好地保護他們的使用者。
趨勢科技的使用者不必擔心此一威脅,趨勢科技主動式雲端截毒服務 Smart Protection Network可以偵測並移除 所有相關的惡意軟體,趨勢科技保護實體、虛擬與雲端伺服器免受惡意攻擊的 Deep Security可以透過規則1004498來偵測這威脅所利用的漏洞 – Microsoft Office RTF文件堆疊緩衝區溢位漏洞(Word RTF File Parsing Stack Buffer Overflow vulnerability)以保護使用者。
@原文出處:Tibetan-themed Campaign Pushes Hybridized Malware作者:Roland Dela Paz (威脅反應工程師)
認識 APT
什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。
以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。
@延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位
《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰
<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動
《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統
《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件