針對性目標攻擊 (Targeted attack ):Shadow Force 挾持 DLL 程式庫攻擊南韓媒體

生意人怎麼會對新聞媒體會有興趣?這是我們最近在調查一樁南韓媒體遭到針對性目標攻擊(Targeted attack )攻擊的案例時心中的疑惑。

Shadow Force 是一個新的後門程式,它會取代某個 Windows 系統服務所呼叫的 DLL 程式庫。此後門程式一旦進入系統,駭客就能利用其他工具進一步製造更多安全漏洞或是造成損害。趨勢科技在今年五月份的一篇部落格文章當中已討論過這類後門程式攻擊。

攻擊開始時機

這項攻擊展開的時機是在 Windows 作業系統啟動 Microsoft Distributed Transaction Coordinator (Microsoft 分散式交易協調器,簡稱 MSDTC) 服務的時候,此服務在作業系統中負責協調橫跨多個資源管理程式 (如:資料庫、訊息佇列、檔案系統) 之間的作業。若目標電腦已加入網域,當 MSDTC 服務啟動時就會檢查系統登錄中是否有設定其相關程式庫 (DLL)。

圖 1:MSDTC 服務的外掛 DLL 程式庫。

更確切一點,MSDTC 服務當中的 MTxOCI 元件會透過系統登錄來找尋三個 DLL 程式庫:oci.dllSQLLib80.dllxa80.dll。一般來說,電腦上通常不會有 oci.dll,但此處駭客故意製作了一個後門程式並將它取名為「oci.dll」,然後放在系統資料夾「%SystemRoot%\system32\」當中。一旦將 oci.dll 放到適當位置之後,駭客就會利用一道遠端指令來終止 MSDTC 服務 (taskkill /im msdtc.exe /f),讓 MSDTC 自行重新啟動。但這一次,當該服務啟動時,就會找到駭客所放置的 oci.dll。而當服務呼叫這個 DLL 時,就會啟動 Shadow Force。

圖 2:用來終止 MSDTC 服務的指令,可造成該服務重新啟動。

這項簡單的技巧可輕易躲過一些鑑識分析工具的掃描,如:autorun.exe,因此變得更難即時偵測及矯正。

Shadow Force 分析

Shadow Force 有多種變體,具備 DLL 和 EXE 兩種格式,同時還有 32 或 64 位元的分別。其所使用的變體取決於一個叫做 installe.exe 的檔案,這是用來下載 Shadow Force 到電腦上安裝的程式。當 install.exe 在 32 位元模式下執行時,就會下載 SuperBot.exe,當它在 64 位元模式下執行時,就會下載 SuperBotx64.exe

圖 3:Shadow Force 的 install.exe 下載程式內部的字串。

就 SuperBot.exe 為例,這是一個 EXE 格式的 Shadow Force 版本,它會像一般的 IRC 殭屍程式一樣連線至幕後操縱 (C&C) 伺服器 (irc[.]itembuy[.]org)。

圖 4:32 位元 Shadow Force EXE 版本檔案中的版本字樣。

DLL 版的 Shadow Force 則採用另一種攻擊型態。它不會連上 C&C 伺服器,而是藉由使用既有連接埠的技巧來下載和安裝一個 npf.sys 檔案。這個 npf.sys 檔案 (由 Shadow Force 所下載,為其功能的一部分) 來自一個叫做 Wireshark 的知名開放原始碼專案,這是一個很有名的網路通訊協定分析器。這表示 npf.sys 含有正常的簽章,而且可載入 Windows 當中,用來擷取網路封包。連線到 Shadow Force 需要一個特殊格式的密碼。


圖 5:藉由使用既有連接埠,駭客就能和其他合法使用者一樣經由防火牆及用戶端已開放的連接埠來連入企業。

一旦駭客取得某用戶端系統的控制權,就算網路已架設了防護,歹徒還是有一些工具 (如:fileh.exelatinfect.exeaio.exe)可以用來攻擊系統、網路等等的漏洞。如需有關這些工具的更多資訊以及此攻擊背後可能的駭客,請參閱這份技術簡介

趨勢科技的客製化防禦客製化防護解決方案可防範企業遭到這類後門程式攻擊。這套解決方案提供了深入的環境分析與資訊,能協助 IT 系統管理員正確判斷個別電腦或網路上的可疑行為,例如電腦或伺服器出現異常存取。

原文出處:Shadow Force Uses DLL Hijacking, Targets South Korean Company)   |    作者:Dove Chiu (威脅研究員)

 

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載