Skip to main content

「Shrouded Crossbow」攻擊行動的駭客開發出UNIX 平台的 BIFROSE 惡意程式

趨勢科技最近遇到了一個針對 UNIX 以及「類 UNIX」系統所開發的 BIFROSE 惡意程式變種。這是由 Shrouded Crossbow (暗弩) 攻擊行動背後的同一批駭客所為,這批駭客同時也開發了 KIVARS 和 KIVARS x64 等其他 BIFROSE 變種。以 UNIX 為基礎的作業系統一般都出現在伺服器及工作站,但也出現在行動裝置。由於這些伺服器及裝置通常含有相當機密的資料,因此 UNIX 版本的 BIFROSE 可說是一項嚴重威脅。

技術實力

Shrouded Crossbow 幕後的犯罪集團一直在持續更新 BIFROSE 惡意程式來配合其攻擊行動。有些受害者甚至同時感染了 Windows 和 UNIX 兩種版本的 BIFROSE。過去,Shrouded Crossbow 曾利用 BIFROSE 來攻擊民營企業、政府機關以及政府外包商,也曾攻擊消費性電子、電腦、醫療、金融等產業。

Shrouded Crossbow 對 BIFROSE 的持續更新
2004 年 ksv 開發了 BIFROSE 木馬程式

可感染 Windows 95 至 Windows 7 等版本的電腦。

2010 年 Shrouded Crossbow 開發了 KIVARS:

2010 年 – 透過 TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) 木馬程式來植入電腦當中,只能感染 32 位元系統。

只會修改後門程式執行檔開頭的「MZ」識別位元組來加密。

 

2013 年 Shrouded Crossbow 開發了 KIVARS x64:

在 32 位元和 64 位元環境都能運作。

木馬程式檔案採用 RC4 加密手法。

 

2014 年 Shrouded Crossbow 開發了 UNIX BIFROSE。

UNIX BIFROSE

Shrouded Crossbow 重新改寫了 BIFROSE 的程式,然後將它組譯成 UNIX 和「類 UNIX」系統執行檔的標準格式 (Executable and Link Format,簡稱 ELF)。其程式碼與 Windows 版本截然不同,但卻仍沿用了相同的通訊協定與幕後操縱 (C&C) 指令。因此 Windows 和 UNIX 版本都能與原本的 Bifrost C&C 伺服器通訊。不過 UNIX 版本的 BIFROSE 後門功能不如原本 Windows 版本的 BIFROSE 那麼豐富。

UNIX 及 WINDOWS 版本的回報訊息封包

UNIX

<victim IP>|unix|<hostname>|<username>|5.0.0.0|0|1|1|0|575|0|0|0|0|None|||||

Windows

<victim IP>|default_zz|<hostname>|<username>|2.0.0a||1|-1|0|2600|1|1|0|0|982bc1da|C:\Documents and Settings\Administrator\Recent|C:\Documents and Settings\Administrator\Desktop|C:\Documents and Settings\Administrator\My Documents|US|00000409|

BIFROSE 在回報給 C&C 伺服器的訊息封包當中,會使用預設的名稱來註冊。Windows 版本的 BIFROSE 預設名稱為「default_zz」,而 UNIX 版的預設名稱為「unix」。不過,駭客隨後可以輕易變更這些名稱。至於一開始安裝的惡意程式版本,Windows 平台是 2.0.0a,UNIX 則為 5.0.0.0。Windows 版本一旦連上 C&C 伺服器之後,就會包含磁碟序號、語言地區設定、鍵盤配置等等用來識別受害者以方便駭客管理和發動攻擊的資訊。不過,這些資訊並未出現在 UNIX 版本上。

但 UNIX BIFROSE 卻提供了一個「啟動遠端命令列介面程式」(create remote shell) 的指令來方便熟悉 UNIX 系統的駭客從遠端遙控。

圖 1:UNIX BIFROSE 的「啟動遠端命令列介面程式」(create remote shell) 指令。
圖 1:UNIX BIFROSE 的「啟動遠端命令列介面程式」(create remote shell) 指令。

 

跨平台惡意程式

在測試過 UNIX 版本的 BIFROSE 之後,趨勢科技發現它可以順利連上原本 Windows 版本所使用的 BIFROSE 伺服器。此外,我們的研究也顯示,同一個網路可能同時感染 Windows 和 UNIX 兩種版本的惡意程式。這樣駭客可確保不論受害者使用哪一種平台的作業系統,他們都能順利與伺服器溝通。

由於我們在最近出現的一些針對性攻擊當中發現了 BIFROSE 惡意程式的蹤影,因此,我們特別針對某個持續性攻擊中使用的新變種做了一番研究。我們發現歹徒將 UNIX BIFROSE 用於針對性攻擊的「橫向移動」階段,並利用它來掌控受害者網路上的Linux 伺服器。此外也用來掃瞄是否有其他含有漏洞並可進一步感染的 Linux 電腦以延續其攻擊行動。

雖然 UNIX BIFROSE 的威脅有一半來自於它本身的能力,但另一半卻來自Shrouded Crossbow 不斷推出BIFROSE 新版本的研發能力。

至於 BIFROSE 的下一個目標是哪個平台,我想應該不會是時間上的問題,而是要看需求而定。如果 Shrouded Crossbow 需要用到 iOS 或 Android 版的 BIFROSE,相信他們就會開發出來,即便程式需要重寫也沒問題。而且從他們開發 UNIX BIFROSE 的能力來看,OS X 版本的出現也不遠了。

對企業的可能影響

當 IT 系統管理員在網路和郵件記錄檔當中發現不尋常的活動徵兆時,就必須立刻做出回應。如同我們過去的一篇文章「檢查網路是否有鎖定目標攻擊跡象的七個地方」(7 Places to Check for Signs of a Targeted Attack in Your Network) 所言,那些出現在「不正常時段」的網路活動 (例如網路登入和電子郵件) 都應該進一步加以查證。

當企業在面對針對性攻擊/鎖定目標攻擊(Targeted attack )時,同樣也必須抱持如此嚴謹的態度並仔細觀察網路狀況,才能有效偵測駭客入侵徵兆與異常狀況,進而採取適當的因應措施。企業若能採用像趨勢科技趨勢科技Deep Discovery進階網路安全防護趨勢科技Deep Security以及 ServerProtect  這樣的網路防禦平台,IT 系統管理員就能偵測、分析及回應這類威脅。這些產品可偵測 BIFROSE 的惡意動作、C&C 通訊、橫向移動,以及資料外傳等各項行為。

以下是 ELF_BIFROSE.ZTDA 的雜湊碼及 C&C 伺服器位址:

SHA1 C&C
3d3bb509f307db97630c297bdb985c83d8a40951 103.246.247.103

202.133.245.251

5d8b228e3014b4eb579e380b3a1113dd8c0d999a 58.64.185.12
原文出處:  「Shrouded Crossbow」攻擊行動的駭客開發出UNIX 平台的 BIFROSE 惡意程式 (Threat Actors Behind “Shrouded Crossbow” Create BIFROSE for UNIX)作者:Razor Huang (威脅分析師)