惡意PowerPoint文件夾帶漏洞攻擊及後門程式

趨勢科技發現有一個惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。

惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。
惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦

 

一旦使用者打開惡意PPT檔案就會觸發Flash檔內的Shellcode來攻擊CVE-2011-0611漏洞,接著將「Winword.tmp」放入Temp資料夾中。它同時也會產生一個非惡意的PowerPoint簡報檔「Powerpoint.pps」,以矇騙使用者認為這只是一般的簡報檔案。根據趨勢科技的分析,「Winword.tmp」是一個後門程式,它會連到遠端站台跟幕後黑手進行通訊。它也可以下載並執行其他惡意軟體,讓受感染系統面臨更可怕的威脅,像是進行資料外洩資料竊取的惡意軟體。

 

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。
趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。過去的目標攻擊也用過這類惡意軟體。

最近的威脅不再只是將惡意軟體偽裝成一般的二進位檔案(如EXE檔),好夾帶在電子郵件中。這些特製檔案可以被嵌入到一般常用的PDF、DOC、PPT或XLS檔案。在這種攻擊手法裡,使用者往往不會察覺,因為TROJ_PPDROP.EVL也會顯示非惡意的PowerPoint檔案以作為攻擊的煙幕彈。

 

可靠的漏洞:有效的感染關口

 

這起案例也顯示出網路犯罪份子會不停地利用常見軟體的舊漏洞(像是MS Office或是Flash等),在之前的文章裡,我們發現被回報過的舊軟體漏洞,像是CVE-2010-3333和CVE- 2012-0158仍被攻擊者利用著。這發現告訴了我們兩件事。首先,可靠漏洞的攻擊碼仍然是有效的網路犯罪工具。第二,大多數使用者都不常將系統更新到最新的安全修補程式,這也解釋了為什麼攻擊者可以不斷地利用這些舊系統漏洞。

 

趨勢科技會透過主動式雲端截毒服務  Smart Protection Network來保護使用者,封鎖相關的電子郵件和網址,並且偵測TROJ_PPDROP.EVL和BKDR_SIMBOT.EVL。在這個只要簡單文件檔就可能導致資料外洩的年代,使用者要特別小心開啟那些電子郵件的附加檔案,特別是來自未知寄件者的郵件。使用者也應該要經常更新安全修補程式,將系統維護在最新狀態。

 

@原文出處:Malicious PowerPoint File Contains Exploit, Drops Backdoor作者:Cris Pantanilla(威脅反應工程師)

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

認識 APT

以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

【如何避免APT 進階性持續威脅攻擊?

趨勢科技建議民眾應:

  • · 養成良好的電腦使用習慣,避免開啟來路不明的郵件附件檔
  • · 安裝具有信譽的資訊安全軟體,並定期進行系統更新與掃毒

另一方面,為預防員工成為駭客攻擊企業內部的跳板,建議企業也應:

  • · 建立早期預警系統,監控可疑連線及電腦
  • · 佈建多層次的資安防禦機制,以達到縱深防禦效果
  • · 對企業內部敏感資料建立監控與存取政策
  • · 企業內部應定期執行社交工程攻擊演練

趨勢科技PC-cillin 2012雲端版採用最新雲端截毒掃描功能,能隨時蒐集最新威脅資訊,隨時協助電腦於最新最佳防護病毒與惡意程式的狀態,30天免費試用版下載,即刻免費下載

@延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動


【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

◎ 免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

 

 

 

◎ 歡迎加入趨勢科技社群網站