令 IT 管理者頭痛的可客製化攻擊工具:Lost Door遠端存取木馬

 

趨勢科技最近發現一起網路攻擊使用被稱為Lost Door的遠端存取木馬(RAT),這是個在社群媒體網站就有提供的工具。讓我們對此遠端存取木馬(偵測為BKDR_LODORAT.A)最驚訝的是它會利用路由器的端口轉發(Port Forward)功能。這功能可以讓遠端系統連到內網裡特定的電腦或服務。但當其被作為惡意使用時,就可以被遠端攻擊者用來掩蓋自己在網路內的活動,避免被偵測。因為這個遠端存取木馬很容易客製化,即使是入侵指標(IoC)也可能無法阻止這威脅。像Lost Door這樣容易客製化的遠端存取木馬很難被偵測和防禦,對IT管理者來說是個頭痛的問題。

 

在YouTube和 Facebook等社群網站明目張膽宣傳,而非網路犯罪地下市場

不像其他攻擊工具大多只會出現在網路犯罪地下市場,Lost Door很容易取得。它就在社群媒體網站上進行宣傳,像是YouTube和Facebook。它的開發者「OussamiO」甚至有自己的Facebook網頁提供開發細節。甚至有專門部落格(hxxp://lost-door[.]blogspot[.]com/)來提供遠端存取木馬使用教學影片和說明。任何網路犯罪分子和有心人士都可以購買並使用這遠端存取木馬進行攻擊。

 

圖1、Lost Door遠端存取木馬在Facebook上的廣告
圖1、Lost Door遠端存取木馬在Facebook上的廣告

 

圖2、推廣Lost Door遠端存取木馬的部落格
圖2、推廣Lost Door遠端存取木馬的部落格

 

除了販賣工具原始碼外,OussamiO還提供客戶免費下載已編譯樣本的選項。這可能是想要誘使免費樣本使用者購買完整版以符合自己攻擊需求的一種作法。

我們可以說Lost Door遠端存取木馬的作者非常明目張膽,他透過一般的網路來為自己的工具打廣告。他並沒有花精力來使用深層網路隱藏自己的踪跡。但這並不是說這個工具不會出現在地下市場。經過研究,我們自2009年以來就在數個地下市場發現Lost Door開發工具,如俄羅斯、中國和巴西。

 

圖3、Lost Door遠端存取工具v8開發工具
圖3、Lost Door遠端存取工具v8開發工具

 

 

圖4、Lost Door遠端存取工具v8出現在巴西地下市場

 

可輕易被客製化

自從 Lost Door在2007年出現開始,它的開發者發表過數種版本,最近一次是Lost Door E-Lite v9。跟其他惡名昭彰的遠端存取木馬(如PlugXPoison Ivy)一樣,Lost Door很容易客製化來加入新的不同功能。人們可以選擇多種預先定義好的伺服器版本和其他散播、防分析、隱匿和持久性等選項。網路犯罪分子還可以包入蠕蟲功能,後門指令,甚至是鍵盤側錄程式來客製化自己的遠端存取木馬;Facebook和Blogspot上的遠端存取木馬網頁都提供詳細步驟說明來指導攻擊者甚或是網路犯罪新手來打造自己的版本。

圖5、Lost Door E-Lite v9開發工具
圖5、Lost Door E-Lite v9開發工具

 

正如前面所提到,Lost Door會利用路由器的端口轉發功能,就跟DarkComet一樣。利用此功能可以讓遠端攻擊者不管在哪裡都可以連上私人網路內的伺服器。這也代表惡意流量或連線都會被視為是正常/內部,所以可以幫助攻擊者掩飾其C&C地址,因為伺服器端無法直接連到它。相反地,他們只需要目標路由器的IP地址,並使用其開放端口(設定端口轉發網路流量後)。使用端口轉發功能也可以躲避網路監控,因為它只會連到內部/路由器的IP地址。我們的分析還顯示此遠端存取木馬連到一個內部IP地址192[.]168[.]1[.]101的端口9481。這IP地址和端口都可以透過開發工具來客製化。

 

最新的Lost Door還包含透過遠端印表機列印檔案,執行應用程式及取得剪貼簿內資料等能力。這個遠端存取木馬還支援不同語言:英文、阿拉伯文、法文、西班牙文、波蘭文、義大利文和瑞典文。OussamiO在Blogspot的網頁上提到,如果有人想要添加其他語言,他們可以翻譯英文版並將連結分享到Lost Door的Facebook粉絲網頁。

 

解決方法

 

因為此威脅可以客製化,IT管理員可能會發現很難在網路加以偵測,因為其入侵指標(IoC)會不停變化。我們列出所收集到的幾個獨特字串可用來參考偵測Lost Door遠端存取木馬

 

  • Welcome to Lost Door E-Lite v9.1
  • We Control Your Digital Worlds
  • E-Lite v9.1
  • \ \Nouveau dossier\OussamiO\Coding\My Softs\Max Security KiT By UniQue OussamiO\2\SLostDoor\Kner.vbp

 

另外,底下是此種威脅的YARA規則。

 

rule lodorat_code

{

meta:

author = “Trend Micro, Inc.”

description = “system infected with lodorat”

in_the_wild = true

 

strings:

$s1 = “OussamiO” wide ascii

$s2 = “Welcome To Lost Door” wide ascii nocase

$s3 = “E-Lite v9” wide ascii nocase

$s4 = “We Control Your Digital Worlds”

 

$a1 = /shutdown.{0,5}(-s|-r).{0,5}[0-9]*/i

$a2 = /(D:|E:|F:)\\Music.exe/i

$a3 = “C:\\Program Files\\LimeWire”

$a4 = “C:\\Program Files\\eMule”

$a5 = “C:\\Program Files\\Morpheus”

$a6 = “C:\\Program Files\\Bearshare”

$a7 = “C:\\Program Files\\Kazaa”

$a8 = “C:\\Program Files\\Ares”

 

$r1 = /CurrentVersion\\Policies\\System\\(DisableTaskMgr|DisableRegistryTools)/i

 

condition:

any of ($s*) and (2 of ($a*) or $r1) or

2 of ($s*)

}

 

早期偵測Lost Door遠端存取木馬可以防止企業網路資料被竊及遭受進一步感染等可怕後果。我們可以透過趨勢科技Deep Discovery進階網路安全防護來保護我們的使用者和系統免於此種威脅所帶來的危險。它的沙箱技術和腳本分析工具可以偵測和分析Lost Door遠端存取木馬。我們的端點產品如趨勢科技PC-cillin雲端版Smart Protection SuitesWorry-Free Pro也可以偵測此遠端存取木馬

 

 

@原文出處:Lost Door RAT: Accessible, Customizable Attack Tool作者:Janus Agcaoili