APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”
BKDR_ADDNEW 惡意程式 (也就是地下網路上所稱的「DaRK DDoSseR」) 是一個可從事 DDOS 分散式阻斷服務攻擊的工具,同時又具備了密碼竊取能力、瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。該工具的售價大約 30 美元,已經出現好幾年了。
某些感染 BKDR_ADDNEW 程式的電腦後來也感染了 Gh0st RAT 惡意程式。儘管 Gh0st RAT 曾經出現在許多鎖定目標攻擊,但此工具及其多個變種一直為 APT攻擊/進階持續性威脅 (Advanced Persistent Threat, APT)者與網路犯罪者所廣泛採用。
在執行時,BKDR_ADDNEW 會連線至一個 TCP 連接埠來接收遠端犯罪者的指令 (我們分析過一些使用連接埠443, 3176 和 3085 的樣本,但其預設連接埠為 3175)。
可能接收到的一些指令包括:下載檔案、竊取 Mozilla Firefox 密碼、顯示 DNS 資訊以及傳送應用程式權限等等。此外,它還能發動阻斷服務 (DOS) 攻擊。
就趨勢科技的調查所知,BKDR_ADDNEW 內建了讓歹徒「更新」惡意程式的功能。
透過這樣的功能,DaRK DDoSseR 殭屍網路/傀儡網路 Botnet的經營者就能下達指令叫受操控的電腦下載並執行 Gh0st RAT。
為何受感染的電腦會同時出現這兩種惡意程式呢?有幾種可能的解釋:
- DaRK DDoSseR 殭屍網路/傀儡網路 Botnet的經營者將其網路賣給其他犯罪集團。這些遭惡意程式感染的殭屍電腦在地下網路上原本就有市場,這次或許是經營權易主。
- 儘管 DaRK DDoSseR 擁有發動阻斷服務攻擊與竊取密碼的能力,但它仍非功能完整的 RAT (遠端存取工具),因為這類工具通常具備瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。或許該殭屍網路的經營者希望增加一些額外功能,所以才會下令要這些受感染的電腦下載並安裝 Gh0st RAT。
您也可以參考我們先前討論其他 RAT 程式 (如 JACKSBOT、PlugX 及 Poison Ivy) 的部落格文章:
趨勢科技的使用者不需擔心此威脅,因為主動式雲端截毒服務 Smart Protection Network已能偵測上述惡意程式。
◎原文來源
DaRK DDoSseR Leads to Gh0st RAT)Nart Villeneuve (資安威脅高級研究員)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚