義大利當局(與美國聯邦調查局合作)逮捕了兩名義大利駭客,原因是他們竊取國家機密和非法網路入侵,造成數以萬計電子郵件被駭,嫌犯以「魚叉式網路釣魚(Spear Phishing)」夾帶EyePyramid惡意軟體,入侵政府官員、銀行家、律師、企業家等身居國家要位成員的電子郵箱。這惡意軟體得手超過87 GB的不法機敏資料,包括使用者名稱、密碼、瀏覽資訊跟檔案系統內容。
感染鏈: 從律師事務所開始
根據現有資訊和趨勢科技對樣本的初步分析來看,此魚叉式釣魚攻擊的目的是要入侵電子郵件帳號,特別是數家律師事務所的律師和合夥人。駭客誘使目標開啟惡意電子郵件附件檔。一旦打開,這惡意附件檔(也就是上面所提到的惡意軟體),會啟動其惡意行為並將自己用隨機名稱加上.exe副檔名複製到系統上。底下是我們所看到的一些已知名稱(其他版本的惡意軟體可能會加以改變):
圖1、所用的檔案名稱
初步樣本分析
該惡意軟體最初看起來是用.NET(> = 4.5.x)編寫的程式碼,深入研究則發現其他事情。在標準混淆(可以用現成工具來進行逆向工程),反組譯原始碼的敏感部分被進行混淆,這讓偵測和分析變得更加棘手。例如關於命令和控制伺服器的網址及MailBee的授權碼(據稱用攻擊者的名字購買)等資訊經過重度混淆,如下面的程式碼節錄所示:
圖2、混淆過程式碼範例
根據分析,我們的結論是去模糊處理程序包括一道解密步驟(基於3DES加密),接著還用MD5和SHA256處理輸入的資料。
惡意軟體將取得的資料(加密後)透過標準的網頁傳輸發送至命令與控制伺服器:
圖3、資料外洩流量的程式碼
注意端點的網址部分沒有經過混淆處理:
圖4、網址的外露部分(點擊上圖以見全貌)
惡意軟體還使用MailBee.NET.dll API(用來打造郵件軟體的付費程式庫)來將取出的資料發送至攻擊者所用的降落區(即電子郵件地址)。
有意思的是,購買付費程式庫讓當局可以確認攻擊活動幕後黑手的身份。
趨勢科技目前正在分析這惡意軟體,並且進一步的監測攻擊活動。當能夠進一步驗證資訊及發現更多細節時會再更新此部落格。
@原文出處:The Eye of the Storm: A Look at EyePyramid, the Malware Supposedly Used in High-Profile Hacks in Italy 作者:Federico Maggi(資深威脅研究員)