四個舊瓶裝新酒的惡意攻擊

作者:Gelo Abendan

趨勢科技對今年的資安預測裡,我們的技術長Raimund Gene曾經預測過傳統的惡意軟體會逐漸地進化,而非產生新威脅。惡意軟體作者將更著重於改善工具,以及如何去組織攻擊。

特別是我們將會看到他們發展某些隱形戰術來避免被資安研究人員或廠商所發現。一個很好的例子就是黑洞漏洞攻擊包(BHEK)2.0版本的釋出,這是對我們之前成功地封鎖黑洞漏洞攻擊包的反擊。

在過去幾天裡,趨勢科技注意到下列一連串的事件,舊惡意軟體變種用著某些威脅手法來企圖防止被偵測。

  1. 啟動睡眠功能避免被偵測的惡意軟體:
    某些版本的Kelihos(偵測為BKDR_KELIHOS.NAP)最近開始出現。有報告指出這個Kelihos變種會啟用SleepEx功能。利用這種睡眠功能,惡意軟體會在特定時間內呈現非活動狀態,這可以避免被自動偵測捕捉到它的惡意行為。Kelihos和額外的睡眠功能都不是新的威脅手法,但是當它們組合在一起就成為使用者應該小心的潛在威脅。
  2. 木馬使用Adobe簽章的憑證警察勒索軟體使用假數位簽章:
    一個被偵測為TROJ_BANKER.JBR銀行惡意軟體被發現帶有DigiCert所發行的有效數位簽章。這個帶有上述數位簽章的惡意軟體偽裝成PDF檔案,可能是要誘騙使用者去誤認為這是個正常檔案的社交工程陷阱( Social Engineering)伎倆。在一般情況下,數位簽證可以保證程式和檔案的正當性。因此當使用者碰到這種簽章過的惡意軟體,就有可能會加以執行。不幸的是,數位簽章被濫用是之前就已經報導過的。惡名昭彰的StuxnetFLAME等攻擊就被回報過使用一樣的伎倆。就在去年,趨勢科技也報導過有木馬使用Adobe簽章的憑證警察勒索軟體 Ransomware使用假數位簽章。
  3. 64位元惡意軟體將越來越多
    在最近,趨勢科技 發現一個64位元的惡意軟體(偵測為TROJ64_INSTOL.USR),它會將自己的組件(偵測為TROJ64_INJECT.USR)注入正常程序LSASS.EXE。這個被注入的組件接著會下載其他惡意檔案到系統內。我們不常在真實案例裡看到這類型的惡意軟體。然而,64位元的惡意軟體可能會吸引某些攻擊者,因為它們和32位元的惡意軟體比較起來更難被偵測。此外,隨著越來越多使用者為了追求更快的處理能力而轉換系統,我們可以預測網路犯罪份子也會做出類似的舉動,開發適用於64位元電腦的惡意軟體。
  4. 惡意推文導向遭入侵淪陷網站, 增加偵測難度
    在Facebook和Twitter上看到帶有短網址(會導向BKDR_DORIFEL.AD)的訊息和推文流傳。這種攻擊聽起來很像我們在一年前報導過的蠕蟲,但這次用了不同的技巧。它並不是直接將使用者導到藏有惡意軟體的惡意網站,而是會先將使用者導向遭入侵淪陷網站。這種手法讓人聯想到第一代的黑洞漏洞攻擊包,使用者在被導到惡意網頁前,會先被導向入侵淪陷網站。這樣一來可以避免被偵測,或至少增加偵測難度。
圖一、惡意推文導向遭入侵淪陷網站
圖一、惡意推文導向遭入侵淪陷網站

雖然這些發展中的事件並不算是新威脅,但它們卻讓我們瞧見了今年可預期的威脅環境。如果想要從這些威脅下全身而退,使用者在打開電子郵件、訪問不明網站或點入社群網路上收到的短網址時都要特別小心謹慎。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以幫使用者防護這威脅,偵測並刪除文章內所提到的相關惡意軟體,並封鎖所有相關網址。

@原文出處:Same Old Brand New Malware Tricks

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

 

勒索軟體偽裝成Java零時差漏洞修補程式

企業郵件伺服器處理電子郵件自動回覆的四個小提醒

五個給小型企業關於雲端運算的迷思與事實

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

自帶設備(BYOD):企業用戶的安全缺口?

《資料外洩》十大員工危險行為 ~員工行動化可能帶來的資料防護災難 [含資料圖表]

員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

小型企業所該了解的關於網站威脅和網路犯罪的五件事

資料防護對中小企業來說比對大型企業還重要

是時候回收舊電腦和手機,但裡面的資料要清除乾淨了嗎?

員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網