在二月初,有多家金融機構通報出現惡意軟體感染,而且顯然來源是合法網站。這些攻擊以入侵受信任的網站來感染各產業內被鎖定企業的系統, 是大規模攻擊活動的一部分。這種策略通常被稱為「水坑(watering hole)」攻擊。
最近對波蘭銀行進行的連串惡意軟體攻擊,據報會在終端機跟伺服器上出現未知的惡意軟體,還有可疑、加密的程式/可執行檔,更加引人注意的是不尋常的網路活動。中毒系統會連到不尋常的位置,可能是要暗渡陳滄將入侵單位的機密資料送至該處。
趨勢科技發現備受關注的惡意軟體RATANKBA,不僅跟對波蘭銀行的惡意軟體攻擊有關,而且還涉及墨西哥、烏拉圭、英國和智利金融機構所發生的類似事件。它如何感染受害者?有沒有其他惡意軟體參與其中?這攻擊活動是否真的跟俄羅斯網路犯罪集團有關?不過根據我們在惡意軟體內所看到的俄文,我們認為這只是用來混淆攻擊者真面目的偽裝手法。
台灣也受到影響
銀行並不是唯一的目標;也有電信、管理諮詢、資訊技術、保險、航太、教育等企業受害。此外,攻擊活動並非僅局限於北美和歐洲,一些亞太地區,特別是台灣、香港和中國也受到影響。
在此提供進一步的分析和見解,可以補充其他關於此一威脅的研究。
圖1、關於RATANKBA的可能感染流程
感染流程
這個攻擊活動就如同我們在受害的波蘭銀行所看到,有許多攻擊鏈。所使用的工具和技術都常被用在針對性攻擊/鎖定目標攻擊(Targeted attack ),因為其橫向移動和偵察等元素。攻擊者利用了「水坑(watering hole)」攻擊,入侵攻擊目標所經常瀏覽的合法且受信任的網站。這些網站被注入惡意JavaScript程式碼,會辨識瀏覽器元件並從他們的惡意軟體和漏洞攻擊套件系統載入漏洞攻擊碼,其中有些也可能是被駭的網站。
感染過程有多個階段,涉及了多種惡意軟體,最終的惡意軟體只會派送給他們感興趣的目標。使用了不同的命令和控制(C&C)伺服器。有些是被駭網站作為代理程式來連到攻擊者的基礎設施。
在一個我們觀察到的例子中,原先受害者感染的惡意軟體RATANKBA(TROJ_RATANKBA.A)會連到一個被駭的合法網站(eye-watch[.]in:443,一個行動應用程式銷售網站),下載一個駭客工具(nbt_scan.exe)。該網域也變成作為C&C通訊之用的攻擊活動平台。
惡意分子利用RATANKBA來進行勘查活動,它會檢視宿主執行中的任務、網域、共享資料夾、使用者資訊,宿主是否有預設的網路連線等等。
圖2、RATANKBA檢視系統的各個方面
值得注意的是RATANKBA還會尋找感興趣的特定IP地址範圍:
圖3、RATANKBA尋找特定IP範圍
趨勢科技對駭客工具(HKTL_NBTSCAN.GA和HKTL_NBTSCAN.GB)的分析顯示它是會掃描網路來取得NetBIOS資訊(如IP地址、NetBIOS電腦名稱、已登入使用者和MAC地址)的命令列工具,加上一些來自RATAKNBA初始安裝時的資訊。惡意分子現在可以結合這些資訊加上一份使用者名稱和密碼列表和IP地址範圍來用他們的方式暴力破解整個網路(透過NetBIOS)。
圖4、駭客工具的命令行說明
一旦連線成功,這個駭客工具會試圖將攻擊者電腦上的calc.exe複製到目標電腦的網路分享(C$)來測試是否可以透過網路分享傳送檔案,接著可能是測試所使用憑證是否具有管理員權限。它接著會記錄中毒電腦的IP地址、使用者、網域、主機名稱、作業系統和Service Pack以及暴力攻擊所使用成功的使用者名稱和密碼。日誌接著會被記錄在該檔案最初執行的目錄。
有了RATANKBA來的資訊加上HKTL_NBTSCAN成功/失敗的結果,惡意分子現在可以任意地將最終惡意軟體部署到感興趣的系統上。銀行木馬(TSPY_BANKER.NTE)是RATANKBA的最終惡意軟體之一。
攻擊者所使用的一些被駭網站會提供惡意軟體和可疑/惡意檔案,包括:
- 一個資料竊取後門程式(趨勢科技偵測為ADU)
- 類似名稱的Flash檔案(SWF,偵測為YYRQ)
- 包含數個檔案的Silverlight(.xap)檔案:一個應用程式安裝資訊檔(xaml)和DLL檔案 – Shell_siver.dll(TROJ_CVE20130074.B)和System.Xml.Linq.dll,被重新包裝來執行Silverlight遠端程式碼執行漏洞攻擊(CVE-2016-0034,在2016年1月12日修補)
- 一個木馬程式(ZHEB-A)植入一個加密的模組(BKDR64_KLIPODENC.ZHEB-A),其包含銀行間諜軟體(TSPY64_BANKER.YWNQD)作為Windows持久性機制。
影響
實際上出現了比最初評估更多的受害者。根據趨勢科技主動式雲端截毒服務 Smart Protection Network的回饋資料顯示除了北美(主要是美國)、歐洲和南美以外,攻擊活動也明顯影響到台灣、香港、中國和巴林的企業。
受影響國家還包括盧森堡、法國、菲律賓、日本、西班牙、馬來西亞、挪威和羅馬尼亞。被針對的產業包含:電信(包括網際網路服務供應商)、銀行網路相關服務(如資料中心運作)、管理諮詢、資訊技術、醫藥、保險、甚至航太和教育。
在台灣案例中,我們看到受駭網站將其訪客分流給其他惡意軟體網站,還會成為C&C的通訊平台:sap[.]misapor[.]ch。我們看到烏拉圭和墨西哥的金融機構受駭網站將受害者重新導到相同的網址。雖然網址跟eye-watch[.]in:443一樣會派送惡意軟體,我們也看到這網址會攻擊Flash漏洞:CVE-2015-8651、CVE-2016-1019和CVE-2016-4117。這些漏洞分別於2015年12月28日、2016年4月5日和2016年5月12日被修補。
圖5、顯示俄文指令的惡意軟體程式碼
虛假的標誌?
這波攻擊活動看起來和指向俄羅斯駭客的活動有相似之處。這是否真的跟俄羅斯有關?深入研究了惡意軟體,我們發現它確實使用俄文指令,具體地說是從西里爾字母音譯成拉丁字母。所用的動詞是他們的不定詞形式,但這對指令參數來說很詭異。比方說:用「ustanavlivat」而不是更像指令的「ustanovit」,這讓人認為惡意軟體作者是取自字典或是某處以預設形式列出的文字。
此外,使用動詞作為指令也很奇特,尤其是俄羅斯網路犯罪分子或惡意軟體作者都會想避免使用俄文而偏好蹩腳的英文。多數(如果不是全部)的俄羅斯程式員都知道「連接」是輸入成「connect」,因為有API呼叫(應用程式介面)使用這名稱。如果你真的必須使用俄文,你會想用「vikhodit」而非「vykhod」。
另一個例子是我們在分析樣本時所看到的「klyent2podklychit」。它唯一可理解的部分是「2」,它可以被視「to」,讓這成為可能的API呼叫名稱(client2connect)。但在俄文這其實是亂碼,因為字母順序錯誤;如果是用「podkluchit_klienta」則會更有意義的多。
事實上,因為惡意軟體的怪異俄文,我們傾向於認為這是假標誌,被故意地加入程式碼來誤導威脅研究和歸因。這並不是種常見的做法,但已經在其他惡意軟體和網路攻擊中可以看到。
這攻擊會是來自網路犯罪集團Lazarus嗎?雖然如果這確實出自他們之手可能會有些矛盾之處,但我們的分析顯示這惡意軟體程式碼和技術的確跟Lazarus所用的類似。
解決方案
安全和系統/IT管理員必須盡好自己的責任來保護網站和網頁應用程式,不被破壞或劫持來幹壞事 – 派送惡意軟體給受害者。比方說,惡意網頁注入會利用漏洞攻擊讓攻擊者取得進入系統的立足點。組織的最佳防禦是定期更新,並且定期掃描和檢查通過企業網路的流量,這有助於快速事件回應和解決。
多層次防禦是確保組織周邊的必要措施,特別是對資訊安全專家和系統/IT管理員來說。強化端點非常重要,因為壞人可以利用它們來進入公司網路。對最終使用者系統實施權限控管政策和部署應用程式控制有助於防止不必要或可疑的應用程式和程序被執行。停用系統上不必要(或未使用)的元件(例如第三方外掛程式和擴充功能)有助於減少系統的受攻擊面。
在主動網路監控之外部署防火牆和入侵偵測系統來協助解決入侵攻擊。再加上限制外部網路對公司內部網路的直接連線,利用代理伺服器來存取外部資源。最終使用者可以透過練習和培養安全習慣來幫忙,如謹慎地面對可疑和社交工程(social engineering )連結、電子郵件和網站。
趨勢科技解決方案
趨勢科技Deep Security和趨勢科技 Vulnerability Protection 漏洞防護提供虛擬修補技術來保護端點系統不受惡意重新導向惡意軟體網址或攻擊未修補漏洞等威脅。趨勢科技 OfficeScan™ 的Vulnerability Protection可以在修補程式部署前防護已知和未知的漏洞攻擊。Deep Discovery可以偵測、深度分析和主動回應漏洞攻擊或其他類似威脅,利用特製引擎、客製化沙箱和跨越整個攻擊生命週期的無縫關聯技術讓它可以無需更新引擎或特徵碼就可以偵測這些攻擊。
Deep Discovery Inspector透過以下DDI規則來保護客戶對抗這些威脅:
- DDI Rule 18 : DNS response of a queried malware Command and Control domain
- DDI Rule 15 : Many unsuccessful logon attempts (nbt_scan.exe)
- DDI Rule 38 : Multiple unsuccessful logon attempts (nbt_scan.exe)
TippingPoint客戶可以透過下列ThreatDV過濾規則來防護這些威脅:
- 27218: HTTP: TROJ_RATANKBA_A Checkin
- 28219: HTTP: TROJ_RATANKBA_A Checkin 02
- 27220: HTTPS: TROJ_RATANKBA_A Checkin
- 27221: HTTP: Sundown EK Flash Exploit (SWF_EXPLOYT.YYRQ)
入侵指標(IoC)列表可以在此附錄取得。
@原文出處:RATANKBA: Delving into Large-scale Watering Holes against Enterprises