使用加密通訊像是SSL,加上巧妙地利用新聞事件作為社交工程陷阱( Social Engineering)的誘餌,就是滲透入侵跟持久隱匿在目標網路的完美組合。
目標攻擊沒過多久就開始利用波士頓馬拉松事件作為誘餌,誘騙使用者去開啟惡意附件檔案。我們發現有封電子郵件帶有惡意附件,檔名為「The Prayer.DOC」,敦促收件者為這慘劇的受害者祈禱。
上述附件檔案(MD5:5863fb691dd5b3002c040fc7c535800f,被偵測為TROJ_MDROP.ATP),會攻擊漏洞CVE-2012-0158,將惡意執行檔 – 「IEXPLORER.EXE」(MD5:74a8269dd80d41f7c81e0323719c883c)植入目標電腦內。
這惡意軟體被偵測為TROJ_NAIKON.A,透過SSL(端口443)連到網域 – gnorthpoint.eicp.net,之前解析為IP – 220.165.218.39,現在解析為IP – 50.117.115.89。
它的憑證內填入的是假資訊,包括身份:「donc」,和組織:「abc」。
雖然惡意軟體連線透過SSL來加密流量,但純文字流量還是包含一個容易被發現的User-Agent資訊:
GET /config/login_verify2?&.src=ym HTTP/1.1
User-Agent: NOKIAN95/WEB
這案例內的指揮和控制(C&C)伺服器 – gnorthpoint.eicp.net,之前和另一個指揮和控制伺服器 – kullywolf.gicp.net(根據Shadowserver的報告)共用IP – 112.112.38.143。在那起事件的惡意文件使用越南人名 – CV gui bao cao LD.doc, 它會攻擊漏洞CVE-2010-3333,但會植入相同家族的惡意軟體。
在同時,C&C伺服器gnorthpoint.eicp.net還和myyuming55.3322.org共享一個IP – 220.165.217.98,這網域是另一個惡意軟體家族的C&C伺服器,活躍於二〇一一年。不過因為時間的差距,所以兩者之間的確切關係還不清楚。
在我的報告 – 「利用網路流量分析來偵測APT攻擊活動」,我討論到利用SSL加密與C&C通訊有其獨特之處,特別是可以用來逃避基於網址內參數和HTTP標頭等偵測方式。不過,還是有些積極做法可以做,包括檢查SSL憑證內各欄位是否有預設、隨機或空白值,還有偵測來自外部網路所提供的憑證。當然,像是趨勢科技Deep Discovery等工具也可以幫助使用者偵測可疑的網路流量。它也可以有效地防止零時差攻擊,還有類似韓國MBR破壞事件等破壞性攻擊。
趨勢科技可以偵測相關的惡意軟體,透過趨勢科技Deep Discovery來保護使用者防護這篇文章裡所提到的漏洞攻擊。使用者也要安裝安全修補程式,將系統保持在最新狀態,並且小心地開啟和下載電子郵件內的檔案。
@原文出處:Targeted Attack Campaign Hides Behind SSL Communication
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)
《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo
◎ 歡迎加入趨勢科技社群網站
