目標攻擊活動隱匿在SSL通訊背後

使用加密通訊像是SSL，加上巧妙地利用新聞事件作為社交工程陷阱( Social Engineering)的誘餌，就是滲透入侵跟持久隱匿在目標網路的完美組合。

目標攻擊沒過多久就開始利用波士頓馬拉松事件作為誘餌，誘騙使用者去開啟惡意附件檔案。我們發現有封電子郵件帶有惡意附件，檔名為「The Prayer.DOC」，敦促收件者為這慘劇的受害者祈禱。

上述附件檔案（MD5：5863fb691dd5b3002c040fc7c535800f，被偵測為TROJ_MDROP.ATP），會攻擊漏洞CVE-2012-0158，將惡意執行檔 – 「IEXPLORER.EXE」（MD5：74a8269dd80d41f7c81e0323719c883c）植入目標電腦內。

這惡意軟體被偵測為TROJ_NAIKON.A，透過SSL（端口443）連到網域 – gnorthpoint.eicp.net，之前解析為IP – 220.165.218.39，現在解析為IP – 50.117.115.89。

它的憑證內填入的是假資訊，包括身份：「donc」，和組織：「abc」。

雖然惡意軟體連線透過SSL來加密流量，但純文字流量還是包含一個容易被發現的User-Agent資訊：

GET /config/login_verify2?&.src=ym HTTP/1.1

User-Agent: NOKIAN95/WEB

這案例內的指揮和控制（C＆C）伺服器 – gnorthpoint.eicp.net，之前和另一個指揮和控制伺服器 – kullywolf.gicp.net（根據Shadowserver的報告）共用IP – 112.112.38.143。在那起事件的惡意文件使用越南人名 – CV gui bao cao LD.doc，它會攻擊漏洞CVE-2010-3333，但會植入相同家族的惡意軟體。

在同時，C＆C伺服器gnorthpoint.eicp.net還和myyuming55.3322.org共享一個IP – 220.165.217.98，這網域是另一個惡意軟體家族的C＆C伺服器，活躍於二〇一一年。不過因為時間的差距，所以兩者之間的確切關係還不清楚。

在我的報告 – 「利用網路流量分析來偵測APT攻擊活動」，我討論到利用SSL加密與C＆C通訊有其獨特之處，特別是可以用來逃避基於網址內參數和HTTP標頭等偵測方式。不過，還是有些積極做法可以做，包括檢查SSL憑證內各欄位是否有預設、隨機或空白值，還有偵測來自外部網路所提供的憑證。當然，像是趨勢科技Deep Discovery等工具也可以幫助使用者偵測可疑的網路流量。它也可以有效地防止零時差攻擊，還有類似韓國MBR破壞事件等破壞性攻擊。

趨勢科技可以偵測相關的惡意軟體，透過趨勢科技Deep Discovery來保護使用者防護這篇文章裡所提到的漏洞攻擊。使用者也要安裝安全修補程式，將系統保持在最新狀態，並且小心地開啟和下載電子郵件內的檔案。

＠原文出處：Targeted Attack Campaign Hides Behind SSL Communication

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚