2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為,其中榜首為Ramnit,該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。
RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序,讓自己隨時常駐在記憶體內,而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。
網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借慈善機構散發網路釣魚郵件。
2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發,企業不僅必須提高警覺,還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。
今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借 Migrant Helpline 的名義散發網路釣魚郵件,Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下,下載到目前最頑強的惡意程式之一,也就是 2016 年東山再起的 RAMNIT 木馬程式。
趨勢科技「2016 年資訊安全總評」報告指出,銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示,2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種,而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異,因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時,感染 RAMNIT 的使用者大約在 320 萬左右。
根據當時破獲行動的規模來看,RAMNIT 的感染數量照理應當要大幅下降才對。但是,感染數量只有在 2015 年 2 月確實減少,但隔月幾乎就完全恢復,而且接下來的 2015 一整年,感染數量一直維持在 10,000 以上。根據媒體報導,此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發,這也解釋了為何後續幾個月的感染數量突然飆升。
不過很重要的一點是,我們應該將 RAMNIT 惡意程式與其背後的網路犯罪集團分開來看。專門盜取網路銀行資訊的DRIDEX 惡意程式也有類似的情況:FBI 在 2015 年破獲了這個惡意程式背後的犯罪集團,但惡意程式隨後又死灰復燃,這證明執法機關的破獲行動不一定能有效抑制感染數量。因此我們可以推測使用 RAMNIT 的歹徒已經不再侷限於最原始的犯罪集團,所以才會繼續橫行至 2016 年。
不斷演變威脅
趨勢科技最早偵測到的 RAMNIT 變種是 2010 年的 HTML_RAMNIT.ALE,這是一個很基本的 HTML 木馬程式,它會在感染的系統上植入惡意程式來執行。它相對於 VBS_RAMNIT.SMC 和 PE_RAMNIT 這兩個在警方破獲之後才出現的 2016 年變種可說是簡單許多。
圖 2:RAMNIT 感染流程。
VBS_RAMNIT.SMC 會在使用者瀏覽到專門散布該程式的網站時執行,接著它會在系統上植入 PE_RAMNIT 來執行。PE_RAMNIT 具備了後門程式的功能,並且會竊取資訊。接下來,PE_RAMNIT 會透過幕後操縱通訊來接收遠端駭客所下的指令,並且將系統上的資訊 (如 cookies 和敏感的帳號資訊) 傳回給駭客。此外,它還會在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊。不僅如此,PE_RAMNIT 還是個非常頑強的惡意程式,會將自己的程式碼注入系統上正在跑的所有執行程序,讓自己隨時常駐在記憶體內,而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。
| · 32bit FTP
· BulletproofFTP · ClassicFTP · Coffee cup ftp · Core ftp · Cute FTP · Directory opus · FFFtp · FileZilla · FlashXp · Fling · Frigate 3 |
· FtpCommander
· FtpControl · FtpExplorer · LeapFtp · NetDrive · SmartFtp · SoftFx FTP · TurboFtp · WebSitePublisher · Windows Total commander · WinScp · WS FTP |
表 1:RAMNIT 會竊取系統上安裝的 FTP 用戶端或檔案管理軟體內儲存的帳號資訊。
RAMNIT 之所以能夠如此橫行,其演化和散布能力是關鍵。2010 年首次被發現的原始 RAMNIT 變種是一個經由隨身碟和 FTP 伺服器散布的蠕蟲。2011 年,研究人員發現 RAMNIT 抄襲了 Zeus 惡意程式的部分原始碼,並轉型成銀行木馬程式,專門竊取使用者帳號密碼及其他個人資訊。這些年來,歹徒更進一步擴充了惡意程式的功能,加入網站隱碼注射功能,以便入侵金融機構網站。
RAMNIT 的大量繁衍,與其散布管道相當廣泛有關,其中包括了傳統的網路釣魚(Phishing) (垃圾郵件和社交工程(social engineering )攻擊)。最近,研究人員發現 RAMNIT 也開始透過暗藏在已遭入侵網站的 Angler 漏洞攻擊套件來散布,使其散布管道又更加擴大。由於 RAMNIT 具備感染能力,因此只要被感染的檔案未清除乾淨,受害者就可能遭到二次感染。
企業預防RAMNIT的四個最佳方式
RAMNIT 的崛起,證明使用者還是可能遭到一些「傳統」威脅的攻擊。企業不僅必須提高警覺,還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅:
- 企業應教育一般使用者養成良好的電子郵件習慣與社群媒體安全守則,例如:切勿點選不明來源的連結或下載其附件檔案。
- 網路系統管理員應建置一套有效的垃圾郵件防護來強化電子郵件安全,包括提高網站過濾能力與偵測門檻。此外,只要遇到任何含有連結的可疑電子郵件,都應通報給 IT 部門來進行深入調查。
- Migrant Helpline 的案例告訴我們,網路釣魚郵件是 RAMNIT 的重要散布管道。因此,使用者應特別留意網路犯罪集團常用的社交工程技巧,盡量避免點選連結或下載檔案。
- 建置一套雙重驗證機制並定期管理帳號密碼,同樣也有助於防範專門竊取機密資訊的網路犯罪。
趨勢科技解決方案
趨勢科技的 Smart Protection™ Suites 和 PC-cillin 2017 雲端版都能提供完整的多層式防護來妥善保護一般使用者和企業,包括:偵測惡意程式、攔截可能散布 RAMNIT 木馬程式的惡意網址。至於中小型企業,則可採用趨勢科技 Worry-Free™ Business Security 來保護其系統。
原文出處:RAMNIT: The Comeback Story of 2016