JAVA_ADWIND是一個跨平台 DIY 專用遠端存取木馬程式(RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。該程式的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。
基本上,網路犯罪集團都是機會主義者。那個作業系統開始熱門,他們就會開發出對應的工具和攻擊技巧,藉此網羅更多受害者。這就是惡意程式為何希望能夠跨越各種不同平台。而且,若能再配合某種商業模式來將惡意程式賣給其他犯罪分子的話,效益就更高。
眼前就有一個案例:Adwind/jRAT (趨勢科技命名為:JAVA_ADWIND)。這是一個跨平台遠端存取木馬程式 (RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。
最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。
Adwind 幕後集團現正活躍
這起垃圾郵件攻擊正好呼應了趨勢科技對 JAVA_ADWIND 長期監控的研究結果。事實上,此惡意程式的偵測數量從今年初便持續穩定成長:從一月份的 5,286 增加至六月份的 117,649。另一點值得注意的是,JAVA_ADWIND 的偵測數量從五月至六月一下子暴增 107%,顯示犯罪集團正積極地散播該程式。
Adwind/jRAT 的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。Adwind 之前的版本大多用來攻擊銀行和丹麥企業,甚至會收編受感染的裝置來納入「Botnet傀儡殭屍網路」網路當中。
Adwind 身為一個跨平台 DIY 專用遠端存取木馬程式,它其實還有許多別名:jRAT、Universal Remote Control Multi-Platform (UNRECOM)、AlienSpy、Frutas 以及 JSocket。2014 年,趨勢科技曾經發現一個修改過的 Android 版 Adwind/jRAT,增加了數位貨幣採礦功能。而且由於它採用服務的經營方式,因此我們可以看到許多其他網路犯罪集團所開發的客製化版本與專屬功能。
圖 1:JAVA_ADWIND 從 2017 年 1 月至 6 月的偵測量。
圖 2:Adwind 的感染過程。
二階段垃圾郵件攻擊
我們目前看到的這起垃圾郵件攻擊行動總共分成兩波,而且它是社交工程(social engineering )誘騙的經典範例。趨勢科技在 2017 年 6 月 7 日發現第一波垃圾郵件,使用某一個網址將受害者導向以 .NET 撰寫的惡意程式,該程式具備間諜程式功能。第二波出現在 6 月 14 日,使用另外一些不同的網域來散布惡意程式並架設幕後操縱 (C&C) 伺服器。這兩波垃圾郵件所使用的社交工程伎倆有明顯雷同之處,且同樣都是誘騙受害者點選惡意連結。
垃圾郵件本身冒充的是「地中海遊艇經紀人協會」(Mediterranean Yacht Broker Association (MYBA) 承租委員會 (Charter Committee) 的主席。郵件主旨為:「Changes in 2017 – MYBA Charter Agreement」(MYBA 承租合約 2017 年變更),看來是希望讓收件人覺得有急迫性。此外也捏造了寄件人地址 (info@myba.net),並且利用看似正常的內容來誘騙收件人點選其中的惡意連結。
圖 3:惡意程式傳送至 C&C 伺服器的資訊。
圖 4:垃圾郵件樣本。
Adwind 攻擊程序分析
若使用者點選了惡意連結,其系統就會被植入一個 PIF 檔案。PIF 內含 Windows 執行 MS-DOS 應用程式所需的資訊,因此可以像一般 EXE 檔案一樣被執行。該檔案以 .NET 撰寫,負責擔任檔案下載工具。該檔案執行之後,就會啟動一連串的感染程序,第一步就是修改系統憑證。
趨勢科技追蹤此惡意 PIF 檔案 (TROJ_DLOADR.AUSUDT) 所在的網址,還發現了其他網路釣魚及垃圾郵件相關的 HTML 檔案。這些很可能是讓害者感染惡意 PIF 檔案的一些相關網頁。
圖 5:檔案下載工具試圖呼叫 Windows API 來修改系統憑證。
圖 6:憑證修改成功。
憑證修改完成之後,惡意程式就會從我們找到的網域 (也就是歹徒的檔案分享平台) 下載一個 Java 程式(EXE)、一個動態連結程式庫 (DLL) 和一個 7-Zip 安裝程式:
- hxxps://nup.pw/DJojQE.7z
- hxxp://nup.pw/e2BXtK.exe
- hxxps://nup.pw/9aHiCq.dll
此安裝程式使用了一個 RAT 常用的外層包裝函式來呼叫其他程序而不需額外的運算資源。此外層包裝函式採用 Java ARchive (JAR) 檔案格式,因此我們將它取名為 jRAT-wrapper (正式命名:JAVA_ADWIND.JEJPCO),此程式執行時會連上一個 C&C 伺服器並下載 Adwind/jRAT 到系統上。
根據 jRAT-wrapper 的匯入標頭 (import header) 顯示,它應該能夠檢查受感染系統的網際網路存取能力,同時也具備 Java 動態程式呼叫 (reflection) 能力。後者是 Java 當中一個相當有用的功能,因為它讓程式開發人員可以在執行時期動態檢視、呼叫、實體化屬性和類別。這項技術到了網路犯罪集團手中,就能用來躲避傳統防毒產品的靜態分析。
圖 7:負責下載 jRAT-wrapper 的 PIF 檔案,jRAT-wrapper 再負責下載最終惡意程式。
圖 8:nup.pw 這個網域指向一個被駭客所操控的檔案伺服器。
圖 9:jRAT-wrapper 當中經過加密編碼的 Java 類別。
圖 10:jRAT-wrapper 的匯入標頭 (import header)。
圖 11:jRAT-wrapper 內的程式碼經過解譯之後的內容片段。
除此之外,jRAT-wrapper 還會試圖連上另一個 C&C IP 位址:174.127.99.234:1033,我們認為此位址應該屬於某個正派的主機代管服務所有,但該主機已遭駭客入侵。jRAT-wrapper 也會利用 Visual Basic 腳本 (VBS) 來蒐集系統資訊,例如系統上安裝了何種防毒軟體和防火牆。不僅如此,它還會在使用者暫存目錄 (User Temp) 當中植入一個 JAR 檔案並加以執行,然後再將惡意的 Java 程式庫複製到「Application Data」資料夾。接著,它會將自己複製一份到使用者當前的目錄,然後在系統登入中增加一個讓它開機自動執行的設定。
不過,我們在分析時發現前述 IP 位址已經無法連上,所以無法取得有關此 IP 位址的更多詳細資訊。
圖 12:負責蒐集系統組態資訊的惡意 VBS 腳本片段。
圖 13:Adwind/jRAT 的屬性資料。
資安研究員 Michael Helwig 對 jRAT-wrapper 所做的詳細分析幫助我們順利解開了 Adwind 惡意程式的屬性資料。我們所分析到的樣本顯示,它會將網路流量導到一個在回授 (loopback) 位址127.0.0.1:7777 上監聽的代理器 (Proxy)。
但我們在分析時並無法記錄下任何代理器設定,因為 jRAT-wrapper 試圖連線的 C&C 伺服器當時已經連不上。我們推測駭客很可能刻意關閉這台 C&C 伺服器。駭客有可能在受感染的系統上達到目的之後,就會將該伺服器關閉以避免進一步防範資安人員的分析。當然,也有可能是代管服務或 PSP 其實已經發現伺服器遭人利用而將它關閉。
如果是這樣,那我們猜 C&C 伺服器若要成功和受害電腦通訊,就必須修改代理器設定。
圖 14:Adwind 組態設定檔的部分內容。
反制之道
Adwind 是一個以 Java 撰寫的跨平台惡意程式。因此,必須採取多層式的防禦才能有效防範,包括:閘道、端點、網路、伺服器以及行動裝置。IT 系統管理員與資安人員以及 Java 程式開發人員,皆應養成一些 Java 資安習慣,並且定期修補和更新 Java 軟體。
由於電子郵件是 Adwind 的主要感染途徑,因此突顯出保護電子郵件閘道對防範威脅的重要性,以防電子郵件成為歹徒入侵系統與網路的管道。此外,垃圾郵件過濾、政策管理、電子郵件防護等解決方案,只要能攔截惡意網址,皆能有助降低電子郵件威脅。凡是允許員工使用個人自備裝置 (BYOD) 的企業,不論系統管理員或裝置使用者皆應採取一些最佳實務原則來防範 Adwind 這類可竊取重要資訊的威脅。
在 Adwind 的攻擊程序當中,社交工程技巧是相當重要的一環。因此,企業應培養一種資安文化,讓員工熟悉電子郵件詐騙伎倆並養成良好習慣:在點選之前務必小心謹慎、開啟不明來源或不請自來的郵件時要特別小心、多多認識歹徒的各種不同社交工程手法,如此就能大大降低企業感染這類惡意程式的風險。
趨勢科技解決方案
趨勢科技端點防護產品,如:趨勢科技趨勢科技 Smart Protection Suites 和 Worry-Free Pro 可讓使用者和企業偵測惡意檔案及垃圾郵件,攔截所有相關的惡意網址以防範上述威脅。此外還有趨勢科技 Deep Discovery可提供一層額外的電子郵件檢查,幫助企業偵測惡意的附件和網址。
趨勢科技 Hosted Email Security 是一套不需您維護的雲端方案,提供持續更新的防護,幫您攔截垃圾郵件、惡意程式、魚叉式網路釣魚、勒索病毒以及進階針對性攻擊,不讓威脅到達您的網路。它能保護 Microsoft Exchange、Microsoft Office 365、Google Apps 以及其他代管式或企業內電子郵件產品。
搭載 XGen 端點防護的趨勢科技趨勢科技 OfficeScan™ 結合了高準度的機器學習與其他偵測技術和全球威脅情報,提供完整的進階惡意程式防護。
入侵指標:
Adwind/jRAT 相關的檔案和網址:
- hxxp://ccb-ba.adv.br/wp-admin/network/ok/index.php
- hxxp://www.employersfinder.com/2017-MYBA-Charter.Agreement.pif
- hxxps://nup.pw/e2BXtK.exe
- hxxps://nup.pw/Qcaq5e.jar
相關雜湊碼:
- 3fc826ce8eb9e69b3c384b84351b7af63f558f774dc547fccc23d2f9788ebab4 (AUSUDT)
- c16519f1de64c6768c698de89549804c1223addd88964c57ee036f65d57fd39b (JEJPCO)
- 97d585b6aff62fb4e43e7e6a5f816dcd7a14be11a88b109a9ba9e8cd4c456eb9 (JAVA_ADWIND.AUJC)
- 705325922cffac1bca8b1854913176f8b2df83a70e0df0c8d683ec56c6632ddb (BKDR64_AGENT.TYUCT)
相關的 C&C 伺服器:
- 127.99.234 連接埠 1033
- hxxp://vacanzaimmobiliare.it/testla/WebPanel/post.php
- 原文出處:Spam Campaign Delivers Cross-platform Remote Access Trojan Adwind 作者:Rubio Wu 與 Marshall Chen (威脅分析師)