趨勢科技曾經在今年的八月初探討過一個後門程式 (趨勢科技命名為 BKDR_ANDROM.ETIN) 是經由 JavaScript 惡意腳本 (JS_POWMET.DE) 以無檔案的形式進入受害系統。當時我們並不曉得該後門程式是如何進入受害系統,我們猜測它要不是經由使用者不小心下載到電腦上,不然就是經由其它惡意程式植入系統。
最近我們終於知道它的確切入侵途徑:它不是被其他惡意程式植入,也不是經由使用者下載,而是經由 USB 隨身碟感染。
技術細節
這個 USB 隨身碟上包含兩個惡意檔案 (趨勢科技將兩者皆命名為 TROJ_ANDROM.SVN),檔案名稱分別為:
- addddddadadaaddaaddaaaadadddddadda
- IndexerVolumeGuid
此外也可能會用到一個捷徑檔案,捷徑的目標指向「%System%\cmd.exe /c start rundll32 {一個名稱很長的 DLL 程式庫檔案},{DLL 匯出的函式名稱}」。歹徒刻意將捷徑檔案的名稱取得跟隨身碟磁碟名稱相同,以誘騙使用者點選該檔案 (我們將此捷徑檔案命名為:LNK_GAMARUE.YYMN)。
惡意程式碼經過解密之後將直接載入記憶體中執行。此處,解密程式的檔案名稱就是加密金鑰。在感染過程中,沒有任何檔案會實際儲存到受害系統上。
解密後的程式碼會在系統登錄當中加入開機自動執行機碼,從這裡開始就銜接到我們上一篇分析文章描述的情形,所以此處不再重複說明整個感染過程,不變的是,系統最終將感染 BKDR_ANDROM.ETIN 後門程式。
圖 1:完整感染過程。
這裡有兩點值得注意。第一,隨著 Windows 版本的不同,感染的程序也會稍有不同。如果是 Windows 10 系統,感染程序很單純,只要在系統加入開機自動執行機碼,下次系統開機時就會自行下載後門程式到系統上執行。不過如果是之前的 Windows 版本就還需要第二個後門程式,趨勢科技將它命名為 BKDR_ANDROM.SMRA,這個後門程式會放在「%AppData%」資料夾,檔案名稱為「ee{8 個隨機字元}.exe」。此外,使用者的「啟動」資料夾也會多出一個捷徑檔案以確保第二個後門程式會在開機時自動執行。
第二,寫入系統登錄機碼中的網址,在 Windows 10 和之前版本的 Windows 上也有所差異。雖然我們看到的實際行為兩者並無差別,但這樣的作法卻可讓駭客針對使用者作業系統的不同而採取不同的攻擊手法。
我們不太清楚為何這第二個後門程式的安裝方式不像第一個後門程式那樣複雜。也有可能這是個轉移注意力的誘餌,駭客故意讓資安人員或使用者發現這第二個後門程式。因為,當人們注意的焦點都擺在這個明顯的後門程式時,另一個採用無檔案式感染手法的後門程式就更不容易被發現。
趨勢科技解決方案
趨勢科技端點防護產品,如:趨勢科技PC-cillin雲端版、趨勢科技 OfficeScan™ 以及 Worry-Free Pro皆內含行為監控功能,因此可偵測這類無檔案式惡意程式攻擊,不僅能協助企業發掘惡意行為,還能從中加以攔截,不讓惡意行為得逞。此外,OfficeScan 還可提供裝置控管功能來防止電腦讀取 USB 隨身碟和光碟,進而防範本文所討論的攻擊。
PC-cillin 雲端版防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
搭載 XGen 端點防護的趨勢科技 趨勢科技 OfficeScan™ 結合了高準度的機器學習與其他偵測技術和全球威脅情報,提供完整的進階惡意程式防護。
以下是這項攻擊相關的 SHA-256 雜湊碼:
- 24bc305961cf033f78bc1a162c41a7c1a53836a6ccbb197a5669b5f8a9f5251d
- 89dd71692bce3bb51a053570eb87fb5a9b5e1513fc1741f51b785e1137bd3cd1
原文出處:USB Malware Implicated in Fileless Attacks 作者:Byron Gelera
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。