網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構,包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF,亦稱為 Muirim 和 Nioupale),主要具備四種功能:執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。
不過,根據趨勢科技最近的監控顯示,歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構,其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography),也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中),因此更不易被察覺。
如同許多網路間諜行動一樣,REDBALDKNIGHT 集團的攻擊雖然斷斷續續,卻持續很久。事實上,REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構,至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定,這一點從其社交工程(social engineering )技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件,日文非常流利,而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。
圖 1:REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。
圖 2:REDBALDKNIGHT 所使用的誘餌文件樣本,歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。
以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌
REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊(SPEAR PHISHING)來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌,以便能夠在背後暗中執行惡意程式,他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。
受害者一旦開啟附件檔案,其電腦就會被植入 Daserf 後門程式並執行。Daserf 的活動最早可追溯至 2011 年,但直到去年才有資安研究人員公開揭露這個後門程式。根據他們所找到的版本 (1.15.11.26TB Mini),趨勢科技又找到了該後門程式的其他版本 (參見附錄)。
Daserf 不斷進化以躲避防毒軟體偵測
根據趨勢科技分析顯示,Daserf 一直在不斷在改進,為的就是希望能夠躲過傳統防毒軟體的偵測。例如,Daserf 1.50Z、1.50F、1.50D、1.50C、1.50A、1.40D 和 1.40C 等版本使用了加密的 Windows 應用程式開發介面 (API)。而 v1.40 Mini 版本則使用了 MPRESS 壓縮程式,能在一定程度上防止防毒軟體的偵測,也防止研究人員的逆向工程。Daserf 1.72 和後續版本則使用了一種 base64替代演算法 + RC4 來將回傳資料加密,其他版本則又使用了不同的加密方式,如 1.50Z 版使用的是所謂的「凱薩密碼」(也就是將一個字母按一定規則替換成另一個字母,通常是往前推或往後推幾個字母)。
較值得注意的是,REDBALDKNIGHT 在第二階段幕後操縱 (C&C) 通訊當中會使用圖像隱碼術,而且會下載第二階段的後門程式。這項技巧曾經出現在 Daserf v1.72 Mini 及後續版本。Daserf 不僅使用圖像隱碼術來讓後門程式越過防火牆 (例如:網站應用程式防火牆),還能讓駭客更快、更方便地更換 C&C 通訊伺服器與後門程式。
REDBALDKNIGHT 採圖像隱碼術拉長潛藏期,偷更多資料
Daserf 的感染流程如下圖所示,它有幾種感染目標的方式:魚叉式釣魚攻擊(SPEAR PHISHING)、水坑式攻擊,以及經由 SKYSEA Client View 軟體的漏洞從遠端執行程式碼 (該漏洞為 CVE-2016-7836,已於 2017 年 3 月修補)。SKYSEA Client View 是日本普遍使用的一套 IT 資產管理軟體。
圖 3:Daserf 最新的執行與感染流程。
受害者的電腦會被植入一個檔案下載程式,然後連上某個已遭入侵的網站去下載 Daserf 後門程式。接著,Daserf 再連上另一個已遭入侵的網站去下載一個影像檔 (如:.JPG、.GIF)。這個影像檔內就暗藏著加密過的後門程式設定或駭客工具。解密之後,Daserf 就會連上其 C&C 伺服器等候進一步指令。Daserf 1.72 及後續版本皆內建了圖像隱碼術功能。
REDBALDKNIGHT 集團不僅將圖像隱碼術應用在 Daserf,趨勢科技發現該集團還有另外兩個工具套件也使用同樣的技巧:「xxmm2_builder」與「xxmm2_steganography」。根據其程式內的字串顯示,兩者都是另一個 REDBALDKNIGHT 集團相關威脅「XXMM」(趨勢科技命名為 TROJ_KVNDM) 的元件。這是一個檔案下載木馬程式,由於它能開啟指令列介面,因此可用來當成第一階段攻擊木馬程式。xxmm2_builder 的用途是讓 REDBALDKNIGHT 集團可以對 XXMM 進行客製化設定,xxmm2_ steganography 則是用來將惡意程式碼隱藏在影像檔當中。
REDBALDKNIGHT 的工具可利用圖像隱碼術來將執行檔或組態設定檔轉成標籤或加密字串,然後暗藏在影像當中。一個加密字串很可能就是一個執行檔或一個網址。駭客可上傳一個現有的影像給這套工具,工具就會將資料插入影像當中。此外,我們也發現 XXMM 和 Daserf 採用相同的圖像隱碼術演算法 (base64替代演算法 + RC4)。
圖 4:Daserf 的解密程式碼,與 XXMM 相同。
圖 5:REDBALDKNIGHT 集團在 XXMM 當中所使用的圖像隱碼術工具套件。
圖 6:Daserf 所用的工具套件產生出來的程式碼。
防範之道
對針對性攻擊/鎖定目標攻擊(Targeted attack )來說,圖像隱碼術是一項特別實用的技巧,因為歹徒可潛藏的時間越久,就能竊取越多的資料。的確,這項手法越來越受到網路犯罪集團青睞,且廣泛應用於:漏洞攻擊套件、惡意廣告行動、銀行木馬程式以及C&C 通訊和勒索病毒。就 REDBALDKNIGHT 集團攻擊行動的案例來說,使用圖像隱碼術能讓其惡意程式更容易躲避偵測及分析。
REDBALDKNIGHT 的持續行動,以及其多樣性與廣度,都再次突顯縱深防禦對企業的重要性。要防範這類威脅,企業可實施最低授權原則來大幅降低歹徒在企業內橫向移動的機會。此外,網路分割和資料分類也有所幫助。而存取控管與黑名單機制及入侵防護系統也能進一步提供防護,若再搭配白名單機制 (如應用程式控管) 與行為監控,就能偵測及攔截可疑或未知檔案的異常活動。妥善保護電子郵件閘道,可防範 REDBALDKNIGHT 集團的魚叉式網路釣魚攻擊。此外,也應停用非必要及過時的老舊元件或外掛程式,並確保系統管理工具受到妥善保護,因為這些都是歹徒最愛利用的工具。更重要的是,IT 基礎架構 (從:閘道、網路到端點和伺服器) 以及應用程式,都應隨時保持更新以盡量縮小攻擊面。
趨勢科技解決方案
趨勢科技Deep Discovery進階網路安全防護 能即時偵測、深入分析、並主動回應今日隱匿的惡意程式與針對性攻擊。它提供了一套專為企業量身訂做的完整防禦來對抗針對性攻擊和進階威脅,利用特殊的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測像 REDBALDKNIGHT 這樣的威脅。趨勢科技Deep Security 和 趨勢科技 Vulnerability Protection 漏洞防護 都能提供虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。趨勢科技 OfficeScan™的漏洞防護功能,也能在修補程式部署之前防止端點裝置遭到已知及未知的漏洞攻擊。
趨勢科技的資安解決方案皆以XGen為基礎,透過高準度的機器學習技術,保護 閘道和端點上的資料和應用程式。XGen™ 能防範今日針對企業量身訂做的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或將資料加密。
本威脅相關的入侵指標 (雜湊碼),請參閱 附錄。
原文出處:REDBALDKNIGHT/BRONZE BULTER’s Daserf Backdoor Now Using Steganography 作者:Joey Chen 和 MingYen Hsieh (威脅分析師)