安全研究人員發現了一起多階段的攻擊鏈,利用RTF檔案的設計及微軟Office漏洞(CVE-2017-8570)來散播Formbook遠端存取木馬(RAT)。以下是企業要主動回應此威脅所需要了解的資訊:
[相關文章:Trickbot資料竊取程式加入躲避偵測和鎖住螢幕的功能]
Formbook具備鍵盤側錄和螢幕擷取功能
Formbook具備鍵盤側錄和螢幕擷取功能。它還可以下載其他惡意軟體或元件來竊取和外洩資料。研究人員指出,這版本的Formbook也含有銀行木馬中常見的惡意元件。
在2017年12月,趨勢科技發現數個網路犯罪集團散播Formbook及大量的其他資料竊取惡意軟體。他們的攻擊活動中也利用了RTF檔案,攻擊的是另一個漏洞(CVE-2017-11882)。
[延伸閱讀:中小型企業的資安挑戰可能需要第三方協助]
攻擊鏈
感染方式是雙管齊下。第一階段利用夾帶微軟Word文件(.docx)的垃圾郵件,文件檔內的frameset(包含載入文件所需框架的HTML標籤)內嵌了惡意網址。一旦受害者打開檔案,就會下載攻擊者所指定的物件並呈現在文件內。經過研究人員逆向工程一個Formbook樣本顯示,網址會連到另一個帶有漏洞攻擊RTF檔案的命令與控制(C&C)伺服器。這種攻擊不需要巨集和shellcode。
感染鏈的第二階段利用RTF的設計並且攻擊了漏洞CVE-2017-8570,進而讓Formbook感染系統。當RTF文件內嵌物件時,物件會被自動放入Temp(%TEMP%)系統資料夾。Cobalt駭客集團也曾經利用過RTF這種行為來散播資料竊取程式。接著它會攻擊遠端程式碼執行漏洞CVE-2017-8570(在去年11月被修補)來執行惡意軟體。
[延伸閱讀:主動事件回應策略的歷史概述及其對企業代表什麼]
它帶來什麼影響及該如何消弭此威脅?
雖然這些技術並不新鮮,但利用正常程式行為及攻擊漏洞讓這威脅非常有效果。多階段感染鏈也值得注意,顯示出駭客做足了準備工作。這些作法也讓其能夠躲避某些安全控制措施(如傳統沙箱技術),可以在不引起警報下執行活動。
還有些其他的網路犯罪集團或網路間諜組織採用相同技術(使用惡意格式RTF)來散播自己的資料竊取程式(像是Loki和Pony/FAREIT)。了解這技術有助於系統管理員和資訊安全專家在尋找威脅時可以擴大範圍。Formbook的進入點是什麼?可以採取什麼措施來修補安全間隙?哪些正常程式或工具遭到濫用,需要在電腦上禁止使用或加以限制?惡意活動是否隱藏在正常網路流量背後?的確,惡意軟體可以很容易地部署並且繞過傳統安全措施,說明需要採取主動式事件回應策略。這可以為企業提供可據以行動的情報,有助於對威脅進行主動偵測,分析和回應。
趨勢科技解決方案
趨勢科技Deep Security、Vulnerability Protection 漏洞防護和TippingPoint提供虛擬修補功能,可以保護端點對抗利用未修補漏洞的威脅。
趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件、勒索病毒和進階針對性攻擊進入企業網路前先加以封鎖。趨勢科技 Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防止惡意軟體接近最終使用者。在端點層級,趨勢科技 Smart Protection Suites提供多種功能,可將威脅的影響降至最低。
這些解決方案都由趨勢科技的XGen™ 防護技術驅動,它提供跨世代混合的威脅防禦技術來處理資料中心、雲端環境、網路和端點所可能面臨的各種威脅。它具備高保真機器學習功能來保護閘道和端點資料及應用程式,並保護實體、虛擬和雲端的工作機。
@原文出處:No Macros Required: Design in RTF and Vulnerability in Office Exploited to Deliver Formbook RAT