從逮捕勒索軟體集團的首腦之一,到成功打下Rove Digital(請參考:趨勢科技協助 FBI 破獲史上最大殭屍網路始末),我們可以時常地看到執法單位和安全廠商間的合作行動,並且有著豐碩的成果。這一次,台灣刑事單位和趨勢科技合作偵破駭客假冒健保局,盜取萬筆中小企業個資案件,解決利用知名的Ghost遠端存取木馬家族所進行的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。執法單位也逮捕了一名對象。
BKDR_GHOST(又名Gh0st遠端存取木馬或TROJ_GHOST),是有名的遠端存取木馬(RAT),常常被用在目標攻擊,也被資安威脅份子和網路犯罪分子廣泛的使用。
在這起目標攻擊內,攻擊者透過特製的魚叉式網路釣魚(Phishing)電子郵件將BKDR_GHOST派送給不知情的目標。上述郵件包含一個會去自動下載該惡意軟體的連結。而且它會偽裝成健保局的來信,好產生足夠的說服力來吸引目標點入並執行這惡意軟體。
為了避免被偵測,攻擊者將這些電子郵件設計成為包含一個連結,將使用者導到一特定網站,並自動下載看起來是官方檔案的RAR壓縮檔。此外,為了進一步讓使用者願意去打開壓縮檔內的檔案,攻擊者利用了一個舊卻有效的文件命名詭計,將多個空格加到文件副檔名(在這案例內是DOC)和可執行副檔名(在這案例內是EXE)之間。這方法還是很有效,多個空格會將真正的副檔名隱藏起來,因為壓縮檔視窗並不大。趨勢科技的威脅解決方案可以利用ATSE 9.740.1046來將利用這種伎倆的惡意軟體偵測為HEUR_NAMETRICK.A。
BKDR_GH0ST感染鏈
一旦使用者打開偽裝的惡意軟體,它實際上是個可執行壓縮檔,就會產生下列的檔案並執行:
- %WINDIR%\addins\ACORPORATION.VBS(偵測為VBS_GHOST)– 執行Gh0st遠端存取木馬安裝腳本(AMICROSOFT.VBS)
- %WINDIR%addins\AMICROSOFT.VBS(偵測為VBS_GHOST) – 解壓縮有密碼保護的Gh0st遠端存取木馬壓縮檔(f2o.zip)
- %WINDIR%\addins\Atask.bat(偵測為BAT_GHOST) – 搜尋以下檔案並用解開的Gh0st遠端存取木馬組件來加以覆蓋:
- AdobeARM.exe
- jusched.exe
- Reader_sl.exe
- %WINDIR%\addins\f2o.zip – 包含兩個BKDR_GHOST變種,執行類似的惡意行為:
- put.exe(偵測為BKDR_GHOST)
- cd.exe(偵測為BKDR_GHOST)
一個較不被注意的行為是BKDR_GHOST會將最終檔案儲存在有密碼保護的壓縮檔(f2o.zip)內,它的密碼可以在安裝腳本AMICROSOFT.VBS內找到。一旦執行這些BKDR_GHOST惡意檔案,攻擊者就對這些受感染電腦有完全的控制能力,可以執行他們惡意的計畫,存取整個系統,並擷取珍貴的資料,像是個人檔案。
圖一:這次目標攻擊的流程
圖二:詳細的惡意軟體執行流程
為了避免落入這些攻擊的陷阱,趨勢科技強烈建議使用者在打開任何電子郵件中的附件或連結時都要特別小心。攻擊者偽裝成政府機構和其他單位是相當常見的手法,因此,使用者必須確認所收到電子郵件的合法性。想了解更多關於目標攻擊如何運作的資訊,可以參考我們的報告 – 「目標攻擊侵入點:你的企業通訊安全嗎?」
@原文出處:Targeted Attack in Taiwan Uses InfamousGh0st RAT
◎延伸閱讀
本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?