偽裝成收據形式的銀行木馬DanaBot,是個具有隱藏能力的模組化惡意軟體。模組化惡意軟體難以偵測。比方說,一個組件可以設計成在另一組件沒有運行時就停止或不運作,因此可以讓惡意軟體組件長時間駐留在中毒系統內直到被執行起來。攻擊者也可以將組件設計成不需依賴其他組件就能自行執行。此時惡意軟體可以進行資料竊取,但同時讓其他功能組件保持隱藏狀態。
資安研究人員最近發現一隻名為DanaBot的銀行木馬(趨勢科技偵測為TROJ_BANLOAD.THFOAAH)會經由垃圾郵件在歐洲國家散播。以下是關於此威脅的資訊,使用者和企業該如何抵禦此威脅的作法,以及託管式偵測及回應(managed detection and response)服務如何協助對抗此威脅。
DanaBot 銀行木馬偽裝收據經郵件散播
DanaBot是用Delphi程式語言開發的銀行木馬,能夠竊取帳密並劫持受感染的系統。它會偽裝成收據檔案來透過垃圾郵件夾帶散播出去,執行時會利用PowerShell(一種系統管理工具)及名為BrushaLoader的Visual Basic腳本(VBScript)來取回和執行組件。
DanaBot第一次出現時會利用內嵌惡意巨集的Word文件檔,開啟時會透過PowerShell下載DanaBot。資安研究人員指出最新的垃圾郵件活動則開始會利用BrushaLoader,並且DanaBot本身也進行了更新。
[相關新聞:不斷進化的Trickbot加入躲避偵測和鎖住螢幕的功能]
聲稱夾毒信件已受到資安公司的「保護」
DanaBot最初在澳洲現身時,透過垃圾郵件散播,附加的惡意Word文件檔聲稱使用者受到資安公司的「保護」。DanaBot的命令和控制(C&C)伺服器會先檢查受感染系統的IP地址,如果位在澳洲就會植入銀行木馬。
之後DanaBot擴大了荼毒範圍,最近的垃圾郵件活動目標是歐洲國家,特別是奧地利、德國、義大利、波蘭和烏克蘭。雖然這些郵件仍偽裝成收據的形式,但會用PowerShell和BrushaLoder來下載DanaBot的各個組件。
[趨勢科技2018年中資安綜合報告:無檔案、巨集和小型惡意軟體挑戰只針對檔案的資安技術]
DanaBot包含多個組件,執行多階段感染鍊,具有自我隱藏能力
DanaBot以多階段感染鍊及模組化架構著稱。DanaBot包含幾個組件(主要是DLL檔)來執行個別的功能:
- VNC – 連接並劫持受感染系統。
- Sniffer – 當使用者瀏覽目標銀行網站時將惡意腳本注入瀏覽器。
- Stealer – 竊取各種應用程式帳密:電子郵件軟體(如Windows Live Mail和Outlook等)、即時通(IM)、FTP軟體(如FileZilla)、網路瀏覽器和線上遊戲軟體(特別是撲克遊戲)。
- TOR – 使用Tor代理程式來連上.onion網站;研究人員指出此組件是用來進行C&C通訊。
- RDP – 用遠端桌面協定(RDP)來連上電腦;此組件基於一個開放原始碼計畫,可以讓多個使用者同時遠端連到Windows電腦。除了作為VNC的替代方案外,研究人員還指出此組件可以用來秘密地偵察目標系統而不被使用中的使用者察覺。這個組件是在今年9月才被加進DanaBot。
[最佳實作:Infosec安全指南:網頁注入]
使用者和企業該如何防禦DanaBot 銀行木馬?
雖然模組化惡意軟體並非新威脅,不過它的隱藏能力讓它有可能帶來重大的危險。實際上,此項技術被越來越多地利用在殭屍網路(botnet)、其他資料和檔案竊取程式、Android惡意軟體、銷售端點(PoS)惡意軟體甚至是網路間諜活動上。模組化惡意軟體可能會難以偵測。比方說,一個組件可以設計成在另一組件沒有運行時就停止或不運作,因此可以讓惡意軟體組件長時間駐留在中毒系統內直到被執行起來。攻擊者也可以將組件設計成不需依賴其他組件就能自行執行。此時惡意軟體可以進行資料竊取,但同時讓其他功能組件保持隱藏狀態。發現一個組件並不一定能夠找到其他組件。
防禦像DanaBot這樣的模組化惡意軟體需要應用多層次防護技術。以下是一些最佳實作:
- 確保遠端存取功能的使用(如遠端桌面),像銀行木馬這樣的資料竊取程式會利用此功能來劫持其他電腦,也可能被勒索病毒當作感染其他系統的載體。
- 即時修補系統、網路、伺服器和閘道,確保應用程式保持在最新狀態。
- 應用身份驗證和授權機制來減少利用外洩或被竊帳密的攻擊。
- 限制或防護系統管理工具的使用,因為現今的威脅越來越常濫用它們來躲避偵測。
- 安裝額外一層的安全防護,例如應用程式控制,可以防止未知或可疑的執行檔或應用程式執行;還有行為監控,可以封鎖對系統或已安裝軟體進行異常的更動。
- 主動監控網路是否出現任何可疑活動,例如C&C連線、資料外洩和橫向移動。
[延伸閱讀:資料外洩突顯出託管式偵測及回應(Managed Detection and Response)服務的必要性]
託管式偵測及回應如何協助解決此威脅?
在理想狀況下,企業應該具備必要的安全機制來抵禦隱形威脅,但企業可能會因為預算限制(如聘僱資安專家)或更加惡化的網路資安技能落差而很難做到。企業可以考慮的一種安全策略是利用託管式偵測及回應(MDR,managed detection and response),它提供全面性的威脅搜尋服務及安全專家來協助企業進行調查、主動回應並解決會躲避偵測的威脅。
例如,偵測或封鎖模組化惡意軟體的組件並不能確保找到其他組件。像是FastPOS這樣的模組化PoS惡意軟體,其記憶體擷取模組能夠單獨作為服務運行,並且可能很容易就移除。但它的鍵盤側錄模組可能就難以偵測,因為它會將程式碼注入合法程序。需要採取主動方法來識別惡意軟體可能的位置並關聯其活動 – 像如果正在下載其他惡意程式或在感染其他程序。MDR服務提供所需的技術(特別是在發展主動事件回應及解決策略所必要的專業知識)來抵禦惡意威脅及網路攻擊。
趨勢科技的託管式偵測及回應(managed detection and response)服務可以協助客戶調查資安警報而無需聘雇事件回應人員。它替趨勢科技客戶提供了警報監控、警報優先排序、調查和威脅搜尋服務。將AI(人工智慧)模型應用在客戶端點資料、網路資料和伺服器資訊,讓這項服務可以交叉關聯警示與客戶環境資料來判斷輕重緩急,利用威脅情報來分析並釐清威脅是否為攻擊的徵兆。趨勢科技的威脅研究人員可針對高度風險警報加以優先調查來確認攻擊的程度和範圍,並與客戶合作提供詳細的處理計劃。
@原文出處:DanaBot Banking Trojan Found Targeting European Countries