隨著網路資安廠商的防禦能力不斷提升,網路犯罪集團也開始在惡意程式上推出新的花招來因應。最近趨勢科技發現了一些經由垃圾郵件散布的新威脅被包裝在老舊且少用的檔案類型當中。垃圾郵件目前依然是網路犯罪集團最愛的散播途徑之一,垃圾郵件攻擊儘管老派,卻占了全球電子郵件流通數量的 48% 以上。
趨勢科技在 2017 年資安總評報告當中指出,垃圾郵件當中最常出現的惡意附件檔案類型為:.XLS、.PDF、.JS、.VBS、.DOCX、.DOC、.WSF、.XLSX、.EXE 及 .HTML。除此之外,我們也在今年八月發現了會散布 GandCrab v4.3 勒索病毒的 .EGG 檔案。不過,網路犯罪集團仍在不斷翻新其使用的檔案類型。以下說明網路犯罪集團如何利用一些舊的檔案類型來包裝新的威脅,證明他們隨時都在實驗新的技巧以躲避垃圾郵件過濾機制。
趨勢科技近日偵測到近 7,000 個採用 ARJ 壓縮的惡意檔案
ARJ 是「Archived by Robert Jung」的簡寫,這是一個 90 年代出現的檔案壓縮軟體,.ARJ 檔案的用途與 .ZIP 類似,只不過沒有後者那麼流行。儘管 .ARJ 檔案從 2014 年起即成為歹徒散布惡意檔案的格式之一,但我們最近發現使用 .ARJ 格式來散布惡意檔案的情況突然暴增。趨勢科技 Smart Protection Network™ 情報網最近已偵測到將近 7,000 個採用 ARJ 來壓縮的惡意檔案。
圖 1:隨附惡意 .ARJ 壓縮檔案的垃圾郵件攻擊過程。
圖 2:含有 .ARJ 附件檔案的垃圾郵件。
垃圾郵件主旨都與月結單或訂單有關, 目的為植入間諜程式,蒐集瀏覽器儲存的使用者名稱和密碼及多個電子郵件平台的帳號登入憑證
最近我們發現了專門散布惡意 .ARJ 檔案的垃圾郵件攻擊中,有許多垃圾郵件,其主旨都與月結單或訂單有關,如:「STATEMENT OF OUTSTANDING BALANCE AS YOUR REFERENCE」(月結單)、「New Order-Snam Thai Son Group//PO//Ref 456789」(訂單)、「SUBJECT:Advice from Standard Chartered Bank」(來自渣打銀行的建議事項) 等等。
這些惡意的 .ARJ 檔案一旦下載至裝置上,就會在系統上植入並執行一個執行檔或螢幕保護程式。
圖 3:.Z 檔案內容。
以往 (在 2014 年左右),當垃圾郵件隨附的 .ARJ 檔案成功解壓縮之後,就會讓受感染的電腦變成殭屍網路成員,被歹徒用來散布更多垃圾郵件或發動阻斷服務攻擊。但今年這波垃圾郵件則是在系統植入間諜程式 (趨勢科技命名為 TROJANSPY.WIN32.GOLROTED.THAOOEAH),它會蒐集系統資訊及瀏覽器儲存的使用者名稱和密碼。除此之外,該惡意程式還會試圖竊取多個電子郵件平台的帳號登入憑證。
使用 .Z 檔案為附件的後門程式,可開啟/重新命名/上傳/刪除受害電腦中的檔案、側錄鍵盤按鍵,甚至可擷取影像和聲音
另一個網路犯罪集團會使用的檔案類型是 .Z 檔案。.Z 檔案是 Unix 系統的壓縮格式,不過就普遍程度而言,GNU Gzip (.gz) 壓縮格式更受使用者歡迎。由於這類檔案的檔名看起來好像使用了重複的副檔名 (如 .PDF.z),因此使用者可能會以為自己正在開啟一個 PDF 檔案,而非 .Z 壓縮檔。
圖 4:偽裝成訂單的 .Z 附件檔案。
如同 .ARJ 檔案一樣,這類壓縮檔當中可能內含一個 .EXE 執行檔或螢幕保護程式。
在趨勢科技發現的垃圾郵件攻擊當中,有一個使用 .Z 檔案為附件,其中內含後門程式 (趨勢科技命名為 BACKDOOR.WIN32.REMCOS.TICOGBZ),該程式可開啟/重新命名/上傳/刪除受害電腦中的檔案、側錄鍵盤按鍵,甚至可利用電腦的相機和麥克風來擷取影像和聲音。除此之外,今年稍早,研究人員也發現了一波會利用 .Z 附件檔案散布 DarkComet 遠端存取木馬程式 (RAT) 的垃圾郵件攻擊。
使用 .PDF 檔案來散布惡意程式下載器和後門程式,專門攻擊金融機構
歹徒使用 .PDF 檔案散布惡意程式早已不是什麼新聞。事實上在今年稍早,趨勢科技就看過一波垃圾郵件攻擊使用 .PDF 檔案來散布惡意程式下載器和後門程式,專門攻擊金融機構。儘管歹徒的攻擊手法不斷創新,但網路犯罪集團似乎還是很喜歡使用原本就很成功的攻擊技巧。最近,我們發現網路犯罪集團開始將 .IQY 和 .PUB 檔案內嵌在 .PDF 附件當中。
這些惡意的 .IQY 和 .PUB 檔案一旦成功下載至系統上,就會經由 JavaScript 程式碼來加以執行:
圖 5:利用 JavaScript 來執行 .IQY 和 .PUB 檔案。
這段 JavaScript 程式碼使用了 exportDataObject 函式來匯出並啟動惡意程式,也就是程式碼中「nLaunch」所代表部分,至於匯出的物件或檔案則是由「cName」所代表。「nLaunch = 2」這行程式碼意味著惡意檔案在啟動之前會先儲存在 %TEMP% 暫存目錄。
圖 6:使用 .PDF 文件來內嵌 .PUB 檔案的垃圾郵件攻擊過程。
使用 .PDF 內嵌 .IQY 檔案的垃圾郵件攻擊,光在印度就偵測到超過 58,000 個案例
採用 Internet Query Files (IQY) 檔案為感染媒介的攻擊手法,是由Necurs 垃圾郵件攻擊所帶起的風潮,此攻擊利用 MS Excel 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 功能來散播 FlawedAmmyy 遠端存取木馬程式 (RAT)。而這波風潮也讓這項攻擊手法 (使用 .IQY 檔案為感染媒介) 更加普及。在本文的案例當中,.IQY 檔案是內嵌在一個 .PDF 檔案當中。
2018 年 8 月 15 日,趨勢科技發現了一波使用 .PDF 來內嵌 .IQY 檔案的垃圾郵件攻擊。趨勢科技 Smart Protection Network™ (SPN) 全球情報網光在印度就偵測到超過 58,000 個案例,其他國家如越南、美國、中國和德國也都有偵測案例。
圖 7:利用 .PDF 檔案來內嵌 .IQY 檔案以散布 Marap 木馬程式的垃圾郵件攻擊過程。
圖 8:垃圾郵件攻擊行動使用的 .PDF 檔案內含一個 .IQY 檔案
前一陣子,我們也在日本看到歹徒利用 .IQY 檔案來散布 BEBLOH 或 URSNIF 惡意程式。
顯少使用的 Microsoft Office 應用程式MS Publisher 執行惡意巨集
今日的垃圾郵件攻擊已不再全部仰賴傳統文件檔案來搭配惡意巨集,網路犯罪集團正加碼改進,利用一些罕見的文件檔案來散布惡意程式。例如八月底左右出現的一波垃圾郵件攻擊,就是利用 MS Publisher 這個相當少人使用的 Microsoft Office 應用程式。其運作方式與前述的內嵌 .IQY 檔案類似,只要開啟 Publisher 檔案 (.PUB),就會執行檔案內的惡意巨集。
圖 9:.PUB 檔案暗藏的惡意巨集。
2018 年 8 月 21 日,我們的 SPN 偵測到利用 .PDF 為附件檔案並內嵌惡意 .PUB 檔案的垃圾郵件攻擊。我們偵測到的絕大多數案例都集中在印度,占所有偵測案例的 73% 強,其次是英國 (11%)。此外,我們也在越南、台灣、中國、土耳其和美國發現這波垃圾郵件的案例。
將遠端存取木馬程式 (RAT) 藏在惡意的 SettingContent-ms 檔案內,然後再內嵌在 PDF 文件當中隨垃圾郵件散布
Windows 10 作業系統在發表時順勢推出了一種新的檔案類型,叫做「SettingContent-ms」。這種檔案通常包含 Windows 功能的設定資料,大多用來建立舊式 Windows 控制台的捷徑。網路犯罪集團很快地就盯上這項功能,並且將它內嵌在 Microsoft Office 應用程式當中。今年 7 月出現的一些垃圾郵件攻擊顯示網路犯罪集團會將 FlawedAmmyy 遠端存取木馬程式 (RAT) 藏在一個 惡意的 SettingContent-ms 檔案內,然後再內嵌在 PDF 文件當中隨垃圾郵件散布。
圖 10:利用惡意 .PDF 檔案來暗藏 JavaScript 程式碼與 SettingContent-ms 檔案,進而散布 FlawedAmmyy 遠端存取木馬程式的垃圾郵件攻擊過程。
最近出現的一波垃圾郵件和概念驗證攻擊顯示歹徒如何利用 SettingContent-ms 檔案,只要將 DeepLink (深度連結) 標籤的指令列換成一個惡意檔案即可。
防範垃圾郵件攻擊當中不斷演變的惡意程式
隨著威脅情勢持續發展,歹徒似乎越來越有創意,他們開始利用一些先前從未見過或罕見的檔案類型來散布惡意程式,使得缺乏警戒的使用者不知不覺遭到感染。儘管某些網路資安產品或許無法立即防範這類威脅,但若能採用一套多層式威脅防禦方法,就能在垃圾郵件攻擊的不同層次更有效偵測並防範端點和系統遭到惡意程式感染。
趨勢科技即是採用這樣的全方位網路資安防護方法,我們的產品皆內含強大的傳統防護與最新的前瞻性技術。我們的 Trend Micro™ Anti-Spam Engine (TMASE) ™ 與 趨勢科技的Hosted Email Security 皆整合了機器學習(Machine learning,ML)與傳統網路防禦技術,能在網路層次攔截所有經由電子郵件散布的威脅。由於垃圾郵件的數量與日俱增,因此企業若要維持正常營運,迅速準確攔截這類威脅的資安解決方案絕不可少。
除此之外,趨勢科技還有 Web Reputation Service (WRS)™ 網站信譽評等服務可防止客戶不小心瀏覽到已遭駭客入侵並且可能已暗藏惡意程式碼的網站。有了這項服務,使用者就不會下載到一些可能從幕後操縱 (C&C) 伺服器下載惡意程式的執行檔。
網路犯罪集團正投入時間和資源來試圖改變垃圾郵件攻擊的樣貌以避開網路資安防禦的偵測。因此,網路資安防禦也必須不斷精進,以便能夠搶先歹徒一步,在各個攻擊階段攔截威脅,讓使用者安心上網,讓企業維持高效率而平順的運作。
入侵指標 (SHA256)
.Z 附件檔案
a22ede52f14be480dd478fa0ec955b807e4b91a14fbe1b5d46c07bbb5cacccbb
.ARJ 附件檔案
d5f4d2def36c54cd404742fe40583fa5805e55aa687063f9cd92bfd7378f7dc4
暗藏 .PUB 檔案的 .PDF 附件檔案
.PDF – Dd45ab22c16b843a8755f859103f4509fcbbd2da5d837e622cb37a16e53c8cc3
.PUB – 38066350f0ad3edfa2ccf534f51ad528b8bac6e8f1a2a5450556a33fdf345109
最終的惡意程式 (BKDR_FLAWEDAMMYY.EB) – eeae4955354e07e0df2c5ca3bdc830f6758c11ba185511ef4b3d82a9c1253e63
暗藏 .IQY 檔案的 .PDF 附件檔案
.PDF – B2b2ec71154a551b1af2cfc1611a6ed59821917c0c930ea6f737c586ecdfa147
.IQY – 3fd386172636a5c5b471d89c23e4d24cc36d42c90975245ab1a6525e7895fc57
最終的惡意程式 – 996053ee305ee730f4095d9ee71447dd72815083c8cdf98e048f41185cf2b1d1
原文出處:Same Old yet Brand-new: New File Types Emerge in Malware Spam Attachments 作者:Miguel Ang 和 Donald Castillo