下載到惡意 Zoom 和執行真正的Zoom安裝程式比官方Zoom安裝程式要來得慢。因為惡意版本在執行Zoom前會先解開惡意組件,因此需要花費更多時間執行。
網路犯罪份子正在利用”新常態”(員工需要遠端工作的狀況以及易用網路工具的普及)來讓惡意程式濫用或偽裝熱門應用以感染系統。趨勢科技發現兩個偽裝成Zoom安裝程式的惡意檔案,解碼後發現裡面包含了惡意程式碼。這些惡意假安裝程式並非來自Zoom的官方管道。其中一個樣本會安裝後門讓駭客可以遠端執行惡意行為,而另一個樣本則會在裝置上安裝Devil Shadow殭屍網路。
網路犯罪分子也可能會利用其他視訊會議軟體來綁入惡意軟體。因此趨勢科技正密切監視其他平台、行為和樣本是否出現篡改或捆綁惡意軟體的跡象。為避免遭受這些惡意假安裝程式感染,請只從可信任來源(像是Google Play store、Apple App store和https://zoom.us/download)下載Zoom或其他應用程式。
假安裝程式將後門程式與遠端存取功能綁在一起
我們發現一個綁入後門功能的假 Zoom安裝程式。將惡意安裝程式和所植入合法副本與官方Zoom網站的真正安裝程式進行比較,所植入檔案的屬性跟真正的版本相近。惡意安裝程式是一個包含許多加密過檔案的執行檔,解密後會將惡意程式碼寫入檔案%User Temp%\Zoom Meetings\5.0.1\setup.exe來執行。
分析惡意樣本顯示其在安裝時會終止執行中的遠端工具,並且打開TCP端口5650來取得對受感染系統的遠端存取能力。同時還會加入四個似乎是惡意程式配置的登錄機碼。
檢視所加入notification登錄機碼反組繹的功能後,發現字串包含用於通知命令和控制(C&C)伺服器的設定和值(電子郵件已設定、使用者帳密已被竊以及標記受到感染可被存取)。
調查其可疑行為發現它會執行真正的Zoom安裝程式來避免被懷疑。安裝後攻擊者就可利用此後門在任何時候來遠端執行命令。
Devil Shadow殭屍網路
該惡意安裝程式由包含惡意命令的pyclient.cmd檔案組成。cmd_shell.exe檔案是個自解壓縮檔(SFX),裡面包含了new_script.txt(內含C&C伺服器)、madleets.ddns.net和shell.bat以保持持續性,以及v5.0.1版的zoom.exe安裝程式副本。botnet_start.vbs檔案會執行pyclient.cmd,同時植入的組件boot-startup.vbs會執行來保持持續性。
重新包裝過的安裝程式會植入篡改過的應用安裝程式、惡意壓縮檔和程式碼以及用於持續性和通訊的命令。
圖6. 惡意軟體確保持續性
分析發現網路犯罪份子會用合法應用程式node.exe來執行檔案new_script.txt(內含C&C伺服器)。
檢視pyclient.cmd內的命令可以發現它連到主機網址https[:]//hosting303[.]000wenhostapp[.]com並下載與該應用惡意功能相關的檔案。
名為screenshot.exe的執行檔可取得使用者桌面和活動視窗的螢幕截圖。Webcam.exe會掃描系統檢查連接的網路攝影機。
仍然會安裝真正的Zoom執行檔,讓使用者不會懷疑到惡意活動,但是即使安裝結束,惡意軟體仍會持續在系統上運行。查看工作排程可以發現惡意軟體在電腦開啟後每30秒就會將所有收集的資訊發送到C&C。
結論
這些惡意安裝程式託管在可疑網站而非Play Store、App Store或Zoom下載中心等官方市場,這可以視為惡意軟體的明顯跡象。另一個可觀察跡象是惡意安裝程式安裝和執行真正的Zoom安裝程式比官方Zoom安裝程式要來得慢。因為惡意版本在執行Zoom前會先解開惡意組件,因此需要花費更多時間執行。
此惡意軟體背後的網路犯罪分子也可能正在進行研發;他們會用多個組件加上合法應用程式來躲避安全程式偵測。因為網路犯罪份子已經開始在篡改該應用程式,所以網路犯罪份子也可能在探索將惡意軟體綁入其他視訊會議軟體以獲利的可能性。
Zoom在新冠狀病毒(COVID-19,俗稱武漢肺炎)疫情爆發期間因其易用性而變得更加流行,而且Zoom會持續地依據被披露的問題來更新平台。跟多數惡意行為一樣,預期到業務連續性使得這些網路工具的需求會不斷成長,讓網路犯罪分子會去借助其普及性來感染盡可能多的系統。所以這兩種惡意軟體都可用於滲透企業或非商業組織內高價值目標的系統來竊取專有或機密資訊。駭客可以在使用者不知情下利用它們來滲透會議、鍵盤側錄、使用攝影機、安裝其他惡意軟體或錄製音訊和視訊。考慮到這些應用程式也可以用在各種平台和作業系統上,威脅也可能會擴展到其他裝置。
遠端和在家工作設置的使用者可以採用下列最佳實作來保持業務連續性和生產力:
- 只從官方市場和平台下載應用程式和軟體。
- 防護好你的視訊會議軟體和作業系統。將裝置軟體更新到最新版本,使用會議密碼並且要設定主持人控制功能。
趨勢科技解決方案
使用者可以安裝多層次防護系統來補充和完善這些安全措施以封鎖和偵測已知或未知威脅。趨勢科技Apex One提供先進的自動化威脅偵測及回應功能以應對日益增長的各類威脅。趨勢科技XDR將人工智慧和專家分析應用到趨勢科技解決方案從整個企業所收集的深層資料集,從而能夠提供更有效的早期偵測。
入侵指標(IoC)
後門程式
SHA256 | 描述 | 偵測名稱 |
4070e977823d74478aec248862302063918fda16b57f2c3b561018605bfbf4fe | svchîst.exe1 | Backdoor.Win32.RADMIN.CMU |
57bf83837c18a75d2e7327cdf5bfdcc906ccf78d82237ec961a4f1bee85473cf | install.exe1 | Trojan.Win32.ZAPIZ.A |
9b6b1807f886bb9eccdc170988d6e419e4301c96817f362aca3d01df17c352fd | reg.exe1 | |
90728a5b2f22460e1b28e3dc350a95b993a185a6170b4aa5e45b57834b90bcee | Zoom 5.0.1 RUS,ENG.exe | Trojan.Win32.ZAPIZ.THA |
Devil Shadow殭屍網路
SHA256 | 描述 | 偵測名稱 |
a26f3981ed3784bb86f5223bf14fb0047ff3fd86b8fc94753ce5a3f1702ebb56 | Zoom installer.exe | Backdoor.Win32.DEVILSHADOW.THEAABO |
93bf084daddb10b3760f4e4424b1bc4d5d5590c30064045d01c8658a6fe50d3a | pyclient.cmd1 | |
f01da52509792a52c6def452b3ee9b0b78acaca399341926fbe4f3212c42a55e | boot-startup.vbs1 | Trojan.BAT.DEVILSHADOW.THEAABO |
5b7804919d437688c8811e85c54cb36efba72652bac8093833ca04b811ea87b7 | cmd_shell.exe1 | Trojan.Win32.DEVILSHADOW.THEAABO |
628928fe61e86d3b246a7822b1d1505d3694becc4a73e373f73653851d22f1a5 | new_script.txt1 | Trojan.JS.DEVILSHADOW.THEAABO |
65f725f380c9b90d409539b74bfbd8a57f0fa48843ee79838fa57ad28240feb5 | shell.bat1 | Trojan.BAT.DEVILSHADOW.THEAABO |
網址
hosting303[.]000webhostapp[.]com/devil_shadow | 託管惡意軟體 |
madleets[.]ddns[.]net | C&C伺服器 |
@原文出處:Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers 作者:Raphael Centeno和Llallum Victoria(趨勢科技)
▶ 延伸閱讀