駭客利用 VPN 軟體安裝檔散播後門程式

趨勢科技 TrendMicro 企業資安

本文討論歹徒如何將後門程式暗藏在 Windscribe VPN 安裝檔內,經由後門程式,網路犯罪集團不需經正常過認證程序就能從遠端連上被感染的電腦並加以遙控。

任何熱門的技術最終都可能成為網路犯罪集團散播威脅的誘餌,虛擬私人網路 (VPN) 亦不例外。本文討論歹徒如何將後門程式暗藏在 Windscribe VPN 安裝檔內,經由後門程式,網路犯罪集團不需經過正常認證程序就能從遠端連上被感染的電腦並加以遙控。本文要討論的後門程式,就是趨勢科技偵測到的「Backdoor.MSIL.BLADABINDI.THA」及其相關惡意檔案「Trojan.MSIL.BLADABINDI.THIOABO」。

在此要特別強調,本文所分析的安裝檔是取自一些不肖來源,「並非」取自 Windscribe 官方的下載中心或是 GoogleApple 的應用程式商店。值得一提的是,網路犯罪集團過去就經常使用這類技巧來將惡意程式包裝在合法軟體 (如視訊軟體) 安裝檔內來誘騙使用者下載。

虛擬私人網路 (VPN) 軟體可讓使用者在連上網際網路時將連線加密以確保資料安全,防止資料遭到偷窺。VPN 一直都是非常實用的軟體,不過最近因為許多公司都實施了在家上班的政策,員工不得已必須離開較安全的辦公室網路,改用家用網路,因此 VPN 大受歡迎。

分析安裝檔內隨附的惡意檔案


一開始,使用者很可能在不知情的狀況下從一些不肖來源下載到這個原本應該是合法軟體的惡意安裝檔。此安裝檔會在使用者電腦上植入三個元件:原本 VPN 軟體的安裝檔、後門程式 (檔名「lscm.exe」) 以及用來執行惡意程式的腳本 (win.vbs)。

Figure-1-Contents-bundled-app-Windscribe
圖 1:暗藏惡意程式的軟體安裝檔內容。

Figure-2-Code-win.vbs-Windscribe
圖 2:用來執行惡意檔案的 win.vbs 腳本內容。

使用者會在畫面上看到一個安裝視窗,但這很可能是用來掩蓋背後正在執行的惡意活動。

Figure-3-Installation-VPN-Windscribe
圖 3:Windscribe VPN 安裝視窗。

後門程式 lscm.exe 會在使用者不知情的狀況下暗中從某個網站下載惡意檔案。接下來,這個網站會將使用者重導到另一個網頁來下載一個經過加密的「Dracula.jpg」檔案。

Figure-4-lscm.exe-Windscribe
圖 4:lscm.exe 程式碼片段,其中可看到其惡意檔案的下載來源。

這個經過加密的檔案中有個解密函式會將所有的「DTA」字串替換成「14」,然後再將該檔案的字串前後顛倒過來。接著,再將所有十六進位值轉成字串,最後得出的一串數值就是一個 base64 編碼檔案。

Figure-5-Decryption-Windscribe
圖 5:解密函式程式碼片段。

Dracula.jpg 檔案的內容經過多道解密程序之後就會看到後門程式內容。

Figure-6-Encrypted-code-Windscribe
圖 6:解密後的 Dracula.jpg 檔案。

Figure-7-Encrypted-2-Windscribe
圖 7:加密過的 Windscribe 軟體程式碼。

Figure-8-Decrypted-file-Windscribe
圖 8:解密後的檔案。

此後門程式還可執行某些指令,例如:下載、執行、更新檔案,以及擷取使用者的畫面截圖。

除此之外,惡意程式還會蒐集以下資訊:

  •  防毒產品
  •  電腦名稱
  •  作業系統
  •  使用者名稱

結論



不論企業或個人使用者都會利用 VPN 來提升其系統的安全性。但如果不小心下載到一個暗藏惡意程式的安裝檔,那就適得其反。所以,每個人都應該特別留意,任何應用程式最好只從正規管道下載,例如應用程式的官方下載中心或其他合法應用程式商店。

今天,許多企業都仍在使用 VPN 來確保員工在家上班的安全性。儘管家裡是人們放鬆的場所,但為了裝置的安全,使用者還是千萬別掉以輕心。時時刻刻都應保持警戒,並採取必要的措施來保護自己的資料。

建議


預防重於治療,要避免下載到惡意檔案,最好的方法就是不要從不明來源下載軟體,並遵守以下幾點建議:

  • 只從官方下載中心和應用程式商店下載軟體,如果對於下載來源有任何疑慮,最好先跟公司的 IT 部門確認一下。
  • 仔細查看一下網址來分辨是否為假冒的網址還是真正的官方下載中心或應用程式商店。切記,任何的拼字錯誤都是一種警訊。
  • 切勿點選非信任來源的電子郵件所提供的網址來下載應用程式或其他檔案。
  • 切勿點選可疑郵件中的任何連結,您可以將滑鼠停在連結上方來查看連結真正對應的網址。

最後,我們推薦使用 Trend Micro™ WiFi Protection 這套軟體來確保您在家中或公共場所上網時的連線安全。此外,他也能過濾並攔截惡意網站與網路詐騙。

入侵指標資料

SHA256趨勢科技病毒碼偵測名稱
3b885d93801f89805020bf2c992048ce0dca499809e6721528ee03fa4544b398Trojan.MSIL.BLADABINDI.THIOABO
c1f32f166400b5e5c394d30e62ee9f0e42c24f2d839c51fda227d2007f499a81Backdoor.MSIL.BLADABINDI.THA

網址

  • gamezer1hack[.]sytes[.]net:19811
  • hxxps://onedrive[.]live[.]com/download?cid=9B6546ADF0F7911A&resid=9B6546ADF0F7911A!1195&authkey=ABFIpKKz4bOcT1I
  • hxxps://yu0aoq[.]db[.]files[.]1drv[.]com/y4mr4XEohBDL_98XqXLIKJPqiyqV1rhPymTxyJlXe0jmdlUfwDD0zTGUJtmAqyLRdtTJXAYycbv00qkSdgyjkAgF7qoUz202MHf4y0SseZXAX-gSTmO3mIT5jCGKwfPRsMgFOcCjm8P9cugtlz0psvZQgiW13JPS_JSu3Wc8nVE0qT8qYTpNjQfCHLwTmNk6fh5zaCvDF0gpJkdKuvrMJ0TsA/dracula.jpg?download&psid=1

原文出處:Cybercriminals Distribute Backdoor With VPN Installer 作者:Raphael Centeno

相關文章:

《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
躲在系統四個月沒被發現?駭客竊取資料的五個隱身術
【2019 年資安預測 】不只是企業高層主管,變臉詐騙也將開始鎖定一般員工 (6-5)