在趨勢科技的2013年安全預測中,我們認為網路犯罪份子會專注於改進現有工具,而非創造新威脅。有兩起威脅顯示了改進之前的已知威脅的確是有效的。
Crypto Locker:最新一波的勒索軟體
除了利用贈品、競賽或是偽裝成知名品牌之外,網路犯罪分子的社交工程( Social Engineering)百寶箱內還有其他同樣有效的誘餌。這甚至包括徹頭徹尾的恐嚇或嚇唬使用者去購買假產品,交出自己的資料或金錢。這類的戰術很顯然是用在假防毒軟體之類的威脅,還有現在的勒索軟體 Ransomware。
之前的勒索軟體用一種新型態出現,就是警察木馬。這類惡意軟體通常會封鎖對系統的存取,並出現偽造的執法單位通知訊息給使用者。指控使用者在網路上做出違法的事情,並要求支付罰金。
但是最近的勒索軟體變種(稱為Cryptolocker)會加密檔案,而不只是鎖住系統。這是為了確保使用者在惡意軟體被刪除後還是會願意付錢。最近的Cryptolocker(偵測為TROJ_CRILOCK.AE)會出現警告通知桌布。這警告通知使用者,即使他們從系統內刪除惡意軟體,加密過的文件將仍然無法使用。
如果使用者不花費300美元(或是300歐元)來購買私鑰的話,這把可以解密文件檔案的私鑰就會被刪除。除了這個行為,這惡意軟體還出現跟其他已知的 cryptolock 變種相同的行為。
如何保持低調,SHOTODOR風格
另一種讓攻擊成功的方式就是讓使用者,甚或是防毒軟體都不會發現。趨勢科技發現了BKDR_SHOTODOR.A,它會使用垃圾程式碼和隨機檔案名稱來將混淆伎倆提升到另一個新水平。(請注意,這次攻擊的幕後黑手和之前的完全不同。)
目前尚無法確定感染途徑。根據趨勢科技的分析,這威脅始於一個植入程式,它會植入多個檔案到受影響系統上。仔細觀察這些檔案會發現多數檔案包含一些數值,而其他文件所包含的數據是無害。然而,有個檔案特別突出,因為它非常大。它也包含了數值「垃圾」字串。實際上,這些字串隱藏了真正的惡意程式碼,這是一個混淆過的AutoIt腳本。
接下來的問題是,這些惡意程式碼如何被執行?其中一個被植入的檔案包含了AutoIt腳本直譯器,可以載入前面所提到的混淆腳本。一旦完成,它會啟動上述腳本去收集其他植入檔案內的資訊以組合出剩下的惡意程式碼。這樣做之後,這程式碼會在記憶體內建立一個可執行檔,並注入到一個正常程序。這惡意的可執行檔會執行後門程式(例如跟命令與控制伺服器建立通訊,執行惡意命令等)。
選擇去「分散」惡意程式碼,之後再加以重組以建立一個惡意可執行檔案,攻擊者顯然是為了要避免被偵測和保持隱密。所有的相關檔案都被趨勢科技偵測為BKDR_SHOTODOR.A。
這些威脅強調了,除了去創造全新的威脅類型,攻擊者選擇修改現有威脅還是會一樣有效。雖然不是完全的「新」,還是可以對使用者構成重大威脅。
為了保護你的系統免於此類威脅,要記得遵守使用電腦的最佳實作。像是
- 避免連上未知網站
- 不要點入不明來源的網址
- 避免執行或打開可疑郵件內的附加檔案。
@原文出處:Threat Refinement Ensues with Crypto Locker, SHOTODOR Backdoor
作者:Joselito Dela Cruz(資深威脅反應工程師)
◎延伸閱讀
警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金
警方:你因觸犯法規電腦遭鎖定,必須支付罰款才能解除鎖定~警察勒索程式,假警察真詐財
《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭
專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」
趨勢科技協助 FBI 破獲史上最大殭屍網路始末: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得
PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
◎ 歡迎加入趨勢科技社群網站
