< APT 攻擊 > 利用微軟Word零時差漏洞,鎖定台灣政府機構發動攻擊(含社交工程信件樣本)

漏洞,特別是零時差漏洞,經常會被惡意份子用作目標攻擊的起始點。影響微軟Word的零時差(在當時)漏洞CVE-2014-1761)就是一個例子。在三月所發佈的資安通報裡,微軟自己承認該漏洞被用在「有限的目標攻擊」裡。微軟因此在其四月的週二修補程式裡修補了此一漏洞。

漏洞 弱點攻擊

然而,出現修補程式並不會嚇阻惡意份子去利用此漏洞。趨勢科技還是看到有APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊在他們的攻擊活動裡利用此一漏洞。

Taidoor連線:偽裝台灣政府部門和教育單位發出全國民調, 服貿議題被操作

我們看到了兩起針對台灣政府部門和一個教育單位的攻擊。第一起攻擊使用夾帶惡意附件檔的電子郵件,此郵件偽裝成來自政府員工。附件檔標題偽裝成一份全國性民調來增加說服力。此附件其實是被偵測為TROJ_ARTIEF.ZTBD-R的漏洞攻擊程式。它會產生被偵測為BKDR_SIMBOTDRP.ZTBD-R的檔案,接著再產生兩個檔案 – TROJ_SIMBOTLDR.ZTBD-R和TROJ_SIMBOTENC.ZTBD-R。這兩個檔案最後會導致被偵測為BKDR_SIMBOT.SMC的最終結果。

 

第二起APT攻擊的教育單位也是在台灣。此波攻擊利用電子郵件附加檔案來取得對收件者電腦和網路的存取能力。這封電子郵件討論了服貿議題,而附件檔和一個工作專案有些關係。跟第一個案例類似,此附件檔也是被偵測為TROJ_ARTIEF.ZTBD-PB的漏洞攻擊程式。它會產生一個被偵測為BKDR_SIMBOT.ZTBD-PB的後門程式。一旦執行,此一惡意軟體可以執行指令來搜尋欲竊取的檔案、取出檔案以獲利以及進行橫向移動。

我們已經確定這兩個攻擊跟Taidoor有關(一個自2009年就開始活躍的攻擊活動),因為網路流量結構類似。上述攻擊和之前的攻擊活動有著相同的特性,不管是目標、社交工程(social engineering 誘餌以及使用(零時差漏洞)的技術。

後續的PlugX:偽裝成來自台灣某出版社的新書列表

另一起我們看到利用CVE-2014-1761的攻擊針對在台灣的郵件服務。就跟其他攻擊一樣,此一攻擊利用電子郵件附加檔案來進入網路。電子郵件附加檔案偽裝成來自一出版社的新書列表。這樣做是為了引起收件者的興趣。

此附件檔其實是偵測為TROJ_ARTIEF.ZTBD-A的漏洞攻擊程式,會產生被偵測為TROJ_PLUGXDRP.ZTBD的PlugX惡意軟體。它會產生被偵測為BKDR_PLUGX.ZTBD的惡意程式,此程式可以進行廣泛的資料竊取行為,包括:

  • 複製,移動,重新命名,刪除檔案
  • 建立目錄
  • 建立文件
  • 列舉檔案
  • 執行檔案
  • 取得磁碟資訊
  • 取得檔案資訊
  • 打開和修改檔案
  • 記錄鍵盤活動和執行中視窗
  • 列舉TCP和UDP連線
  • 列舉網路資源
  • 設定TCP連線狀態
  • 鎖住工作站
  • 登出使用者
  • 重新啟動/重新開機/關機
  • 顯示訊息方塊
  • 進行端口映射
  • 列舉程序
  • 取得程序資訊
  • 終止程序
  • 列舉登錄檔
  • 建立登錄檔
  • 刪除登錄檔
  • 複製登錄檔
  • 列舉登錄檔機碼
  • 修改登錄檔機碼
  • 刪除登錄檔數值
  • 擷取螢幕
  • 移除服務
  • 列舉服務
  • 取得服務資訊
  • 修改服務
  • 啟動服務
  • 執行遠端shell
  • 連到資料庫伺服器並執行SQL語法
  • 建立Telnet伺服器

 

PlugX惡意軟體是用在目標攻擊中的遠端存取工具(RAT),針對政府相關機構和關鍵產業。PlugX可以讓遠端使用者在受害系統上進行資料竊取的動作。PlugX可以讓攻擊者完全的控制系統。

 

進行對策

對於一般使用者和企業來說,安裝修補程式還是第一優先。一旦修補程式釋出就加以安裝可以幫助組織對抗針對該漏洞的攻擊。企業還可以考慮虛擬修補,可以幫助他們幫助減輕零時差漏洞和未支援系統所帶來的威脅。

教育訓練也是對抗目標攻擊的關鍵因素。對於仍然可以寄進的電子郵件攻擊,適當的員工訓練可以幫助識別可疑的活動和電子郵件。使用者需要被教導讓員工們認識可疑的電子郵件,以提高安全意識和強化整個組織的防禦。

下面的深層封包檢測(DPI)規則可以防止針對此漏洞的攻擊:

 

  • 1005990 – Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761)

 

除了上述規則外,趨勢科技Deep Discovery也可以透過ATSE(進階威脅掃描引擎)來啟發式的偵測針對此漏洞的威脅。

 

@原文出處:Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word

@延伸閱讀:
服貿議題成社交工程信件誘餌!!台灣爆發大規模APT威脅! 近20家經濟相關機構成目標

 

APT 攻擊

按<這裡>下載台灣首份 APT 攻擊白皮書