去年,資訊安全廠商接獲一連關於「Nitro Attack」 此 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)通報。它所採用的後門程式為 PoisonIvy,亦稱 BKDR_POISON。網路上可以找到此後門程式的產生器。當時,資訊安全場商已採取反制措施來協助客戶對抗這項威脅並防範未來類似的感染。但是,從最近發現的一些匿蹤機制來看,對抗該惡意程式的戰鬥尚未結束。
當趨勢科技第一次分析這個惡意下載程式時,原本以為它沒有什麼驚人之處。它是一個由 Visual Basic 編譯出來的執行檔案,所做的事情不過就是透過 HTTP GET 來開啟某個 HTML 網頁。
當趨勢科技透過瀏覽器連上該網頁時,表面上看起來也是一個無害的網頁,但是經過詳細解碼之後裡面卻大有文章。
如同微軟所指出,此惡意下載程式有別於其他程式。它不會下載二進位檔案來執行,但它會執行已下載檔案當中看似無害的一些代碼。要達成此目的,惡意程式會將文字內容轉成可執行的程式碼,然後呼叫 DllFunctionCall 來執行。
而它所執行的程式碼其實就是 BKDR_POISON 惡意程式家族的變種,此惡意程式家族涉及了去年多起鎖定特定目標攻擊。
BKDR_POISON 背景簡介
BKDR_POISON 惡意程式家族亦稱為 PoisonIvy (毒藤),已經在網路上肆瘧多年。原因是它的產生器很容易使用,而且可從其網站免費下載。其自動啟用機制以及 mutex 和惡意檔案名稱皆可透過產生器輕易設定,因此,每一個產生出來的樣本,其行為可能不盡相同。
BKDR_POISON 的後門程式功能包括:鍵盤側錄、聲音/影像側錄、畫面擷取、處理程序和服務管理,檔案存取或上傳、以及其他等等。簡而言之,它基本上可讓其使用者完全存取受感染的系統。
此外,BKDR_POISON 也很容易整合至其他惡意程式,因為其後門程式產生器也提供了選項讓使用者產生一段 shellcode 攻擊程式碼,而非完整的執行檔。
在前述的 Nitro Attack 惡意下載程式案例中,一旦它執行了 BKDR_POISON 的 shellcode,就能因而繼承其後門程式特性。
由於 shellcode 不像獨立的二進位執行檔可單獨偵測並分析,它必須和繼承其特性的執行檔一併分析才看得出端倪。因此,資訊安全研究人員若沒有拿到配對的 shellcode 和執行檔 (例如,執行檔經過加密或隱藏),那麼很可能就不會偵測到 shellcode。
根據趨勢科技的威脅研究經理 Jamz Yaneza 表示,兩者還有另一項差異,那就是執行方式:「PoisonIvy 產生器可輸出一個 Windows 執行檔或一段 Windows shellcode。二者之間的唯一差別在於 shellcode 版本必須經由另一個處理程序直接注入記憶體當中 (例如藉由系統或軟體漏洞) 才能執行,無法經由正常的執行檔啟動方式。」
他補充道:「由於使用 shellcode 時不需下載完整的檔案,因此可直接在攻擊過程中使用,甚至可運用一些二進位執行檔的混淆編碼技巧,例如加密,而且一切都在記憶體當中完成,因此可躲過傳統檔案式偵測技術。」
BKDR_POISON 未來將更加危險
以下是我們所知有關Nitro Attack惡意下載程式的資料:
- 它可從一個網址下載一個內含 shellcode 的純文字檔案。接著,它會將這些純文字內容轉成可執行的程式碼。
- Shellcode「不會」儲存。
- 接著下載程式會執行此惡意程式碼。
以下是趨勢科技對 BKDR_POISON 的了解:
- 它很容易整合至其他惡意程式。
- 它具備後門程式功能,而且也曾用於過去出現的攻擊當中。
由於上述惡意下載程式的行為變化多端,而且目前的功能還在陽春階段,因此,網路犯罪者應該會繼續加以強化,未來將更難對付。此外,若將它和 BKDR_POISON 結合,由於後者曾參與過許多鎖定特定目標的攻擊,因此,對資訊安全研究人員來說將是一大挑戰。以下是這類威脅組合可能發展的一些狀況:
狀況 1:如果 HTML 經過加密或者 shellcode 隱藏在圖片中,例如透過圖像隱碼術 (Seganography),就威脅分析師的角度來看,研究人員可能會因為 URL 指向了一個圖片而以為它沒有作用。但使用者將因為這個 URL 沒有被封鎖而陷於危險當中。事實上,TDL4 便運用了資訊隱藏術。
直接將 shellcode 本身加密,或許更讓研究人員頭痛。因為,萬一解密的程式碼是內建在惡意下載程式當中,那麼,在取得惡意下載程式的樣本之前,研究人員將無法分析 shellcode。
ZBOT 就運用到這項技巧。ZBOT 會將組態設定檔案加密,而且研究人員唯有配合對應的二進位檔案才有辦法正確進行分析。
狀況 2:伺服器端會檢查連上它的使用者 IP 位址或地點,並且視不同地點傳回不同的惡意檔案。如果受感染的使用者位於中國,但分析人員在美國,那麼二者所拿到的 shellcode 就可能有所不同。一旦分析端與感染端的結果有異,那就很難清除使用者的感染。例如,當歹徒看到來自趨勢科技 IP 位址的連線,可能就不會送出真正的惡意檔案。
狀況 3:客戶已經遭到感染,但相關的 URL 卻已無法連上。威脅分析師可能會不曉得使用者遇到什麼狀況,因為已經無法取得當初的 shellcode。這類惡意下載程式很可能會讓我們完全摸不著頭緒。
當然,這類情況也並非完全無解,只是難度更高。而且,下載的二進位程式碼「並未」儲存成實體檔案,也增加了問題的挑戰性。不過,藉由信譽評等和雲端技術,這樣的情況還是能夠改善。趨勢科技使用者會受到 Smart Protection Network™ 網頁信譽評等技術的保護,而不會連上惡意 URL。此外,其檔案信譽評等技術也能偵測相關的惡意檔案 BKDR_POISONDLD.A。
@原文來源BKDR_POISON:未來將出現更多挑戰 (BKDR_POISON: More Challenges Ahead)作者:Erika Mendoza (威脅回應工程師)
@延伸閱讀:
<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動
什麼是 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
鎖定單一對象的惡意程式攻擊有多高超?
專偷商業機密的Nitro 目標攻擊背後的意義
APT 進階持續性滲透攻擊:目標攻擊查明真相並不容易
進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位
CTO 觀點:我們從最近的 Sony 等駭客攻擊學到什麼?
現在是在駭什麼?從近日Sony 花旗等大公司被駭談駭客史
精確鎖定企業的目標攻擊與最大的弱點(內含Google與 RSA 遭目標攻擊案例)繼假 Facebook 登入頁面後,殭屍病毒ZeuS鎖定美國陸軍銀行帳戶
◎ 免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012即刻免費下載
留言功能已關閉