MIRAS 惡意軟體家族最近和歐洲 IT 公司的攻擊事件出現關聯性。分析顯示 MIRAS或 BKDR64_MIRAS.B(一個64位元的惡意軟體)被用在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的資料竊出階段。MIRAS可以在32位元(BKDR_MIRAS.B)和64位元(BKDR64_MIRAS.B)的Windows作業系統上運作。
分析BKDR64_MIRAS.B
簡單概述MIRAS,其後門功能主要包含檔案/系統方面的操作,這也代表攻擊者知道受害者的身份資訊。
除了後門程式的資訊竊取行為,它看來特別針對連接到遠端桌面工作階段主機(Remote Desktop Session Host)的系統。它使用遠端桌面服務API – WTSEnumerateProcesses而非一般的程序狀態API – EnumProcesses。攻擊者還可以列出正在執行的程序,我們可以從而推測出他們知道目標使用者如何登錄到工作站(即透過遠端桌面工作階段主機伺服器)。
圖1、BKDR64_MIRAS.B使用遠端桌面服務API – WTSEnumerateProcesses
惡意軟體的檔案和磁碟管理模組在獲取檔案相關資訊方面非常全面。透過指令Enumerate all logical drives(列出所有邏輯磁碟)和Get logical drive’s drive type and disk space(取得邏輯磁碟的磁碟類型和磁碟空間),攻擊者能夠知道受害者系統上什麼時候出現重大的改變。
攻擊者也能夠知道他們的目標檔案是否更新。MIRAS的程序管理模組在針對性攻擊的資料竊出階段扮演另一個重要角色。這模組給了攻擊者關於程序建立日期和時間的詳細資訊。這很重要,因為知道建立日期和時間就可以知道此程序已經建立了多久。舉例來說,程序在系統存在的時間長短可以了解此程序的關鍵程度。
後門功能還讓攻擊者可以知道其他程序正在使用的模組全貌。攻擊者也就能夠加以利用,比方說,DLL劫持攻擊或漏洞攻擊要看目標受害者系統上有哪些模組。
遠端Shell模組讓攻擊者可以做出遠端Shell所能做的一切事情,他們會具備當前登入使用者的權限。
我們可以確認惡意軟體的C&C伺服器 – 96[.]39[.]210[.]49位在美國。此C&C伺服器早在 2013年11月就開始使用。
看到更多攻擊針對64位元平台
攻擊者使用相容64位元系統的惡意軟體攻擊案例也回應著我們在2013年下半年針對性攻擊趨勢報告中的有將近10%針對性攻擊相關惡意軟體完全針對64位元平台。隨著64位元平台的普及率上升,我們會繼續研究攻擊者最近用幾個版本的KIVARS來實作64位元相容的惡意軟體。
防禦可能的針對性攻擊
因為這些攻擊通常會被設計成幾乎不留任何痕跡,所以IT管理員能夠知道哪裡可以找到淪陷的可能指標或「異常現象」就非常的重要。異常現象可能是未知的大檔案,通常是資料外洩的跡象而可能需要檢查是否包含從網路內偷來的資料。攻擊者通常會在資料竊出階段將這些檔案儲存在他們的目標系統內。MIRAS出現在系統內的另一個指標是出現了檔案 – %System%/wbem/raswmi.dll。
為了對抗像MIRAS威脅所帶來的風險,企業應該要部署趨勢科技的客製化防禦,這是一個可以讓IT管理員快速偵測、分析和回應攻擊與進階威脅的安全解決方案。在它們造成更多傷害前先加以處理。
有關各種針對性攻擊及企業最佳實作的詳細資訊,可以參考我們的針對性攻擊威脅情報資源。
@原文出處:64-bit Version of MIRAS Used in Targeted Attack作者:Abraham Camba(趨勢科技威脅研究員)