趨勢科技 之前討論了「破壞性」美國聯邦調查局安全通報和關於WIPALL惡意軟體家族的分析及其對索尼影視(Sony Pictures)大規模駭客攻擊的直接關聯。
在此篇文章中,我們將進一步討論其他 WIPALL惡意軟體變種和它們與索尼影視(Sony Pictures)員工受感染電腦內所見#GOP警告相關的主要行為。下面是對此文章所要討論感染鏈的概述:
BKDR64_WIPALL.F停用McAfee服務
WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數(-a、-m、-d、-s)執行數個自身複本,其中包含其主要行為。
圖1、BKDR_WIPALL.C的主要惡意軟體行為
趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。
美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。
下面是趨勢科技的調查分析結果:
BKDR_WIPALL惡意軟體分析
我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。
這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:
圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼
這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。
圖2、惡意軟體登入到網路的程式碼片段 繼續閱讀
最近一起新發現的網路間諜活動被大肆的報導著,由被稱為「Sandworm Team」的團體所發動。這起攻擊的核心是能夠影響所有現行支援中的微軟Windows版本和Windows Server 2008及2012的零時差漏洞。
根據趨勢科技的分析,該漏洞讓攻擊者能夠透過微軟Windows和Server上的OLE封裝管理程式漏洞來執行另一個惡意軟體。之前的報告說明該漏洞被用在針對幾個組織和產業的針對性攻擊中。趨勢科技研究人員的分析顯示,這攻擊和資料蒐集與監控系統(SCADA)有關目標有著密切關連。此外,這個漏洞很快就被用在另一起採用新規避技術(將惡意檔案嵌入PPSX檔案)的攻擊。
有時舊,有時新
並不是只有零時差漏洞會被用在針對性攻擊上。在2014年上半年,趨勢科技看到攻擊者仍然重度的使用較舊的漏洞。最好的例子莫過於CVE-2012-0158,這是跟Windows公共控制項有關的漏洞。儘管自2012年初就有了修補程式,但這漏洞已被證明是APT攻擊 /目標攻擊中不可或缺的工具,包括了PLEAD攻擊活動。
當然,這並不代表零時差漏洞沒有在2014年造成威脅。一個針對好幾個大使館的APT攻擊 /目標攻擊被發現會利用一個Windows零時差漏洞。這個漏洞在幾天後被修補 –值得注意的是這發生在Windows XP停止支援前,而Windows XP也是受影響的平臺。另一個零時差漏洞也被Taidoor攻擊活動的幕後黑手重度的使用在攻擊中。這個零時差漏洞在三月後期被發現,修補程式在四月的禮拜二更新推出。
各擅勝場
漏洞幾乎都會被廠商加以修補,尤其是被認為是關鍵性的漏洞。但儘管有修補程式存在,也不是所有的使用者和組織都會加以更新或立即更新。原因之一是更新修補程式可能會中斷營運。或者是會經過較長的延遲時間才更新修補程式,因為在企業環境中更新修補程式需要先經過測試。
從這角度上,攻擊者會因為「可靠性」而使用舊漏洞。有些已經充分測試過的漏洞可以在目標網路和組織中發現。並且因為這些漏洞已經存在多年,讓攻擊者更能夠去產生完美的惡意軟體或威脅來利用此漏洞。
在另一方面,新的漏洞可以讓攻擊者取得上風。零時差漏洞可以讓所有人都措手不及,包括了安全廠商。供應商要不斷地去建立必要的安全措施和對應的修補程式,零時差漏洞可以利用「安全空窗期」來攻擊,甚至能夠影響最安全的環境。在這個意義上,零時差漏洞可以被認為更有效也更具危險性。
如果受影響平臺或應用程式已經過時或超過支援期限,那麼零時差漏洞會更加有效。因為沒有修補程式可用,可以進行零時差漏洞攻擊的安全空窗期就會變成無限長。
一個很好的例子是一個 目標攻擊利用了IE瀏覽器漏洞。這個漏洞(CVE-2014-1776)受到大量的關注,因為最初報導指出微軟不會發表Windows XP上的修補程式。不過很快就有修補程式釋出在該平臺上。
大多數的人都擁有智慧型手機,平板電腦緊跟在後。有了這些設備,你就可以利用應用程式來做一切事情。不管是玩遊戲、運動、新聞或金融方面,都有應用程式可以下載來滿足你的各項需求。下載本身很容易且快速 – 只要按幾下按鈕就會開始下載程式。但你肯定你所下載的應用程式安全無虞,沒有病毒或其他安全威脅嗎?
網路犯罪份子會建立惡意程式和危險網站專門用來竊取你的個人資料。所以確保你所下載的應用程式安全無虞是很重要的,否則你的個人資料可能就會處在危險中。
你也可以安裝行動安全解決方案來自動掃描你所有行動設備上的惡意應用程式。趨勢科技的「安全達人」免費下載( Android / iOS )會在應用程式下載到你的設備前先掃描是否有病毒或其他威脅,幫你防護網路犯罪分子。行動安全防護也讓你知道哪些你每天使用的應用程式會存取你的私人資料、攝影機和麥克風。Mark並沒有小心那些危險的應用程式。看看他遭遇到了什麼後果。
Mark沒有聽從我們的忠告。看看他發生了什麼事。
來看看趨勢科技的「不要成為這傢伙」系列影片。
@原文出處:Protect your Mobile Devices from Malicious Apps
趨勢科技「安全達人」免費下載( Android / iOS )
作者:Shannon McCarty-Caplan(消費者安全宣導者)
趨勢科技PC-cillin 2015雲端版 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
必須要說的是,在寫本篇部落格文章時,我還必須將「wearables(穿戴式技術)」加入我文書處理程式的詞典。我們現在仍然處在進入「物聯網(IoT ,Internet of Things)」旅程的開始階段。但事實是,任何一個新生事物都有著自己獨特的狀況。而物聯網的狀況是:
設備和服務不再設計成各自為政,有許多公司現在都在提供API,包括了運動服裝公司、建築公司、百貨商、各國政府、慈善機構等你所可以想到的任何單位。