本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何演進,以及如何搭配惡意程式的發展以從事惡意活動。
Unix 程式設計師經常運用指令列腳本 (shell script) 來讓他們很方便地在一個檔案中指定所要執行的多個 Linux 指令。許多使用者也都會利用這個方式來管理檔案、執行程式或執行列印。
不過由於每台 Unix 電腦都內建了指令列腳本的解譯器,所以這也成為歹徒喜愛的一個泛用工具。我們先前就曾撰文說明駭客如何利用指令列腳本來散布惡意程式,並用來攻擊組態設定不當的 Redis 運算實體、暴露在外的 Docker API 或者清除競爭對手的虛擬加密貨幣挖礦程式。本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何不斷演進、如何配合不斷發展的惡意程式來從事惡意活動。
使用指令列腳本並非什麼最新技巧,網路上早已相當盛行。不過我們確實注意到這類腳本開始出現一些變化,而且能力正大幅攀升。
2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為,其中榜首為Ramnit,該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。
RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序,讓自己隨時常駐在記憶體內,而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。
網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借慈善機構散發網路釣魚郵件。
2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發,企業不僅必須提高警覺,還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。
今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借 Migrant Helpline 的名義散發網路釣魚郵件,Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下,下載到目前最頑強的惡意程式之一,也就是 2016 年東山再起的 RAMNIT 木馬程式。
趨勢科技「2016 年資訊安全總評」報告指出,銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示,2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種,而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異,因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時,感染 RAMNIT 的使用者大約在 320 萬左右。
根據當時破獲行動的規模來看,RAMNIT 的感染數量照理應當要大幅下降才對。但是,感染數量只有在 2015 年 2 月確實減少,但隔月幾乎就完全恢復,而且接下來的 2015 一整年,感染數量一直維持在 10,000 以上。根據媒體報導,此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發,這也解釋了為何後續幾個月的感染數量突然飆升。
