標籤: Advanced Persistent Threat

針對日本和中國,可客製化攻擊的 EvilGrab 產生器

趨勢科技 TrendMicro

趨勢科技最近發表對一起新攻擊活動的調查結果,這起攻擊活動稱為EvilGrab,一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者,我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。

hacker with hat

在現在現實世界的EvilGrab產生器

帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊(请修改指正).doc.exe。檔名是用簡體中文(它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1,趨勢科技將其偵測為BKDR_EVILOGE.SM)。它會連到命令和控制伺服器(203.186.75.184和182.54.177.4),分別位在香港和日本。它還會將自己複製到啟動資料夾,並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。

然而,有些被加入的註冊碼有著特殊意義:

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment

這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似,這惡意軟件會對騰訊QQ(一個流行的中國即時通系統)進行相同檢查。

雖然惡意軟體本身並沒有特別不尋常的地方,但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在,而且命名為Property4.exe

我們可以看到攻擊者可以輸入好幾個欄位。其中包括了:

 

  • 指定命令和控制(C&C)伺服器(IP地址或網域名稱),端口和連接時間間隔。
  • 選擇檔案圖示(安裝檔案圖示,檔案夾圖示和文件圖示)
  • 刪除自己
  • 鍵盤記錄
  • 按鍵記錄

 

另外,在這產生器的第二選項頁內,攻擊者可以選擇試圖繞過的防毒產品:

圖二、繞過防毒軟體

 

測試EvilGrab產生器

這時候,我們決定要測試這產生器的功能,並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。

首先,我們打開產生器,輸入一些基本設定來產生測試版的EvilGrab。

圖三、EvilGrab產生器

我們的輸出選擇使用微軟Word檔案圖示,檔名為New.doc.exe,如下圖所示。請注意,這微軟Word檔案圖示描繪得很精確。

圖四、EvilGrab測試樣本

除了製造惡意檔案外,還會產生一個包含連線詳細資料的設定檔。

圖五、EvilGrab設定檔 繼續閱讀

APT目標攻擊使用JPEG檔案

趨勢科技 TrendMicro

趨勢科技最近看到一些來自SOGOMOT和MIRYAGO家族的惡意軟體會用不尋常的方式來更新自己:它們會下載包含加密過設定檔案/二進位程式的JPEG檔案。不僅如此,我們認為這手法至少從2010年中就開始了。我們所看到的這惡意軟體最值得注意的地方是它會隱藏自己的設定檔。這些JPEG檔案放在亞太地區的網站上,並且被用在針對這地區的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊上。

APT

 分析JPEG更新

雖然JPEG檔的內容加密過,我們還是可以解密並分析這些檔案的內容。我們可以將它們分成三類:

 

  • 設定檔案(A型)
  • 設定檔案(B型)
  • 二進位內容(無論是DLL或EXE檔案)

第一種設定檔(A型)跟我們在其他惡意軟體所看到的類似。它包含讓惡意軟體可以執行來自攻擊者指令的資訊,更改設定/模組,並進行自我更新。這些設定內有其他惡意JPEG檔案的網址。此外,這些檔案顯示攻擊者可能已經成功入侵了目標組織,因為有些資料涉及特定的機器或個人。

第二種設定檔(B型)似乎和防毒軟體有關。它包含來自不同廠商的多種防毒產品程序名稱,以及目標網路內的主機名稱資料。這裡是一份B型檔案的部分,解碼後為:

Virus=*avp.exe*,*kavmm.exe*,*klserver.exe*|Kaspersky|*nod32kui*,*ekrn.exe*|ESET|*frameworkService*,

*mcshield*|McAfee|*smc.exe*,*rtvscan.exe*|Symantec|*kwatch.exe*,*kxeserv.exe*,*kxescore.exe*|Kingsoft|

*ravtask.exe*,*ravmond.exe*|Rising|*avguard*,*sched.exe*|Avira|*kvsrvxp*|jiangming|*avgrsx.exe*,

*avgwdsvc.exe*|AVG|*tmlisten*,*ntrtscan.exe*,*tmntsrv*|Trend Micro|*360sd.exe*|360sd|

*zhudongfangyu.exe*|360safe|*qqpcrtp.exe*,*qqpctray.exe*|QQPCMGR|

 

這個設定檔比遠小於A型設定檔。此設定內的某些值也證明了感染已經到了攻擊的第二階段。

除了設定檔案外,JPEG格式檔案也包含了可執行檔案,可能是惡意軟體本身的更新,或是想要安裝到受影響系統上的新惡意軟體。

JPEG檔案託管和外觀

這些JPEG檔案放在許多網站上,大多分佈在亞太地區。有某些網站看來是合法的內容,意味著可能是被入侵後託管這些檔案。

下面是我們所看到部分JPEG檔案的截圖:

APT目標攻擊使用JPEG檔案

APT目標攻擊使用JPEG檔案

趨勢科技已經獲得這些JPEG檔案的多個樣本,並且基於這些樣本,我們認為這種更新模式最早用在2010年6月,並且使用至今。更新的頻率也都大不相同:有些幾乎是每日更新,有些的更新間隔會隔了數月。

繼續閱讀

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

Trend Labs 趨勢科技全球技術支援與研發中心

在2012年裡,我們看到了各式各樣的APT攻擊活動利用Microsoft Word的漏洞 – CVE-2012-0158。這是一種轉變,之前最常被利用的Word漏洞是CVE-2010-3333。雖然我們還是繼續看到CVE-2012-0158被大量的使用,不過我們也注意到惡名昭彰的「MiniDuke」攻擊所製造針對Adobe Reader漏洞 – CVE-2013-0640的攻擊程式碼使用量的增加。這些惡意PDF檔案所植入的惡意軟體和MiniDuke並無關聯,但卻和正在進行中的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動有關。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

Zegost

趨勢科技所發現的一組惡意PDF檔案,藏有上述漏洞攻擊碼的誘餌文章使用的是越南文,檔案名稱也是相同的語言。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
圖一、誘餌文件樣本

這些PDF檔案內嵌著和MiniDuke攻擊活動所使用類似的JavaScript程式碼。相似之處包括了類似的函數和變數名稱。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
圖二、類似的JavaScript程式碼

使用Didier Steven的PDFiD工具來分析這PDF檔案,顯示出這兩個PDF檔案非常相似。雖然並非完全相同,但兩者之間的相似之處是難以否認的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。這些地方代表著有JavaScript出現,有某種自動行為出現和頁碼。這三個項目可以幫我們確認MiniDuke和Zegost的相似之處。

繼續閱讀

《總經理看資安趨勢》被APT攻擊後,該怎麼辦?

Trend Labs 趨勢科技全球技術支援與研發中心

BOB作者:洪偉淦  趨勢科技台灣暨香港區總經理

假使企業發現遭受APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT),如何因應?不久前恰好有一份相關的統計報告出爐,歸納最常見處理方式不外下面三種,第一種是「強化傳統資安解決方案」,就現有防護工具進行全面補強;其次是將受害電腦予以Format,也就是「毀屍滅跡」;甚至有人索性「放任不管」,因缺乏專業知識,不知如何下手,只好置之不理。

綜觀上述三種方式,除了「放任不管」明顯不值得鼓勵外,另兩種做法亦存在盲點。首先,APT攻擊與一般威脅的最大不同之處,在於它是針對特定目標量身訂做的攻擊,傳統方案無法偵測其蹤影,所以「強化傳統資安解決方案」效用不大。其次,APT攻擊通常依循著攻擊、控制、擴散等步驟,企業必須瞭解其發展至哪一個階段,方知已造成或潛在的傷害有多大,才有助於對症下藥,如今好不容易有線索可還原事件原貌,卻急於「毀屍滅跡」,殊為可惜,因為那些被Format的標的,可能只是冰山一角,恐存在更多漏網之魚。

持平而論,APT是持續性的滲透攻擊,完整的防禦機制理應包含工具、流程,以及APT攻擊專家介入協助,三者缺一不可。也就是說,企業在部署偵測、分析、欄截、鑑識等APT專用解決方案之餘,另須搭配事件反應處理流程IR Process(Incident Response Process),輔以APT攻擊專家針對攻擊型態深入剖析,才足以洞察事件全貌。一方面將分析結果回饋到防禦機制,持續發揮偵查之效,遏止新的攻擊入侵,另一方面產製真正有效的解藥,針對潛伏在企業的APT暗樁,進行大規模清除。 繼續閱讀

《總經理看資安趨勢》用客製化防禦對付APT 攻擊

Trend Labs 趨勢科技全球技術支援與研發中心

BOB作者:洪偉淦  趨勢科技台灣暨香港區總經理

過去企業最關注的資安威脅,往往是全球病毒爆發事件,但從2011年起,焦點則轉向APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT),因為就連資安把關嚴密的大型企業,都能被 APT突穿防線而渾然不知,顯見此類攻擊確實可怕,難怪舉世為之震驚。

用客製化防禦對付APT
用客製化防禦對付APT

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)是客製化的目標式攻擊,處心積慮就是要透滲攻擊目標,所以面對防毒軟體、防火牆或入侵防禦系統等傳統資安防線,早已深諳閃避之道,也擅長運用社交工程郵件以假亂真,讓員工在不疑有他的情況下,淪為駭客的禁臠,企業那怕做再多宣導與訓練,終將防不勝防。

企業如何因應APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)?第一步即是調整心態,先假設自己已遭攻擊,然後一方面積極提高被攻擊的門檻,避免持續遭到滲透,二方面設法早期發現、儘速處理。針對「發現」與「處理」,企業亦應有所體認,面對客製化攻擊,唯有運用客製化防禦才能順利反制,莫再倚賴一體適用的工具,只因這些工具根本無效;此時企業可與資安廠商合作將因應新型攻擊的反應機制和流程在企業內部建立,方可做到客製化的防禦。

要滿足上述目標,少不得需要工具輔助。所以近年來,奠基於沙箱模擬分析技術的APT解決方案,一一現身於市場,以協助用戶揪出惡意檔案,並據此求助防毒軟體廠商,儘速清理禍害。這類方案確實擁有一定價值,但亦存在若干盲點。 沙箱模擬是必要的分析工具,但單靠此一技術難以抑止實際攻擊。首先,高達九成APT攻擊,皆以社交工程郵件為先遣部隊,企業需考慮如何在第一時間阻擋社交工程電子郵件進入內部,以減少後續災害控制的成本。單一沙箱模擬技術在時效及效能難以符合實際需求。 繼續閱讀