標籤: Linux

《重大勒索病毒分析》RansomExx ,為何攻擊企業又快又猛?新變種專門攻擊 Linux 伺服器

趨勢科技 TrendMicro

拓展範圍、提升速度:RansomExx 勒索病毒新策略

曾導致巴西最高法院慘暫停開庭、攻擊日本影像及光學大廠柯尼卡美能達(Konica Minolta)的RansomExx 勒索病毒,在 2020 年製造了多起知名攻擊事件,本文分析它所使用的技巧,包括:運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。

RansomExx 勒索病毒在 2020 年製造了多起知名的攻擊事件,目前有跡象顯示它仍在持續發展當中,並且相當活躍。最新的報告顯示,它開發了新的變種來專門攻擊 Linux 伺服器,而這等於是將攻擊範圍拓展到 Windows 伺服器之外。

根據監測資料顯示,RansomExx 正在攻擊美國、加拿大和巴西的企業,並且持續發現 Linux 變種的活動足跡。本文詳細說明我們對某起 RansomExx 攻擊的分析,此攻擊本首先利用 IcedID 惡意程式來入侵企業,成功之後再使用 Vatet 來載入 Pyxie 和 Cobalt Strike。經由這整套工具,駭客約只需五小時的時間就能完成整個入侵到植入勒索病毒的程序。

RansomExx 勒索病毒的背後是一個  SecureWorks 命名為「GOLD DUPONT」的駭客集團,該集團從 2018 年活躍至今。根據其最新的攻擊顯示,該集團入侵企業的手法相當迅速有效。他們會使用 Vatet、PyXie、Trickbot 和 RansomExx 等惡意程式,以及像 Cobalt Strike 這類駭客工具,都是該集團常用的攻擊武器。

此勒索病毒之所以值得注意,是因為它運用了 2020 年勒索病毒攻擊常見的技巧,包括運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。 

繼續閱讀

HiddenWasp惡意軟體借用Mirai及Winnti程式碼攻擊Linux系統

趨勢科技 TrendMicro

資安研究人員發現了一隻針對Linux系統的新惡意軟體。這隻稱為HiddenWasp的惡意軟體被認為是用來對已入侵系統進行第二階段的針對性目標攻擊(Targeted attack )

HiddenWasp惡意軟體借用Mirai及Winnti程式碼攻擊Linux系統

HiddenWasp跟其他感染物聯網(IoT ,Internet of Thing)裝置成為分散式阻斷服務攻擊 (DDoS) 殭屍網路(botnet)或佈署虛擬貨幣挖礦( coinmining )病毒的Linux威脅不同。根據Intezer的Ignacio Sanmillan所說,HiddenWasp被用來遠端控制已入侵系統。它具有能夠避免被偵測的Rootkit功能。

繼續閱讀

抄襲 KORKERDS 腳本,且會清除系統上所有其他惡意程式的Linux 挖礦程式

趨勢科技 TrendMicro

趨勢科技在執行日常記錄檔檢查時發現我們的誘捕網路偵測到一個會從某網域下載二進位檔案的腳本。經過進一步調查分析之後,我們發現該腳本會刪除一些已知的 Linux 惡意程式、挖礦程式以及一些連上某些挖礦服務的連線。除此之外,該腳本也讓人聯想到 Xbash 的功能和 KORKERDS 惡意程式。它會安裝一個挖礦惡意程式,也會將自己植入系統並在 crontab 當中設定排程以便在重新開機後繼續執行,並且防止遭到刪除。

圖 1:我們的誘捕網路偵測到一個會從某網域下載檔案的腳本。

行為分析

在發現這個會下載二進位檔案的腳本之後,我們也進一步查看了我們 2018 年 11 月所蒐集到的某個 KORKERDS 樣本的程式碼, 並發現兩者幾乎相同,除了少數明顯新增及刪除的部分之外。與 KORKERDS 相比,這個新發現的腳本並不會移除系統上已安裝的資安產品,也不會在系統上安裝 Rootkit。反而會將 KORKERDS 惡意挖礦程式和其 Rootkit 清除。基本上,這個新的腳本會刪除 KORKERDS 的惡意程式元件和挖礦執行程序。

圖 2:新的腳本抄襲自 KORKERDS 但卻會殺掉 KORKERDS 的「kworkerds」執行程序。

圖 3:新的腳本也會移除 KORKERDS 的 Rootkit 元件。

繼續閱讀

systemd漏洞在Linux上導致阻斷服務攻擊

趨勢科技 TrendMicro

許多Linux發行版都因為最近被披露的systemd的漏洞而面臨危險:DNS解析服務的一個漏洞可能讓系統遭受分散式阻斷服務攻擊 (DDoS)。攻擊這漏洞的方式是讓系統向攻擊者所控制的DNS伺服器進行查詢。DNS伺服器接著送回一個特製回應,讓systemd進入無限迴圈,也讓系統的CPU使用率持續在100%的狀態。這漏洞已經被分配編號CVE-2017-15908

有許多方法可以讓使用者查詢惡意份子所控制的DNS伺服器,不過最簡單的作法是讓使用者系統連往攻擊者所控制的網域。這可以透過惡意軟體或社交工程完成。

解決這漏洞最有效的辦法是修補systemd的漏洞。趨勢科技在今年7月首先發現了這個漏洞,並在同月份通過零時差計畫(ZDI)回報給適當的廠商。獨立研究人員在今年10月也同樣發現了這個漏洞,並將其回報給Canonical。許多Linux發行版都已經推出修復程式,像Ubuntu也在10月底發布。幸運的是,到目前為止還沒有出現針對此漏洞的攻擊。

 

漏洞分析

隨著時間過去,DNS會持續加入新的功能,既是為了增加新功能也是為了讓其更加安全。一個定義在RFC 4034內,新加入域名安全擴展(DNSSEC)的資源記錄類型稱為NSEC(Next Secure)記錄。

這漏洞發生在處理表示NSEC位元圖(bitmap)中虛擬型態(pseudo-type)的位元時。下圖顯示了程式碼區塊和堆疊框架。反白的地方“continue”顯示“while迴圈”進入無限迴圈。dns_packet_read_type_window()出現在resolved-dns-packet.c內。 繼續閱讀

鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統 

趨勢科技 TrendMicro

Samba的資安弱點即便經過修補,新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點(CVE-2017-7494)進行攻擊, 影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外,Linux作業系統只要啟用SMB服務,也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備(包含網路儲存設備 (NAS)IoT設備),一旦成功後即植入惡意程式。

企業環境(政府、製造業、金融業)大量使用 Linux 作業系統伺服器,且大部分均為關鍵業務系統。而Linux常被認為系統安全性高,較不會被入侵,因此較易疏於管理、更新、防護。駭客可能利用此情形,結合目標式攻擊與內網擴散手法攻擊此弱點,入侵至伺服器後加密檔案,進行勒索。因此,趨勢科技建議您,除了Windows作業系統需安裝修補程式外, Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件,極可能代表攻擊已進入到內網擴散階段,可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復,但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出,此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾,並促使伺服器載入並執行該程式庫。駭客一旦得逞,就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」,因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示,SambaCry 只被用來攻擊伺服器,且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料,駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A,發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例,它同樣也會在受害系統上開啟指令列介面。不過,ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先,它會攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置。其次,ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統,如:MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多,隨便上 Shodan 搜尋一下就能找到:指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾,含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。 繼續閱讀