Kinsing 惡意軟體使用 Rootkit的分析

Kinsing附帶了數個shell腳本。這些shell腳本負責下載和安裝、移除或反安裝各種資源密集型服務和程序。這篇文章會重點介紹rootkit組件的作用。

我們上一次討論Kinsing惡意軟體是在2020年4月,當時我們分析其基於Golang的Linux程式會針對設定不當的Docker Daemon API端口植入虛擬貨幣挖礦程式。

隨著Shell腳本以及Linux惡意後門和程式的不斷發展,Kinsing作者會持續跟上腳步也不足為奇了。在本文中,我們會討論惡意軟體變種當前的功能,包括加入更難被受感染機器偵測到的功能。與Trident惡意軟體使用rootkit來隱藏虛擬貨幣挖礦程式的作法類似,Kinsing也整合了會預載程式庫的使用者模式rootkit

惡意軟體本身附帶了數個shell腳本。這些shell腳本負責下載和安裝Kinsing後門程式,挖礦程式和rootkit,以及移除或反安裝各種資源密集型服務和程序。這些腳本與前面文章裡討論的腳本類似。這篇文章會重點介紹rootkit組件。

技術分析


部署shell腳本的第一步是移除/etc/ld.so.preload(如果存在)。

Removing the immutable file flag
Removing the immutable file flag
圖1. 移除/etc/ld.so.preload

這/etc/ld.so.preload檔案會在開機時將共享物件或程式庫路徑列表載入每個使用者模式程序,早於任何其他的共享程式庫 – 包括C執行時期程式庫(libc.so)。各Linux發行版本預設不會存在該檔案。因此,必須特意去建立。

繼續閱讀

盤點疫情期間,針對Zoom、Slack、Discord等通訊軟體的惡意攻擊

趨勢科技2020年中報告裡討論了新冠狀病毒(COVID-19,俗稱武漢肺炎)疫情爆發如何迫使許多組織從實體辦公室轉移到虛擬辦公室,這樣的變化也造成了即時通和視訊會議軟體的興起,成為不可或缺的通訊工具。雖然這些應用程式為企業提供了維持員工之間溝通的方法,但也引起了惡意行為者的注意,他們總是想將新技術整合進惡意活動裡。

針對 Zoom 的攻擊很一致


沒有任何軟體比視訊會議軟體Zoom更能定義2020,自疫情爆發以來就呈現著爆炸性的成長。鑑於其在學校、企業和個人的高使用率,網路犯罪分子將精力集中在對Zoom的攻擊也就不足為奇了。

關於Zoom最著名的惡意活動可能是”Zoombombing”,惡作劇者會侵入會議然後進行惡意行為,如散佈色情內容甚或只是單純的騷擾。

儘管很煩人,但Zoombombing在安全性方面通常是無害的。而另一方面,我們也發現會使用惡意軟體的Zoom攻擊,這會對組織和個人帶來更大的破壞。最常見的Zoom攻擊是會將惡意軟體跟Zoom安裝程式綁在一起。

在某些案例中,攻擊者會用假Zoom安裝程式來誘騙使用者安裝到電腦上。我們在五月看過會偽裝成Zoom安裝程式的惡意軟體案例。雖然一般使用者可能很難區分正常和偽裝的Zoom應用程式,但仔細檢查可以發現惡意版本的檔案大小明顯較大。

繼續閱讀

《資安漫畫》在臉書/ LINE 等正規的網站上所顯示的廣告,不見得安全

有網友點選 LINE聊天頁面頂端出現廣告點擊添加老師 LINE」「點擊添加客服 LINE好友」竟被詐騙;詐騙集團使用藝人的肖像以及臉書上的日常生活照片,並聲稱是為產品代言,常見於臉書上的「一頁式詐騙購物網站」,騙取消費者的金錢及信任。
比如這則刊登於臉書廣告的假新聞:

標題:【獨家 】小禎怒嗆記者:有今天的樣子.全靠澳洲壓力褲

逼得苦主小禎怒嗆:騙人的,一定很難穿!
幾乎各大社群都充斥詐騙文,該如何預防?

最近在日本發生的偽裝成知名家具行的電子商務網站。在 facebook 廣告中將價格超過4萬日圓的商品大幅降價標示為1萬日圓左右,藉此吸引使用者造訪假網站。此外,由於廣告內的照片、假網站上的圖片及公司介紹都盜用自官方網站,因此乍看之下與官方網站並無不同。

其實類似的案例,在台灣的社群網站也屢見不鮮。

繼續閱讀

少了 ITSM企業該如何管理風險?

您或許已經從 SolarWinds 那邊收到將其 ITSM 產品下線的建議。此一情況非常特殊,因為絕大多數的漏洞在修補之前,企業都會先透過某種防護機制 (如 IPS 偵測規則) 來爭取一些時間,等待廠商釋出修補更新,然後再進行測試和安裝,以盡可能減少對業務的衝擊。
所以,廠商會建議立即將產品下線是相當不尋常的事,這意味著使用該產品的風險非常之高。只不過,當您將該產品下線時,您將面臨沒有 ITSM 的風險 (儘管較小)。

企業內部有許多風險管理都是仰賴非資安產品來執行。
目前最能有效管理企業資安風險以提升企業安全的兩項措施,就是系統修補與資料備份。

企業已從勒索病毒 Ransomware (勒索軟體/綁架病毒)身上學會資料備份的重要性,至於系統修補則是為了維持營運及安全。系統修補的工作跟資料備份一樣,都是由非資安團隊負責,歸在 IT 系統管理 (ITSM:Information Technology Service Management) 底下。

系統修補牽動著網路資安的兩股力量:營運與安全性。營運是最重要的事,沒有了營運,企業也就沒有什麼東西需要保護。

繼續閱讀

《資安新聞周報》美公部門遭 SolarWinds Orion供應鏈攻擊,臺灣是否受影響?/「不付錢,就入侵你家」Ledger遭駭,用戶遭威脅/沒有 WiFi 網路也能「隔空」竊取資料

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

SolarWinds Orion供應鏈攻擊事件震驚全美,臺灣是否受影響?行政院資安處表示公部門採購皆非受影響產品   iThome


微軟調查發現逾40家客戶因採用SolarWinds產品,淪為駭客供應鏈攻擊目標   iThome


微軟:SolarWinds遭第2個駭客組織鎖定   中央通訊社


美國「核子安全局」驚爆被駭!微軟也遭殃 FBI鎖定俄羅斯調查中  
ETtoday新聞雲


微軟宣布遭駭隔日 網通大廠思科成最新「受駭者」   自由時報電子報


哪些企業最常收集用戶個資?報告點名FB、IG、Tinder   華視全球資訊網


5G為產業發動點火 廠商競逐智慧商機   電子時報網


Egregor勒索病毒鎖定零售業者、書店、遊戲和人力資源行業   資安人


駭客竄改email 企業看錯1字失百萬   中時電子報網


從台積電供應商潛在漏洞防堵 探供應鏈資安議題   電子時報網


Credential Stealer正針對美國,加拿大銀行客戶發起大規模攻擊   iFuun.com


臉書小企業管理工具可能曝露IG用戶的電郵   iThome


財長證實 美財部遭駭客入侵   經濟日報網


Ledger遭駭追蹤|用戶遭歹徒威脅「不付錢,就入侵你家」,執行長「只道歉,不賠償」   BLOCKTEMPO

繼續閱讀