微軟在今年初報告巨集相關威脅被垃圾郵件用來散播惡意軟體的數量增加。同樣地,趨勢科技也看到了附加內嵌巨集的微軟Word文件與Excel 試算表的垃圾郵件在急劇增加。
巨集是一組用來自動執行某些工作的指令或程式碼,但最近又再度被那些壞份子用來自動化惡意軟體相關工作。下面是一些我們提到各種巨集惡意軟體的部落格文章:
最近垃圾郵件會散播BARTALEX惡意軟體
下圖的最新電子郵件樣本顯示出偽加拿大航空電子機票與錯的航空公司資訊以DOC檔案格式加到郵件內。開啟DOC檔案會帶來內含惡意巨集的文件。趨勢科技將其偵測為 W2KM_BARTALEX.EU。
圖1、偽加拿大航空電子機票帶有惡意巨集DOC檔案
圖2、在微軟Word 2010中開啟時的巨集警告
情色內容是網路犯罪伎倆的主流之一,網路犯罪份子以情色當誘餌,利用受駭者羞於回報的心理,大肆從容布局,近日有一起魚叉式網路釣魚(Phishing)以此類手法攻擊五個以色列組織(涵蓋政府、運輸、基礎設施、軍事和學術單位)及一個科威特組織。這讓攻擊者有更多的時間來利用惡意軟體從系統中獲取資訊。這意味著過去情色內容普遍被認為只針對個人用戶,但現在這股情色攻擊潮流也轉向APT攻擊 /目標攻擊。
攻擊整理幾個本部落格介紹過的曾經疫發不可收拾以情色當誘餌的案例:
想看 iCloud被駭明星影片,請先分享到fb?! 搜尋被駭明星關鍵字,當心病毒守株待兔
「這個男人摸了一千個女孩的乳房」 影片勿點選對新一波臉書釣魚攻擊來襲
國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。
如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。
根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。
社交工程在eBay入侵外洩事件中扮演重要角色
如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ),這已經成為網路犯罪戰略的一部分:
在eBay案例中,社交工程(social engineering )做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。
攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。
eBay外洩事件的長期影響:更多社交工程
社交工程(social engineering )會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。
但社交工程(social engineering )會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。
「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」
魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。
企業可以做些什麼來避免像eBay這樣的事件?
eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:
趨勢科技最近看到好幾起垃圾郵件(SPAM)會利用熱門的檔案代管服務 – Dropbox。郵件的內嵌連結會下載UPATRE惡意軟體變種。UPATRE以下載其他惡意軟體而惡名昭彰,其中包括ZBOT惡意軟體和CryptoLocker勒索軟體 Ransomware 和網銀木馬ZeuS,新變種甚至可以避開防毒軟體。
我們所看到的垃圾郵件樣本之一會偽裝成eFax傳真通知郵件,並且在郵件內文加入Dropbox連結。一旦不知情的使用者點入連結,就會被導到一個Dropbox網址,進而下載被偵測為TROJ_UPATRE.YYMV的惡意檔案。一旦執行,它會下載一個ZBOT變種,偵測為TSPY_ZBOT.YYMV,它會植入一個被偵測為RTKT_NECURS.MJYE的Rootkit程式。該NECURS變種會在受感染系統上停用安全解決方案,造成進一步的感染。
圖一、這些垃圾郵件樣本
圖二、正常的eFax電子郵件通知
台灣政府機關下載或開啟附件檔案之前請務必三思!趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動,名為「PLEAD」,犯罪份子使用魚叉式網路釣魚(Phishing)電子郵件,內含以「強制從右至左書寫」(RTLO) 技巧來偽裝檔名的附件,並利用 Windows 的漏洞來攻擊受害者,誘騙缺乏警戒的收件人開啟並下載惡意附件檔案,進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。
趨勢科技台灣區技術總監戴燊表示:「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元,這些字元是為了支援世界上從右至左書寫的語言,讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧,歹徒可將惡意檔案偽裝成看似無害的文件。」
專門攻擊台灣政府機關 新「鎖定目標攻擊」現身!
檔案名稱精心造假 引誘收件者下載惡意附件
趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出,在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。
趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD,來自於其相關惡意軟體所發出後門指令的字母。
此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡,攻擊者利用RTLO(從右至左覆蓋)技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr顯示成xxx.rcs.pdf)
在某些PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術,如同一起針對台灣某部會的案例,聲稱是關於技術顧問會議的參考資料:
圖一:寄送至台灣政府單位的電子郵件
一旦.7z附加檔案被解開,收件者會看到兩個檔案,看來像一個PowerPoint文件和一個Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元,可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。
此威脅的主角還包括一個用作誘餌的.DOC文件,圖二內的第二個檔案,其唯一的作用是增加電子郵件的可信度。
圖二:解開的附件檔顯示RTLO伎倆作用在.SCR檔案上
為了進一步讓受害者相信.SCR檔案是PPT文件,這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。
圖三:.SCR產生這個PPT檔案作為誘餌
另一封電子郵件偽裝成台商企業的統計數據:
圖四:第二封電子郵件樣本,被寄送到不同的台灣政府單位
圖五:附件檔解開後發現該檔案是個可執行檔
