趨勢科技曾經預測勒索病毒Ransomware (勒索軟體/綁架病毒)的攻擊會在2017年達到高峰,並且維持這樣的水平,但是隨著時間的變遷,攻擊手法會更多變。2018上半年所出現的勒索病毒攻擊活動,驗證了這樣的預測,藉由更多開創性的手法提高了賭金。實際的案例如下:我們最近發現 Viro 殭屍網路(趨勢科技偵測為 RANSOM_VIBOROT.THIAHAH),他同時具備了殭屍網路(botnet)與勒索病毒的能力,許多美國的受害者受此病毒所影響。當 Viro 殭屍網路病毒感染電腦,受感染的電腦會成為垃圾郵件殭屍網路的一員,並發送勒索病毒給更多受害者。由目前的資訊看來,Viro殭屍網路病毒跟目前已知的勒索病毒家族並沒有直接相關。
感染鍊
Viro 殭屍網路病毒於2017年9月17日首次曝光,就在我們分析了一個模仿Locky勒索病毒的變種勒索病毒7天後。當 Viro 殭屍網路病毒下載到電腦上並且執行之後,它會檢查機碼值是否存在(電腦GUID以及產品金鑰),依此判斷這個系統是否應被加密。
圖1. Viro 殭屍網路病毒查詢機碼以檢查特定的機碼值是否存在。
對許多物聯網(IoT ,Internet of Thing)使用者來說,裝置端口遭受攻擊一直是個問題。特別是TCP端口5555,因為廠商的預設開啟而在過去帶來許多問題,讓使用戶暴露在攻擊之下。
趨勢科技最近在7月9日至10日及7月15日偵測到兩個可疑的活動高峰,發現了使用端口5555的新漏洞攻擊。這一次攻擊利用了Android Debug Bridge(ADB)命令列工具,這個Android SDK工具可以用來處理裝置間的通訊,也讓開發人員可以在Android裝置上執行和除錯應用程式。我們的資料顯示第一波主要出現在中國和美國,而第二波主要是韓國。
圖1、7月1日至7月15日間TCP端口5555的活動資料。注意到7月9日和10日出現的高峰及7月15日的第二次高峰
近期研究指出觀光產業是目前最容易遭受網路攻擊的產業。這項研究分析從2017年11月到2018年8月的紀錄,並發現惡意假帳號透過傀儡殭屍網路(botnet)攻擊飯店、航空公司、郵輪和旅行社的比例在部分國家有上升的趨勢,其中超過1120億的登入請求和39億次的惡意登入,超過 4成的攻擊是來自“假瀏覽器”或已知的欺詐媒介。
這些網站因為幫助儲存偷來的個資和提供駭客發動攻擊平台為這些犯罪集團賺取了龐大的資金。這些偷來的信用卡資料和個人身分資料(PII)可以在黑市裡低價販售或是用來盜刷賺取不法獲利。然而駭客更可以利用這些個人身分資料去登入其他線上的帳號,或是修改帳號密碼進而登陸其他的相關的帳號。飯店和航空公司提供的獎勵措施也都是駭客們下手的目標。
[延伸閱讀: 網路犯罪集團環遊世界的省錢花招]
專家亦提出警告,表示駭客認為觀光產業的資安等級是“唾手可得”,這更提醒產業需要更重視資訊安全這塊。專家也提醒出門在外必須小心使用公共空間的免費無線網路,這是駭客最常使用來投放病毒和竊取資料的途徑。
隨著科技進步,線上的資料傳輸與存取也更加方便,無論是企業或是個人用戶都應該更加的小心使用網路並保護自己免於受到駭客攻擊或是被竊取資料。以下是幾點建議確保你的系統是安全的:
給企業使用者:
因為運算能力的關係,利用物聯網(IoT ,Internet of Thing)來進行虛擬貨幣挖礦是否實際一直是個問號。但儘管如此,趨勢科技還是會看到有惡意份子針對連網裝置,甚至在地下市場也會提供虛擬貨幣挖礦病毒。
我們的蜜罐系統被設計成模擬SSH、Telnet和FTP服務,最近偵測到跟IP地址192.158.228.46相關的挖礦殭屍。這地址看起來會搜尋SSH和IoT相關端口,包括22、2222和502。不過在此次攻擊中,這個IP會連到端口22,即SSH服務。此種攻擊可作用在所有執行SSH服務的伺服器和連網裝置。
引起我們注意的是:金融詐騙網站也在進行虛擬貨幣挖礦
殭屍網路(botnet)搜尋可以讓攻擊者進行漏洞攻擊的裝置。一旦找到並攻擊成功,就會執行wget命令來下載腳本檔案,隨後執行腳本並安裝惡意軟體。 繼續閱讀
我們的上一份Necurs殭屍網路報告提到它會利用網址捷徑或.URL檔來躲避偵測,而現在病毒作者還在加以更新。趨勢科技的最新發現顯示開發者在積極地設計新方法來躲避安全措施。這一次,新一波的垃圾郵件利用Web查詢檔案IQY來躲避偵測。
這些年來,Necurs出現在各個網路攻擊報告中,包括在2017年的一起攻擊事件中用來散播Locky勒索病毒。而它現在使用IQY檔做為感染載體讓其更加值得注意。IQY檔案是種特定格式的文字檔。作用是讓使用者從外部來源的導入資料到Excel試算表。在預設情況下,Windows會將IQY檔識別為MS Excel的Web查詢檔案並自動在Excel中執行。
IQY檔案的作用
新一波的垃圾郵件夾帶著IQY附件檔。主旨和附件檔包含了促銷、優惠和折扣等字眼,應該是為了要偽裝成在Excel內打開的資料類型。
圖1、夾帶IQY附件檔的郵件樣本
一旦使用者執行了IQY檔案,它會查詢裡面所指示的網址,這Web查詢檔案會將資料(範例內的2.dat)從目標網址提取到Excel工作表中。
圖2、IQY檔程式碼片段
檢查所提取的資料會發現它包含了一個腳本,這腳本會利用Excel的動態資料交換(DDE)功能,執行命令列來啟動一個PowerShell程序。這程序會直接執行遠端的PowerShell腳本(範例中的1.dat)。
圖3、取回資料的程式碼片段
圖4、PowerShell腳本的程式碼片段
PowerShell腳本會下載可執行檔、木馬化遠端連線工具及其最終目的:後門程式FlawedAMMYY(被偵測為BKDR_FlawedAMMYY.A)。這後門程式似乎是利用被稱為Ammyy Admin的遠端管理軟體所流出的程式碼所開發。
在最新一波的垃圾郵件中,腳本會先下載一個圖片檔。這其實是偽裝過的下載病毒(被偵測為BKDR_FlawedAMMYY.DLOADR),它會下載一個加密過的元件(被偵測為BKDR_FlawedAMMYY.B),裡面包含相同的主要後門程式。
圖5、從附件IQY檔開始的感染鏈
後門程式FlawedAMMYY會執行以下從遠端惡意伺服器來的命令。
Necurs的這層新躲避技術也帶來了新挑戰,因為Web查詢通常以明文的形式出現,所以IQY檔內的網址成為惡意軟體活動的唯一指標。而且它的結構也跟普通的Web查詢相同。因此,封鎖惡意網址的安全解決方案可以用來對抗這種威脅。
解決方案和緩解措施
要對抗Necurs及其他透過垃圾郵件散播的威脅,採用嚴格的安全協定及最佳實作仍然可以有效地防禦這些威脅。在這次的情況裡,使用者要下載並執行非常見附件檔時都要特別小心。Microsoft已經意識到這種感染載體會去利用DDE功能。所以它在執行IQY附件檔時會跳出兩個明確的警告視窗,讓使用者有機會再重新考慮是否繼續開啟。
圖6、第一次跳出警告視窗
圖7、第二次跳出警告視窗
Necurs攻擊活動顯示出殭屍網路會開發新技術來躲避未經修補或過時的安全解決方案。為了防止像Necurs這樣會進化的垃圾郵件威脅,企業可以使用趨勢科技 Smart Protection Suites和Worry-Free Pro等趨勢科技端點解決方案。這兩種解決方案都會偵測惡意檔案和垃圾郵件並且封鎖所有相關惡意網址來保護使用者和企業。趨勢科技”進階網路安全防護 也會檢測電子郵件來提供企業防護,去偵測惡意附件檔和網址。即使遠端腳本沒有實際下載到端點,Deep Discovery也可以檢測該遠端腳本。
趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件、勒索病毒和進階針對性攻擊進入企業網路前先加以封鎖。它可以保護Microsoft Exchange、Microsoft Office 365、Google Apps及其他代管或本地端的電子郵件解決方案。趨勢科技的電子郵件信譽評比服務可以在惡意郵件抵達時加以偵測。
由XGen™ 防護端點防護技術所驅動的趨勢科技OfficeScan結合高保真機器學習與其他偵測技術以及全球威脅情報,能夠全面性地防禦進階惡意軟體。
入侵指標
| SHA-256 | 偵測名稱 |
| 30e2f8e905e4596946e651627c450e3cc574fdf58ea6e41cdad1f06190a05216 | TROJ_CVE20143524.A |
| 0bd5f1573a60d55c857da78affa85f8af38d62e13e75ebdd15a402992da14b0b | TROJ_MALIQY.A |
| 602a7a3c6a49708a336d4c9bf63c1bd3f94e885ef7784be62e866462fe36b942 | TROJ_FlawedAMMYY.A |
| 7c641ae9bfacad1e4d1d0feef3ec9e97c55c6bd66812f5d9cf2a47ba40a16dd4 | TROJ_FlawedAMMYY.A |
| 7f9cedd1b67cd61ba68d3536ee67efc1140bdf790b02da7aab4e5657bf48bb6f | BKDR_FlawedAMMYY.DLOADR |
| a560c53982dd7f27b2954688256734ae6ca305cc92c3d6e82ac34ee53e88e4d3 | BKDR_FlawedAMMY.ENC |
| ba8ed406005064fdffc3e00a233ae1e1fb315ffdc70996f6f983127a7f484e99 | BKDR_FlawedAMMYY.B |
| ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c | BKDR_FlawedAMMYY.A |
| d9cd31184c56931ae35b26cf5fa46bf2de0bdb9f88e5e84999d2c289cbaf1507 | TROJ_POWLOAD.IQY |
@原文出處:Necurs Poses a New Challenge Using Internet Query File 作者:Jed Valderama,Ian Kenefick和Miguel Ang