標籤: APT攻擊

APT 攻擊晉升 64 位元版本

趨勢科技 TrendMicro

Google 在6月發表 64 位元 Chrome 瀏覽器時提到,升級至 64 位元版本的主要動機就是絕大多數的 Windows 使用者現在都已使用 64 位元作業系統。儘管 64 位元 Windows 作業系統的普及率比 Microsoft 原先預期的稍慢一點,但卻一直有穩定成長,而且軟體開發廠商的支援度也有顯著提升。但不幸的是,駭客也同樣跟進,推出 64 位元惡意程式。

APT

趨勢科技已記錄了多個擁有 64 位元版本的惡意程式,包括 64 位元版本的 ZeuS 在內,而同樣的情況也出現在鎖定APT 攻擊/目標攻擊上。事實上,根據我們的「2013 年下半年鎖定APT 攻擊/目標攻擊趨勢」報告指出,在所有鎖定目標相關惡意程式當中,有 10% 僅能在 64 位元平台執行。

KIVARS:早期版本

趨勢科技所發現的64 位元惡意程式其中之一就是 KIVARS。根據我們的發現,該惡意程式的早期版本僅會影響 32 位元系統,並且是透過 TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) 這個惡意程式來植入系統。不過請注意,所有版本的 KIVAR 都會利用這個下載程式來安裝載入程式和後門程式。

當 TROJ_FAKEWORD.A 執行時,它會在系統植入 2 個執行檔以及一個密碼保護的 MS Word 文件,此文件的作用只是當成誘餌:

  • %windows system%\iprips.dll – TROJ_KIVARSLDR
  • %windows system%\winbs2.dll – BKDR_KIVARS
  • C:\Documents and Settings\Administrator\Local Settings\Temp\NO9907HFEXE.doc – 誘餌文件

 圖 1:TROJ_KIVARSLDR 會安裝成名為「iprip」的服務。

TROJ_KIVARSLDR 會將 BKDR_KIVARS 載入記憶體中執行。BKDR_KIVARS 具備下列能力:

  • 下載\上傳檔案
  • 操控\執行檔案
  • 列出所有磁碟機
  • 解除安裝惡意程式服務
  • 擷取螢幕畫面
  • 啟動\關閉鍵盤側錄程式
  • 操控前景視窗 (顯示、隱藏)
  • 觸發滑鼠左鍵、右鍵點選以及點兩下
  • 觸發鍵盤輸入

TROJ_FAKEWORD.A 會利用「強制由左至右書寫」(RTLO) 技巧並結合 MS Word 文件圖示來讓使用者誤以為它只是個一般的文件檔案,這兩項技巧之前就曾經出現在 PLEAD繼續閱讀

具備時間炸彈的PlugX遠端存取工具,利用Dropbox更新指揮與控制設定

趨勢科技 TrendMicro

監視網路流量是IT管理員用來判斷網路內是否有進行中之APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的方法之一。遠端存取工具(或稱RAT)常見於針對性攻擊活動,用來建立指揮與控制(C&C)通訊。儘管這些遠端存取工具(如Gh0st、PoisonIvy、Hupigon和PlugX等等)都有已知的網路特徵且可被偵測,惡意份子還是能夠有效地將這些工具用在針對性攻擊中。

趨勢科技在五月發現攻擊台灣政府機構的APT攻擊。在此波攻擊中,惡意份子所用的PlugX遠端存取工具會利用Dropbox來下載C&C設定。Dropbox被濫用就非新聞,之前就有攻擊利用此一平台來放置惡意軟體。然而,在我們所分析過的APT攻擊裡,還是第一次看到利用Dropbox來更新C&C設定。

在過去幾周內,趨勢科技報導過其他威脅(像是Cryptolocker和UPATRE)會利用此公共儲存平台以擴散惡意活動。我們所取得的樣品由趨勢科技偵測為BKDR_PLUGX.ZTBF-A和TROJ_PLUGX.ZTBF-A。

當BKDR_PLUGX.ZTBF-A被執行,它會執行各種來自遠端使用者的指令,包括記錄按鍵、進行端口映射、遠端Shell等,進而導致後續的攻擊階段。在一般情況下,遠端shell讓攻擊者可以在受感染系統上執行任何指令以破壞安全防護。

這後門程式也會連到特定網址以取得其C&C設定。使用Dropbox有助於在網路中掩蓋其惡意流量,因為這是個用來儲存檔案和文件的正常網站。我們也發現這惡意軟體有個觸發日期為2014年5月5日,代表它從該日開始運行。可能這樣做也可以讓使用者不會馬上懷疑其系統上有任何惡意活動。

這是個第二型的PlugX變種,具備第一型之後的新功能和修改。其中一個改變是使用「XV」作為標頭,而非之前的MZ/PE標頭。這可能是種反鑑識技術,因為它一開始載入「XV」所以二進位檔不會運行,除非XV換成MZ/PE。此外,它還具備來自攻擊者的認證碼,在此案例中是20140513。不過,PlugX的一個共同特點是用普通應用程式載入惡意DLL的預載技術。這惡意DLL接著會載入包含主要行為的加密組件。此外,它會攻擊某些防毒產品。  繼續閱讀

APT攻擊最愛台灣、日本和美國;攻擊產業前三名:政府、 IT產業、金融服務業

趨勢科技 TrendMicro

APTAPT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 最為人所知的是會利用零時差攻擊。不過舊漏洞其實也經常被利用。事實上,根據2013年下半年所進行的分析結果顯示,這段時間內最常被攻擊的漏洞是CVE-2012 0158,這是微軟Office在2012年4月就已經被修補的漏洞,這顯示更新修補程式和安全更新在解決這些威脅所帶來的風險上是多麼的重要。

APT攻擊常被攻擊的漏洞是CVE-2012 0158

圖一、APT攻擊中最常被攻擊的漏洞

台灣、日本和美國最常被APT攻擊鎖定目標;攻擊產業前三名:政府、 IT產業、金融服務業

趨勢科技的研究結果(根據我們所分析過的案子)顯示,有八成的APT攻擊和政府機構有關。其次是IT產業(不管是硬體或軟體)以及金融服務業(銀行)。此外,我們還監控了存取針對性攻擊相關C&C伺服器的各個IP地址位置。我們的數據顯示出台灣、日本和美國是APT 攻擊鎖定三大區域。

台灣、日本和美國是最被APT 攻擊針對的國家。

圖二、台灣、日本和美國最被常APT 攻擊鎖定目標

繼續閱讀

針對日本和中國,可客製化攻擊的 EvilGrab 產生器

趨勢科技 TrendMicro

趨勢科技最近發表對一起新攻擊活動的調查結果,這起攻擊活動稱為EvilGrab,一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者,我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。

hacker with hat

在現在現實世界的EvilGrab產生器

帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊(请修改指正).doc.exe。檔名是用簡體中文(它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1,趨勢科技將其偵測為BKDR_EVILOGE.SM)。它會連到命令和控制伺服器(203.186.75.184和182.54.177.4),分別位在香港和日本。它還會將自己複製到啟動資料夾,並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。

然而,有些被加入的註冊碼有著特殊意義:

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment

這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似,這惡意軟件會對騰訊QQ(一個流行的中國即時通系統)進行相同檢查。

雖然惡意軟體本身並沒有特別不尋常的地方,但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在,而且命名為Property4.exe

我們可以看到攻擊者可以輸入好幾個欄位。其中包括了:

 

  • 指定命令和控制(C&C)伺服器(IP地址或網域名稱),端口和連接時間間隔。
  • 選擇檔案圖示(安裝檔案圖示,檔案夾圖示和文件圖示)
  • 刪除自己
  • 鍵盤記錄
  • 按鍵記錄

 

另外,在這產生器的第二選項頁內,攻擊者可以選擇試圖繞過的防毒產品:

圖二、繞過防毒軟體

 

測試EvilGrab產生器

這時候,我們決定要測試這產生器的功能,並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。

首先,我們打開產生器,輸入一些基本設定來產生測試版的EvilGrab。

圖三、EvilGrab產生器

我們的輸出選擇使用微軟Word檔案圖示,檔名為New.doc.exe,如下圖所示。請注意,這微軟Word檔案圖示描繪得很精確。

圖四、EvilGrab測試樣本

除了製造惡意檔案外,還會產生一個包含連線詳細資料的設定檔。

圖五、EvilGrab設定檔 繼續閱讀

APT目標攻擊使用JPEG檔案

趨勢科技 TrendMicro

趨勢科技最近看到一些來自SOGOMOT和MIRYAGO家族的惡意軟體會用不尋常的方式來更新自己:它們會下載包含加密過設定檔案/二進位程式的JPEG檔案。不僅如此,我們認為這手法至少從2010年中就開始了。我們所看到的這惡意軟體最值得注意的地方是它會隱藏自己的設定檔。這些JPEG檔案放在亞太地區的網站上,並且被用在針對這地區的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊上。

APT

 分析JPEG更新

雖然JPEG檔的內容加密過,我們還是可以解密並分析這些檔案的內容。我們可以將它們分成三類:

 

  • 設定檔案(A型)
  • 設定檔案(B型)
  • 二進位內容(無論是DLL或EXE檔案)

第一種設定檔(A型)跟我們在其他惡意軟體所看到的類似。它包含讓惡意軟體可以執行來自攻擊者指令的資訊,更改設定/模組,並進行自我更新。這些設定內有其他惡意JPEG檔案的網址。此外,這些檔案顯示攻擊者可能已經成功入侵了目標組織,因為有些資料涉及特定的機器或個人。

第二種設定檔(B型)似乎和防毒軟體有關。它包含來自不同廠商的多種防毒產品程序名稱,以及目標網路內的主機名稱資料。這裡是一份B型檔案的部分,解碼後為:

Virus=*avp.exe*,*kavmm.exe*,*klserver.exe*|Kaspersky|*nod32kui*,*ekrn.exe*|ESET|*frameworkService*,

*mcshield*|McAfee|*smc.exe*,*rtvscan.exe*|Symantec|*kwatch.exe*,*kxeserv.exe*,*kxescore.exe*|Kingsoft|

*ravtask.exe*,*ravmond.exe*|Rising|*avguard*,*sched.exe*|Avira|*kvsrvxp*|jiangming|*avgrsx.exe*,

*avgwdsvc.exe*|AVG|*tmlisten*,*ntrtscan.exe*,*tmntsrv*|Trend Micro|*360sd.exe*|360sd|

*zhudongfangyu.exe*|360safe|*qqpcrtp.exe*,*qqpctray.exe*|QQPCMGR|

 

這個設定檔比遠小於A型設定檔。此設定內的某些值也證明了感染已經到了攻擊的第二階段。

除了設定檔案外,JPEG格式檔案也包含了可執行檔案,可能是惡意軟體本身的更新,或是想要安裝到受影響系統上的新惡意軟體。

JPEG檔案託管和外觀

這些JPEG檔案放在許多網站上,大多分佈在亞太地區。有某些網站看來是合法的內容,意味著可能是被入侵後託管這些檔案。

下面是我們所看到部分JPEG檔案的截圖:

APT目標攻擊使用JPEG檔案

APT目標攻擊使用JPEG檔案

趨勢科技已經獲得這些JPEG檔案的多個樣本,並且基於這些樣本,我們認為這種更新模式最早用在2010年6月,並且使用至今。更新的頻率也都大不相同:有些幾乎是每日更新,有些的更新間隔會隔了數月。

繼續閱讀