生意人怎麼會對新聞媒體會有興趣?這是我們最近在調查一樁南韓媒體遭到針對性目標攻擊(Targeted attack )攻擊的案例時心中的疑惑。
Shadow Force 是一個新的後門程式,它會取代某個 Windows 系統服務所呼叫的 DLL 程式庫。此後門程式一旦進入系統,駭客就能利用其他工具進一步製造更多安全漏洞或是造成損害。趨勢科技在今年五月份的一篇部落格文章當中已討論過這類後門程式攻擊。
攻擊開始時機
這項攻擊展開的時機是在 Windows 作業系統啟動 Microsoft Distributed Transaction Coordinator (Microsoft 分散式交易協調器,簡稱 MSDTC) 服務的時候,此服務在作業系統中負責協調橫跨多個資源管理程式 (如:資料庫、訊息佇列、檔案系統) 之間的作業。若目標電腦已加入網域,當 MSDTC 服務啟動時就會檢查系統登錄中是否有設定其相關程式庫 (DLL)。
圖 1:MSDTC 服務的外掛 DLL 程式庫。
更確切一點,MSDTC 服務當中的 MTxOCI 元件會透過系統登錄來找尋三個 DLL 程式庫:oci.dll、SQLLib80.dll 和 xa80.dll。一般來說,電腦上通常不會有 oci.dll,但此處駭客故意製作了一個後門程式並將它取名為「oci.dll」,然後放在系統資料夾「%SystemRoot%\system32\」當中。一旦將 oci.dll 放到適當位置之後,駭客就會利用一道遠端指令來終止 MSDTC 服務 (taskkill /im msdtc.exe /f),讓 MSDTC 自行重新啟動。但這一次,當該服務啟動時,就會找到駭客所放置的 oci.dll。而當服務呼叫這個 DLL 時,就會啟動 Shadow Force。
圖 2:用來終止 MSDTC 服務的指令,可造成該服務重新啟動。
這項簡單的技巧可輕易躲過一些鑑識分析工具的掃描,如:autorun.exe,因此變得更難即時偵測及矯正。 繼續閱讀