最近有報導指出,南韓第三方應用程式商店所提供的某些 App 程式已使得 20,000 多支智慧型手機感染了惡意程式。值得注意的是,這些 App 程式都沒有在 Google 官方的 Google Play 商店上架。
此攻擊所用的 App 程式就是趨勢科技所偵測到的 ANDROIDOS_KRBOT.HRX 惡意程式,我們決定進一步深入追查這些感染案例。
揪出幕後黑手
趨勢科技發現,此攻擊幕後的網路犯罪集團經常活躍於散布盜版 App 程式的網路地下論壇,這類程式最常見的是知名熱門遊戲的App 破解版。歹徒專門蒐集各種破解版 App 程式,然後將它們重新包裝,加入自己的惡意程式碼,然後再流傳到網路上。
他們會透過各種 BT 下載網站、網路論壇以及各式各樣的第三方 App 程式商店來流傳。
圖 1:盜版 App 程式在地下論壇上的貼文。
圖 2:盜版 App 程式利用 Google Drive 為集散地。
圖 3:盜版 App 程式刊登在 BT 網站上。
惡意 App 程式一旦執行,就會啟動一個背景服務來連上預先設定好的電子郵件伺服器。 繼續閱讀
2014年10月的週二修補程式日的其中一項是MS14-063,用來解決FAT32磁碟分割區驅動程式中的漏洞,此漏洞讓攻擊者可以取得受影響系統上的管理者權限,只需要一個具備特製檔案系統的USB磁碟。這個漏洞也被編號為CVE-2014-4115。
為什麼此漏洞並不尋常?
我們特別注意檔案系統驅動程式,因為它們可以被用來透過USB磁碟機來攻擊系統。想想看之前的Stuxnet漏洞:它透過Windows捷徑漏洞來散播,能夠輕易地執行Windows shell程式碼;再利用第二個漏洞來取得管理者權限。檔案系統驅動程式漏洞可以一次就達到原本需要兩步驟的效果。
CVE-2014-4115存在於Windows Vista、Server 2003、Server 2008的檔案系統驅動程式(FASTFAT.SYS)。此驅動程式負責處理Fast FAT檔案系統(如 FAT32)。當處理FAT32格式磁碟中帶有特殊BIOS參數區塊(BPB)的開機磁區時,就可能觸發此漏洞。
FAT32今日仍被普遍地用在USB隨身碟上。正因如此,針對性攻擊可以利用此漏洞。假設一個特製的USB隨身碟以某種方式插入高階主管的筆記型電腦或公司內部網路的電腦。這些系統就會被外部惡意份子所控制,就有可能被用來進行針對性攻擊。 系統管媒體的政策。
系統管理員及時進行修補可以減少成為攻擊受害者的風險。企業系統管理員也該重新考慮在公司內部網路使用USB媒體的政策。
這個漏洞是什麼,出現在哪裡?
如前所述,此漏洞出現在FASTFAT.SYS。比較過有漏洞的版本和修補過的版本,唯一區別在於:函數 FatCommonWrite()。
在2014年,整個技術環境出現了許多重大的新事物。這些事物讓使用者跟企業有了新能力去做之前無法想像的事情。不過這些新變化也同樣地幫助了惡意分子:威脅現在可能來自意想不到的地方,並且加強了攻擊者現有的能力。
那些關鍵發展會造成明日的威脅環境,我們如何預見其演進?底下是我們認為會出現在2015年的趨勢:
1.更多的網路犯罪集團將利用黑暗網路 (Darknet)和專門的地下論壇來分享和販售犯罪軟體。
我們已經看到網路犯罪分子利用深層網路和其他黑暗網路,以及無法追查的點對點網路(例如Tor、I2P、Freenet)來販賣和交流工具及服務。研究人員和執法單位的打擊活動及協同合作已經打亂了網路犯罪集團,讓他們具備更多理由深入地下。安全公司和執法單位需要透過提供威脅情報及對網路犯罪有單一解釋來延伸合作範圍,以幫助執法單位抓到網路犯罪份子和攻擊者,不管司法管轄區為何。
2.網路犯罪活動的熱絡將催生出功能更強、規模更 大、效果更好的駭客工具及攻擊手法。
網路犯罪份子會追逐比家庭使用者更大的目標,因為可以帶來更多的利潤。我們將會看到更多關於銀行和金融機構的資料外洩事件,客戶資料所有者仍然是非常有吸引力的目標。為此,組織和個人應該要假定會有入侵事件;企業需要持續不斷地監視網路內是否有任何威脅出現,同時個人使用者要定期變更自己的密碼以防止資料被竊取。
3.隨著行動裝置漏洞逐漸成為重要的裝置感染途 徑,漏洞攻擊套件將開始鎖定 Android 平台。
隨著Android威脅的成長,我們將會在未來幾年看到更多行動裝置、應用程式和平台的漏洞被發現。網路犯罪份子會將目標放在這些行動裝置內所儲存的資料。此外,攻擊者可能會利用Android作業系統的碎片化,使用類似黑洞漏洞攻擊包(BHEK)的工具。類似勒索軟體的的傳統威脅也會出現在行動環境上。
4.鎖定目標攻擊將變得和一般網路犯罪一樣普遍
高調APT攻擊/目標攻擊活動的成功突顯出網路攻擊是搜集情報的有用手段。根據這一點,我們將會看到來自其他國家的針對性攻擊,而不僅僅是常說的那些攻擊來源國家。我們將會看到更多元化的目標和攻擊源頭,也會看到具備不同目的的威脅分子出現。雖然威脅份子的動機可能多樣化,他們將會繼續的竊取極機密的政府、資料、財務資訊、智慧財產、產業藍圖以及其它各種資訊。社群媒體會是針對性攻擊的一個新切入點。
網路犯罪分子和威脅幕後黑手經常會利用測試過的漏洞來感染使用者系統,也藉此去穿透企業網路。這凸顯出修補系統和將軟體及應用程式保持在最新狀態的重要性。
趨勢科技最近發現DYREZA惡意軟體利用了舊的Adobe Reader和Acrobat漏洞(CVE-2013-2729)。一旦成功地攻擊此漏洞,就可以在受影響系統上執行任意程式碼。
圖1-2、垃圾郵件截圖
DYREZA惡意軟體使用偽裝成收據通知的垃圾郵件作為感染媒介。它夾帶著惡意PDF檔案(被趨勢科技偵測為TROJ_PIDIEF.YYJU)。一旦執行,它會攻擊CVE-2013-2729漏洞,進而去下載TSPY_DYRE.EKW,一個DYREZA變種(也被稱為DYRE和DYRANGES)。
DYREZA是個以竊取銀行認證資訊聞名的惡意軟體,而且和包裹騾子詐騙有關。我們最近寫過一篇部落格文章詳述了此惡意軟體在威脅環境生態系中所扮演的角色和一些顯著的行為,包括其有能力透過瀏覽器注入來進行中間人(MITM)攻擊,監視目標銀行的網路銀行連線和竊取其他資訊,如瀏覽器版本、截圖和個人認證資訊。
使用者和企業都有危險,因為DYREZA可以透過瀏覽器截圖來取得其他類型的資料,像是個人識別資訊(PII)和認證資訊。此外,還有報告指出CUTWAIL殭屍網路會導致下載UPATRE和DYRE惡意軟體。
讓TSPY_DYRE.EKW值得注意的是其注入惡意程式碼到特定銀行和比特幣登入頁面來竊取重要資訊的能力。它所監視的一些比特幣網頁:
除了資料竊取的行為外,TSPY_DYRE.EKW可以連到某些惡意網站來收發資訊。此外,它可以連到特定STUN(NAT會話傳輸應用程式)伺服器來確認其感染電腦的公開IP位址。因此,網路犯罪分子可以找出惡意軟體的位置或判斷受影響使用者和組織的位置。出現最多受害者的國家包括了愛爾蘭、美國、加拿大、英國和荷蘭。
比特幣是一種具有真實世界價值的數位貨幣。網路犯罪分子常常會將目標放在比特幣上,因為它提供了一個可以產生利潤的新場所。雖然這並不是第一次詐騙分子及網路犯罪分子將目標放在比特幣上,這個新攻擊凸顯出傳統威脅(如漏洞和銀行惡意軟體)仍然是網路犯罪分子竊取使用者認證資訊和攻擊較新平台(比特幣)的常用手段。它也教了我們關於保持系統和軟體應用程式更新到最新版本的重要一課。
趨勢科技透過主動式雲端截毒服務 Smart Protection Network來保護使用者對抗此威脅,它會偵測垃圾郵件和所有相關惡意軟體。
@原文出處:Old Adobe Vulnerability Used in Dyreza Attack, Targets Bitcoin Sites作者:Rika Joi Gregorio(趨勢科技威脅回應工程師)
