簡單的說,木馬程式是偽裝成無害軟體的惡意程式,這個詞源自於經典的特洛伊戰爭故事,一群希臘士兵藏在一個巨大的木馬以進入特洛伊城,然後跳出來大肆攻擊敵人。
而在電腦世界裡,木馬是種惡意軟體,透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後,惡意軟體就可以做各種壞事了。
特洛伊戰爭的故事在幾個世紀以來一直都很令人著迷。木馬是這場傳說戰役裡的戰術產物,到了今日的網路世界裡,木馬成為一種破壞性的網路威脅。從1986年最早出現的形式(PC-Write)到現在,木馬(Trojan)一直都讓人相當關注。
木馬程式是一種惡意軟體,通常是由不知情的使用者從網路下載並安裝。木馬可能以不同面貌出現,遊戲軟體、時尚的拍照應用程式或看似合法的銀行應用程式。它還可能偽裝成軟體元件,甚至偽裝成你所信任企業所推出的廣告。
繼續閱讀本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何演進,以及如何搭配惡意程式的發展以從事惡意活動。
Unix 程式設計師經常運用指令列腳本 (shell script) 來讓他們很方便地在一個檔案中指定所要執行的多個 Linux 指令。許多使用者也都會利用這個方式來管理檔案、執行程式或執行列印。
不過由於每台 Unix 電腦都內建了指令列腳本的解譯器,所以這也成為歹徒喜愛的一個泛用工具。我們先前就曾撰文說明駭客如何利用指令列腳本來散布惡意程式,並用來攻擊組態設定不當的 Redis 運算實體、暴露在外的 Docker API 或者清除競爭對手的虛擬加密貨幣挖礦程式。本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何不斷演進、如何配合不斷發展的惡意程式來從事惡意活動。
使用指令列腳本並非什麼最新技巧,網路上早已相當盛行。不過我們確實注意到這類腳本開始出現一些變化,而且能力正大幅攀升。
對於時時刻刻處心積慮謀求最大獲利的網路犯罪集團來說,沉寂不代表沒有動作。Outlaw 駭客集團就是一個例子,近幾個月來,他們似乎沉寂了好一陣子,但其實是忙著開發新的工具套件來開拓更多不法獲利來源。自從趨勢科技在去年 6 月披露之後,該集團沉默了好一段時間,但到了 12 月便又開始看到他們的活動,並推出了新版的工具套件,不過仍保留了許多先前的攻擊技巧。此次版本更新除了增加一些掃描參數並擴大了掃描目標之外,更會讓惡意程式不斷循環重複執行,並且加強了掃描活動躲避偵測的能力,還會將其他競爭對手的挖礦程式以及自己舊版的挖礦程式全部清除,來提升自身的利潤。
經過詳細分析之後,趨勢科技發現歹徒應該是鎖定汽車與金融產業,他們會在已遭入侵的系統上發動更多後續攻擊,並且 (可能會) 竊取資訊拿去販賣。比較這次的版本與過去的攻擊,我們認為 Outlaw 此次更新的目的包括:攻擊尚未更新系統的企業、掌握其先前感染的主機當前最新的資安狀況與系統變動、尋找新/舊攻擊目標,以及趁機在網路上測試新版功能。根據趨勢科技蒐集來自 456 個不同 IP 位址的樣本所觀察到的變化來看,預料該集團在未來幾個月內將更加活躍。
LokiBot具備了收集敏感資料(如密碼和虛擬貨幣資訊)的能力,而其幕後操作者也持續地在開發此威脅。趨勢科技曾經看過一波攻擊活動會攻擊遠端程式碼執行漏洞來利用Windows Installer服務散播LokiBot,出過利用ISO映像檔的Lokibot變種及會用資料隱碼術增強持續性機制的變種。而最近,我們發現一隻LokiBot(趨勢科技偵測為Trojan.Win32.LOKI)會偽裝成熱門的遊戲啟動器來誘騙使用者在電腦上執行。進一步分析顯示此變種有著特別的安裝行為,會植入可編譯的C#程式碼檔案。
這隻不尋常的LokiBot變種利用的是「派送後編譯(compile after delivery)」規避偵測技術,趨勢科技解決方案可以用內建的機器學習(Machine learning,ML)偵測功能來加以主動偵測(Troj.Win32.TRX.XXPE50FFF034)並封鎖。
繼續閱讀會竊取使用者登入帳密和信用卡資料的 Ginp 銀行木馬(趨勢科技偵測為AndroidOS_Ginp.HRXB),使用了部分因網路間諜活動而惡名昭彰 Anubis 的程式碼。
| 延伸閱讀:安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊 |
在受害裝置上執行後,Ginp會移除自己的圖示,接著向使用者要求無障礙服務權限。一旦取得權限,它會給予自己傳送訊息和撥打電話的權限。
Ginp可以根據接收到的命令來發送或收集簡訊。還可以要求管理員權限、啟用覆蓋攻擊、更新命令和控制(C&C)網址、更新目標列表、將自己設成預設的簡訊應用程式、防止使用者停用無障礙服務、獲取已安裝的應用程式或聯絡人列表、啟用來電轉接、隱藏自己並防止刪除等功能。
值得注意的是,Ginp會誘騙受害者提供登入帳密和信用卡資料,聲稱這些資訊是用來驗證使用者身份。
繼續閱讀