監視網路流量是IT管理員用來判斷網路內是否有進行中之APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的方法之一。遠端存取工具(或稱RAT)常見於針對性攻擊活動,用來建立指揮與控制(C&C)通訊。儘管這些遠端存取工具(如Gh0st、PoisonIvy、Hupigon和PlugX等等)都有已知的網路特徵且可被偵測,惡意份子還是能夠有效地將這些工具用在針對性攻擊中。
趨勢科技在五月發現攻擊台灣政府機構的APT攻擊。在此波攻擊中,惡意份子所用的PlugX遠端存取工具會利用Dropbox來下載C&C設定。Dropbox被濫用就非新聞,之前就有攻擊利用此一平台來放置惡意軟體。然而,在我們所分析過的APT攻擊裡,還是第一次看到利用Dropbox來更新C&C設定。
在過去幾周內,趨勢科技報導過其他威脅(像是Cryptolocker和UPATRE)會利用此公共儲存平台以擴散惡意活動。我們所取得的樣品由趨勢科技偵測為BKDR_PLUGX.ZTBF-A和TROJ_PLUGX.ZTBF-A。
當BKDR_PLUGX.ZTBF-A被執行,它會執行各種來自遠端使用者的指令,包括記錄按鍵、進行端口映射、遠端Shell等,進而導致後續的攻擊階段。在一般情況下,遠端shell讓攻擊者可以在受感染系統上執行任何指令以破壞安全防護。
這後門程式也會連到特定網址以取得其C&C設定。使用Dropbox有助於在網路中掩蓋其惡意流量,因為這是個用來儲存檔案和文件的正常網站。我們也發現這惡意軟體有個觸發日期為2014年5月5日,代表它從該日開始運行。可能這樣做也可以讓使用者不會馬上懷疑其系統上有任何惡意活動。
這是個第二型的PlugX變種,具備第一型之後的新功能和修改。其中一個改變是使用「XV」作為標頭,而非之前的MZ/PE標頭。這可能是種反鑑識技術,因為它一開始載入「XV」所以二進位檔不會運行,除非XV換成MZ/PE。此外,它還具備來自攻擊者的認證碼,在此案例中是20140513。不過,PlugX的一個共同特點是用普通應用程式載入惡意DLL的預載技術。這惡意DLL接著會載入包含主要行為的加密組件。此外,它會攻擊某些防毒產品。 繼續閱讀