行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台。趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。
MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。
雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。
趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。
對企業的影響
MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。
結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。
圖1:Google Play上帶有MilkyDoor應用程式的例子 繼續閱讀