趨勢科技最近收到關於一波惡意垃圾郵件攻擊的樣本,它會利用惡意PDF附件檔作為惡意軟體的感染載體。電子郵件本文並不包含任何內容,寄件者也是隨機產生。電子郵件夾帶了 PDF附件檔,開啟之後會出現一個惡意連結,點入連結就會下載惡意軟體到系統上。
經過研究,這惡意軟體被偵測為W2KM_CRYPJAFF.G。
強烈建議使用者要小心檢查電子郵件,開啟任何附件檔或連結前要仔細檢查寄件者和內容。
趨勢科技客戶可以受到對此電子郵件威脅的全面保護。
⊙原文來源:Order Email Notification Comes With Malicious PDF Attachment
在許多漏洞攻擊包裡,惡意PDF檔案是用來感染使用者以帶入各種惡意檔案的最常見威脅之一。自然地,安全廠商會投資在正確偵測這些檔案的努力上 – 而惡意作者也會投資在閃避這些廠商的偵測上。
透過主動式雲端截毒技術的回饋資料,我們研究了幾種今日常見用在PDF漏洞攻擊的技術。這篇文章會介紹這些技術。對於這些技術的瞭解則有助於加強趨勢科技偵測這些漏洞的能力。
常見的JavaScript閃避技術
大多數PDF漏洞攻擊碼都會使用某種形式的內嵌JavaScript。正因為如此,常見的JavaScript閃避和模糊處理技術也會被用在這裡。例如:字符串替換、try-catch 例外,fromCharCode迴圈都可以用在PDF檔案。
下面的程式碼片段顯示一些被使用的技術:
圖一、常見被使用的JavaScript閃避/混淆處理技術
這個特定的漏洞攻擊碼針對CVE-2010-0188。
編碼內容和函數名稱的INFO物件
這類型的混淆處理將加密過的程式碼存到部分INFO物件(如標題、主題、作者等)。可以用JavaScript來提取和解碼加密過的惡意程式碼。
在此樣本裡,INFO物件的標題/建立者欄位很詭異。建立者欄位是非常長的字串,用無數驚嘆號來斷開。
圖二、INFO物件內的編碼過程式碼
Adobe Reader最近出現新的零時差漏洞攻擊,不禁會讓人想知道,是否有更安全的方式來使用PDF檔案。答案是肯定的:你可以在使用PDF檔案時降低它的風險。以下是建議的作法:
保持PDF閱讀器在最新版本,使用內建的自動更新功能或直接從廠商網站下載。
首先是每次都必須重複強調的,保持PDF閱讀器在最新版本。許多受歡迎的PDF閱讀器都內建某種形式的自動更新功能,讓你更容易做到這一點。要小心從不知名網站下載來的「更新」,因為常常會出現惡意的版本。使用內建的自動更新功能或直接從廠商網站下載。
這裡先不提那些老生常談的建議,像是不要打開可疑檔案或網站等。現在讓我們假設攻擊已經出現,透過那些看似正常而無法輕易分辨的手法,像是黑洞垃圾郵件攻擊。
你可能會以很多種方式接觸到惡意PDF檔案,但大致來說,可以歸類為在瀏覽器內或不是兩種。瀏覽器內的攻擊是PDF檔案會在瀏覽器中打開,透過外掛程式或瀏覽器本身的功能。漏洞攻擊包就是個讓使用者經由瀏覽器接觸到PDF檔案的例子。
另外一種則是相反地,在瀏覽器以外的攻擊:檔案經由郵件程式或瀏覽器儲存到電腦上,然後用PDF閱讀器打開它。
在瀏覽器內的攻擊,你可以做的就是盡量不要使用外掛程式來開啟PDF檔案。Google Chrome和Mozilla Firefox都可以使用整合的PDF閱讀器而無需依賴於外部應用程式。(Chrome瀏覽器是內建的功能,Firefox則需要下載一個外掛程式)。想要使用這功能,可能需要先關閉PDF閱讀器所安裝到瀏覽器的外掛程式,不同瀏覽器可能有不同的作法。
至於瀏覽器以外的攻擊,經由PDF閱讀器去開啟PDF檔案。一個常見的建議是避免使用Adobe Reader,但這並不是萬靈丹。第三方閱讀器也不能倖免於漏洞攻擊。使用不同的PDF閱讀器只是治標而不治本的作法,並沒有真正提供太多保護。 繼續閱讀
北韓領導人金正日的死訊讓世界各地的人表現出不同的反應。有些人痛心於他的過世,有些人則是非常高興,認為金正日是個「高壓統治者」。
但在另外一方面,網路犯罪份子對這事件只有一個反應,就是利用它。
趨勢科技的研究人員發現了主旨提到金正日死訊的垃圾郵件。這垃圾郵件內文刻意在開頭標註CNN,只有簡單的一行文字,提到金字日的死訊”(CNN)North Korean leader Kim Jong died of a heart attack at the age of 69,state medis have announced”,但其夾帶的PDF檔案(brief_introduction_of_kim-jong-il.pdf.pdf)。被偵測含有木馬TROJ_PIDIEF.EGQ,恐讓電腦成殭屍網路/傀儡網路 Botnet的一員。
TROJ_PIDIEF.EGQ,會引發遠端控制電腦的動作。TROJ_PIDIEF.EGQ會刻意開啟另一個非惡意的PDF檔案,內含金正日照片,讓使用者以為自己開啟的是正常的檔案。
又有一起APT進階持續性威脅(Advanced Persistent Threats, APT)(註)
上禮拜所報導的Adobe Reader零時差漏洞(CVE-2011-2462)已經被用在從11月開始的目標攻擊。惡意PDF檔案經由電子郵件發送給目標,而郵件內文還會引誘目標去打開看似員工滿意度調查的惡意附件檔。一旦開啟之後,惡意軟體BKDR_SYKIPOT.B就會被安裝到目標的電腦上。已知的受害目標包括美國國防工業和政府部門。
APT 進階性持續威脅:目標攻擊常用媒介之給員工的信件
目標攻擊通常是有組織有計劃的攻擊行動。這攻擊行動是從對各個目標做一連串攻擊開始,然後持續一段時間,並不是各自獨立的「破壞搶奪」攻擊。雖然每個單一事件的資料可能都不完整,但時間久了,我們也就能把每塊拼圖給組合起來(攻擊媒介、惡意軟體、工具、基礎網路架構、目標),就會對一次的攻擊行動有了全盤的了解。
Sykipot攻擊行動在這幾年來已經有了許多名稱,它的歷史可以被追溯到2007年,甚至是2006年。
一次跟這次類似的攻擊發生在2011年9月,它利用美國政府醫療給付文件做誘餌。而這次攻擊利用了Adobe Reader的零時差漏洞(CVE-2010-2883)。在2010年3月,則是利用Internet Explorer 6的零時差漏洞。所以在過去兩年內就用了三次零時差攻擊。
其他的攻擊還發生在2009年9月,利用漏洞CVE-2009–3957加上跟國防會議有關的資料,和使用一個著名的智囊團身份當做誘餌。在2009年8月,另外一次針對政府員工的攻擊用應急應變管理的劇情跟聯邦緊急事務管理總署(Federal Emergency Management Agency,FEMA)的身分當做誘餌。而這次攻擊裡所使用的命令和控制(Command and Control,C&C)伺服器也被用在2008年的攻擊裡。
最後,則是發生在2007年2月的攻擊,它利用惡意Microsoft Excel檔案漏洞(CVE-2007-0671)來植入惡意軟體,這惡意軟體的功能跟BKDR_SYKIPOT.B很像,所以也很有可能是它的前身。而這次攻擊中所使用的C&C伺服器的歷史則可以追溯到2006年。 繼續閱讀