18 歲了!分析 Shadow Brokers 駭客集團外流的長青惡意程式Tildeb

2017 年 4 月 14 日,The Shadow Brokers (TSB) 駭客集團公開了一批名為「Lost in Translation」的駭客工具和資料。這批公開的資料當中包含了多個關於 Server Message Block (SMB) 和 Remote Desktop Protocol (RDP) 兩個通訊協定以及一些協同作業與網站伺服器軟體的零時差遠端程式碼執行漏洞。此外還有 EternalBlue、EternalChampion、EternalSynergy、EsteemAudit、EchoWrecker、ExplodingCan、EpicHero、EWorkFrenzy 等漏洞攻擊套件。

此外,這批資料還包含一些駭客在成功入侵之後可植入系統的惡意程式和工具,以便能夠:持續掌控被感染的系統、避開安全驗證、從事各種惡意活動,並與遠端伺服器建立幕後操縱 (C&C) 通訊等等。在這類植入系統的惡意程式當中,最值得注意的有五個:DoublePulsar、PeddleCheap、ExpandingPulley、KillSuit (KiSu) 和 DanderSpritz,它們各自擁有不同的能力、功能和用途。

除此之外,還有一個非常特別的惡意程式,那就是 ExpandingPulley (EP) 主要資料夾「\windows\Resources\Ep\」底下一個名為「clocksvc.exe」的獨立執行檔。這個惡意程式從未獲得公開關注,只曾經在一份 CYSINFO 的報告當中被提到它會連上某個 IP 位址。我們將這個惡意程式命名為 Tildeb (趨勢科技正式命名:Trojan.Win32.TILDEB.A),因為它會在系統上產生一個名為「~debl00l.tmp」的特殊暫存檔。 繼續閱讀