一個亞洲的政府單位陷入了危機,因為攻擊者針對了他們網路內部的伺服器。這起攻擊顯示出對方對單位內部網路架構、使用工具和軟體的熟悉及深入的了解,能夠存取他們的目標伺服器並安裝惡意軟體。之後,他們不只將入侵的伺服器作為其網路的閘道,也用來做為C&C伺服器。這起攻擊從2014年以來就一直持續活躍著。
攻擊者試圖修改安裝在伺服器上的應用程式將讓自己在網路內繼續存在。上述應用程式的某些檔案(通常是作業用軟體、安全軟體和系統工具)被篡改以載入惡意DLL檔案。這些應用程式被篡改的共同點是會在系統啟動時自動執行。這說明了應用程式被修改以確保所安裝的惡意軟體會在伺服器每次啟動時執行。
伺服器是首要目標
我們的調查顯示有五個應用程式被攻擊者修改:
- Citrix XenApp的IMA安全服務(exe)
- EMC的NetWorker(exe)
- HP系統管理主頁(exe)
- IBM BigFix客戶端(exe)
- VMware工具(exe)
根據我們的監測,攻擊者一開始攻擊了兩個伺服器,然後在網路中繼續移動以尋找更多目標。這一直進行到2015年初,影響了更多的伺服器。一些受影響的電腦是網路管理伺服器,這代表它們能夠存取子網路內所有的系統。我們沒有發現攻擊者是如何去利用對網路這樣等級的存取能力,但我們認為他們會用此權限來維持其在網路中的存在及竊取資料。
使用目標的環境來對付目標
攻擊者能夠識別安裝在伺服器的應用程式並加以修改以執行惡意程式碼。目標應用程式的導入表被修改以載入一個惡意DLL(DLL的名稱各不相同以符合目標應用程式)。當修改過的應用程式執行時就會載入惡意DLL。
圖1、修改導入表來鏈結惡意DLL(以藍色顯示)
