鎖定單一對象的惡意程式攻擊有多高超?

作者:趨勢科技Nart Villeneuve (資安威脅高級研究員) 

近來,專門利用熱門軟體漏洞來攻擊單一特定對象的惡意程式攻擊越來越普遍。在頗為知名的「Aurora」惡意程式攻擊 Google 以及至少其他二十多家公司之前,鎖定單一目標的惡意程式攻擊就已經相當普遍,而且不斷入侵政府機關、軍事單位、民間企業、教育機構以及一般民間網路。雖然美國政府與相關網路遭到此類攻擊已不是新聞,但越來越多其他國家的政府和民間機構也面臨了同樣的威脅。
 

 


今年稍早,加拿大南韓法國政府一些敏感的網路都曾發生嚴重的資安事件。最近,歐盟執行委員會 (European Commission) 與歐盟對外事務部 (European External Action Service) 也都遭到入侵。此外,資訊安全廠商 RSAComodo 也都坦承發生安全事件,其中,至少 RSA 的案例看來就是一起鎖定單一目標的惡意程式攻擊。

 


是技術高超還是瞎貓碰上死耗子?

 


這類攻擊經常被形容為技術高超專門針對被害人的 攻擊,不論是哪一種說法,基本上就是表示攻擊得逞。這類事後的描述經常暗指攻擊者完全掌握了受害者的漏洞,在某些情況下,甚至完全符合他們的期望。我們很 難根據那些模糊的公開資訊來判斷這些說法是否屬實。所以,本文無意駁斥這些說法,只是希望強調,攻擊者之所以能夠鎖定單一目標、具備精密的攻擊技巧,全靠 日積月累的知識,而非高超的工具和方法。

 


雖然大多數的網際網路使用者可能一輩子也不會成為駭客鎖定的單一目標,反倒比較容易成為一般威脅的受害者,例如:假防毒軟體 Fake AV網路銀行木馬程式 (Zeus、SpyEye),但專門從事單一目標攻擊的惡意程式樣本數量卻從未減少。不過,實際上,攻擊目標的針對性也有很大的變異。有些惡意攻擊者喜歡製造一些「雜訊」。他們會四處散發惡意文件 (通常會利用某些主題或問題來執行社交工程技巧),但這些文件的收件者 (也就是潛在的目標) 為數頗多。這些當然並未鎖定某位個人或某個機構。但是,這類攻擊很可能是針對特定目標的後續攻擊前兆。

 


歹徒先做好功課

 


最近我從 contagiodump.blogspot.com 所收到的一個樣本就展示了這類攻擊「雜訊」所能達到的偵查效果。此惡意程式樣本是一個專門利用 Microsoft HTML 說明檔漏洞的 .CHM 檔案。該程式就是趨勢科技所偵測到的 CHM_CODEBASE.AG,它會在系統植入 BKDR_SALITY.A 後門程式,接著製造一些網路流量,連上知名 BKDR_SALITY.A 伺服器。

 


此外,該惡意程式還會產生一些網路連線連上 win{BLOCKED}.dyndns.info。該伺服器上的網頁含有一段 JavaScript 程式碼會使用 res:// 通訊協定來列出受害電腦上所安裝的特定軟體,然後將清單傳送至 win{BLOCKED}.dyndns.info。這種藉由 res:// 通訊協定來找出系統安裝軟體的方法,早在 2007 年就由 Billy Rios 所發表。

 


根據 Rios 解釋,Internet Explorer 從 4.0 版開始即內建 res:// 通訊協定,可用於偵測遠端電腦上是否安裝了特定軟體,因此攻擊者只要引誘使用者以瀏覽器連上某個網頁即可。如同 Rios 指出,這項技巧可用於找出特定應用程式,進而找出適用的漏洞攻擊技巧。此外,還可偵測系統是否有某個磁碟機存在。這麼多年之後,這項技巧依然有效。

 


win{BLOCKED}.dyndns.info 網頁上 JavaScript 程式碼可廣泛偵測下列軟體:

  • Microsoft Office (WordOutlook),從 97 至 2010 版
  • Adobe Reader (7.0 至 9.3)
  • Adobe Flash
  • Java
  • 即時通訊程式 (SkypeYahoo! MessengerMSNGoogle TalkQQ)
  • 程式開發工具與美工軟體 (Delphi.NETPhotoshopDreamweaver)

此外,它還會檢查系統上的檔案分享軟體、網頁瀏覽器、遠端系統管理工具、電子郵件用戶端、下載管理員以及媒體播放器。資訊安全軟體也在其偵測之列,包括:市場上主要的防毒軟體與防火牆產品,還有 PGP 加密軟體。此外,該惡意程式還會檢查虛擬機器軟體,並且偵測自己是否在 VMware 虛擬機器內執行。最後,它還會檢查 Microsoft 更新 (KB842773 至 KB981793)。

 


老實說,這個惡意程式樣本有點奇怪,因為它會在入侵使用者的電腦之後才執行上述檢查。如果是用來偵查,不是應該在攻擊之前就 執行嗎?一種可能的解釋是,攻擊者刻意送出一些攻擊「雜訊」,希望系統管理員在清除這些雜訊之後就忘了這件事。但此時攻擊者已經蒐集到企業的電腦配備資 料。因此,就知道該公司偏好的防毒軟體、特定軟體版本以及其他可用資訊,接下來就很容易針對該目標發動進一步攻擊。當攻擊者準備就緒時,就會發動一次攻擊 來竊取想要的資料。

 


此時,攻擊者已經知道某個目標有哪些軟體漏洞可以利用。想當然爾,這次攻擊又會被形容為技術高超專門針對被害人的攻擊,然而它之所以能夠得逞,完全是因為先前已掌握到必要的資料。

 


@原文來源:How Sophisticated are Targeted Malware Attacks?



@延伸閱讀




老闆~“恭喜您入選2010百大企業領袖個資竊取者來釣魚


轉自 http://domynews.blog.ithome.com.tw/post/1252/96386 

0 意見: