全球雲端資安領導廠商趨勢科技提醒,台灣政府機關下載或開啟附件檔案之前請務必三思!趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動,名為「PLEAD」,犯罪份子使用魚叉式網路釣魚電子郵件,內含以「強制從右至左書寫」(RTLO) 技巧來偽裝檔名的附件,並利用 Windows 的漏洞來攻擊受害者,誘騙缺乏警戒的收件人開啟並下載惡意附件檔案,進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。
趨勢科技台灣區技術總監戴燊表示:「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元,這些字元是為了支援世界上從右至左書寫的語言,讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧,歹徒可將惡意檔案偽裝成看似無害的文件。」
在以下案例中,歹徒寄了一份假冒某技術研討會參考資料的電子郵件給台灣某部會的員工。當其附件檔案解壓縮之後,收件人會看到二個檔案:一個 PowerPoint 檔案和一個 Microsoft Word 文件。
圖一、解壓縮後的附件檔案,其中看來像PPT檔的文件,其實是「.SCR」的螢幕保護程式
第一個檔案使用了 RTLO 技巧。歹徒在檔名的「PPT」之前插入了一個 Unicode 的 RTLO 指令,讓檔案看起來像是一個 PowerPoint 文件,但事實上卻是一個螢幕保護程式。為了提高電子郵件的可信度,歹徒又多放了一個正常的Microsoft Word 文件 (.DOC) 來轉移注意力。不僅如此,這個經過偽裝的「.SCR」螢幕保護程式執行時還會產生一個 PowerPoint 檔案,讓受害者以為開啟的確實是個簡報檔,因此更不容易起疑。
圖 2: 「.SCR」螢幕保護程式會產生一個「.PPT」檔案來轉移注意力
最後,這項攻擊行動會在受害者的電腦上植入一個後門程式,然後解開自己的程式碼,並把自己注入其他執行中的處理程序。植入電腦之後,後門程式會開始蒐集受害對象電腦上的資訊,如使用者名稱、電腦名稱、主機名稱以及當前惡意程式處理程序代碼,讓歹徒可以追蹤個別受害對象。當後門程式成功連上遠端伺服器之後,就會執行以下動作來進行一般偵查程序:
- 檢查電腦上安裝的軟體或 Proxy 設定
- 列出所有磁碟機
- 取得檔案
- 刪除檔案
- 執行遠端指令
趨勢科技台灣區技術總監戴燊表示:「根據趨勢科技2014年第一季資安報告指出,有 76% 的鎖定目標攻擊都是針對政府部門,而電子郵件是歹徒滲透目標網路最常見的手法,再加上此波發現的攻擊都是鎖定台灣政府機構,相關單位要特別提高警覺。」
除了魚叉式網路釣魚電子郵件之外,歹徒還會不斷利用各種舊的軟體與系統漏洞。例如,趨勢科技就發現有越來越多的鎖定目標攻擊使用 CVE-2012-0158 漏洞。儘管這個漏洞 Microsoft 早在 2012 年釋出的 MS12-027 修補程式當中已經解決,但此漏洞仍普遍存在於 Windows 通用控制項當中,歹徒因而能執行惡意程式碼。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!