資安公司警告,發現針對臺灣客製化的木馬病毒:Backdoor.Dripion

資安公司警告,發現針對臺灣客製化的木馬病毒:Backdoor.Dripion

賽門鐵克警告,發現新型針對臺灣地區的網路間諜後門木馬威脅- Backdoor.Dripion為客製開發的惡意軟體。這款惡意軟體可偽裝成資安軟體公司網站的命令和控制伺服器,對於台灣企業安全可能構成威脅,企業資安部門需要特別注意。

賽門鐵克表示, Dripionis是一種竊取公司資訊的惡意軟體,目前僅在部分針對性網路攻擊中使用過。目前主要針對位於臺灣地區、巴西和美國的企業進行攻擊。

該攻擊活動的背後攻擊者採取了一定的措施來掩飾他們的攻擊行為、 包括將網域名稱偽裝成資安軟體公司的網站、 並將其當作命令和控制 (C & C) 伺服器。賽門鐵克安全團隊發現,這些攻擊與一個曾經被稱為Budminer的網路犯罪團體利用Taidoor木馬程式 (Trojan.Taidoor) 攻擊有相當大的關聯。

 

攻擊事件背景

賽門鐵克安全團隊表示,他們收到三個拼湊檔並發現其具有後門程式功能,能夠竊取受害企業的資訊時,便針對該攻擊開展調查工作。 該惡意軟體似乎是一種新型惡意軟體,之前很少被檢測出來,也並未公開使用過。通過原始碼分析,並與已知後門木馬程式進行對比後,賽門鐵克的安全專家分析出這是一款客製開發的惡意軟體。

賽門鐵克的安全專家表示,開發一款能夠避開檢測並具有資訊竊取功能的後門程式需要大量的知識和資金支援。 這類新型後門木馬程式的背後通常與網路間諜活動組織的參與有關。

 

惡意軟體下載器

針對惡意軟體的調查的首要步驟確定其進入受害者電腦的方式。 雖然目前有許多公開使用的下載器,但是專屬於網路間諜活動使用的專有下載器在過去幾年裡卻屈指可數。 由於使用Dripion惡意軟體看起來是來自於單一攻擊者針對小型目標群體,因此,賽門鐵克安全團隊希望能夠通過調查下載器來確定是否能夠獲更多證據,從而找出背後的已知威脅團體。

本次攻擊所使用的下載器Downloader.Blugger (MD5:260f19ef39d56373bb5590346d2c1811)並非是新出現的惡意軟體, 在2011年便已被發現。Blugger下載器採用加密技術來其構建基礎架構和URL請求查詢命令這令其更加難以被檢測出來。在解密後,賽門鐵克安全團隊確定下列URL指令:

  • http://classic-blog.[REDACTED DOMAIN 1].com/nasyzk/20002630
  • http://nasyzk.[REDACTED DOMAIN 2].net/blog/post/251315428

賽門鐵克安全團隊在分析後得出,在下載器請求的URL中的這兩個網域名稱均為可公開訪問的部落格。 下載器能夠通過連上這些部落客的URL,檢索並安裝Dripion惡意軟體。

這些部落格網站主要以英文為主,但其主要攻擊目標為臺灣地區。 如下圖1所示,其中一個部落客以美國醫療保健行銷為主題。

安全團隊目前尚不清楚這些部落格是由攻擊者所創建,還是為了攻擊而入侵了其他的部落格。 如果是入侵其他部落格,那麼攻擊者便不會創建內文,這是由於部落格會顯示內文的建立者,這與攻擊者的初衷不符。

如果是攻擊者創建部落客,那麼他或許會採用攻擊目標所可能感興趣的主題來創建部落格。 目前,這些部落格中的大部分內容與新聞活動相關。

資安公司警告,發現針對臺灣客製化的木馬病毒:Backdoor.Dripion

Dripion 後門木馬程式

一旦受害者的電腦被 Dripion惡意軟體入侵,攻擊者就能夠訪問使用者的電腦。 Dripion擁有後門木馬程式的功能,使攻擊者可以上傳、下載並從受害者電腦中竊取預先確定的資訊。 此外,該惡意軟體還能夠執行遠端命令。 在感染後,受害者的電腦名稱和IP位址等資訊將會自動傳輸至C&C伺服器。

命令

描述

GoSleep

睡休眠 10 分鐘

GoKill

試圖刪除自身並結束運行

GoBye

與電腦斷開連接  

nodata

和 GoBye 相似

Command

執行命令( CreateProcessA 中的 lpCommandLine ),通過管道將結果重新定向為 .tmp 檔,並下載該檔

UpFile

向受害者電腦的檔寫入資料

DownFile

向遠端打開的檔寫入資料( InternetWriteFile )。 成功運行後,.tmp檔可能會被刪除

ExecuteFile

創建新進程 (CreateProcessA)

表 1.Dripion惡意軟體相關命令

 此外, Dripion的開發者還將XOR編碼用於二進位設定檔(XOR:0xA8)和利用C&C伺服器發出的網路請求(XOR:0xA3),從而使其更加難以被檢測出來。目前, Dripion已經被確認擁有多個變體,其版本編號被寫在惡意軟體內。 這意味著,攻擊者既可以創建和開發客製化的惡意軟體,並且能夠更新程式碼,從而提供新的功能,增加被檢測出來的難度。 

與之前網路間諜活動的關聯

使用可公開訪問的部落格散佈惡意軟體是曾經出現過的攻擊手段,但是網路間諜團體很少使用這種方式進行攻擊。 目前依然採用這種方式發送客製惡意軟體的情況更是少之又少。

賽門鐵克安全團隊過去曾經發現 Budminer是唯一曾使用Blugger下載器的網路犯罪團體,這是指明此次攻擊與之前網路間諜活動相關的第一條證據。 過去,該犯罪團體曾使用Blugger下載器散佈客製惡意軟體Taidoor(Trojan.Taidoor)。 在本次攻擊中,我們首次發現Blugger下載器用於發送Taidoor以外的惡意軟體。

隨著調查工作的進一步,更發現了此次攻擊與早期 Budminer犯罪活動相關的第二個聯繫。 Dripion相關Blugger下載器的其中一個樣本曾經被用於Taidoor攻擊活動。

資安公司警告,發現針對臺灣客製化的木馬病毒:Backdoor.Dripion

攻擊目標

賽門鐵克安全團隊在2015年9月首次識別出採用Dripion惡意軟體的攻擊活動。 根據最早的已知樣本上的時間戳記,Dripion惡意軟體很可能於2013年便已經存在。賽門鐵克的分析發現,採用Dripion惡意軟體的攻擊活動的針對性極強,受害者數量遠遠低於感染Taidoor的使用者數量。

資安公司警告,發現針對臺灣客製化的木馬病毒:Backdoor.Dripion

可以看出,兩組攻擊活動之間的相似處,在臺灣地區所發現的感染使用者的專有檔拼湊值數量相似。

很遺憾,現在賽門鐵克安全團隊需要更多資料來確定2013年11月與Dripion惡意軟體相關的時間戳記(7ad3b2b6eee18af6816b6f4f7f7f71a6)是否合法,或是否存在偽造。 目前,賽門鐵克安全團隊能夠確認,最早已知的採用Dripion惡意軟體的攻擊活動發生在2014年11月。 儘管存在1年的時間差,但是採用Dripion惡意軟體的攻擊活動很可能在此期間就已經發生過,但由於目標過小,躲避了檢測。

此外,攻擊者還採用了另一種手段來欺騙 C&C基礎架構內部的潛在攻擊目標。 攻擊者會創建多個與資安軟體公司領域中合法企業的網站相似的網域名稱,例如,攻擊者曾使用過hyydn.nortonsoft[.] com和mhysix.mcfeesoft[.] com為C&C網域名稱。 為了欺騙攻擊目標和防禦者,利用蓄意拼寫錯誤的功能變數名稱模仿合法網站以混入正常的網路活動中便是網路攻擊中的一種常見手段。

 

調查結論

通過開展調查工作,賽門鐵克安全團隊認為,本次攻擊活動以臺灣地區為主要攻擊目標,利用未識別的後門木馬程式對企業進行攻擊。 隨著調查工作的深入,賽門鐵克安全團隊發現,此次攻擊活動與Budminer網路間諜團體之間存在多個關聯:

  • 使用相同的專有下載器
  • Dripion和Taidoor所使用的專有下載器可將受害企業的MAC位址用作RC4金鑰進行資料加密
  • 使用相同的部落客散佈惡意軟體( Taidoor和Dripion)
  • 使用共用的 C&C基礎架構(在根域級別)
  • 針對相似的攻擊目標(主要攻擊目標為臺灣地區)

賽門鐵克安全團隊將 Dripion惡意軟體與Taidoor的樣本進行對比,以確定它們之間是否共用程式碼,或者來自于同一開發者。調查結論表明,這兩個惡意軟體系列之間沒有相似之處。 但由於兩者所使用的下載器具有特殊專有屬性,可以認為該下載器來自同一開發者。

確定網路間諜團體的屬性非常難,調查人員需要基於事實而非假設。 賽門鐵克安全團隊發現這兩組攻擊活動之間存在多個關聯。 雖然並非所有關聯都十分緊密,但組合在一起就形成證明攻擊者利用Dripion和Taidoor惡意軟體針對臺灣地區進行網路攻擊的有力證據。

基於調查證據,賽門鐵克安全團隊認為,採用 Dripion惡意軟體的攻擊活動來自于Budminer進階威脅網路犯罪團體。 雖然自2014年以來,我們沒有發現採用Taidoor進行攻擊的活動,但是賽門鐵克安全團隊認為,本次攻擊是Budminer犯罪團體由於近年接連被資安公司曝光為了避免檢測而改變的戰略。

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則