赛门铁克警告,发现新型针对台湾地区的网络间谍后门木马威胁- Backdoor.Dripion为订制开发的恶意软件。这款恶意软件可伪装成资安软件公司网站的命令和控制伺服器,对于台湾企业安全可能构成威胁,企业资安部门需要特别注意。
赛门铁克表示,?Dripionis是一种窃取公司资讯的恶意软件,目前仅在部分针对性网络攻击中使用过。目前主要针对位于台湾地区、巴西和美国的企业进行攻击。
该攻击活动的背后攻击者采取了一定的措施来掩饰他们的攻击行为、 包括将网域名称伪装成资安软件公司的网站、 并将其当作命令和控制 伺服器。赛门铁克安全团队发现,这些攻击与一个曾经被称为Budminer的网络犯罪团体利用Taidoor木马程式 (Trojan.Taidoor) 攻击有相当大的关联。
攻击事件背景
赛门铁克安全团队表示,他们收到三个拼湊档并发现其具有后门程式功能,能够窃取受害企业的资讯时,便针对该攻击开展调查工作。 该恶意软件似乎是一种新型恶意软件,之前很少被检测出来,也并未公开使用过。通过原始码分析,并与已知后门木马程式进行对比后,赛门铁克的安全专家分析出这是一款订制开发的恶意软件。
赛门铁克的安全专家表示,开发一款能够避开检测并具有资讯窃取功能的后门程式需要大量的知识和资金支援。 这类新型后门木马程式的背后通常与网络间谍活动组织的参与有关。
恶意软件下载器
针对恶意软件的调查的首要步骤确定其进入受害者电脑的方式。 虽然目前有许多公开使用的下载器,但是专属于网络间谍活动使用的专有下载器在过去几年里却屈指可数。 由于使用Dripion恶意软件看起来是来自于单一攻击者针对小型目标群体,因此,赛门铁克安全团队希望能够通过调查下载器来确定是否能够获更多证据,从而找出背后的已知威胁团体。
本次攻击所使用的下载器Downloader.Blugger (MD5:260f19ef39d56373bb5590346d2c1811)并非是新出现的恶意软件, 在2011年便已被发现。Blugger下载器采用加密技术来其构建基础架构和URL请求查询命令这令其更加难以被检测出来。在解密后,赛门铁克安全团队确定下列URL指令:
赛门铁克安全团队在分析后得出,在下载器请求的URL中的这两个网域名称均为可公开访问的博客。 下载器能够通过连上这些部落客的URL,检索并安装Dripion恶意软件。
这些博客网站主要以英文为主,但其主要攻击目标为台湾地区。 如下图1所示,其中一个部落客以美国医疗保健行销为主题。
安全团队目前尚不清楚这些博客是由攻击者所创建,还是为了攻击而入侵了其他的博客。 如果是入侵其他博客,那么攻击者便不会创建內文,这是由于博客会显示內文的建立者,这与攻击者的初衷不符。
如果是攻击者创建部落客,那么他或许会采用攻击目标所可能感兴趣的主题来创建博客。 目前,这些博客中的大部分內容与新闻活动相关。
Dripion 后门木马程式
一旦受害者的电脑被 Dripion恶意软件入侵,攻击者就能够访问使用者的电脑。 Dripion拥有后门木马程式的功能,使攻击者可以上传、下载并从受害者电脑中窃取预先确定的资讯。 此外,该恶意软件还能够执行远端命令。 在感染后,受害者的电脑名称和IP位址等资讯将会自动传输至C&C伺服器。
命令
描述
GoSleep
睡休眠 10 分钟
GoKill
试图删除自身并结束运行
GoBye
与电脑断开连接??
nodata
和 GoBye 相似
Command
执行命令( CreateProcessA 中的 lpCommandLine ),通过管道将结果重新定向为 .tmp 档,并下载该档
UpFile
向受害者电脑的档写入资料
DownFile
向远端打开的档写入资料( InternetWriteFile )。 成功运行后,.tmp档可能会被删除
ExecuteFile
创建新进程 (CreateProcessA)
表 1.Dripion恶意软件相关命令
?此外, Dripion的开发者还将XOR编码用于二进位设定档(XOR:0xA8)和利用C&C伺服器发出的网络请求(XOR:0xA3),从而使其更加难以被检测出来。目前, Dripion已经被确认拥有多个变体,其版本编号被写在恶意软件內。 这意味着,攻击者既可以创建和开发订制化的恶意软件,并且能够更新程式码,从而提供新的功能,增加被检测出来的难度。?
与之前网络间谍活动的关联
使用可公开访问的博客散布恶意软件是曾经出现过的攻击手段,但是网络间谍团体很少使用这种方式进行攻击。 目前依然采用这种方式发送订制恶意软件的情况更是少之又少。
赛门铁克安全团队过去曾经发现 Budminer是唯一曾使用Blugger下载器的网络犯罪团体,这是指明此次攻击与之前网络间谍活动相关的第一条证据。 过去,该犯罪团体曾使用Blugger下载器散布订制恶意软件Taidoor(Trojan.Taidoor)。 在本次攻击中,我们首次发现Blugger下载器用于发送Taidoor以外的恶意软件。
随着调查工作的进一步,更发现了此次攻击与早期 Budminer犯罪活动相关的第二个联系。 Dripion相关Blugger下载器的其中一个样本曾经被用于Taidoor攻击活动。
攻击目标
赛门铁克安全团队在2015年9月首次识别出采用Dripion恶意软件的攻击活动。 根据最早的已知样本上的时间戳记,Dripion恶意软件很可能于2013年便已经存在。赛门铁克的分析发现,采用Dripion恶意软件的攻击活动的针对性极强,受害者数量远远低于感染Taidoor的使用者数量。
可以看出,两组攻击活动之间的相似处,在台湾地区所发现的感染使用者的专有档拼湊值数量相似。
很遗憾,现在赛门铁克安全团队需要更多资料来确定2013年11月与Dripion恶意软件相关的时间戳记(7ad3b2b6eee18af6816b6f4f7f7f71a6)是否合法,或是否存在伪造。 目前,赛门铁克安全团队能够确认,最早已知的采用Dripion恶意软件的攻击活动发生在2014年11月。 尽管存在1年的时间差,但是采用Dripion恶意软件的攻击活动很可能在此期间就已经发生过,但由于目标过小,躲避了检测。
此外,攻击者还采用了另一种手段来欺骗 C&C基础架构內部的潜在攻击目标。 攻击者会创建多个与资安软件公司领域中合法企业的网站相似的网域名称,例如,攻击者曾使用过hyydn.nortonsoft[.] com和mhysix.mcfeesoft[.] com为C&C网域名称。 为了欺骗攻击目标和防御者,利用蓄意拼写错误的功能变数名称模仿合法网站以混入正常的网络活动中便是网络攻击中的一种常见手段。
调查结论
通过开展调查工作,赛门铁克安全团队认为,本次攻击活动以台湾地区为主要攻击目标,利用未识别的后门木马程式对企业进行攻击。 随着调查工作的深入,赛门铁克安全团队发现,此次攻击活动与Budminer网络间谍团体之间存在多个关联:
赛门铁克安全团队将 Dripion恶意软件与Taidoor的样本进行对比,以确定它们之间是否共用程式码,或者来自于同一开发者。调查结论表明,这两个恶意软件系列之间没有相似之处。 但由于两者所使用的下载器具有特殊专有属性,可以认为该下载器来自同一开发者。
确定网络间谍团体的属性非常难,调查人员需要基于事实而非假设。 赛门铁克安全团队发现这两组攻击活动之间存在多个关联。 虽然并非所有关联都十分紧密,但组合在一起就形成证明攻击者利用Dripion和Taidoor恶意软件针对台湾地区进行网络攻击的有力证据。
基于调查证据,赛门铁克安全团队认为,采用 Dripion恶意软件的攻击活动来自于Budminer进阶威胁网络犯罪团体。 虽然自2014年以来,我们没有发现采用Taidoor进行攻击的活动,但是赛门铁克安全团队认为,本次攻击是Budminer犯罪团体由于近年接连被资安公司曝光为了避免检测而改变的战略。
I 相关 / Other
他在海边发现两个大小不一的洞,手伸进去一抓...出来的东西让所有人都吓坏了!
我们平常生活也会吃到不同种类的海鲜,然而我们对他们的接触仅限于菜市场,没有机会知道他们是从何而来,在
气死人!他依法向公司请假,为的只是帮亡妻办“这件事”,却没想到公司竟然对他“这样做”,大家都看不下去了,难道人情味都绝种了吗?
图片截自rojakla新加坡惊传恶意解雇!一位Ric-Tat客运员工,依法提前通知公司请丧假,要为妻子办丧礼,却没
原本以为男童只是在地上涂鸦,但后面竟然发现这不忍的真相!没想到孩子的母亲竟然是....!?
下同一个小男童在一栋建筑物里面进进出出,似乎在忙着寻找什么宝藏。稍后,他捧了一把粉笔跑到户外,步履蹒
Tony Sellers是名57岁的卡车司机,平时忙着工作,于是把79岁的老妈托在养老院。 每回他来探视母亲时,她总
记者邱明玉/台北报道根据媒体报道,涉入浩鼎案的中研院长翁启惠又遭踢爆,在浩鼎上月收到解盲报告当天,翁