本Blog主要以紀錄小編工作上所遇到的點點滴滴,所收錄之文章來至各大媒體及Blog,幾乎皆非原創文章,僅提供小編本人進行記錄方便資料查找,並會註明出觸及連結,如有任何疑義請來信告知,謝謝!
2013年4月11日 星期四
APT避免被偵測的絕招:合法URL轉址、滑鼠點擊次數
APT避免被偵測的絕招:合法URL轉址、滑鼠點擊次數
APT攻擊越演越烈,繼前不久南韓攻擊事件後,FireEye最近又發現一款新的APT病毒Trojan.APT.BaneChant,以Email夾帶惡意word檔案(檔名為Islamic Jihad.doc)作為散布管道,而且根據檔名推測,主要的攻擊目標可能是中東和中亞的政府單位。
如同一般APT攻擊模式,使用Trojan.APT.BaneChant病毒進行的APT攻擊同樣分成兩階段運作,第一個階段先偵測環境、掩護自身,第二個階段才會下載後門程式。
在第一個階段裡,一旦使用者下載惡意Word檔案後,惡意程式不會立即行動,而是先分析該系統的運作環境,比如是否有沙盒(sandbox)或自動化的病毒分析系統,同時透過偵測滑鼠點擊頻率以繞過沙盒分析,之後才邁入第二個攻擊階段。
進入第二個階段後,就會自動解碼一個URL網址,然後從該連結下載一個偽裝成.JPG image檔案的後門程式,下載成功後,該支後門程式會自行複製成另一個稱為GoogleUpdate.exe的檔案,並存放在C:\ProgramData\Google2\的資料夾中,透過這樣的方式,讓使用者以為該惡意檔案是Google更新服務的一部分。另外,還會在使用者啟動的資料夾中建立一個可連至該惡意檔案的連結,以確保每次電腦重新啟動後都可以執行此後門程式,以蒐集並將資料回傳至遠端C&C伺服器。
不僅如此,Trojan.APT.BaneChant還利用合法URL作為掩護,避免被偵測。舉例來說,在第一階段中,word檔案會先連至一個合法的短網址ow.ly,再導向惡意網站,同樣的方式也應用在第二階段的攻擊中,在下載惡意.JPG檔案時,也會由合法網址導向惡意網站,透過這樣的機制降低被偵測的機會。
Trojan.APT.BaneChant避免被偵測的能力還不僅於此,FireEye研究人員Rong Hwa指出,之前曾發現過一款木馬程式透過偵測滑鼠點擊次數,確認是否處於沙盒環境中,但當時的惡意程式僅以單一次滑鼠點擊做為判斷,而BaneChant則會等到滑鼠至少點擊3次後,才會下載後門程式,顯見隨著防禦機制的提升,病毒也不斷的演進,越來越不容易被偵測出來。
您可能有興趣的延伸閱讀:
●淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例
●認識APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
●APT 駭客工具解密
●聯防機制、沙箱技術 抵禦APT攻擊須多管齊下
●用客製化防禦對付APT
●駭客針對APT的網路攻擊8階段
●E-mail成駭客攻擊管道 APT攻擊防不勝防
●揭露網路威脅秘辛 5分鐘搞懂APT攻擊是什麼?!
轉載自《資安人科技網》
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言