2013年6月9日 星期日

目標攻擊活動隱匿在SSL通訊背後

http://blog.trendmicro.com.tw/?p=4944

作者:Nart Villeneuve(資深威脅研究員)
使用加密通訊像是SSL,加上巧妙地利用新聞事件作為社交工程陷阱( Social Engineering)的誘餌,就是滲透入侵跟持久隱匿在目標網路的完美組合。
目標攻擊沒過多久就開始利用波士頓馬拉松事件作為誘餌,誘騙使用者去開啟惡意附件檔案。我們發現有封電子郵件帶有惡意附件,檔名為「The Prayer.DOC」,敦促收件者為這慘劇的受害者祈禱。
圖一、利用波士頓馬拉松事件的樣本電子郵件
圖一、利用波士頓馬拉松事件的樣本電子郵件

上述附件檔案(MD5:5863fb691dd5b3002c040fc7c535800f,被偵測為TROJ_MDROP.ATP),會攻擊漏洞CVE-2012-0158,將惡意執行檔 – 「IEXPLORER.EXE」(MD5:74a8269dd80d41f7c81e0323719c883c)植入目標電腦內。
這惡意軟體被偵測為TROJ_NAIKON.A,透過SSL(端口443)連到網域 – gnorthpoint.eicp.net,之前解析為IP – 220.165.218.39,現在解析為IP – 50.117.115.89
它的憑證內填入的是假資訊,包括身份:「donc」,和組織:「abc」。
圖二、使用假資訊憑證的截圖

雖然惡意軟體連線透過SSL來加密流量,但純文字流量還是包含一個容易被發現的User-Agent資訊:
GET /config/login_verify2?&.src=ym HTTP/1.1
User-Agent: NOKIAN95/WEB
這案例內的指揮和控制(C&C)伺服器 – gnorthpoint.eicp.net,之前和另一個指揮和控制伺服器 – kullywolf.gicp.net(根據Shadowserver的報告)共用IP – 112.112.38.143。在那起事件的惡意文件使用越南人名 – CV gui bao cao LD.doc, 它會攻擊漏洞CVE-2010-3333,但會植入相同家族的惡意軟體。

在同時,C&C伺服器gnorthpoint.eicp.net還和myyuming55.3322.org共享一個IP – 220.165.217.98,這網域是另一個惡意軟體家族的C&C伺服器,活躍於二〇一一年。不過因為時間的差距,所以兩者之間的確切關係還不清楚。
在我的報告 – 「利用網路流量分析來偵測APT攻擊活動」,我討論到利用SSL加密與C&C通訊有其獨特之處,特別是可以用來逃避基於網址內參數和HTTP標頭等偵測方式。不過,還是有些積極做法可以做,包括檢查SSL憑證內各欄位是否有預設、隨機或空白值,還有偵測來自外部網路所提供的憑證。當然,像是趨勢科技Deep Discover Inspector(DDI)等工具也可以幫助使用者偵測可疑的網路流量。它也可以有效地防止零時差攻擊,還有類似韓國MBR破壞事件等破壞性攻擊。
趨勢科技可以偵測相關的惡意軟體,透過趨勢科技Deep Discover Inspector(DDI)來保護使用者防護這篇文章裡所提到的漏洞攻擊。使用者也要安裝安全修補程式,將系統保持在最新狀態,並且小心地開啟和下載電子郵件內的檔案。
@原文出處:Targeted Attack Campaign Hides Behind SSL Communication

沒有留言:

張貼留言