系統漏洞 垃圾郵件 APT 駭客

上半年台灣主要APT攻擊 鎖定黨政機構及企業

2014-07-09
垃圾郵件一直是駭客慣用的手法之一,近年來相當熱門的APT攻擊也經常利用電子郵件做為發動管道,經由多元手法偽裝,誘使收信人失去戒心,而後一步步以社交工程手法進擊。這類以電子郵件發動的APT攻擊事件層出不窮,唯有瞭解攻擊手法,才能進一步有效防禦。
上半年,台灣發生了不少社會、政經事件。由電子郵件發動的APT攻擊事件從未歇止,配合著這些社會事件,攻擊郵件也不時改變它們的面貌,試圖以社交工程的模式入侵受害者的電腦。下頁表格整理了幾起攻擊事件,可藉此簡單了解這些攻擊郵件的特色。


▲攻擊郵件主旨、內容,都與受攻擊的目標或單位直接相關,收信人多半都會失去戒心。

這些攻擊郵件主旨、內容,都與受攻擊的目標或單位直接相關,所以收信人在收到這些攻擊郵件時,多半都會失去戒心。而在攻擊手法方面,為了規避防毒軟體偵測,惡意程式以壓縮檔加密的方式打包,附加於攻擊郵件之中。

Unicode反轉字元偽裝

以壓縮加密的方式躲過防毒軟體的檢查後,下一步就是躲過收信人的戒心!將惡意程式的圖示刻意換成文件檔的圖示,再加上Unicode反轉字元U202e的偽裝,即使已經知道執行檔存在風險,並開啟副檔名顯示的收信人,也很難看出破綻。

關於這種以Unicode反轉字元的手法防範方式,可參考行政院資通安全會報的建議進行防範,相關網址為「http://www.chp.moj.gov.tw/ct.asp?xItem=203111&ctNode=6751&mp=050」。


捷徑攻擊

另一種間接觸發的「捷徑攻擊」方式也是惡意程式愛用的偽裝方式之一。許多防毒引擎為了節省掃描或背景檢測的效能,會先以附檔名快速判斷是否為高風險檔案,再決定掃描與否。一般所謂的高風險檔案諸如.exe、.cmd、.bat等等常見的執行檔。


▲以看似安全的副檔名進行偽裝。

部份駭客可能利用這個特性進行掩飾。掩飾的方式是:攻擊程式不以一般常見的執行檔副檔名命名,而可能以.ini、.txt等等看似安全的副檔名進行偽裝,或許再給這個檔案一個隱藏檔的屬性,然後搭配一個「捷徑」一起進行包裝寄送。

而「捷徑」的內容則撰寫了觸發攻擊程式的語法,如「cmd.exe /c desktop.ini」,並將這個捷徑的圖示改為文件檔的圖示,提高收信人執行這個捷徑的機率。


▲將捷徑圖示改為文件檔圖示。

針對RTF漏洞攻擊

另一種更精巧的攻擊,是利用了文書處理軟體的漏洞進行攻擊,Microsoft Office Word的RTF漏洞就是經常被「惡意文件」攻擊的一個典型弱點。

RTF(Rich Text Format)是WordPad預設的多媒體文件格式,Microsoft Office Word開啟RTF的格式引擎,在過去幾乎每兩年就會被駭客試出一個重大弱點,例如2010年的CVE-2010-3333、2012年的CVE-2012-0158以及2014年的CVE-2014-1761。

一般Office在開啟可疑文件時,會預設以保護模式做開啟;而令人感到驚訝的是,近年雖已發現許多Office開啟RTF的攻擊漏洞,Office 2010/2013預設仍未對RTF文件格式預設開啟保護模式。

「惡意文件」的格式大致上是正常的文件,因此很容易躲過防毒軟體的掃描。在2014年的CVE-2014-1761弱點被發現後,駭客很快地便根據此漏洞做出對應的惡意文件並用於APT攻擊!


▲看似正常的惡意文件。

針對CVE-2014-1761這個弱點,微軟已經發佈修補程式,請務必安裝,以避免遭受惡意文件的攻擊,相關資料可參考網址「https://technet.microsoft.com/en-us/library/security/2953095.aspx」。

Taidoor組織

我們發現,2014年上半主要針對政府單位進行的APT攻擊,多半為Taidoor這個組織所發起。Taidoor是一群以台灣政府、政黨智庫、相關企業為主要攻擊目標的APT攻擊者,ASRC垃圾訊息研究中心自2006就開始觀察到其活動的痕跡,許多防毒軟體公司也發表過不少Taidoor報告。

長期以來,Taidoor使用的APT攻擊信件主題都非常切合攻擊目標的業務內容,這顯示了其對攻擊對象掌握度相當高;前述幾種躲避偵測的手法都有五年以上歷史,目前仍繼續被使用,則代表這樣的躲避方法未被有效防堵。

遭到Taidoor組織惡意程式成功入侵的電腦,會反連中繼站進行回報,通訊封包特徵大致為:

  • hxxp://201.149.3.184:80/user.jsp?so= kkrnmi11616020C500
  • hxxp://201.149.3.184:443/page.jsp?ti= bbndnp11616020C00
  • hxxp://201.149.3.184:443/user.jsp?el= hhppfa11616020C500
  • hxxp://201.149.3.184:80/parse.jsp?fh= ggzdzu11616020C500
其尾部的字串為編碼過的受害者電腦MAC卡號。

中繼站的IP所在地區大約有下述幾個地方,其域名則都是DynDNS動態域名,在非攻擊的時間可能指向正常網站,藉此躲避追蹤。

  • 201.149.3.184和201.151.250.134 位於墨西哥
  • 213.210.194.5 沙烏地阿拉伯
  • 203.115.192.25 馬來西亞
  • 125.20.83.206 印度
中華數位在長期監測惡意郵件的特性與手法後,陸續將偵測及防堵的功能加入SPAM SQR產品中,希望利用於郵件安全領域的專業,協同傳統的防毒軟體,提供更進一步的資安防護。

<本文作者:高銘鍾,現任ASRC垃圾訊息研究中心主任。擁有專案管理師、ISO 27000、ISO 20000 等相關證照,並擁有十年資安領域相關經驗,專精於垃圾郵件、惡意攻擊研究。ASRC垃圾訊息研究中心(Asia Spam-message Research Center)長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!