破解版軟體安裝程式會如何在你的裝置植入惡意程式?根據研究顯示,駭客會利用YouTube這類平台,再配合人們信任的檔案代管服務來散播假的軟體安裝程式,並使用加密來躲避偵測,竊取敏感的瀏覽器資料。
網路上夾帶資訊竊取程式的假安裝程式真是越來越多,這對正在尋找盜版軟體的使用者而言,可說是一項日益嚴重的威脅。這些惡意程式會偽裝成合法的應用程式,並經常出現在搜尋結果或GitHub這類平台的評論區。很不幸地,許多使用者都曾經被這類手法所騙,Trend Micro Managed XDR服務就經常看到這類情況,最常見的範例之一就是Lumma資訊竊取程式。這突顯出盜版軟體確實存在著可能危及個人安全和資料安全的隱藏危險。
資訊竊取程式是一種專門從受感染系統竊取敏感資訊的惡意程式,這些資訊包括登入憑證、金融資訊、個人資料,以及其他可能用來盜用身分、詐騙或其他惡意用途的敏感資訊。
駭客如何引誘受害者
資訊竊取程式會誘騙受害者下載偽裝成合法軟體安裝程式的惡意程式。這些下載連結通常來自冒牌網站,或是經由社群平台訊息所分享的連結。本文將特別點出並說明一般使用者如何遇到這類假安裝程式的下載連結。
受害者通常是受了YouTube這類熱門影音分享平台上的假教學影片所引導而去下載盜版軟體。狡猾的駭客會假裝提供合法軟體的安裝教學來引誘觀眾點選影片說明欄或評論區中的惡意連結(圖1)。這不僅可以讓他們駭入使用者的裝置,還可能鼓勵盜版文化,例如下面即將說明的案例。
圖1 YouTube留言區中的檔案下載網址。
當網址被點選時,就會另外開啟一則YouTube留言來顯示假安裝程式的下載網址(圖2)。此案例會從Mediafire檔案代管網站下載如圖3所示的檔案。
圖2 點選評論區中的網址之後出現的留言。
圖3 Mediafire網址指向的檔案。
另一個案例,則是將惡意內容上傳至另一個檔案代管網站Mega.nz(圖4),顯然駭客是利用知名檔案代管服務作為一道額外的掩護來讓其檔案能躲避偵測。
圖4 Trend Vision One的執行過程分析顯示存放在mega.nz網站上的假安裝程式被下載。
如同本文討論的案例,發現這類威脅經常以假安裝程式或破解版軟體的形式散播,受害者在搜尋引擎上尋找這類軟體時,一不小心就會遇到這類威脅。
在以下案例中,只要搜尋特定關鍵字,就會找到含有這類詐騙的搜尋結果(圖5)。
圖5 搜尋結果當中偽裝成破解版軟體的假安裝程式。
搜尋結果的第三條(見圖5截圖)來自OpenSea網站,這是一個NFT市集,該市集上出現可下載的檔案是相當不尋常的現象。這一條搜尋結果含有一個短網址指向實際的網址。一個可能的情況是,駭客使用短網址來防止爬梳網站取得其真正的下載網址(圖6)。
圖6 放在OpenSea網站上的假安裝程式下載短網址。
如圖7所示,以下連結會出現提示要求提供實際的下載連結以及壓縮檔的密碼。駭客使用了密碼來保護這些檔案,這樣可以在檔案進入使用者系統時阻礙沙盒模擬環境的分析,這對駭客來說是一大好處。
圖7 連結的下一步驟會顯示實際的下載連結。
搜尋結果的第四條、也就是最後一條(見圖5截圖)來自SoundCloud這個音樂分享平台,該網站存放著檔案下載連結並附上對應的說明。此案例的下載連結是經過Twitter縮短後的網址(圖8)。
圖8 存放在音樂分享網站上的假安裝程式下載連結。
如圖9所示,同一名使用者還發布了其他貼文來提供其他檔案的下載連結。圖10所示,則是來自同一使用者的另一則貼文。 類似第一個案例的情況,駭客會經由另一個網站來顯示下載連結和密碼。
圖9 同一帳號提供的其他下載連結,這些有可能全都是假安裝程式。
圖10 不同的貼文,但內容看起來跟圖8的格式很像。
在其中一個下載連結中發現駭客還試圖偽造其他搜尋結果,如VirusTotal(VT)所顯示的,如圖11所示。
圖11 其中一個假安裝程式∕破解軟體的下載連結,找到了VirusTotal偵測到的其他搜尋結果。
從Managed XDR看到的感染過程分析(檔案下載後)
接下來,討論檔案成功下載之後的執行狀況,此案例點出了在主機上觀察到的活動。
從案例1觀察到的一點是:解壓縮後的檔案大小是900MB,這麼大的檔案可以讓它看起來更像一個安裝程式,這有助於躲過防禦機制、避開沙盒模模擬分析(圖12)。此外,也因檔案大小限制而無法被提交到VirusTotal(VT)上。
圖12 Trend Vision One的執行過程分析顯示檔案下載以及從ZIP檔案中擷取出假安裝程式的過程。
當壓縮檔內的「.exe」檔執行時,感染程序就會開始啟動,如圖13所示。
圖13 假安裝程式感染過程觸發的相關事件。
目前偵測到的一項威脅是它會執行批次檔,這裡取得這個批次檔的內容,如圖14所示,雖然它與前面Managed XDR的案例不同,但功能類似。此批次檔案的內容經過了一些混淆編碼。
圖14 駭客執行的批次檔內容。
第一步就是要清除垃圾內容,接著將變數替換掉,替換之後,就能清楚看到腳本的實際內容(圖15)。
圖15 批次檔內容去除混淆編碼之後的樣子。
就批次檔的內容來看,它會將預先產生的多個檔案合併成一個AutoIt腳本,然後執行該腳本。當它執行時,會再產生數個其他檔案。有時會在一些處理程序中注入其程式碼,有時則會下載新的正常二進位檔案來執行注入,如圖16、圖17所示。
圖16 下載正常檔案並注入程式碼的事件。
圖17 在正常檔案中注入程式碼,意味著這是惡意活動。
蒐集並整理瀏覽器所在環境的敏感資料以竊取登入憑證的動作,是經由檔案複製操作來完成。
此外,駭客產生的處理程序還會建立連線到多個幕後操縱(CC)位址,如圖18所示。
圖18 Vision One Search應用程式中看到的CC活動相關事件。
除了連上CC伺服器之外,趨勢的調查也發現這項威脅還會查詢一系列由「網域產生演算法」(DGA)所產生的網域。
而案例2的感染程序,則是從使用者自某知名檔案代管網站下載一個壓縮檔案後開始。檔案下載後,使用者將解開壓縮檔(需要密碼),接著執行安裝程式。安裝程式執行時會觸發一系列的可疑事件,例如建立一個合法的處理程序,然後將自己的程式碼注入其中。此外,還會利用知名的腳本工具「AutoIt」來進一步掩護其執行程序,接著會連上CC伺服器下載其他惡意程式來執行(通常是各種資訊竊取程式的變種)。
如圖19所示,這是壓縮檔案的一小部分內容,乍看之下,它好像只是個標準的應用程式安裝程式。
圖19 假安裝程式ZIP檔案的內容。
其中,Setup.exe是rustdesk.exe的某個版本,VirusTotal將它列為一個開放原始碼遠端桌面存取軟體。
壓縮檔內含有一個rustdesk.exe用到的木馬化檔案:一個遭篡改的DLL檔案。以這個樣本為例,Setup.exe所載入的DLL(已遭篡改)是「flutter_gpu_texture_renderer_plugin.dll」。
該檔案執行時會出現一個錯誤訊息,但它其實已經在背後執行(圖20)。一系列的事件正在背後發生,如圖21所示。
圖20 EXE檔執行時出現的錯誤訊息會讓使用者誤以為執行失敗。
圖21 本案例的相關事件。
駭客將惡意程式碼注入正常的二進位檔案(如more.com、StrCmp.exe、SearchIndexer.exe、explorer.exe)來躲避資安防禦的偵測(圖22)。
圖22 執行過程分析顯示正常的Windows檔案處理程序被注入程式碼,以便用來下載其他惡意檔案。
此外,還會植入其他資訊竊取程式或惡意程式家族。
它會建立自動執行登錄機碼與排程工作,以確保能常駐於系統內,如圖23、圖24所示。
圖23 修改系統登錄來常駐在系統內。
圖24 建立排程工作來常駐在系統內。
隨後,一些被注入程式碼的處理程序會進行CC通訊,如圖25所示。
圖25 被注入程式碼的瀏覽器連線到CC位址。
資訊竊取程式/載入器套件
這次看到的不是單一的資訊竊取程式,而是一群近期相當熱門的工具。這並非什麼新鮮手法,之前的Raccoon(浣熊)資訊竊取程式也曾出現過這樣的現象。
以下是本案例看到的資訊竊取程式:
‧LUMMASTEALER
‧PRIVATELOADER
‧MARSSTEALER
‧AMADEY
‧PENGUISH
‧VIDAR
除此之外,本案例所看到的各種躲避防禦手法,包括:
‧利用大型檔案來避開沙盒模擬分析功能
‧使用密碼保護的壓縮檔案來阻礙內容掃描,在沒有密碼的情況下,調查過程將變得更加複雜。
‧惡意檔案是上傳到知名的影音分享網站,但絕大多數防毒軟體只有在看到最終的下載連結時才能加以偵測。
‧在某些情況下,下載連結使用了短網址來防止爬梳網站。
‧這起攻擊使用了正常檔案搭配DLL側載或處理程序注入手法來執行惡意檔案
防止因遭遇假安裝程式而感染資訊竊取程式
縱深防禦是企業保護自身環境的一項重要策略,在威脅可能已躲過某些防禦層的情況下,Managed XDR可即時偵測資安事件。它提供了必要的分析與動作來有效遏止威脅:
‧藉由威脅追蹤與人類分析師來強化警報功能:有些活動可能從警報上看不太出來,或者觸發的是一些低嚴重性的警報,使得使用者忽略了這些警報。威脅追蹤可以主動搜尋是否有已知的攻擊手法、技巧與程序(TTP),或是新興的威脅,並確保警報的產生。此外,託管式偵測及回應(MDR)分析師可判斷某些偵測事件是否需要客戶進一步關注,減少必須逐一檢查每個警報的負荷。
‧掌握警報的情境:當威脅活動產生一個偵測事件時,需要進一步的交叉關聯來提供情境,以便掌握事件的完整樣貌。一旦發現到的情況連結到最初的警報時,就能看出大多數的情況都不是單一警報或單一偵測事件能完整涵蓋的。此外,有些情況會找不到任何相關的偵測事件,只能利用搜尋程式做進一步的調查才能找出關聯。正如前述案例所看到的都是MXDR分析師透過威脅追蹤或工作台(Workbench)產生的警報進一步深入追查最初發生的事件所發掘的洞見。
‧採取回應動作:在假安裝程式感染的過程中,MXDR分析師可啟動一些回應動作來幫客戶遏止威脅。在前述的案例中,已將受影響的電腦隔離以防止威脅進一步擴散。此外,也將入侵指標(IoC)加入可疑物件(SO)清單來封鎖任何進一步的執行動作,而可疑的檔案也已送交分析團隊進行更準確的偵測。
結語
駭客會不斷利用社交工程技巧來攻擊受害者,並運用各種不同的方法來避開資安防禦,包括DLL側載、使用大型安裝檔案、使用密碼保護的ZIP檔案、將程式碼注入正常的處理程序、連線至正常網站、複製惡意檔案並重新命名成看似良性的檔案。
企業很重要的一點是務必隨時掌握當前威脅的最新動態,並且對偵測事件與警報隨時保持警戒。可視性很重要,因為如果光靠偵測機制,有可能會漏掉很多惡意活動。企業應考慮採取以下手段來防範威脅:建置一套多層式的縱深防禦、實施使用者教育訓練、擬定一套事件回應計畫、執行威脅追蹤,以及資安託管服務供應商(MSP)。
要隨時掌握持續演變的威脅,可從Trend Vision One內部取得各種情報與威脅洞見。Threat Insights可在威脅發生之前便提前掌握,並對新興的威脅預做準備。這些洞見提供了駭客、惡意活動及駭客技巧的完整資訊。善用這些情報,就能主動採取步驟來保護自己的環境、防範風險,並有效回應威脅。完整的入侵指標清單可從https://documents.trendmicro.com/assets/txt/Fakeinstallers-IOCswCQX6fX.txt下載。
<本文作者:Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>