原标题:趋势科技首次在台揭开网络骇客组织Blackgear的神秘面纱,攻击手法再进化
图片来源:趋势科技
相信资安圈的人对Blackgear都不陌生,网路骇客组织Blackgear曾在2012年大肆攻击台湾的企业和政府单位,当时Blackgear的手法新颖,是第一个利用恶意中继站的方式进行APT攻击,不过,根据趋势科技的威胁研究研究员Joey Chen和Mingyen Hsieh观察,Blackgear去年开始转移攻击目标,开始对日本展开大量的攻击,也出现新的攻击手法,主要集中火力攻击政府单位、重工业和旅游业,他们推测,Blackgear的目的是窃取产业的资料。
Blackgear攻击3阶段趋势科技把Blackgear攻击的流程分为3个阶段:连接档案(Binder)、下载工具(Downloader)、后门程式(Backdoor)。
图片来源:趋势科技
一开始先用网路钓鱼的电子邮件诱骗使用者下载连接档案(Binder),Binder是两个程式结合,执行其中一个程式时,会连带开启另一个程式,使用者下载连接档案之后,会看到档案呈现资料夹的型式,但事实上,该档案并不是资料夹,而是一个执行档,一般的使用者为了开启资料夹,在不知情的情况下便会点击两下,这时,执行档就成功的被执行并且在受害者的电脑种了下载工具(Downloader)。
骇客组织主要利用了2个下载工具Rammy和Ymalrmini,先将下载工具植入受害者的电脑后,就能进一步自动下载后门程式(Backdoor),像是当时广为人知的Elriks,不同于以往的恶意攻击模式,后门程式Elriks是透过中继站的方式连上恶意伺服器,也就是说,骇客把C C中继站的设定档储存在部落格的文章中,像是2012年台湾当时较盛行的网站噗浪(Plurk)和蕃薯藤(Yam),利用后门程式Elriks撷取C C中继站的设定档,再去连结真正的恶意C C伺服器。
其中,C C中继站的设定档会隐藏在部落格的公开网路文章中,Mingyen Hsieh举例,设定档资讯会藏匿在看似正常的发文中,像是「I got an available series of numbers」,但是,其实这串文字就是Elriks要找的标籤(Tag),而接在后面的字串正是Elriks要的设定档。趋势科技威胁研究员Joey Chen进一步解释,恶意程式先执行Shellcode,搜寻部落格的文章的标籤字串,找到之后收录并进行解密,C&C设定档会储存在2个短位元(Bit)的网路文章文字中,第一个是8个字元的字串,可以解码成6个16进位的字元(Character),第二个则是2个字元的字串,本来的格式就是16进位,总共得到8个16进位的字元,再将所有字元贴到资料区段,利用修改过的微型加密演算法(Tiny Encryption Algorithm,TEA)解密,就能得到中继站的IP位址,恶意程式就能连上恶意中继站。
图片来源:趋势科技
另一个趋势科技命名为Ymailr的后门程式,是首次用.NET框架写的后门程式,基本上跟Elriks很类似,唯一不同的地方是,Ymailr内含加密过的字串,这些加密的字串是用Base64和DES加密过的部落格URL和标籤,加密的金钥和初始向量(Initialization Vector)都是写死的(hardcoded),也就是在撰写程式时,把输出或输入的相关参数(例如:路径、输出的形式或格式)直接写在程式码中,且经过趋势科技威胁研究员Joey Chen解密发现,金钥要都是「1q2w3e4r」,其实就是键盘上的连续序位。
图片来源:趋势科技
此外,为了确保后门程式可以在系统中常驻,骇客会利用假的连结档(Link File)把后门程式放到开始资料夹,如此一来,每次开机时,后门程式就能自动执行,另外,在下载工具连接提供后门程式网站的同时,也会先把受害者电脑的资讯和既有的执行的程式档案资讯回传回去。Mingyen Hsieh也建议,使用者要打开显示副档名的功能,才不会把恶意的执行档误以为是资料夹。
在趋势科技研究中,其中一个案例是用后门程式连接电子布告栏的网站,但事实上,这个网站是假的,只有一页网页,如果网管人员一时不察,虽然电脑有不寻常的流量,可是看到使用者只是浏览一般的公布栏连结,就不会发现恶意攻击。
攻击新手法,中继站设定档字串隐藏在网页原始码中另外,趋势科技也发现,2014年开始出现的2支恶意程式Blog RAT(远端存取木马)和Hammer RAT也跟Blackgear有关,连接的部落格文章是同一则, Blog RAT连接的部落格的文章中没有隐藏的C C中继站的设定档,不过,其实骇客的攻击手法又进化了,C C中继站的设定档字串不再隐身在部落格的文章,而是把标籤藏在网页的原始码中,字串以URL的型式伪装成HTML的标籤。
Mingyen Hsieh表示,进一步研究后发现,Blackgear的中继站都是租用伺服器,其中,伺服器的服务皆来自香港和中国的虚拟专属主机(Virtual Private Serve, VPS)。
为什幺要用中继站的方式?趋势科技威胁研究员Joey Chen和Mingyen Hsieh表示,很多人会问,为什幺骇客要大费周章地用中继站的方式来攻击?骇客为什幺要把C&C的设定档写在部落格上,再透过后门程式解开设定档,连线到真正的C C伺服器呢?对此,趋势科技威胁研究员Mingyen Hsieh提出了三个主要的原因:
连线更隐密:骇客能隐藏真实的C C伺服器,另外,使用者用电脑浏览部落格的行为在企业中很正常,即便被侦测到有异常流量,也不会被网管人员怀疑。方便更换C C伺服器:把后门程式写在部落格或网页中,只要更改部落格的内容,就能更换C C伺服器,但是,把C C的设定档直接写在后门程式中,后门只能连到特定的C C伺服器?,而且此后门程式就只能用一遍。可以通过网管的黑名单:若被特定的C C?伺服器被网管人员列入黑名单,只要更换就能通过。相关:
趋势科技首次在台揭开网络骇客组织Blackgear的神秘面纱,攻击手法再进化
图片来源: 趋势科技 相信资安圈的人对Blackgear都不陌生,网路骇客组织Blackgear曾在2012年大肆攻击台湾的企业和政府单位,当时Blackgear的手法新颖,是第一个利用恶意中继站的方式进行APT攻击,不过,根据趋势科技的
示意图,与新闻事件无关。 骇客手法日新月异,现在也用上山寨基地台的手法。安全公司CheckPoint警告中国境内发现一只木马程式以假电信基地台接收器散布诈骗简讯,藉此骗取行动银行帐户的登入资讯。?中国安全业者Te
女大学生戴面纱参加毕业典礼,也许大家都清楚在伊斯兰国家,女人出门都要长袍裹身,黑纱蒙面。虽然这些规定在各个伊斯兰国家执行的程度不一样,但不得不说大家还是对这些女子充满了好奇。日前,也门一所大学的毕业典
以《霜花店:朕的男人》、《没关系是爱情啊》走红的赵寅成,睽违九年的电影《金权性内幕TheKing》即将在台上映。赵寅成和郑雨盛、柳俊烈携手合作,该片讲述一名从小混混成为检察官的男子,攀附前辈并于黑白两道呼风唤
研究:无档案攻击、DNS PowerShell攻击疑是同一骇客组织所为
此一恶意的Word档案被防毒软体辨识的比率相当低。 图片来源: Morphisec 安全业者Morphisec研究人员发现一桩恶意Word网钓攻击,可能和今年以来接连几桩重大攻击一样,出自一个名为Fin7的骇客组织。?Morphisec在3月8