原标题:横行台、日的网络骇客组织Blackgear神秘面纱首度在台揭露,攻击手法大剖析
图片来源:趋势科技
相信资安圈的人对Blackgear都不陌生,网路骇客组织Blackgear曾在2012年大肆攻击台湾的企业和政府单位,当时Blackgear的手法新颖,是第一个利用恶意中继站的方式进行APT攻击,不过,根据趋势科技的威胁研究研究员Joey Chen和Mingyen Hsieh观察,Blackgear去年开始转移攻击目标,开始对日本展开大量的攻击,也出现新的攻击手法,主要集中火力攻击政府单位、重工业和旅游业,他们推测,Blackgear的目的是窃取产业的资料。
Blackgear攻击3阶段趋势科技把Blackgear攻击的流程分为3个阶段:连接档案(Binder)、下载工具(Downloader)、后门程式(Backdoor)。
图片来源:趋势科技
一开始先用网路钓鱼的电子邮件诱骗使用者下载连接档案(Binder),Binder是两个程式结合,执行其中一个程式时,会连带开启另一个程式,使用者下载连接档案之后,会看到档案呈现资料夹的型式,但事实上,该档案并不是资料夹,而是一个执行档,一般的使用者为了开启资料夹,在不知情的情况下便会点击两下,这时,执行档就成功的被执行并且在受害者的电脑种了下载工具(Downloader)。
骇客组织主要利用了2个下载工具RLMNY和Ymalrmini,先将下载工具植入受害者的电脑后,就能进一步自动下载后门程式(Backdoor),像是当时广为人知的Elirks,不同于以往的恶意攻击模式,后门程式Elirks是透过中继站的方式连上恶意伺服器,也就是说,骇客把C C中继站的设定档储存在部落格的文章中,像是2012年台湾当时较盛行的网站噗浪(Plurk)和蕃薯藤(Yam),利用后门程式Elirks撷取C C中继站的设定档,再去连结真正的恶意C C伺服器。
其中,C C中继站的设定档会隐藏在部落格的公开网路文章中,Mingyen Hsieh举例,设定档资讯会藏匿在看似正常的发文中,像是「I got an available series of numbers」,但是,其实这串文字就是Elirks要找的标籤(Tag),而接在后面的字串正是Elirks要的设定档。趋势科技威胁研究员Joey Chen进一步解释,恶意程式先执行Shellcode,搜寻部落格文章的标籤字串,找到之后收录并进行解密,C&C设定档会储存在2个短位元(Bit)的网路文章文字中,第一个是8个字元的字串,可以解码成6个16进位的字元(Character),第二个则是2个字元的字串,本来的格式就是16进位,总共得到8个16进位的字元,再将所有字元贴到资料区段,利用修改过的微型加密演算法(Tiny Encryption Algorithm,TEA)解密,就能得到中继站的IP位址,恶意程式就能连上恶意中继站。
图片来源:趋势科技
另一个趋势科技命名为Ymailr的后门程式,是首次用.NET框架写的后门程式,基本上跟Elirks很类似,唯一不同的地方是,Ymailr内含加密过的字串,这些加密的字串是用Base64和DES加密过的部落格URL和标籤,加密的金钥和初始向量(Initialization Vector)都是写死的(hardcoded),也就是在撰写程式时,把输出或输入的相关参数(例如:路径、输出的形式或格式)直接写在程式码中,且经过趋势科技威胁研究员Joey Chen解密发现,金钥都是「1q2w3e4r」,其实就是键盘上的连续序位。
图片来源:趋势科技
此外,为了确保后门程式可以在系统中常驻,骇客会利用假的连结档(Link File)把后门程式放到开始资料夹,如此一来,每次开机时,后门程式就能自动执行,另外,在下载工具连接提供后门程式网站的同时,也会先把受害者电脑的资讯和既有的执行的程式档案资讯回传回去。Mingyen Hsieh也建议,使用者要打开显示副档名的功能,才不会把恶意的执行档误以为是资料夹。
在趋势科技研究中,其中一个案例是用后门程式连接电子布告栏的网站,但事实上,这个网站是假的,只有一页网页,如果网管人员一时不察,虽然电脑有不寻常的流量,可是看到使用者只是浏览一般的公布栏连结,就不会发现恶意攻击。
攻击手法进化,中继站设定档字串隐藏在网页原始码中另外,趋势科技也发现,2014年开始出现的2支恶意程式Blog RAT(远端存取木马)和Hammer RAT也跟Blackgear有关, Blog RAT连接的部落格的文章中没有隐藏的C C中继站的设定档,不过,其实骇客的攻击手法又进化了,C C中继站的设定档字串不再隐身在部落格的文章,而是把标籤藏在网页的原始码中,字串以URL的型式伪装成HTML的标籤。
Mingyen Hsieh表示,进一步研究后发现,Blackgear的中继站都是租用伺服器,其中,伺服器的服务皆来自香港和中国的虚拟专属主机(Virtual Private Serve, VPS)。
为什幺要用中继站的方式?趋势科技威胁研究员Joey Chen和Mingyen Hsieh表示,很多人会问,为什幺骇客要大费周章地用中继站的方式来攻击?骇客为什幺要把C C的设定档写在部落格上,再透过后门程式解开设定档,连线到真正的C C伺服器呢?对此,趋势科技威胁研究员Mingyen Hsieh提出了三个主要的原因:
连线更隐密:骇客能隐藏真实的C C伺服器,另外,使用者用电脑浏览部落格的行为在企业中很正常,即便被侦测到有异常流量,也不会被网管人员怀疑。方便更换C C伺服器:把后门程式写在部落格或网页中,只要更改部落格的内容,就能更换C C伺服器,但是,把C C的设定档直接写在后门程式中,后门只能连到特定的C C伺服器?,而且此后门程式就只能用一遍。可以通过网管的黑名单:若被特定的C C?伺服器被网管人员列入黑名单,只要更换就能通过。相关:
红颜知己和蓝颜知己有什么区别?两者区别大剖析蓝颜知己和红颜知己的区别是什么?许多人对于蓝颜知己和红颜知己有着笼统的印象和不同的看法。蓝颜知己容易成为女性闺蜜,红颜知己往往容易成为情人,变成红颜祸水。蓝
ARM揭露DynamIQ技术,下一代晶片将加速人工智慧与机器学习发展
图片来源: ARM 日前,日本软体银行(Softbank)旗下的安谋(ARM)揭露了DynamIQ技术,目的在于推动人工智慧(AI)和机器学习应用,并作为未来ARM Cortex-A系列处理器的基础架构。根据ARM官网,DynamIQ技术是ARM在201
示意图,与新闻事件无关。 图片来源: Apple Motherboard报导,一个骇客组织声称已握有苹果3亿多用户的电子邮件帐号资料,如果苹果未能在4月7日支付赎金,将会动手远端清空iPhone或iPad的资料。一个自称土耳其犯罪家
趋势科技首次在台揭开网络骇客组织Blackgear的神秘面纱,攻击手法再进化
图片来源: 趋势科技 相信资安圈的人对Blackgear都不陌生,网路骇客组织Blackgear曾在2012年大肆攻击台湾的企业和政府单位,当时Blackgear的手法新颖,是第一个利用恶意中继站的方式进行APT攻击,不过,根据趋势科技的
趋势科技首次在台揭开网络骇客组织Blackgear的神秘面纱,攻击手法再进化
图片来源: 趋势科技 相信资安圈的人对Blackgear都不陌生,网路骇客组织Blackgear曾在2012年大肆攻击台湾的企业和政府单位,当时Blackgear的手法新颖,是第一个利用恶意中继站的方式进行APT攻击,不过,根据趋势科技的