* 你在乎網路的隱私權嗎?
* 你的資料還在裸奔嗎?
* 你擔心程式被竊取嗎?
* 你擔心機密文件被駭客入侵嗎?
* 你擔心假期個資遭駭客入侵嗎?
* 資訊安全專家 – 正新電腦 – 將提供給您資訊保安的產品和服務。
APT攻擊越演越烈,繼前不久南韓攻擊事件後,FireEye最近又發現一款新的APT病毒Trojan.APT.BaneChant,以Email夾帶惡意word檔案(檔名為Islamic Jihad.doc)作為散布管道,而且根據檔名推測,主要的攻擊目標可能是中東和中亞的政府單位。
如同一般APT攻擊模式,使用Trojan.APT.BaneChant病毒進行的APT攻擊同樣分成兩階段運作,第一個階段先偵測環境、掩護自身,第二個階段才會下載後門程式。
在第一個階段裡,一旦使用者下載惡意Word檔案後,惡意程式不會立即行動,而是先分析該系統的運作環境,比如是否有沙盒(sandbox)或自動化的病毒分析系統,同時透過偵測滑鼠點擊頻率以繞過沙盒分析,之後才邁入第二個攻擊階段。
進入第二個階段後,就會自動解碼一個URL網址,然後從該連結下載一個偽裝成.JPG image檔案的後門程式,下載成功後,該支後門程式會自行複製成另一個稱為GoogleUpdate.exe的檔案,並存放在C:\ProgramData\Google2\的資料夾中,透過這樣的方式,讓使用者以為該惡意檔案是Google更新服務的一部分。另外,還會在使用者啟動的資料夾中建立一個可連至該惡意檔案的連結,以確保每次電腦重新啟動後都可以執行此後門程式,以蒐集並將資料回傳至遠端C&C伺服器。
不僅如此,Trojan.APT.BaneChant還利用合法URL作為掩護,避免被偵測。舉例來說,在第一階段中,word檔案會先連至一個合法的短網址ow.ly,再導向惡意網站,同樣的方式也應用在第二階段的攻擊中,在下載惡意.JPG檔案時,也會由合法網址導向惡意網站,透過這樣的機制降低被偵測的機會。
Trojan.APT.BaneChant避免被偵測的能力還不僅於此,FireEye研究人員Rong Hwa指出,之前曾發現過一款木馬程式透過偵測滑鼠點擊次數,確認是否處於沙盒環境中,但當時的惡意程式僅以單一次滑鼠點擊做為判斷,而BaneChant則會等到滑鼠至少點擊3次後,才會下載後門程式,顯見隨著防禦機制的提升,病毒也不斷的演進,越來越不容易被偵測出來。
SafeNet資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
文章定位: