2014台灣上半年常見APT攻擊
ASRC 研究中心主任 高銘鍾

2014為甲午年,上半年,台灣發生了不少社會、政經事件。而由電子郵件發動的APT攻擊事件從未歇止,配合著這些社會事件,攻擊郵件也不時改變它們的面貌,試圖以社交工程的模式入侵受害者的電腦。 透過以下表格,我們可以簡單了解這些攻擊郵件的特色:

誘餌主題 攻擊手法 寄件主機 惡意程式中繼站
各黨團幹部通訊 附件 RAR 加密
Unicode 反轉字元 PE惡意程式
檔名.rcs.doc
60-249-229-85.HINET-IP.hinet.net
[60.249.229.85]
201.149.3.184
201.151.250.134
督導評核表-附表
調查專報 附件 RAR
Windows Lnk 執行 PE 惡意程式
system.ini
mail.ytgglass.com.tw [211.72.229.30] regst.ohbah.com
reged.grzeszy.net
rtype.blizzie.net
要項專報 rest.crabdance.com
rsec.pwnz.org
reged.grzeszy.net
人事費用說明更正資料 附件
RTF 惡意文件
CVE-2014-1761
59-126-148-107.HINET-IP.hinet.net
[59.126.148.107]
112.78.136.99
民眾對兩岸服務貿易協議的看法摘要表 ro-bin.com.tw [60.248.167.68] 83.96.72.232
國會簽到冊 附件 RAR
Windows Lnk 執行 PE 惡意程式
desktop.ini
(同上上欄)
Gmail 信箱寄出 203.115.192.25
213.210.194.5
rdma.acmetoy.com
血汗醫院 問題
修改建議
203.115.192.25
125.20.83.206
www.rdma.acmetoy.com

這些攻擊郵件主旨、內容,都與受攻擊的目標或單位直接相關,所以收信人在收到這些攻擊郵件時,多半都會失去戒心。而在攻擊手法方面,為了規避防毒軟體偵測,惡意程式以壓縮檔加密的方式打包,附加於攻擊郵件之中。



以壓縮加密的方式躲過防毒軟體的檢查後,下一步就是躲過收信人的戒心!將惡意程式的圖示刻意換成文件檔的圖示,再加上Unicode反轉字元U202e的偽裝,即使已經知道執行檔存在風險,並開啟副檔名顯示的收信人,也很難看出破綻。



關於這種以Unicode反轉字元的手法防範方式,建議您參考行政院資通安全會報所建議的方式,進行防範,相關網址為:
http://www.chp.moj.gov.tw/ct.asp?xItem=203111&ctNode=6751&mp=050。
另一種 間接觸發的「捷徑攻擊」方式也是惡意程式愛用的偽裝方式之一。 此外,許多防毒引擎為了節省掃瞄或背景檢測的效能,會先以附檔名快速判斷是否為高風險檔案,再決定掃描與否。一般所謂的高風險檔案諸如:.exe、.cmd、.bat…等常見的執行檔。部份駭客可能利用這個特性進行掩飾。掩飾的方式是其攻擊程式真的不是以一般常見的執行檔副檔名命名,可能以.ini、.txt..等看似安全的副檔名進行偽裝,或許再給這個檔案一個隱藏檔的屬性,然後搭配一個「捷徑」一起進行包裝寄送。



這個「捷徑」的內容則撰寫了觸發攻擊程式的語法,如:cmd.exe /c desktop.ini,並將這個捷徑的圖示改為文件檔的圖示,提高收信人執行這個捷徑的機率。

另一種更精巧的攻擊,是利用了文書處理軟體的漏洞進行攻擊,Microsoft Office Word的RTF漏洞就是經常被「惡意文件」攻擊的一個典型弱點。RTF (Rich Text Format)是Wordpad預設的多媒體文件格式,Microsoft Office Word 開啟RTF的格式引擎,在過去幾乎每兩年就會被駭客試出一個重大弱點,例如:2010年的CVE-2010-3333、2012年的CVE-2012-0158以及2014年的CVE-2014-1761。一般Office在開啟可疑文件時,會預設以保護模式做開啟;而令人感到驚訝的是,近年雖已發現許多Office開啟RTF的攻擊漏洞,Office 2010/2013預設仍未對RTF文件格式預設開啟保護模式。

「惡意文件」的格式大致上是正常的文件,因此很容易躲過防毒軟體的掃描。在2014年的CVE-2014-1761弱點被發現後,駭客很快便根據此漏洞做出對應的的惡意文件並用於APT攻擊!

CVE-2014-1761這個弱點,微軟已經發佈修補程式,建議您務必安裝,以避免遭受惡意文件的攻擊,相關資料您可以參考網址:
https://technet.microsoft.com/en-us/library/security/2953095.aspx

最後,我們發現,2014年上半主要針對政府單位進行的APT攻擊,多半為Taidoor這個組織所發起。Taidoor是一群以台灣政府、政黨智庫、相關企業為主要攻擊目標的APT攻擊者,我們自2006開始觀察到其活動的痕跡,許多防毒軟體公司也發表過不少Taidoor報告。長期以來,Taidoor使用的APT攻擊信件主題都非常切合攻擊目標的業務內容,這顯示了其對攻擊對象掌握度相當高;前述幾種躲避偵測的手法都有五年以上歷史,目前仍繼續被使用,則代表這樣的躲避方法未被有效防堵。

遭到Taidoor組織惡意程式成功入侵的電腦,會反連中繼站進行回報,通訊封包特徵大致為:
  • hxxp://201.149.3.184:80/user.jsp?so=kkrnmi11616020C500
  • hxxp://201.149.3.184:443/page.jsp?ti=bbndnp11616020C00
  • hxxp://201.149.3.184:443/user.jsp?el=hhppfa11616020C500
  • hxxp://201.149.3.184:80/parse.jsp?fh=ggzdzu11616020C500
其尾部的字串為編碼過的受害者電腦MAC卡號。 中繼站的IP所在地區大約有這些地方: 
  • 201.149.3.184 和 201.151.250.134 位於墨西哥
  • 213.210.194.5 沙烏地阿拉伯
  • 203.115.192.25 馬來西亞
  • 125.20.83.206 印度
其域名則都是 DynDns 動態域名,在非攻擊的時間可能指向正常網站,藉此躲避追蹤。
回到列表