Trojan.Poweliks 一開始是在 2014 年涉及系統登錄檔型的威脅而吸引了人們的目光。做為一種系統登錄檔型威脅,Poweliks 在受害電腦上並不是以檔案的姿態存在,而是只會存在於 Windows 系統登錄檔中。這種只存在於記憶體的無檔案型威脅過去也曾出現過,不過由於 Poweliks 擁有持續性的機制,即使在受害電腦重新開機後,它依然能夠存在,因此也使得它在同類威脅中技冠群雄。
不只是這種持續存在的機制讓 Poweliks 顯得獨特。該木馬程式還使用了其他的登錄檔伎倆,例如一種特殊的命名方式,讓使用者難以發現它,然後再利用 CLSID 綁架,以便讓它持續存在於被入侵電腦上。Poweliks 也會對零時差權限升級漏洞發動攻擊,以控制被入侵的電腦。這種威脅甚至還會將遭到入侵的電腦加入點擊詐騙 botnet 傀儡網路中,然後在受害者不知情的情況下,強迫它下載廣告。
賽門鐵克深入研究了 Poweliks,看看這種威脅是如何進化,以及它如何透過藏身於登錄檔中來試圖迴避偵測。
無檔案型威脅
Poweliks 是一種利用多種技巧、只持續存在於系統登錄檔的無檔案型威脅。以下圖片說明它如何辦到這一點:
圖 1. 系統登錄檔中的 Poweliks
Poweliks 會利用合法的 Windows rundll32.exe 檔 (藍色框框) 來執行內嵌於登錄子機碼本身的 JavaScript 程式碼 (紅色框框)。JavaScript 程式碼中有指令會從登錄檔讀取更多資料,這個部份就可以當做資料酬載 (綠色框框),然後執行。
其中有些資料經過編碼,在解碼和執行後,它就會安裝一個我們稱之為「看門狗 (Watchdog)」的程序。這個 Watchdog 程序可用來讓該威脅得以在被入侵電腦上持續存活。它會持續檢查 Poweliks 是否仍在執行中,以及登錄子機碼有沒有被刪除。當該威脅被刪除時,這個功能就會重新安裝登錄子機碼。
由於該惡意程式位於登錄檔內部,Watchdog 的功能是藉由更改存取權限來保護它,以防止被存取,然後再利用無法列印的字元,因此即使有適當的權限,登錄工具也無法搜尋到這些機碼。自從 Poweliks 出現後,我們也發現其他幾種威脅也利用了這些技巧與戰術,包括 Trojan.Phase。
下圖說明 Poweliks 如何在被入侵電腦上持續存活:
圖 2. Poweliks 會維持它的登錄項目,以確保持續存在登錄檔中
綁架 CLSIDs
雖然有許多威脅經常會更改登錄檔中的 Run 子機碼,以便將自己載入,Poweliks 卻是透過綁架 CLSID 來使用新的載入點。CLSID 項目會連結 Microsoft 需要的特定功能,這樣才能正常執行 Windows。Poweliks 會對這些 CLSID 子機碼增加額外的資料,以增加它本身想要的功能。具體而言,Poweliks 會綁架以下 CLSID:
- {FBEB8A05-BEEE-4442-804E-409D6C4515E9}
- {73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}
- {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
這些 CLSID 是利用 Windows 載入的。例如,{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} 可以讓 LocalServer32 子機碼中的任何檔案在資料夾開啟的任何時候執行。綁架該 CLSID 後,Poweliks 就能確保它的登錄項目在資料夾開啟的任何時候或建立新的縮圖時都能夠執行,即使 Watchdog 程序被終止了也不是問題。
保護登錄項目
Poweliks 在被入侵電腦上保護其登錄項目方面還有更多把戲。該惡意程式還會建立額外的登錄子機碼,這個機制是為了防止它被人開啟與檢視。這個登錄子機碼內含一個使用 0x06 位元組和 0x08 位元組建立的項目,這兩個位元組並不在 Unicode 可列印字元組的範圍中。因此這整個 LocalServer32 子機碼就不會被讀取或刪除了。有些登錄工具可能可以讀取該子機碼,不過預設的 Windows Registry Editor (regedit.exe) 是無法讀取的。要讀取這些字元以及讀取或刪除該登錄項目,需要特殊的工具。Powelik 將自己置於登錄檔中,並利用這樣的保護機制,使用者就很難擺脫它了。
圖 3. 記憶體中可保護 Poweliks 的額外登錄子機碼
與 Bedep 的關聯
Poweliks 會對 Microsoft Windows Remote Privilege Escalation Vulnerability (CVE-2015-0016) 發動攻擊,以控制被入侵的電腦。我們發現後已向 Microsoft 提報此漏洞,該漏洞隨後已在 1 月份的修補程式更新中 (MS15-004) 加以修補。Trojan.Bedep 也利用此零時差攻擊來控制遭到入侵的電腦,它和 Poweliks 對此漏洞發動攻擊的時間差不多。這也讓我們發現,也許 Poweliks 和 Bedep 之間有所關聯。
Bedep 是一種下載程式,而它經常下載到受害電腦的威脅之一就是 Poweliks。
從 Poweliks 到勒索軟體
雖然 Poweliks 使用了一些複雜且獨特的方式來入侵並藏匿在電腦上,它終究只是個攻擊者透過廣告來賺錢的點擊詐騙木馬程式。它會根據關鍵字要求廣告,假裝受害者合法搜尋特定的關鍵字,瀏覽至廣告網路傳回的網址,然後讓攻擊者收到錢。選定的廣告並不會顯示給受害者看,因此他們渾然不覺 Poweliks 存在他們的電腦上。雖然光是這樣就會對受害者造成問題,但更大的問題是 Poweliks 傳送至被入侵電腦的大量廣告。
Poweliks 每天會在電腦上要求 3,000 則廣告。由於它要求的廣告如此之多,它也不在乎這些廣告是從哪來的,最終很有可能會讓惡意廣告下載至被入侵的電腦上。這樣會使更多其他的惡意程式安裝在該電腦上,我們已觀察到 Trojan.Cryptowall 或它的變種之一安裝在遭受 Poweliks 入侵的電腦上了。因此,雖然一開始受害者並不知道 Poweliks 在他們的電腦上顯示廣告,但最後他們的電腦可能會被鎖住,然後跳出畫面要求他們付出贖金。
圖 4. 被 Trojan.Cryptowall 鎖住的畫面
緩和風險的方法
賽門鐵克與諾頓產品偵測到的 Trojan.Poweliks 為:
防毒
入侵預防系統
移除工具
如果您覺得您的電腦被 Trojan.Poweliks 入侵了,請執行以下移除工具:
延伸閱讀
欲知更多 Poweliks 如何演進的資訊,歡迎閱讀我們的白皮書。
