投稿者:Gavin O’Gorman
一項謀劃已久、長期以來主要將目標鎖定日本企業的網路間諜活動,透過其量身打造的惡意程式 (Backdoor.Daserf) 發動攻擊。該團體被賽門鐵克稱之為 Tick,行事風格低調,但在曝光之前可能已經活動至少十年。
在其最近的行動中,Tick 利用魚叉式網路釣魚電子郵件並入侵數個日本網站,企圖再感染新一波的受害者。該團體發動攻擊時都經過精挑細選,且似乎只有在確立遭到攻擊的企業為預期的目標後,才會全盤部署所有工具。Tick 也會使用一系列駭客工具瞭解受害者的網路狀況,然後試圖進一步提高權限。
Daserf 的主要目的在竊取資訊,而這支木馬程式能夠從遭受感染的電腦中收集資訊,並轉送回攻擊者所控制的伺服器。Tick 最近一次的攻擊集中在日本的科技、水下工程以及廣播部門。
近期的攻擊
賽門鐵克在 2015 年 7 月發現 Tick 最近一波的攻擊,該團體在當時透過 Flash (.swf) 發動水坑式攻擊,入侵了三個不同的日本網站。前往這些網站的訪客會遭到名為 Gofarer (Downloader.Gofarer) 下載程式的感染。Gofarer 會收集遭入侵電腦的資訊,然後下載並安裝 Daserf。
在近期的攻擊中,Tick 也會使用魚叉式網路釣魚電子郵件。儘管賽門鐵克並未自行發現電子郵件,但辨識出該攻擊經過設計可利用 Microsoft Office 文件漏洞 (CVE-2014-4114)。除了水坑式攻擊活動之外,這種手法還可用於散播惡意程式。
詳細檢視 Tick
Daserf 似乎是專為 Tick 量身打造的木馬程式,以便用於其網路間諜活動中。 一旦安裝完畢,Daserf 就會建立遠端連線接受 Tick 的指令與控制伺服器,藉此將遭到入侵電腦的存取權限提供給攻擊者。
圖 1.近期在日本的攻擊活動中發現的連鎖感染
惡意程式一旦安裝在遭鎖定的電腦中,攻擊者就會企圖清點網路,並提高權限等級。為達此目的,Tick 使用數種可公開取得的駭客工具,例如 Mimikatz、GSecdump 以及 Windows Credential Editor。攻擊者會下載這些工具並部署至惡意程式先行建立的原始安裝目錄。
Tick 的主要目標可能是從鎖定的日本企業中竊取敏感資訊。截至目前為止,賽門鐵克已觀察到該團體企圖竊取電子郵件與文件 (例如 PowerPoint 簡報)。
低調的威脅
Daserf 木馬程式能夠運用各種手法規避偵測。資料遭竊之後,便會藏匿在受密碼保護的 .rar 封存檔中。
Daserf 也會使用與 Windows 環境中常見的合法程式相關檔案與資料夾名稱,企圖魚目混珠。目前發現的資料夾名稱包括 HP、Intel、Adobe 以及 PerfLogs,且系統一般會將這些資料夾建立在根磁碟機、「Application Data」或「Program Files」資料夾中。在近期的攻擊中使用的檔案名稱包括 adobe.exe、adobe_sl.exe、intel.exe 以及 intellog.exe。
指令與控制伺服器
Tick 會使用遭入侵的網路伺服器散佈惡意程式,而且在某些案例中,還會將伺服器用於指令與控制 (C&C) 基礎架構。 不過,在大多數案例中,該團體均使用自己的基礎架構來達到 C&C 的目的。
在近期的多數攻擊活動中,該團體會在惡意程式編譯完成後數日註冊用於 C&C 伺服器的網域。舉例來說,Daserf 使用的其中一支變種是在 2015 年 7 月 8 日編譯的。經查,此樣本會與 C&C 網域 www[.]dreamsig[.]com 互相聯繫,而此網域乃是在 2015 年 7 月 13 日註冊,正是編譯日期的五天後。在多個 Daserf 樣本中都出現這種模式。
惡意程式與 C&C 基礎架構之間的通訊另外有一種有趣的觀察角度,那就是:惡意程式如何透過預先定義清單中隨機選擇的變數來變更網址。
Daserf MD5 的預先定義清單:765017E16842C9EB6860A7E9F711B0DB
|
rjdyw.asp
|
xszgj.asp
|
dheyf.asp
|
ejdhf.asp
|
gxbne.asp
|
swetf.asp
|
qgfhr.asp
|
whjdh.asp
|
zgfer.asp
|
cshyr.asp
|
fxkle.asp
|
tmwry.asp
|
viksr.asp
|
ycghw.asp
|
表 1.Daserf 樣本使用內嵌在惡意程式中預先定義的網址清單範例
賽門鐵克找出多個 Tick 所使用的 C&C 網域。可惜,Tick 經常使用隱私權防護服務或網域代理 (domain broker) 隱藏登錄資訊。這些手段能使發現攻擊與歸因更加困難。
C&C 網域
|
上層雜湊
|
charlie-harada[.]com
|
122652ca6ef719f8ba2d8d412ea184fe
|
isozaki.sakura.ne[.]jp
|
4601e75267d0dcfe4256c43f45ec470a
|
www.aucsellers[.]com
|
7ec173d469c2aa7a3a15acb03214256c
|
www.lunwe[.]com
|
8d5bf506e55ab736f4c018d15739e352
|
c-saika[.]jp
|
3fa5965a1de2c095de38f22f0645af3e b33f4b8e776b94dc48c234ce9897cf74
|
kcm-store[.]com
|
63fe9f06068823b02b925e4a74a57db0
|
htpc[.]jp
|
a629926313ee12163e1bdd2bb633e0e2 d3031438d80913f21ec6d3078dc77068
|
rlsolar[.]jp
|
d3031438d80913f21ec6d3078dc77068
|
表 2Tick C&C 網域與相關的 MD5 雜湊範例
在選定案例中使用的失竊數位憑證
多數經過分析的惡意程式均未以數位方式進行簽署。然而,有少數比例以遭竊的數位憑證進行簽署。這些憑證的使用比例如此保守,原因並不明確,因為簽署過的惡意程式能夠取得更高層級的信任,並降低偵測風險。
很可能用於攻擊目標的憑證處於安全環境中,可能需要二進位檔才能簽署,進而與作業系統互動。
憑證發行者已得知憑證遭到濫用,並證實可能會撤銷該憑證。
圖 2.用來簽署 Tick 惡意程式的失竊數位憑證
目標
利用遭到入侵的網站感染受害者會導致隨機感染,因此不易釐清攻擊者的動機。利用搜尋感染後活動的證據,賽門鐵克發現了七個遭到 Tick 發動持續性入侵後攻擊的企業。這些企業都是日本主要的大型科技、工程與媒體公司。
圖 3.根據地區造成的 Daserf 感染
因此,這七家企業可能是 Tick 預定的目標。除了觀察使用於這些攻擊中的入侵後工具之外,攻擊者在網路上的活動時間長度也提供了額外證據,證實這些企業是高價值目標。Tick 在受害者環境中的最長活動時間為 18 個月。而平均活動時間範圍為五個月,受害者網路中的受感染主機數量則為 3 到 15 個系統。
總結
Tick 留下的蛛絲馬跡顯示,他們的活動早在 2006 年就已經展開。在早期的攻擊中,該團體使用惡意的 Microsoft Word 文件感染受害者,而近期還會加上遭到入侵的網站做為混合攻擊媒介。
Tick 可能是一個組織嚴密的團體,擁有資金與開發及更新惡意程式的能力。他們有能力入侵合法基礎架構,進而散佈惡意程式,且擁有存取失竊數位憑證的權限,可在必要時簽署其惡意程式。從 2006 年起,Tick 主要以購買的基礎架構用於其 C&C 伺服器,並且已有能力規避偵測。
Tick 呈現出所有進階網路間諜團體的特色。該團體的活動歷史悠久,且針對特定產業發動持續不間斷的目標式攻擊,這都支持著此一說法。Tick 作業方式背後的個人或組織對於日本科技以及日本媒體和廣播企業特別感興趣。儘管 Tick 的手法一直在變化,然而,其活動記錄顯示該團體會繼續將主要目標鎖定在日本。
防護方法
賽門鐵克與諾頓產品能夠透過下列偵測抵禦這些威脅:
防毒
入侵預防系統