当前位置: > >横行台、日的网路骇客组织Blackgear神秘面纱首度在台揭露,攻击

横行台、日的网路骇客组织Blackgear神秘面纱首度在台揭露,攻击

03-24,IT资讯横行台、日的网路骇客组织Blackgear神秘面纱首度在台揭露,攻击最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

趋势科技

相信资安圈的人对Blackgear都不陌生,网路骇客组织Blackgear曾在2012年大肆攻击台湾的企业和政府单位,当时Blackgear的手法新颖,是第一个利用恶意中继站的方式进行APT攻击,不过,根据趋势科技的威胁研究研究员Joey Chen和Mingyen Hsieh观察,Blackgear去年开始转移攻击目标,开始对日本展开大量的攻击,也出现新的攻击手法,主要集中火力攻击政府单位、重工业和旅游业,他们推测,Blackgear的目的是窃取产业的资料。

Blackgear攻击3阶段

趋势科技把Blackgear攻击的流程分为3个阶段:连接档案(Binder)、下载工具(Downloader)、后门程式(Backdoor)。

图片来源:趋势科技

一开始先用网路钓鱼的电子邮件诱骗使用者下载连接档案(Binder),Binder是两个程式结合,执行其中一个程式时,会连带开启另一个程式,使用者下载连接档案之后,会看到档案呈现资料夹的型式,但事实上,该档案并不是资料夹,而是一个执行档,一般的使用者为了开启资料夹,在不知情的情况下便会点击两下,这时,执行档就成功的被执行并且在受害者的电脑种了下载工具(Downloader)。

骇客组织主要利用了2个下载工具RLMNY和Ymalrmini,先将下载工具植入受害者的电脑后,就能进一步自动下载后门程式(Backdoor),像是当时广为人知的Elirks,不同于以往的恶意攻击模式,后门程式Elirks是透过中继站的方式连上恶意伺服器,也就是说,骇客把C&C中继站的设定档储存在部落格的文章中,像是2012年台湾当时较盛行的网站噗浪(Plurk)和蕃薯藤(Yam),利用后门程式Elirks撷取C&C中继站的设定档,再去连结真正的恶意C&C伺服器。

其中,C&C中继站的设定档会隐藏在部落格的公开网路文章中,Mingyen Hsieh举例,设定档资讯会藏匿在看似正常的发文中,像是「I got an available series of numbers」,但是,其实这串文字就是Elirks要找的标籤(Tag),而接在后面的字串正是Elirks要的设定档。趋势科技威胁研究员Joey Chen进一步解释,恶意程式先执行Shellcode,搜寻部落格文章的标籤字串,找到之后收录并进行解密,C&C设定档会储存在2个短位元(Bit)的网路文章文字中,第一个是8个字元的字串,可以解码成6个16进位的字元(Character),第二个则是2个字元的字串,本来的格式就是16进位,总共得到8个16进位的字元,再将所有字元贴到资料区段,利用修改过的微型加密演算法(Tiny Encryption Algorithm,TEA)解密,就能得到中继站的IP位址,恶意程式就能连上恶意中继站。

图片来源:趋势科技

另一个趋势科技命名为Ymailr的后门程式,是首次用.NET框架写的后门程式,基本上跟Elirks很类似,唯一不同的地方是,Ymailr内含加密过的字串,这些加密的字串是用Base64和DES加密过的部落格URL和标籤,加密的金钥和初始向量(Initialization Vector)都是写死的(hardcoded),也就是在撰写程式时,把输出或输入的相关参数(例如:路径、输出的形式或格式)直接写在程式码中,且经过趋势科技威胁研究员Joey Chen解密发现,金钥都是「1q2w3e4r」,其实就是键盘上的连续序位。

图片来源:趋势科技

此外,为了确保后门程式可以在系统中常驻,骇客会利用假的连结档(Link File)把后门程式放到开始资料夹,如此一来,每次开机时,后门程式就能自动执行,另外,在下载工具连接提供后门程式网站的同时,也会先把受害者电脑的资讯和既有的执行的程式档案资讯回传回去。Mingyen Hsieh也建议,使用者要打开显示副档名的功能,才不会把恶意的执行档误以为是资料夹。

在趋势科技研究中,其中一个案例是用后门程式连接电子布告栏的网站,但事实上,这个网站是假的,只有一页网页,如果网管人员一时不察,虽然电脑有不寻常的流量,可是看到使用者只是浏览一般的公布栏连结,就不会发现恶意攻击。

攻击手法进化,中继站设定档字串隐藏在网页原始码中

另外,趋势科技也发现,2014年开始出现的2支恶意程式Blog RAT(远端存取木马)和Hammer RAT也跟Blackgear有关, Blog RAT连接的部落格的文章中没有隐藏的C&C中继站的设定档,不过,其实骇客的攻击手法又进化了,C&C中继站的设定档字串不再隐身在部落格的文章,而是把标籤藏在网页的原始码中,字串以URL的型式伪装成HTML的标籤。

Mingyen Hsieh表示,进一步研究后发现,Blackgear的中继站都是租用伺服器,其中,伺服器的服务皆来自香港和中国的虚拟专属主机(Virtual Private Serve, VPS)。

为什么要用中继站的方式?

趋势科技威胁研究员Joey Chen和Mingyen Hsieh表示,很多人会问,为什么骇客要大费周章地用中继站的方式来攻击?骇客为什么要把C&C的设定档写在部落格上,再透过后门程式解开设定档,连线到真正的C&C伺服器呢?对此,趋势科技威胁研究员Mingyen Hsieh提出了三个主要的原因:

  1. 连线更隐密:骇客能隐藏真实的C&C伺服器,另外,使用者用电脑浏览部落格的行为在企业中很正常,即便被侦测到有异常流量,也不会被网管人员怀疑。
  2. 方便更换C&C伺服器:把后门程式写在部落格或网页中,只要更改部落格的内容,就能更换C&C伺服器,但是,把C&C的设定档直接写在后门程式中,后门只能连到特定的C&C伺服器?,而且此后门程式就只能用一遍。
  3. 可以通过网管的黑名单:若被特定的C&C?伺服器被网管人员列入黑名单,只要更换就能通过。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >