超會躲 變種Terminator木馬鎖定台灣攻擊

 




*
你在乎網路的隱私權嗎?
*
你的資料還在裸奔嗎?
*
你擔心程式被竊取嗎?
*
你擔心機密文件被駭客入侵嗎?
*
你擔心假期個資遭駭客入侵嗎?
*
資訊安全專家正新電腦將提供給您資訊保安的產品和服務。


今年駭客年會,資安研究人員Paul Rascagnere指出台灣仍有60多家企業留有遠端木馬工具(RAT)Poison IvyTerminator的遺毒未清,持續在對遠端駭客傳送資料。主要原因是這類惡意程式不斷變種,難以被資安防禦工具偵測。而FireEye近期研究也發現這支持續變種的Terminator持續鎖定攻擊台灣。

 

FireEye近期發現一波可疑的攻擊樣本,透過釣魚郵件攻擊台灣,郵件內附一個名為”103.doc”的惡意Word檔,它是利用CVE2012-0158弱點,使用者點選後會被植入一支名為DW20.exe的惡意程式。FireEye研究員Rong-Hwa Chong表示,這支Terminator不是第一次在APT攻擊中出現,但它不斷變形非常狡詐,使受害單位既有的資安防護設備完全無法偵測。

 

首先,它利用另一元件轉送流量給代理伺服器再來跟C&C伺服器溝通(如下圖),由於這種分工,一個一個分開看,防禦設備便不會認為是可疑行為。此外,它還可以讓自己變大,檔案可以大到超過40MB,以躲避file-based的防毒軟體掃描偵測。同時這支DW20.exe在被下載安裝後會先自我移除,如果是一般的沙盒可能就不會發現,在重新開機時才會啟動。且為了不讓鑑識人員發現,它還改變機碼用自己建的資料夾與捷徑。

經過解析,這支Terminator 樣本會連回到liumingzhen.zapto.org以及liumingzhen.myftp.org這兩台C&C伺服器,與6月份FireEye發現的另一波攻擊(釣魚郵件如下圖),使用相同的C&C伺服器。該伺服器IP登記於一家軟體公司名下,經通報後表示會停機進行檢查。

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7682

SafeNet資訊安全保護鎖系列  , 歡迎來電借測!

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
 

更多產品資訊來源 : www.pronew.com.tw
:  TEL : 04-2473-8309