新型针对台湾地区的网络间谍后门木马威胁被揭示

  2015年 8月,赛门铁克安全团队发现未知的后门木马程序Backdoor.Dripion,该木马程序主要针对位于中国台湾地区、巴西和美国的企业进行攻击。Dripionis是一种定制的窃取企业信息的恶意软件,目前仅在部分针对性网络攻击中使用过。该攻击活动的背后攻击者采取了一定的措施来掩饰他们的攻击行为,包括将域名伪装成杀毒软件公司的网站,并将其当作命令和控制(C&C)服务器。赛门铁克安全团队发现,这些攻击与曾经一个被称为Budminer的网络犯罪团体利用Taidoor木马程序(Trojan.Taidoor)所进行的攻击之间存在一定的关联。

  如Dripion这样的定制恶意软件所带来的威胁证明了多层安全防护的价值。虽然未知威胁可以避开特征检测,但是它们仍旧能够被其他可识别恶意行为的检测工具所阻止。

  攻击事件背景

  当赛门铁克安全团队收到三个文件拼凑档并发现其具有后门程序功能,能够窃取受害企业的信息时,便针对该攻击开展调查工作。该恶意软件似乎是一种新型恶意软件,此前很少被检测出来,也并未公开使用过。通过二进制分析,并与其他已知后门木马程序进行对比后,赛门铁克的安全专家分析出这是一款定制开发的恶意软件。

  开发一款能够避开检测并具有信息窃取功能的后门程序需要大量的知识和资金支持。这类新型后门木马程序的背后通常与网络间谍活动组织的参与有关。

  恶意软件下载器

  新型针对台湾地区的网络间谍后门木马威胁被揭示针对恶意软件的调查的首要步骤确定其进入受害者计算机的方式。虽然目前有许多公开使用的下载器,但是专属于网络间谍活动使用的专有下载器在过去几年里却屈指可数。由于使用Dripion恶意软件看起来来自于单个攻击者针对小型目标群体,因此,赛门铁克安全团队希望能够通过调查下载器来确定是否能够获更多证据,从而找出背后的已知威胁团体。

  本次攻击所使用的下载器Downloader.Blugger (MD5:260f19ef39d56373bb5590346d2c1811)并非是新出现的恶意软件,在2011年便已被发现。

  Blugger下载器采用加密技术来其构建基础架构和URL请求查询命令,这令其更加难以被检测出来。在解密后,赛门铁克安全团队确定下列URL请求:

新型针对台湾地区的网络间谍后门木马威胁被揭示

  赛门铁克安全团队在分析后得出,在下载器请求的URL中的这两个域名均为可公开访问的博客网站。下载器能够通过关联这些博客的URL,检索并安装Dripion恶意软件。

  这些博客主要以英文为主,其主要攻击目标为中国台湾地区。如图1所示,其中一个博客以美国医疗保健花销为主题。赛门铁克安全团队目前尚不清楚这些博客是由攻击者所创建,还是为了攻击而入侵了其他的博客。如果是入侵其他博客,那么攻击者便不会创建帖子,这是由于博客会显示帖子的创建者,这与攻击者的初衷不符。如果是攻击者创建博客,那么他或许会采用攻击目标所可能感兴趣的主题来创建博客。目前,这些博客中的大部分内容与新闻活动相关。

发表评论