專門攻擊台灣政府機關 新「鎖定目標攻擊」現身! 檔案名稱精心造假 引誘收件者下載惡意附件 【2014年6月23日台北訊】全球雲端資安領導廠商趨勢科技提醒,台灣政府機關下載或開啟附件檔案之前請務必三思!趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動,名為「PLEAD」,犯罪份子使用魚叉式網路釣魚電子郵件,內含以「強制從右至左書寫」(RTLO)技巧來偽裝檔名的附件,並利用 Windows 的漏洞來攻擊受害者,誘騙缺乏警戒的收件人開啟並下載惡意附件檔案,進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。 趨勢科技台灣區技術總監戴燊表示:「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元,這些字元是為了支援世界上從右至左書寫的語言,讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧,歹徒可將惡意檔案偽裝成看似無害的文件。」 在以下案例中,歹徒寄了一份假冒某技術研討會參考資料的電子郵件給台灣某部會的員工。當其附件檔案解壓縮之後,收件人會看到二個檔案:一個 PowerPoint 檔案和一個 Microsoft Word 文件。
圖一、解壓縮後的附件檔案,其中看來像PPT檔的文件,其實是「.SCR」的螢幕保護程式 第一個檔案使用了 RTLO 技巧。歹徒在檔名的「PPT」之前插入了一個 Unicode 的 RTLO 指令,讓檔案看起來像是一個 PowerPoint 文件,但事實上卻是一個螢幕保護程式。為了提高電子郵件的可信度,歹徒又多放了一個正常的Microsoft Word 文件 (.DOC) 來轉移注意力。不僅如此,這個經過偽裝的「.SCR」螢幕保護程式執行時還會產生一個 PowerPoint 檔案,讓受害者以為開啟的確實是個簡報檔,因此更不容易起疑。
圖 2: 「.SCR」螢幕保護程式會產生一個「.PPT」檔案來轉移注意力 最後,這項攻擊行動會在受害者的電腦上植入一個後門程式,然後解開自己的程式碼,並把自己注入其他執行中的處理程序。植入電腦之後,後門程式會開始蒐集受害對象電腦上的資訊,如使用者名稱、電腦名稱、主機名稱以及當前惡意程式處理程序代碼,讓歹徒可以追蹤個別受害對象。當後門程式成功連上遠端伺服器之後,就會執行以下動作來進行一般偵查程序: · 檢查電腦上安裝的軟體或Proxy 設定 · 列出所有磁碟機 · 取得檔案 · 刪除檔案 · 執行遠端指令 趨勢科技台灣區技術總監戴燊表示:「根據趨勢科技2014年第一季資安報告指出,有 76% 的鎖定目標攻擊都是針對政府部門,而電子郵件是歹徒滲透目標網路最常見的手法,再加上此波發現的攻擊都是鎖定台灣政府機構,相關單位要特別提高警覺。」 除了魚叉式網路釣魚電子郵件之外,歹徒還會不斷利用各種舊的軟體與系統漏洞。例如,趨勢科技就發現有越來越多的鎖定目標攻擊使用 CVE-2012-0158 漏洞。儘管這個漏洞 Microsoft 早在 2012 年釋出的 MS12-027 修補程式當中已經解決,但此漏洞仍普遍存在於 Windows 通用控制項當中,歹徒因而能執行惡意程式碼。 ### 關於趨勢科技 趨勢科技股份有限公司(TSE:4704)是全球雲端安全的領導廠商,致力於保障企業與消費者數位資訊交換環境的安全。趨勢科技是業界的技術先驅,在伺服器安全領域擁有超過20年的經驗領先的整合式資安威脅管理技術能遏阻惡意程式、垃圾郵件、資料外洩以及最新的 Web 資安威脅,確保營運作業不中斷,保障個人資訊與財產的安全。 請造訪TrendWatch 查詢資安威脅詳細資訊,網址是: www.trendmicro.com/go/trendwatch。 本公司彈性化的解決方案有多種型態可供選擇,而且還有全球資安威脅情資專家提供 24 小時全年無休的支援服務。 本公司許多解決方案均以 Trend Micro™Smart Protection Network 為基礎,這是涵蓋閘道外廣大空間與用戶端的新一代內容安全基礎架構,專為協助客戶防範 Web 資安威脅所設計。 趨勢科技是總部位於東京的跨國企業,其備受信賴的安全解決方案透過其業務合作夥伴行銷全球。請造訪 www.trendmicro.com。 版權所有©2014 趨勢科技股份有限公司。保留所有權利。 Trend Micro 和 Trend Micro t 字球形標誌是趨勢科技股份有限公司的商標或註冊商標。 所有其他公司或公司名稱可能是其擁有者的商標或註冊商標。
|