觀點

APT避免被偵測的絕招:合法URL轉址、滑鼠點擊次數

2013 / 04 / 08
編輯部
APT避免被偵測的絕招:合法URL轉址、滑鼠點擊次數


APT攻擊越演越烈,繼前不久南韓攻擊事件後,FireEye最近又發現一款新的APT病毒Trojan.APT.BaneChant,以Email夾帶惡意word檔案(檔名為Islamic Jihad.doc)作為散布管道,而且根據檔名推測,主要的攻擊目標可能是中東和中亞的政府單位。

如同一般APT攻擊模式,使用Trojan.APT.BaneChant病毒進行的APT攻擊同樣分成兩階段運作,第一個階段先偵測環境、掩護自身,第二個階段才會下載後門程式。

在第一個階段裡,一旦使用者下載惡意Word檔案後,惡意程式不會立即行動,而是先分析該系統的運作環境,比如是否有沙盒(sandbox)或自動化的病毒分析系統,同時透過偵測滑鼠點擊頻率以繞過沙盒分析,之後才邁入第二個攻擊階段。

進入第二個階段後,就會自動解碼一個URL網址,然後從該連結下載一個偽裝成.JPG image檔案的後門程式,下載成功後,該支後門程式會自行複製成另一個稱為GoogleUpdate.exe的檔案,並存放在C:\ProgramData\Google2\的資料夾中,透過這樣的方式,讓使用者以為該惡意檔案是Google更新服務的一部分。另外,還會在使用者啟動的資料夾中建立一個可連至該惡意檔案的連結,以確保每次電腦重新啟動後都可以執行此後門程式,以蒐集並將資料回傳至遠端C&C伺服器。

不僅如此,Trojan.APT.BaneChant還利用合法URL作為掩護,避免被偵測。舉例來說,在第一階段中,word檔案會先連至一個合法的短網址ow.ly,再導向惡意網站,同樣的方式也應用在第二階段的攻擊中,在下載惡意.JPG檔案時,也會由合法網址導向惡意網站,透過這樣的機制降低被偵測的機會。

Trojan.APT.BaneChant避免被偵測的能力還不僅於此,FireEye研究人員Rong Hwa指出,之前曾發現過一款木馬程式透過偵測滑鼠點擊次數,確認是否處於沙盒環境中,但當時的惡意程式僅以單一次滑鼠點擊做為判斷,而BaneChant則會等到滑鼠至少點擊3次後,才會下載後門程式,顯見隨著防禦機制的提升,病毒也不斷的演進,越來越不容易被偵測出來。