網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年, ZeroAccess 的破獲行動,減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例,但過沒多久,其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況,儘管警方在 2015 年 10 月 查獲 了它多個幕後操縱 (C&C) 伺服器,但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢,並且在去年的 年度資安總評報告當中加以探討。
DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件,誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案,感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。
DRIDEX 之所以無法斬草除根,主要有兩大原因:第一,其殭屍網路的派送機制效率很高,因此擁有廣大的受害者;第二,其不易斬草除根的點對點 (P2P) 網路基礎架構,讓它很快就能恢復營運。除此之外,根據我們推測,DRIDEX 目前也在 網路犯罪地下市場上兜售, 因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。
DRIDEX之所以能成為一項有效的網路犯罪工具,正因為它的社交工程(social engineering )技巧都是針對企業缺乏資安意識的員工而設計。DRIDEX 絕大部分的網路釣魚(Phishing)都是假裝寄送發票、對帳單、收據、法律聲明等文件。這些垃圾郵件甚至冒用各種合法企業的網域名稱,讓員工在不疑有他的情況下開啟附件檔案。
此外,DRIDEX還會利用惡意巨集讓使用者在不知情的狀況下遭到感染。它有自己的巨集下載程式,這占了絕大多數的 DRIDEX 偵測數量,而非 TSPY_DRIDEX 惡意程式本尊。今年二月,趨勢科技發現除了傳統的巨集下載程式之外,某些 DRIDEX 二進位檔案還會透過 JS 檔案下載程式來散布。在我們分析到的一個樣本中,巨集下載程式先在系統植入了一個 VBScript 程式,再由這個 VBScript 程式來下載真正的惡意程式。
另一個 DRIDEX之所以猖獗的原因是它會經由一些含有知名漏洞攻擊套件 (如 Angler 和 Rig) 的惡意網路廣告散布。最近趨勢科技在德國即發現一些會在系統植入 DRIDEX 惡意程式的 Angler 漏洞攻擊套件。
受害者大多是使用久未更新的作業系統或應用程式,不然就看到了惡意的網路廣告,進而讓漏洞攻擊套件下載 DRIDEX 到系統上。
根據我們的資料顯示,事實上不論大型企業或中小企業,都受到此惡意程式的嚴重威脅。他們之所以成為受害者,多半是因為歹徒所用的社交工程(social engineering )技巧所致。
與大型企業相比,中小企業其實更難對抗這項威脅,因為中小企業的安全措施較為薄弱,而且 IT 防護及技術也無法與大型企業相提並論。此外還有一項誘因是,中小企業含有一些歹徒可拿到地下市場販賣或用於其他攻擊的重要資料。
儘管先前的破獲行動確實讓 DRIDEX 受挫了一陣子,但 P2P 網路的特性讓它很快就恢復了生機。在破獲行動期間,資安廠商與美國、英國的執法單位及聯邦調查局 (FBI) 合力查封了歹徒存放竊取資料 (銀行帳號資訊) 的後端 C&C伺服器以及系統管理節點,後者專門負責將「Botnet傀儡殭屍網路」電腦的連線導向 C&C 伺服器,並且發送軟體更新。關閉管理節點理論上就能防止殭屍電腦將蒐集到的資料回傳至 C&C 伺服器。所以,很可能當時並非所有的管理節點都已遭到破獲,或者 DRIDEX 網路犯罪集團早就建立了備份節點。因為,只要外部還有任何感染 DRIDEX 的電腦存在,其 P2P 網路就能繼續運作。
另一方面,模組化的程式架構也讓這個惡意程式可以輕易擴充功能或改變攻擊目標。DRIDEX 採用類似 DYRE 及 ZBOT 等知名銀行木馬程式的架構,除了一個獨立的檔案之外,還有多個可輕易新增或修改的附加元件。而且其設定檔案採用 XML 格式,因此駭客可以很方便地增加更多攻擊目標。
DRIDEX 採用所謂的殭屍網路服務 (Botnet-as-a-service,BaaS) 的經營模式。我們在破獲行動之後仔細研究了這項威脅,雖然 DRIDEX 在去年遭到破獲之後其程式碼已經過一些小幅變動,但整體上這些修改或改進並未改變其感染途徑或殭屍網路的運作方式。這些小幅變動包括:改變系統登錄當中自動啟動機碼的名稱、修改了巨集程式碼,以及更改了植入系統的檔案位置。由於 DRIDEX 背後是由多個分散的團體所組成的單一集團所掌控,因此,各個不同垃圾郵件行動所使用的樣本,只要是同一天釋出的,都是相同的變種和程式碼。這一點可以從其大版本和小版本的編號來判斷。
就功能來看,此惡意程式的 P2P 網路通訊協定似乎沒有任何改變,最可能的原因是這樣的修改將破壞整個 P2P 基礎架構。此外,其網路中的每一台被感染的電腦 (也就是殭屍電腦) 也都有自己的加密金鑰,網路各節點在彼此溝通時會用到這個金鑰。除此之外,其管轄的殭屍電腦依然沿用原本的「殭屍網路識別碼」(botnet ID),而且通常按地區來劃分,因為不同地區會收到專屬於該地區的設定檔,裡面會有該地區的攻擊目標 (銀行)。
儘管其網路犯罪行動在遭到破獲之後已稍微趨緩,但長遠來看,更有效的解決之道應該是逮捕並起訴幕後的網路犯罪份子。這就是為何建立並維持公私部門合作 (PPP) 越來越重要,例如:趨勢科技即與全球執法單位合作,提供他們所需的威脅情報與網路犯罪研究發現。
今年,DRIDEX 預料將更加猖獗。不過,一般使用者及企業機構可採取一些基本的防範措施來保護自己的系統和資訊。既然 DRIDEX 大多經由垃圾郵件來進入電腦系統或網路,因此我們強烈建議企業員工和一般使用者在開啟電子郵件時應隨時保持警覺,即使看似來自正常的來源也應提防。此外,在開啟可疑的附件檔案時,最好不要啟用 MS Word 巨集以避免惡意程式執行。此外,企業應設定一些政策來封鎖含有附件檔案且來自外部或不明來源的電子郵件。定期安裝修補程式以隨時保持系統更新,也能讓電腦多一層防護來防止專門散布 DRIDEX 的漏洞攻擊套件。
資料來源:http://blog.trendmicro.com.tw/