【ESET版本升級重要公告訊息】2019.1.31終止支援舊版本之垃圾郵件防護功能,現有用戶可享免費升級

 
感謝您對 ESET 資安全系列產品的支持!ESET 將於 2019 年 1 月 31 日,終止支援下述版本的【垃圾郵件防護功能】。為了確保您的公司得到最新技術與完整的資安防護,建議貴公司立即更新所使用之ESET資安產品至最新版本;ESET最新版本加強了垃圾郵件防護引擎的效能,垃圾郵件過濾攔截率達到 99.999 %,並連續獲得多次Virus Bulletin 頒發 VBSpam +獎項,溫馨提醒現有用戶,可享免費升級
 
終止支援【垃圾郵件防護功能】之產品清單
 
ESET 郵件伺服器安全 for Microsoft Exchange Server (EMSX v. 3, v. 4)
ESET 郵件伺服器安全 for IBM Domino (EMSL v. 3, v. 4)
ESET郵件伺服器安全for Linux (UESETS v. 3, v. 4.0.10.0)
ESET 檔案伺服器安全 for Linux (UESETS v. 3, v. 4.0.10.0)
ESET 通訊閘道器安全 for Linux (UESETS v. 3, v. 4.0.10.0)
ESET 網路安全企業版 (ESSBE v. 3, v. 4)
 
*上述產品繼續獲得防禦病毒和防禦惡意軟體的功能
 
Q & A
1. 升級需要費用嗎?
在有效授權期間,從舊版本的ESET 伺服器相關安全解決方案升級至最新版本是免費的,產品更新不會產生額外費用。
 
2. 為何要升級至最新版本?
由於新版本增加了新的資安防護技術,可以得到ESET Remote Administrator支援,大大提升電子郵件的安全體驗,包括防禦惡意軟體,垃圾郵件過濾和進行徹底的電子郵件掃描等,可以協助企業抵禦最新或未知的資安威脅。建議您更新所使用之ESET資安產品至最新版本,來保護貴公司的重要資料。
 
3. 更新是否會影響與其他ESET產品的相容性?
升級最新版本的ESET伺服器相關安全解決方案即可獲得ESET遠程管理(ESET Remote Administrator)的相容性,如果您是Microsoft Exchange Server,IBM Domino和Linux / FreeBSD的ESET伺服器相關安全解決方案用戶,建議除了升級至最新版本外,也請確認您的ESET遠程管理(ESET Remote Administrator)一併升級至最新版本,因舊版本的ESET遠程管理(ESET Remote Administrator)與ESET最新版本的伺服器相關產品不相容。
 
4. 升級到最新版本需要多長時間?
因每個客戶之資安配置不同,建議洽詢專業的資安團隊,您可撥打客服專線(02)7722-6899,將有專人為您服務。
 
 
**免 費 升 級**
 
ESET郵件伺服器安全for Microsoft Exchange Server
 
ESET郵件伺服器安全 for IBM Domino
 
ESET 郵件伺服器安全 for Linux
 
ESET檔案伺服器安全for Linux
 
ESET通訊閘道器安全for Linux
 
ESET企業端點網路安全
 
如有任何軟體升級問題或設定的技術支援需求,歡迎上官網查詢或洽詢專業資安團隊:(02) 7722-6899

DanaBot新增垃圾郵件發送功能,進化後已超越傳統網銀木馬

 

繼之前跟大家分享銀行木馬DanaBot將攻擊目標轉向歐洲並新增多項特性後,ESET近期的研究結果發現,DanaBot的幕後黑手一直在不斷擴大攻擊範圍,疑似與另一犯罪集團聯手

 

DanaBot不斷進化,其能力已超越傳統網銀木馬範疇。根據ESET研究結果,狡猾的幕後黑手近期已在嘗試盜取電子郵件信箱帳密和大量寄發垃圾郵件功能,利用現有受害者的網頁電子郵件帳號,進一步大肆散佈惡意程式。

 

除一系列新增功能外,由ESET發現的其他種種跡象顯示,DanaBot的操控者已與另一款進階木馬GootKit的犯罪份子聯手–對於習慣獨立行事的駭客團隊而言,這一模式極為罕見。

 

利用受害者郵件信箱群發垃圾郵件

2018年9月DanaBot大肆向歐洲各國擴散期間,ESET在分析被用來攻擊義大利多家網頁電子郵件使用者的頁面注入代碼時,先前未曾報導過的一些功能引起了研究人員的關注。 據ESET分析,在目標網頁郵件信箱服務頁面中注入的Java腳本,可大致劃分為兩種主要功能:

 

1.DanaBot從現有受害者的電子郵件信箱中盜取大量聯絡人電子郵件位址,並透過在目標網頁郵件信箱的服務頁面上注入惡意腳本來進行,一旦受害者登錄後,便會處理受害者的電子郵件,並將已找到的全部郵件信箱位址集中發送至C&CServer。

 

 

圖1 – DanaBot大肆盜獵電郵地址

 

2. 對於目標網頁電子郵件服務基於Open-Xchange套裝架構的情況–例如義大利知名網頁電子郵件服務網站libero.it等–DanaBot也會注入頁面腳本,並利用受害者的郵件信箱,向已蒐集到的電子郵件地址透過私有群組寄發垃圾郵件。

 

惡意郵件是以淪陷郵件信箱中收到郵件回覆的形式發出的,使之貌似收件人本人發出的郵件。此外,對於已配置郵件數位簽章的帳戶,發出的郵件均具有有效的數位簽章。

 

很有意思的是,攻擊者疑似對於含有字串“pec”的郵箱地址特別感興趣,由於此類郵件信箱是義大利“認證電子郵件信箱”位址,從而表明DanaBot作者的重點攻擊目標為,最可能使用此類認證服務的政府機關和企業郵件信箱。

 

寄出電子郵件均含有從攻擊者伺服器上預先下載的ZIP附件,其中包含一個假冒的PDF檔及一個惡意VBS檔。執行VBS檔後,便會通過PowerShell命令下載後續的惡意程式。

 

 

圖2 – 從命令與控制伺服器下載惡意ZIP檔的代碼

 

 

圖3 – 新建電郵並添加惡意ZIP附件的代碼

 

 

圖4 – 近期針對義大利的網路攻擊中,含有惡意ZIP附件的垃圾郵件示例(來源:VirusTotal)

 

 

圖5 – ZIP附件內容示例

 

撰寫本文時,上述惡意功能仍僅僅以義大利為攻擊目標;受攻擊的電子郵件服務商清單,請詳見本文文末。

 

DanaBot和GootKit之間的重重聯繫

 

在分析了DanaBotC&CServer上的惡意VBS檔後,ESET還發現它指向一個GootKit下載模組,後者是主要用於網銀詐騙類攻擊的一款進階隱藏木馬,惡意VBS檔疑似自動生成,而且每次造訪時都有所不同。

 

這是ESET首次發現DanaBot散佈其他惡意程式的現象,在此之前,資安業界一直認為,DanaBot是由一家封閉式組織操控的,而且對於GootKit而言,這一現象也是新的發現。在以往的描述中,它都是一款私有工具,同樣由一家封閉式組織操控,並不透過黑市論壇出售。有趣的是,在近期黑色星期五和網購星期一前後的Emotet木馬規模性攻擊活動中,ESET還發現了其他惡意程式散佈GootKit的另一案例。

 

除了GootKit棲身於DanaBot所使用的伺服器之外,ESET發現DanaBot和Gootkit之間存在重重關聯,從而顯示出其幕後黑手之間的合作關係。

 

首先,借助ESET遙感系統的監測資料可以確定,GootKit攻擊活動指向DanaBot也使用的同一命令與控制伺服器子網和頂層網域名(TLD)。DanaBot將子網176.119.1.0/24之中的多個IP位址用作命令與控制伺服器並進行轉接,每隔幾天便會變換功能變數名稱,最常見的頂層網域名是.co(例如egnacios[.]co、kimshome[.]co等);同時DanaBot命令與控制伺服器上的惡意載荷所下載的GootKit樣本,將funetax[.]co和reltinks[.]co作為命令與控制伺服器。二者都曾在一段時間內解析為176.119.1.175。

 

其次,DanaBot和Gootkit共同使用的.co功能變數名稱,通常擁有同一家功能變數名稱註冊商,即Todaynic.comInc.,同時大多數時間共用同一名稱伺服器dnspod.com。

 

最後,ESET遙感系統發現,自2018年10月29日起的一周中,DanaBot在波蘭的活躍度大幅下降;同期,波蘭境內Gootkit活動驟然增多。在此活躍期內,GootKit使用了與近期波蘭DanaBot攻擊活動相同的散佈方式。

 

 

圖6 – 2018年10月8日至11月8日期間波蘭境內DanaBot和Gootkit的活動情況

 

與其他惡意程式家族的相似之處

 

分析DanaBot的過程中,ESET還注意到,DanaBot所採用的部分配置,與之前其他惡意程式家族中已監測到的框架相同,例如Tinba和Zeus等。這一點進而讓惡意程式開發者利用類似的網頁注入腳本,甚至再次運用協力廠商腳本。

 

很有趣的地方是,其中的部分腳本與ESET之前分析BackSwap木馬所運用的腳本幾乎完全相同,包含伺服器腳本的命名習慣和路徑在內。

 

 

圖7 – BackSwap(左)和DanaBot(右)使用腳本對比;差異處標定為橙色

 

結論

研究結果發現,隨著操控者不斷添加新的功能、測試新的散佈管道,並與其他網路犯罪集團聯手,DanaBot的行為特徵已大大超出傳統網銀木馬的範疇。 ESET全系列產品皆能夠檢測和攔截DanaBot和Gootkit兩款木馬。

 

受攻擊的電子郵件服務商清單

 

  • 基於Roundcube的一切電郵服務
  • 基於Horde的一切電郵服務
  • 基於Open-Xchange的一切電郵服務
  • aruba.it
  • bluewin.ch
  • email.it
  • gmx.net
  • libero.it
  • mail.yahoo.com
  • mail.google.com
  • mail.one.com
  • outlook.live.com
  • tecnocasa.it
  • tim.it
  • tiscali.it
  • vianova.it

垃圾郵件群發機制的網頁電子郵件服務商清單

 

  • 基於Open-Xchange的一切電郵服務

中毒特徵(IoC)

 

VBS檔用來下載惡意程式的功能變數名稱(GootKit,截至2018年12月6日)

 

  • job.hitjob[.]it
  • vps.hitjob[.]it
  • pph.picchio-intl[.]com
  • dcc.fllimorettinilegnaegiardini[.]it
  • icon.fllimorettinilegnaegiardini[.]it
  • team.hitweb[.]it
  • latest.hitweb[.]it
  • amd.cibariefoodconsulting[.]it

GootKit下載器模組所使用的功能變數名稱示例

 

  • vps.cibariefoodconsulting[.]it
  • ricci.bikescout24[.]fr
  • drk.fm604[.]com
  • gtdspr[.]space
  • it.sunballast[.]de

活躍中的DanaBot命令與控制伺服器(截至2018年12月6日)

 

  • 5.8.55[.]205
  • 31.214.157[.]12
  • 47.74.130[.]165
  • 149.154.157[.]106
  • 176.119.1[.]99
  • 176.119.1[.]100
  • 176.119.1[.]120
  • 176.119.1[.]176
  • 176.223.133[.]15
  • 185.254.121[.]44
  • 188.68.208[.]77
  • 192.71.249[.]50

垃圾郵件攜帶的VBS文件示例

 

SHA-1值ESET檢測名稱
A05A71F11D84B75E8D33B06E9E1EBFE84FAE0C76 VBS/Kryptik.KY

下載的GootKit文件示例

 

SHA-1值ESET檢測名稱
0C2389B3E0A489C8E101FFD0E3E2F00E0C461B31 Win32/Kryptik.GNNS

原文出處:https://www.welivesecurity.com/2018/12/06/danabot-evolves-beyond- banking-trojan-new-spam/

 

對抗勒索軟體,企業應打造從預測、防禦、偵測到應對的安全循環

 
引言:
勒索軟體的攻擊方式正在轉變,從早期亂槍打鳥、以個人為主的盲目攻擊,轉變成針對特定企業去設計、傳播的攻擊手法。台灣二版高級產品經理盧惠光認為,企業不能只將資源集中在防禦(Prevent)、偵測(Defect)兩個面向上,還要強化預測(Predict)、應對(Respond)的能力,才能真正防禦勒索病毒或是其他資安攻擊。
 
本文:
自從WannyCry在2017年一戰成名後,勒索病毒就成為企業最擔心的資安風險之一,因為勒索病毒攻擊的對象正逐漸從個人轉移至企業身上。
 
台灣二版高級產品經理盧惠光指出,個人所擁有的資料大多是照片、影片或一些重要檔案,對駭客來說價值有限,再加上雲端儲存/備份服務的供應商越來越多,民眾要做好資料備份其實不難,這使得駭客要透過勒索病毒的方向民眾詐取錢財,變得越來越不容易。
 
反觀企業就不一樣,企業擁有很多與營運息息相關的重要資料,雖然也會進行資料備份,但往往礙於預算,導致備份不夠完整,這種狀況在中小企業尤為常見,相對而言,駭客想要詐取錢財也容易許多。也因此,勒索病毒漸漸出現針對性,從早期亂槍打鳥式的盲目攻擊,轉變成針對特定企業去設計、傳播的攻擊手法。
 
雖然經過這一兩年的病毒攻擊事件洗禮與市場教育,大多數企業都已瞭解勒索病毒攻擊的嚴重性,也願意規劃相應防禦機制,但整體而言仍舊不夠完善。因為企業的防禦思維大多從防毒角度出發,希望透過資安解決方案攔截勒索病毒,忽略該做全面性思考,導致防禦效果有限。
 
「這一點其實反應出台灣企業在資安防禦上的盲點,」盧惠光語氣肯定地說。他進一步以Gartner在2015年提出的自我調整安全架構(Adaptive Security Architecture)做說明,大多數台灣企業都將資源集中在防禦(Prevent)、偵測(Defect)兩個面向上,很少注意到預測(Predict)、應對(Respond)的重要性。
 
@:應用Gartner自我調整安全架構  打造不斷循環的防禦框架
在Gartner自我調整安全架構(Adaptive Security Architecture)中,預測、防禦、偵測、與應對四道程序,是一個不斷循環的過程,藉由這樣的循環框架,可以避免企業將資源集中在相同領域的資安解決方案,真正有效地因應各種資安攻擊。
 
所謂「防禦」指的是在資安威脅進入企業內部系統前,事先攔截或擋下。「偵測」則是假設企業已經處於被攻擊的狀態中,透過偵測機制來發現那些逃過防禦機制的資安威脅。「應對」主要在分析被檢測出來的攻擊事件,例如:威脅種類、攻擊來源、攻擊路徑等,並規劃新的防禦機制,避免相同問題重複發生。「預測」則是從外部駭客攻擊行為中學習,找出對現有系統具有威脅性的新型態攻擊,並將訊息回饋到防禦與偵測端。
 
以前述勒索軟體攻擊為例,防毒軟體就屬於防禦類的解決方案,但是勒索軟體會變種與翻新,所以企業不能只靠防毒軟體,還需要加強「應對」機制,才能即時找出未被發現的勒索軟體。舉例來說,
 
例如,結合雲端沙箱去分析未知軟體或檔案的行為模式,或是導入端點偵測與反制系統(Endpoint Detection and Response,簡稱EDR),找出在端點電腦的潛在威脅,並加以阻斷、清除惡意軟體。
 
@:善用資安解決方案  強化「應對」「預測」機制
盧惠光強調,雲端沙箱的優勢在於連網,一般內建在資安解決方案中的沙箱,雖然也可以判斷軟體安裝或檔案開啟後有沒有惡意行為,但有些勒索軟體會被設計成延遲發作,以躲過資安解決方案的檢測,例如:當可以連網時再連到Botnet下載惡意程式,而雲端沙箱因為本身就處在連網環境下,所以能讓勒索軟體無所遁形。
 
目前台灣二版動態威脅防禦(ESET DYNAMIC THREAT DEFENSE ,簡稱EDTD)解決方案,就導入了雲端沙盒分析技術,其可整合端點電腦、郵件伺服器與檔案伺服器,即時檢測是否有資安威脅潛藏其中。盧惠光指出,雲端沙箱整合檔案伺服器與端點電腦的優勢在於,如果有人建立了可疑檔案,ESET動態威脅防禦(EDTD)會立即將檔案傳送到雲端沙箱,除了做行為判斷,還會找出該檔案的Hash值,當確認其為惡意檔案時,動態威脅防禦(EDTD)會立即進入各個端點電腦,尋找是否有相當Hash值的檔案並予以刪除,避免對企業造成更大的危害。
 
另外,台灣二版資安威脅情報服務(ESET THREAT INTELLIGENCE SERVICE,簡稱ETI),則可幫助企業落實Gartner自我調整安全架構中的預測機制。由於ESET背後有一個龐大的威脅資料庫,24小時X7日不間斷地搜集來自全球1.1億個用戶、200多個國家/地區的威脅情資,如今透過資安威脅情報服務(ETI)將這個資料庫開放出來,變成一項提供給客戶的服務,希望能協助客戶強化資安防禦。
 
盧惠光表示,資安威脅情報服務(ETI)的運用有三種形式,第一是透過資料交換的方式,將新發現的病毒Hash值、Botnet IP等,變成一個同步資料源,同步到SIEM、防火牆等資安解決方案中,使其能準確地找到資安威脅。第二為主動預警,資安威脅情報服務(ETI)可以將某些具有針對性的攻擊,例如:專門竊取網路銀行密碼的木馬程式,主動預警給相關產業客戶知曉。第三則是樣本提交,企業可以選擇將偵測到的資安威脅上傳到資安威脅情報服務(ETI)平台進行分析,以便更深入瞭解資安攻擊來源與手法。
 
置身現今高度資訊化、高度風險的年代,威脅與攻擊翻新的速度越來越快,企業必須以Gartner自我調整安全架構為基礎,建立一個不斷循環的安全防禦框架,隨時掌握最新攻擊資訊、隨時調整防禦架構,用更省力的方式落實資安。
 
 
*原文轉貼於數位時代

勒索病毒與企業安全:新白皮書

勒索病毒依舊構成嚴重威脅;本白皮書闡述企業為降低風險,需要了解的信息和採取的措施

2018年全年,不法份子繼續運用勒索病毒,針對大型機構發起攻擊。今天,我們發布了一份新的白皮書,闡述為何稱勒索病毒仍對公司企業構成嚴重威脅,含大中小型組織機構在內,以及相關組織機構可採取哪些措施,降低勒索病毒攻擊所造成的風險和損失。

本白皮書重點討論,受勒索病毒攻擊所威脅的三大重災區:遠程訪問、電子郵件和供應鏈,旨在幫助首席執行官、首席信息官、首席信息安全官和企業風險經理了解,勒索病毒威脅現狀及其值得關注的幾大演變領域。有關勒索病毒響應措施的詳細技術探討,請見本文附件。

勒索病毒:企業視角

下載勒索病毒白皮書

按一下以存取 ESET_Ransomware_Enterprise.pdf

目標更廣、胃口更高

倘若貴司近期未曾遭受勒索病毒攻擊,可能會想當然地以為,這一威脅已塵封在網絡犯罪的歷史檔案庫之中。產業期刊專題文章,也將勒索病毒稱為“2017年產物,與採集數字貨幣相比,呈減少趨勢”。但在本質上,這些專題文章所反映的事實是,儘管數字貨幣採集案例的檢測數量一直處於上升勢頭,同時勒索病毒明顯活躍跡象逐漸減少​​,但需要澄清的是,勒索病毒依然構成各類組織機構不得不面臨的一大嚴重威脅。

以美國亞特蘭大市發生的情況為例。五大市政部門遭受勒索病毒攻擊:涵蓋懲教、水利資源管理、人力資源、園林休閒設施建設及城市規劃部門。一系列城市職能受到嚴重影響,含民眾無法網上繳納水費和購買公交車票在內。該市的哈茲菲爾德傑克遜國際機場,也被迫關停公共Wi-Fi服務長達一周時間。雖然亞特蘭大市政府正義凜然地拒絕繳納五萬美元贖金,但事件本身所造成的經濟損失卻高達數百萬美元(最終可能接近1700萬美元)。

截至本白皮書撰文之時,勒索病毒已攻陷各州及地方政府和教育行業內的大量機構,造成重大損失。我們之所以了解這些情況,是因為此類機構通常承擔社會通報義務。醫療保健行業的情況也大致相同,由於患者生命安全受到威脅,政府機關不得不下令強制關停部分醫療機構。

但對於那些無需承擔數據安全洩密事件披露義務的​​機構,情況又如何呢?不妨合理斷言,遭受勒索病毒目標性攻擊的商業企業很可能將竭力掩蓋事實,以免成為新聞輿論的焦點。也就是說,對於勒索病毒所造成的威脅規模,無法單憑公開新聞報導來判斷。通過採訪合作推廣商及安全廠商的客服人員,我們了解到,勒索病毒仍是給各行各業造成巨額損失的一大罪魁禍首,受害者層出不窮。

利用遠程桌面協議推波助瀾

我們還了解到,2018年期間發生、針對醫療保健機構和政府機關的一系列勒索病毒攻擊事件,均有著勒索病毒家族SamSam(ESET產品將其檢測為MSIL/Filecoder.Samas)的身影。 SamSam通過“暴力破解已啟用遠程桌面協議的終端設備”(美國衛生部)發起攻擊,滲透組織機構內網。

啟用遠程桌面協議的終端設備,是諸如數據庫服務器等一類設備,運行有遠程桌面協議(RDP)軟件,可通過互聯網或其他網絡實現遠程訪問。如服務器只採用用戶名和密碼組合的訪問保護機制,攻擊者將在選定服務器作為攻擊目標後,以高速自動化機制反复猜測密碼,即以此命名的所謂暴力破解。由於缺乏輸入失敗次數的上限機制,此類攻擊非常有效,最終可廣泛攻陷各類機構的內部網絡。勒索病毒已在2018年7月成功入侵了大型醫藥檢測機構Lab Corp,在不到一小時的時間內,攻陷7000台計算機及350台運營服務器(CSO)。

據Shodan搜索引擎檢測數據顯示,截至2018年10月28日,互聯網上共有二百五十多萬台計算機明確啟用了遠程桌面協議(需註冊後,方可查看Shodan搜索結果過濾後的條目),其中有一百多萬台位於美國境內。對於攻擊者而言,所有此類設備都是潛在攻擊和被利用對象。一旦被成功入侵,這些計算機可被用作肉雞,或正如白皮書所稱,其登錄口令將在xDedic等黑市上被販賣。

總結

網絡安全威脅具有疊加特性。這種“威脅疊加”現象意味著,廣泛利用外部計算機資源採集數字貨幣,並不會造成不法份子無暇開發和利用遠程桌面協議攻擊技巧,為勒索病毒攻擊營造利潤豐厚的回報空間。同理,組織機構盡量規避遠程桌面協議的應用 – 雖然很多場合,有著充分的應用必要性 – 並不意味著可以因此忽略應給予員工的防釣魚培訓。

正如白皮書中所明確的那樣– 在確保給予員工充分培訓的基礎上,組織機構需具備:良好的安全策略,全面貫徹並紮實執行;正確搭配安全產品和工具,含通過測試的備份還原系統在內;以及時刻更新的事件響應方案。即便所有以上各項全部落到實處,再加上安全防範意識的常態化,也無法保證絕對不會染毒,但卻可以大大提高針對網絡攻擊的防禦能力和/或事後還原能力。

在各國政府實現全球緊張局勢整體緩和之前,針對網絡犯罪行為所做的鬥爭不僅將會繼續下去,鬥爭規模也必將隨新技術應用所帶來的社會效益進一步擴大。衷心希望,通過解釋勒索病毒依然對組織機構構成一大嚴重威脅的原因及其應採取的防範措施,本白皮書能夠在最大程度降低失誤因素所造成損失的同時,有助於保障前句社會效益的實現。

下載白皮書:《勒索病毒:企業視角》。

按一下以存取 ESET_Ransomware_Enterprise.pdf

ESET 發現第一個 UEFI rootkit 惡意程式 LoJax,感染後連重灌系統也沒轍,駭客小組Sednit為幕後黑手



ESET研究人員證實,駭客小組Sednit運用名為LoJax的惡意程式,針對巴爾幹半島、中歐和東歐多國政府部門發起攻擊。

感染UEFI的Rootkit被視為,在網路攻擊方面極具危險性的工具。它具有難以檢測、避開現有安全措施掃描的特點,即使重新安裝作業系統,甚至更換硬碟都無法清除。對於其中一部分Rootkit被(至少某些國家)政府情報機構所利用。雖說如此,但現實世界中卻從未檢測到感染UEFI的Rootkit 樣本 – 直到我們近期發現,慣常運用進階深入威脅攻擊的駭客小組Sednit,成功地在受害者系統上部署了惡意UEFI模組後,才開創了這方面的先例。

基於兩個原因,ESET發現第一個UEFI rootkit惡意程式,具有不同尋常的意義。

首先,這表明UEFI Rootkit為真實存在的一種威脅,不只局限於論壇上引人關注的話題。

其次,它可作為一個預警資訊,為可能淪為駭客小組Sednit攻擊目標的所有機構敲響了警鐘。該小組也被稱為APT28、Strontium、Sofacy和Fancy Bear,可能比以前想像的更加危險。

我們已在2018年9月27日召開的2018年度Microsoft BlueHat會議上發布,論述了有關駭客小組Sednit利用UEFI Rootkit發起攻擊的專題報告,而此文章中我們總結了我們的主要發現。

駭客小組Sednit至少從2004年起便開始活躍,並且在過去幾年中經常成為頭條新聞:該小組是許多進階深入、大規模網路攻擊活動的幕後黑手。譬如,美國司法部就將其認定為2016年美國總統大選前期,攻擊民主黨全國委員會電腦系統的幕後黑手。它還被推定為全球電視網路TV5Monde攻擊事件、世界反興奮劑組織(WADA)電子郵件洩密事件及許多其他駭客活動的黑手之一,該小組掌握著一整套種類繁多的惡意工具。

ESET通過調查判定,駭客小組Sednit至少在向系統SPI快閃記憶體中寫入UEFI惡意模組,並有過一次成功的嘗試。此模組能夠在系統啟動過程中,向硬碟上釋放並執行惡意程式。該方法具有極高的持久性和隱蔽性,不僅能夠在作業系統重裝後依然存在,甚至更換硬碟都對它無效。此外,實施清除UEFI病毒就意味著需要重新升級韌體,通常很少有人會這麼做,普通電腦使用者更不可能親自操作。

ESET研究結論證明,駭客小組Sednit運用LoJax惡意程式的不同元件,瞄準巴爾幹半島、中歐和東歐多國政府部門發起攻擊。

Lojax名稱的由來

2018年5月,Arbor Networks發表了一篇文章,闡述了Absolute Software所開發的LoJack軟體小代理程式rpcnetp.exe木馬的多個樣本。這些惡意樣本都與惡意C&C伺服器通訊,而不再透過常見的連線方式連接Absolute Software伺服器,因為其中的硬編碼配置已經被修改。LoJax樣本之中的部分功能變數名稱以前曾出現過,2017年底就曾被駭客小組Sednit用作惡名昭彰的第一階段木馬版本-SedUploader,所使用的C&C功能變數名稱。由於該惡意攻擊活動運用的是LoJack小代理程式,因此被稱為LoJax。

LoJack是一款防盜軟體,其中代理程式的早期版本名為Computrace。如同其名稱所揭示的那樣,一旦服務被啟動後,電腦便會呼叫C&C伺服器,擁有者便可接到定位資訊,以便説明找回遺失或被盜的設備。Computrace之所以能夠吸引安全業界的廣泛關注,主要是因為其採用了極其頑強的非常規方法。由於軟體功能是實現系統防盜,必須能阻擋作業系統重新安裝或更換硬碟。這便是其選擇UEFI/BIOS模組植入法的原因,使之能夠在此類事件中存活下來。該方案已預裝在多個品牌的大量筆記型電腦韌體之中,等待擁有者啟動。

分析LoJax的過程中,我們發現了幾處有趣的現象,使我們確信,威脅機理可能試圖仿照Computrace所採用的持久性方法。

將惡意程式刷入SPI快閃記憶體

我們在被LoJax攻擊的系統上發現了多款韌體工具,能夠訪問UEFI/BIOS設置並刷入修補檔案。所有這些工具都使用內核驅動程式RwDrv.sys訪問UEFI/BIOS設置。該內核驅動程式與網上免費工具包RWEverything捆綁在一起,可用於讀取幾乎所有電腦的底層設置資訊,含PCI Express、記憶體、PCI選項唯讀記憶體等在內。由於該內核驅動程式屬於合法軟體,因此具備有效的數位簽章證書。


我們還發現,LoJax使用者代理程式搭配有三款不同類型的工具。第一款工具是將底層系統設置資訊,轉儲為文字檔的轉儲工具。由於是否能夠繞過平臺針對非法硬體更新的防護機制,很大程度上取決於平臺本身,這便意味著採集系統平臺資訊非常關鍵。第二款工具的作用是通過讀取UEFI/BIOS之中SPI快閃記憶體內容,將系統韌體鏡像保存到檔案。第三款工具則是在韌體鏡像中添加惡意UEFI模組,並將修改後的韌體鏡像重新刷入SPI快閃記憶體,從而實現在系統上有效安裝UEFI Rootkit的目的。該修補工具運用了不同技術,即可利用平臺配置錯誤的漏洞,也可以繞過平臺SPI快閃記憶體防寫機制。如下圖所示,一旦平臺允許執行SPI快閃記憶體寫入操作,便宣告大功告成,順利寫入韌體。如不允許,還可以實際利用已知安全性漏洞。


UEFI硬體鏡像中添加 rootkit的目的只有一個:向Windows作業系統分區植入惡意程式,並確保其在開機時運行。

用戶如何保護自身安全

駭客小組Sednit的UEFI rootkit缺乏正規數位簽章,因此攔截其攻擊的首要安全機制是啟用安全啟動功能(Secure Boot)。安全啟動功能啟用後,韌體所載入的每一個元件都需具備正規數位簽章,從而確保韌體的完整性。強烈建議您啟用此功能,它是針對UEFI韌體攻擊的基本防禦,可在開機時通過系統UEFI設置啟用。

對於惡意入侵者而言,更新系統韌體也並非是輕而易舉就可以實現的。平臺提供了多重防護能力,能夠阻止針對系統SPI快閃記憶體的非法寫入。上述工具只能在SPI快閃記憶體防護功能存在漏洞或配置不當的情況下,方可更新系統韌體。因此用戶應確保,始終使用與主機板相匹配的最新版UEFI/BIOS韌體。此外,由於被利用的漏洞只影響到老舊晶片組,因此還需確保關鍵系統都已具備配套平臺控制單元的新一代晶片組(隨2008年推出的英特爾5系列晶片組問世)。

不幸的是,對於更新系統韌體而言,一般使用者往往心有餘而力不足,從而使保障韌體安全的任務主要落在UEFI/BIOS廠商手中。平臺固有安全機制需通過系統韌體進行正確配置後,方可實際發揮防護能力。韌體開發的每一個環節,均應始終以安全保障最為考慮重點。幸好越來越多的安全研究人員都在關注韌體的安全性,從而有助於推動這一領域內的改進,促進UEFI/BIOS廠商之間的安全意識。

查殺感染UEFI韌體的一類威脅,的確是一大難題。從系統中自動掃描此類威脅,並沒有簡單易行的方式。就上述事例而言,要移除rootkit,就需要使用主機板專用的無毒韌體鏡像,重新刷入SPI快閃記憶體。這是一項細緻操作,必須人工完成,絕對不是大多數電腦使用者所熟悉的常規程式。除重刷UEFI/BIOS韌體外,唯一可行的替代性方案就是,直接更換染毒系統的主機板。

如上所述,LoJax小代理之中的一部分C&C伺服器,以往曾被SedUploader使用過,後者是Sednit小組駭客小組Sednit常規使用的第一階段後門程式。此外,LoJax滲透案例中,往往不難探尋駭客小組Sednit小組其它工具的行蹤。事實上,LoJax所攻擊的系統中,通常可以找出以下三種Sednit惡意程式的痕跡:

  • SedUploader,第一階段後門 XAgent,Sednit旗艦級後門 Xtunnel,網路代理伺服器工具,用以中繼外網C&C伺服器與內網終端電腦之間的一切類型網路資料流程

上述事實都使ESET高度確信,駭客小組Sednit就是LoJax的幕後黑手。

總結

多年來,ESET都在跟蹤駭客小組Sednit的行動軌跡,發表了有關其活動的大量報告,涵蓋從首次現身的零時差威脅到其所開發的惡意程式變種,例如Zebrocy等。但上述UEFI rootkit組件則是自成體系的新發現。由LoJax攻擊活動可得知,高價值目標是罕見甚至個案威脅首選的攻擊物件。對於此類目標應始終保持警惕,時刻留意攻擊特徵。

ESET為國際資安領導品牌,我們持續進化引擎的防禦能力,除了既有的發現變種病毒隨即發布更新外,陸續設計增添進階記憶體掃描器 ( Advanced Memory Scanner ) 、系統漏洞防護 (Exploit Blocker )等機制,在最新變種病毒出現尚未被防毒引擎發現前,有能力分析陌生的檔案,藉此得知是否存在威脅性。

ESET家用全系列及企業端點防護7版(V7)皆配備UEFI掃描器功能,也是目前業界唯一具備此功能之資安品牌。

原文出處:https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/