2008技術通報 - 目標式社交工程攻擊手法

目標式社交工程攻擊手法:以員工之名 散發假公文 植入木馬入侵各機關


防止目標式社交工程攻擊 預防勝於治療

近來有一波針對政府機構的目標式社交工程攻擊,藉著email 散發偽造的主管機關公文的社交工程陷阱,植入後門程式,進行帳號側錄,將暗中收集相關資料上傳給遠端控制者。它們透過信中連結進行惡意轉址,或是則誘使收件者開啟惡意附件後植入後門程式。趨勢科技發現此類目標式社交工程攻擊利用相當高明的社交工程技巧,有部分已經進化到寄件者來自內部員工 IP,比如假借上層主管寄信或是附件格式從過去的執行檔,轉變成平日上班每個人都會接觸到的應用程式格式,如Word、Excel、Powerpoint、Access、PDF、WinZIP、WinRAR、IE ..等等,使得防禦困難度倍增。
目前觀察到受害單位除了出現異常連線現象,並無其他明顯的感染徵兆,它們的共通點是利用應用程式的漏洞發動攻擊,趨勢科技呼籲用戶儘速修補漏洞,並利用相關工具檢查文件檔案,是否有利用某些漏洞進行惡意的行為,藉以預防這波攻擊。

認識目標式攻擊( targeted attack)

不易偵測:目標式攻擊 ( targeted attack)的特點之一是具有長時間不被偵測到,以便在木馬程式被偵測、移除前收集到駭客覬覦的大量機密資訊。
樣本取得不易:於遭鎖定的目標愈來愈少,或變得愈來愈精確,使得目標式攻擊中所使用樣本的取得難度愈來愈高。
重複感染高:清除工作並不只是還原某一種惡意程式的某一種損害行為,因為所包含的惡意程式碼往往不只一種。清除工作也不僅是終止所有處理程序、刪除惡意程式建立的檔案/登錄設定等等而已,還必須確定哪些資訊可能已遭入侵,調查哪些惡意程式碼可能殘留下來,或在近期內可能再植入系統中,以及防止這些程式碼攻擊或進一步對系統構成損害。當務之急得先解決許多使用者目前面臨的反覆感染的問題

社交工程運作前的臥底動作

由於前陣子駭客會議的舉行,及暑期學生駭客有了更充分的時間找軟體漏洞,於是各種漏洞攻擊開始出現,其中更包含尚未有修正程式的零時差漏洞攻擊。以下是針對近日的目標式社交工程攻擊,所歸納的共同點:

  • 潛伏期:入侵 MIS 帳號,平均達半年
  • 社交工程技巧高:
    -來自同仁的 Email:收集目標對象的信件、平日工作文件電子檔,可延續之前的對談,冒充上司上發信/發公文談,讓使用者輕易上當。加上某些政府機關允許 Client 端接收POP3 Mail,造成安全漏洞
    -大陸相關業務網頁:針對某些與大陸有業務往來的機構,引導瀏覽大陸掛馬網頁而中毒

常見攻擊步驟


Clip Image002
步驟 1不法分子或犯罪組織發出網路釣魚郵件,用入侵的 botnet 傀儡網軍機器或Yahoo或 gmail 等電子郵件發送社交工程信件至特定使用者。

New :本次目標式社交工程攻擊事件寄件人來自被冒用的內部員工帳號,內文宛若上層交辦事項,指示收件人開啟以Word 、PowerPoint 或 PDF等辦公室常用軟體為格式的附件檔。由於信件內容使用高明的社交工程巧,甚至能延續被冒用寄件者前一封信件討論的話題,所以多數人皆不疑有它。

步驟 2收件人開啟附件之後,相關應用程式有漏洞的電腦便會被植入惡意程式下載程式 (Downloader)

New:以前的惡意程式植入程式(dropper)常見的是執行檔,現在改成每天上班都會用到的 WORD、Excel、Access、WinZip、RAR、PDF等應用程式檔案。

步驟 3惡意程式下載程式 (Downloader)會不斷自網路下載新變種與自我更新,使得傳統防禦方式備受挑戰。

步驟 4目標式社交工程攻擊者通常會安裝木馬後門程式於目標機器,便可進行鍵盤側錄等幕後秘密行動,有心人士擁有方便的管道,可在受害電腦連線的網路上監聽傳輸資料。

New攻擊者入侵很多機器作為惡意程式下載點,為了避免輕易被偵測,也會在各個下載點利用JavaScript 轉址來提高偵測的難度,下載的惡意程式往往不是一隻,而是一群,因此很難全部一次清除。

IT 的挑戰

目標式社交工程攻擊為某單位量身定做,先天就有樣本難以取得的困難點,加上感染源頭難以追蹤,使得重複感染機率大增。透過 Downloader 大規模的下載病毒群,數量龐大到甚至無法一次手動全部清除。除此之外,還有以下困難點:

-“不管怎麼更新病毒碼都會有有更新的惡意程式”

New:2005年,一天只有大約50種病毒特徵碼被添加到資料庫中,而2008年,該數字增加到了5000。由於惡意程式下載程式會一口氣下載了很多惡意程式,過去一個資安事件只要清除一隻病毒就沒事了,現在是要清除一群病毒,而且只清除其中幾隻於事無補,因為病毒群間相互監督,只要一隻不見了就會再滋生新的出來,就算通通清除了,只剩一隻,也會自我更新下載出很多新的變種。

-Domain Name的”假漂白” 黑名單攔不到

另外,目前許多攻擊案例,是利用DNS(域名解析服務)進行違法轉址的惡意行為。網路上的每一台電腦都有一個網路地址(IP)與之對應,通常是以數字呈現,為了便於記憶,當瀏覽網站時,只需輸入網域名稱(比如:www.trendmicro.com),便會由DNS伺服器便會指向其所屬的特定 IP 地址。目前駭客可將瀏覽者的目的地暗中轉址到事前設定好的惡意網站,比如明明輸入某銀行網站,卻到了外表看似一模一樣的釣魚網站。

New目前駭客為避免其 Domain Name被加入黑名單,發展出隨時更換的”假漂白”作法,先把網域設定指向沒有任何作用的本地 IP(例如127.0.0.1),當使用者被植入 Downloader 時發動攻擊,再更新網域指向惡意網址的IP。於是”這秒乾淨的Domain Name,下秒竟藏毒!” 讓IT 頭痛不已。

-“關閉 Port 80?”執行不易

大部分公司都允許員工上網,於是透過Port 80進行HTTP (或 Web)通訊服務,並無法透過防火牆強制關閉。同時現在很多DNS Service 的服務廠商也會提供免費Dynamic DNS 服務讓許多人在家可以輕鬆架站。但由於有些公司也使用該項服務,因此如果擋掉整個免費網域 (domain),可能會無法連上某些公司網站,也因為如此,而給予駭客可乘之機。

防護策略:

未雨綢繆勝過亡羊補牢,目標式社交工程攻擊的事前預防、事中偵測永遠比事後復原來得重要。網路安全的危機,有80% 是管理不當造成的,員工的不當使用行為往往才是企業IT部門防不勝防的安全死角,如擋不住誘惑而擅自開啟情色標題及圖片、病毒碼等防毒元件沒有更新、一打開就忘了關閉的共享資料夾、長年未修改的傻瓜密碼、隨意放入的陳年舊版軟體 CD、使用 Windows update自動更新功能,不理會重新開機提示,都會導致原已經從系統清除過的蠕蟲找到再生的管道。事件發生前與事件發生當時耗費的資源永遠較事後少,當使用者已經下載了一大群病毒時,IT 要付出的人力與時間成本難以想像。

  • 事前防護1員工沒有機會開啟惡意連結

    • 過濾可疑信件:採用Anti-Spam 方案,在閘道端就把可疑的信件攔截。
      @讓使用者沒有機會開惡意連結或附件的相關方案: InterScan Messaging Security Suite(IMSS)

    • 執行資安政策和教育訓練,通過防毒演習及教育訓練,強化員工網絡安全警覺性,找出組織內的地雷區。從總體上降低工作所付出的人力成本,維繫組織營運不中斷。
      @讓資訊安全從「 IT 部門的事」變成「全公司的事」相關方案:ESO - Expert Service Offering
  • 事前防護2:員工即使開了惡意連結或附件也不會中毒的方法

    • 修補程式更新管理 (Patch management),包含漏洞掃描 (Vulnerability Assessment)與啟動自動更新。(詳見更新管理)

    • 強化環境:如果該漏洞是採用從未公布的漏洞進行零時差 Zero day 攻擊,則無法取得更新程式,此時只得採用以下方法強化資安環境

      • VMWare 隔離環境-讓可能釀災的危險動作都在 VMware 虛擬環境操作,比如用 VMware開Mail 、解壓縮、上網站、開 office、PDF

      • 安全設定強化環境 (security guideline)
        -將軟體設定最小權限,讓開機型惡意程式無法寫入 Registry ,這樣一來不會在開機時啟動惡意程式。
        -瀏覽器設定較高等級安全設定,比如關閉JavaScript、Activex

      • 使用其他替代方案:愈受歡迎的軟體愈容易受攻擊,用其他替代軟體可以降低風險,比如用OpenOffice取代office 辦公室軟體套件、用Foxit PDF Reader 開啟PDF、用WinRAR取代Zip解壓縮、用Firefox取代IE瀏覽網頁

      • 使用Microsoft Office Isolated Conversion Environment (MOICE),避免 office被病毒攻擊(詳見 MOICE)

      • 降低安全風險-禁止不符合規定的電腦連接網路可檢查任何裝置
        @隔離受感染的網路區段,將損害降至最低減輕管理人員負擔,相關方案:Network VirusWall™ Enforcer

  • 事前防護3:萬一開了惡意連結,也無法下載惡意程式的方法

  • 事後復原

    如果具有資安相關知識人員,可利用以下工具協助檢查電腦是否有惡意程式入侵:

更新管理

  • 開啟以下軟體內建的「自動檢查更新」功能

    • Microsoft Office (XP, 2003, 2007 使用 Microsoft Update自動更新)
    • Adobe Acrobat
    • Adobe Acrobat Reader
    • WinZip

  • 定期確認以下軟體是否有新漏洞並進行更新

    • Microsoft Office (XP, 2003, 2007 請使用 Microsoft Update自動更新)
    • Adobe Acrobat / Adobe Acrobat Reader
    • WinZip/WinRAR

Microsoft Office 文件檔的安全

Microsoft Office常用來攻擊的文件格式:.doc, .xls, .ppt, .mdb

修補方法:先安裝最新的 Service Pack (SP) 後再安裝之後的更新檔

Office Update (自動更新):
http://office.microsoft.com/zh-tw/downloads

Microsoft Update (自動更新):
http://update.microsoft.com

最新 Service Pack 下載網址 (手動更新):
http://support.microsoft.com/gp/downloadover#tab4

漏洞通告與更新檔案下載 (手動更新):
http://www.microsoft.com/technet/security/current.aspx

  • 建議安裝的 Office 更新檔 (至 2008 年 7 月底止)

    • Office 2007
      - SP1, MS08-027, MS08-026, MS08-019

    • Office 2003
      - SP3, MS08-027, MS08-026, MS08-019, MS08-017, MS08-011

    • Office XP
      - SP3, MS08-027, MS08-026, MS08-019, MS08-016, MS08-015, MS08-014, MS08-013, MS07-025, MS07-014, MS07-013, MS07-003, MS07-002…,等 (建議使用自動更新)

    • Office 2000
      - SP3, MS08-027, MS08-026, MS08-017, MS08-016, MS08-015, MS08-014, MS08-013, MS07-025, MS07-014, MS07-013, MS07-003, MS07-002…,等 (建議使用自動更新)

  • 如何搜尋Service Pack後的更新檔

Clip Image004

Step1.下載檔案後解壓縮至暫存資料夾,將要檢查的檔案存放在同一個位置

Clip Image005

Step2.執行命令提示字元後輸入officecat.exe xxx.xxx (xxx.xxx表示要檢測的檔案完整名稱)

Clip Image006

Step3.會直接顯示該檔案具有什麼樣的弱點,如果沒有弱點會顯示是安全的檔案,檔案名稱可輸入中文

Clip Image007

Step4.但檔案名稱不可以有空格,請使用底線,也可以輸入完整路徑檢測其他資料夾下的檔案

 

MOICE簡介

  • 何謂 MOICE
    • 使用一個轉換程式,將 Office 二進位文件轉換成較新版 Office, 可讀取的 Open XML Format 格式。如此以來,如果office 裡有惡意程式會被過濾,也可把文件設定成沒有轉換不能開啟。
    • 轉換程序是在限制的環境執行,可將二進位檔案格式轉換成 Office Open XML Format,藉此去除文件中的惡意程式碼
    • 同時可利用 FileBlock 工具限制 Office 讀取二進位文件,這個設定可以隨時更動

  • 可使用平台
    • Office 2003 + Security Suite
    • Office 2007

  • 可支援檔案格式
    • Word: .doc (轉換後為 .docx)
    • Excel: .xls、xlt、xla (轉換後為 .xlsx、xltx、xlax)
    • Power Point: .ppt、.pot、.pps (轉換後為 .pptx、.potx、.ppsx )

MOICE 安裝

  1. 下載並安裝所需套件

  2. 建立開啟及關閉 MOICE 的批次檔

依照下列指令編寫批次檔

執行後可讓系統自動選擇使用MOICE開啟Microsoft Office文件

若要關閉此功能請執行關閉MOICE的批次檔


Clip Image009
Clip Image011
Clip Image013

  • MOICE 無法處理

    • Microsoft PowerPoint 97 或舊版 PowerPoint 建立的 PowerPoint 簡報
    • 內嵌的文件
    • 使用權限管理的文件
    • 使用密碼的文件
    • 使用已由 MOICE 轉換之檔案內部的連結開啟檔案時,MOICE 不會轉換連結的檔案

  • MOICE 會去掉

    • 轉換包含巨集的檔案時,會從檔案去掉巨集
    • 轉換包含PowerPoint智慧標籤的簡報時,會從簡報去掉智慧標籤資料

 

@參考: