9plus的 Brandon 在他的Blog(http://blog.9bplus.com)也有發現最近這些樣本
就是這麼神奇 ! XecScan在不需要更新下就可以全部捕獲,沒有誤判漏報 !
http://scan.xecure-lab.com
這批樣本以DOC最多,也有 PDF 跟 XLS 。攻擊數量正在持續增加中,他們全部都有一個共同特徵,它們在開啟時都需要輸入密碼!
而這密碼就放在Email中,是典型的 APT Email。由於Sandbox不知道密碼,所以全部無法自動化分析該文件內文與Malware 的惡意行為 (打不開當然更是看不到惡意行為!),自然也就沒有記錄到CnC Server的IP,這就是目前沙盒技術的極限,想不到只要加一個密碼馬上就凌駕沙盒科技的極限了 XD
目前這個樣本是CVE-2012-0158,跟以往不同的是他並不是RTF而是DOC
那防毒體廠商表現如何 ?
是的你沒看錯.......偵測率是 0
不是零點幾,是零 !
它們可直接穿越所有防護設備,簡直就是ZeroDay...完美免殺
不用看了,國內最常用的T牌、M牌與S牌,現在都很低調...
CW牌, FxxxEye 牌與HxxxBear 呢...都GG了 :P
有興趣的朋友都可以到VirusTotal抓到樣本
好家在, XecScan的全部都可以偵測到,甚至連惡意程式都自動分析好了
CVE: CVE-2012-0158
MD5 : f297b8fafc6777249eb9e8f72f293969
File name : 退休俸改直撥入帳.doc
CnC : 74.179.56.228
211.22.72.193
這惡意程式,我想大家都很熟悉了,在台灣實在太多... :)
最近這批惡意文件經過自動化分群鑑識,可以觀察到攻擊來自同一個族群...
---
XecScan 目前提供資安夥伴自動化的分析服務,只要透過 XecScan API就可以獲得詳細的分析報告。有興趣請與我們聯絡 info@xecure-lab.com
全世界最強的免費APT惡意文件檢測服務!
我們台灣人的XecScan http://scan.xecure-lab.com
沒有留言:
張貼留言