2013年4月27日 星期六

APT 順口溜: 好 A, 好多 P, 搞死你 T_T

今年資安展剛結束, 大家有去嗎? 我們家都沒去.... orz

每天忙翻.... 睡好少好少...花很多時間在研究 (卻沒花很多時間賺錢...泣....)

聽許多朋友說... 今年 APT 熱翻了

廠商現在一定要喊上幾句 APT, 不然沒搞頭

號稱改變資安規則的 APT 解決方案現在是越來越多

APT 是個嚴峻風險, 但不具效益的資安投資會讓困境更雪上加霜

壞人都還沒打進來, 可別就被資安防護工作給壓垮

APT應該要怎麼防?

我們常跟朋友笑著說, 資安設備要怎麼推薦呢? 問駭客最知道

駭客最不希望你買什麼, 駭客覺得哪個最難搞, 買那個就對了

(不認識駭客??? 開玩笑, 趕快來 台灣駭客年會(HITCON)!

現場高手雲集, 苦練絕活.... 只在每年 HITCON 獻寶

台灣很多駭客高手習武不武, 

尤其chroot一掛, 那真正直良善, 玉樹臨風也  

m(_ _)m



話說全世界各國搞APT的資訊戰部隊最希望什麼?

三個願望, 一次講完....
 
「事前看不見 APT 要進來, 事發找不到 APT 躲哪裡, 事後摸不清 APT 偷什麼」

如果願望成真, 這是真正的可怕, 殺很大


跟各位分享一個很精彩的案例

看看 APT 整套劇本怎麼搞


1. 首先, 攻擊方寄送加密碼的惡意文件

2. 開啟該文件後觸發Flash漏洞,攻擊碼發作~

3. 受害者電腦走port 80上網看部落格文章....這看起來整個外星語的文章是最新鮮的惡意程式!

4. 將看似文章的頁面存成惡意程式, 跑起來就是perfect後門程式

5. 中繼站IP現蹤~~~~ 自此洩洩


port 80看網頁, dns query查詢等過去鮮少留意的冷門惡意活動途徑

都相繼淪陷變成駭客裡應外合的怪招了....




分享個 APT 順口溜...... 

APT好A, 好多P, 搞死你 T_T

 
APT不良想得真透徹, 好A (advance)
木馬賴著不走, 好多P (persistent)
別懷疑, 躺著都中槍, 就是搞死你 T_T (threat)

做了99分強結果1分漏


遭駭不是單位的錯,外洩不是同仁的過,
只要80/20敏捷因應,$花在刀口以逸待勞不是傳說

Birdman, Benson, and APT Research Team @ Xecure Lab

破解偽冒健保局的APT惡意郵件小騙術: RAR壓縮和超長檔名



健保局於4月26日(星期五),發現有不良份子冒用健保局北區業務組寄發,該郵件如果點選「員工修正補充要點下載修正」,會連結至這個網站,會自動轉址至,並自動下載RAR檔案,民眾若下載後會誤開啟木馬程式將遭受強制關機等問題。





各大網站相繼發佈此新聞,呼籲國人注意防範不要受騙。




此攻擊使用兩個常見APT騙術: RAR壓縮超長檔名

1. 利用壓縮技術隱藏真實檔案名稱

APT惡意程式, 從以前就喜歡躲在壓縮檔來夾帶傳送, 近年更出現加密碼類型,
此例中沒用到加密碼, 但多包一層! 這個RAR做了兩次壓縮~

XecMail 用戶遇到這類偽冒執行檔攻擊, 系統會自動偵測並予以隔離, 通報歸類在執行檔郵件.



一般民眾若遇到這類攻擊, 應特別注意在台灣的APT被攻擊目標會收到利用RAR, 7Z等壓縮技術將檔案名稱加以隱藏, 以利這些惡意附件能穿越一路上單位現有的層層資安設備檢查. 原因是大部分的資安設備遇到壓縮文件, 並不見得會真的會解壓縮後再分析檢查, 甚至是因為無法解壓縮(譬如遇到有密碼保護的壓縮檔). 此次用於偽裝成「二代健保補充保險費扣繳辦法說明.doc」的壓縮檔還包了兩層RAR! 妙哉~ 有的資安設備確實就算有作解壓縮, 卻忽略或偷懶只解一層... 那就會栽了...


如果好奇動動手, 解開第一層 RAR
mo.rar壓縮檔裡面第一層目錄mo






再解開第二層 RAR
二代健保補充保險費扣繳辦法說明.rar壓縮檔裡面還有第二層目錄






2. 利用超長檔名將執行檔偽裝成文件

搞兩次解壓縮後最終出現的檔案是...超長檔名執行檔....巧妙用到超多空白字元的....

看起來是不是真的很像WORD文件! (小確創意!)





這真的是執行檔! 雖然看起來像DOC文件...

若民眾不小心點了這個 "二代健保補充保險費扣繳辦法說明.doc"... 就糟糕了

(民眾疑問OS) 要點的時候, 防毒難道不會叫嗎??

根據我們在 VirusTotal 查詢的結果, 截至今天(4/27)為止,

市面上45套防毒軟體的偵測率很低是, 幾乎都沒人叫...



XecScan 用戶(XecMail用戶已內建整合)

利用我們家的暴力沙箱可乖乖讓惡意檔案吐出真實面目

目睹這個偽冒"二代健保補充保險費扣繳辦法說明.doc"搞什麼鬼


可看到一旦點擊此偽冒超長檔名執行檔, 它會在受害電腦再植入兩支惡意程式

首先 put.exe 這支在國人無謂上傳的 VirusTotal 有11家防毒會叫

(但也有30多家不會叫...國內知名防毒沒叫, 駭客出廠有QA!)


cd.exe 這支在國人總勇敢上傳的 VirusTotal 還沒有紀錄, 超新鮮~


不管 put.exe, 還是 cd.exe, 都是惡意程式, 會綑綁在系統內開機自動執行...

其中 put.exe 還會先偷偷連百度入口網站看網路通不通....

其實際會使用的惡意 IP 是 8181 . zapto . org 和 8383 . zapto . org 這兩個



8181 . zapto . org 現在還活著...




蠻針對健保局的...
首頁上放的轉址位置是呼嚨到健保局官方網站





最後分享我們家怎麼做 APT 數位鑑識

XecRay 用戶利用我們家的DNA鑑識可乖乖讓惡意檔案犯意和犯行都被揪出來

APT數位鑑識就是要還原APT犯罪現場,

摸清楚當初APT怎麼進來的 (開啟郵件? 網頁下載?USB檔案交換?)



說真的.... 這空白字元是有創意~~~~

真的是執行檔.... 不要亂點....

以上報告完畢~~~~~~~~

Birdman, Benson, and APT Research Team @ Xecure Lab

2013年4月23日 星期二

CVE-2013-0640 exploit captured in datasheet

The CVE-2013-0640 PDF exploit, which was still an Adobe 0-day attack back in February, finally hit and captured in Taiwan 2 month later!

PDF exploit is not that common in recent years especially with the introduction of Protected Mode that adds sandbox protection. However, the CVE-2013-0640 exploits were the first known attacks that can bypass the sandbox of Protected Mode in Reader XI and Acrobat XI for Windows (Protected View is not enabled by default for these versions), and cause the application to crash and potentially allow an attacker to take control of the affected system.

Earlier this month, Xecure Lab captured the CVE-2013-0640 PDF exploit in an APT email attack. The malicious PDF was disguised in the form of datasheet, wrapped in rar and further protected with password. The password of "1234567890" was provided in the email body for the target to open it easily.




CVE-2013-0640 今年度最新 PDF 漏洞 被用在 APT 攻擊

今年最新的惡意文件漏洞被發現在真實攻擊中 !

我們在4月初收到這個新的 PDF Exploit, CVE-2013-0640。這個 Exploit非常特別 ! 因為自從 Adobe 10之後新版改良成 Protected Mode (Sandbox)模式起動後,駭客要做出 PDF Exploit來攻擊 Adobe Reader並不容易,也導致這一年半來PDF樣本在台灣算是很少見的。不過今年的2月初,國外的駭客在我們農曆春節間作出最新的攻擊 Adobe  Reader 11,這個惡意文件是用了兩個漏洞結合起來的,分別為 CVE-2013-0640, CVE-2013-0641這是非常高端設計的惡意文件,漏洞的利用非常的複雜。

在今年2月時候也被用在國外的APT攻擊中,當時 Xecure Lab就進行了分析。
http://www.infosecisland.com/blogview/22926-Latest-Adobe-Zero-day-is-Serious-Business.html

這個Exploit在2月當時還是 Zero-Day Exploit, 不過目前已經有修補


苦等了2個月... 我們終於在台灣的實際APT樣本中看到