網路攻擊也黑心！舊木馬新封裝繞過防毒機制的偵測

• 發布日期：109-06-12
• 發布單位：刑事警察大隊

有別於傳統的攻擊方式，新型態網路攻擊手法發展日益趨向複雜化與細緻化，並且轉為利益導向的攻擊。為了入侵企業，駭客發動的攻擊透過多種攻擊手法與漏洞的搭配運行來躲避防禦機制偵查。新型態攻擊運用的並非都是新技術，只要將現有的攻擊工具、手法稍加改變，就有可能巧妙繞過偵查機制，突破企業的第一道防線。

最近，中華數位便攔截到以「新瓶裝舊酒」的手法，將舊的木馬重新封裝，成功穿透防毒軟體的案例。

在攔截到的當下研究人員將惡意程式上傳到 VirusTotal 做檢測，發現 VirusTotal 上五十餘種防毒軟體皆無法攔截，因此進一步分析其攻擊手法與惡意程式：
駭客透過遞送一封正式的商務往來信件，詢問商品庫存與報價的資訊，並要求收信人參閱附件資料來提供報價。若收信人未察覺異狀，誤認商機上門而開啟附件 inquiry.doc ，這時 Word 會跳出安全警告主動停用巨集，若收件者依舊大意繼續點擊開啟，在巨集被啟用後便會開啟封裝內容，將惡意程式主體儲存下來並自動執行。除了社交工程手法，這個攻擊也運用了CVE漏洞攻擊，只要在特定環境下點開inquiry.doc 檔便會自動執行巨集安裝後門程式，直接跳過前述 Word主動停用巨集與安全警告的步驟。
幸好，這封郵件被中華數位進階防禦機制攔下。中華數位與 ASRC 研究人員進一步分析這封信中的惡意程式，程式原始名為 Polyphagist.exe。透過沙箱執行惡意程式發現，內部藏有兩支可獨立執行的程式（SurveillanceEx Plugin和ClientPlugin.dll），這兩支惡意程式早在2014年便被發現，在VirusTotal上被定義為NanoCore 已知遠程控制木馬，能夠讓攻擊者在遠端監視受害者的一舉一動。駭客將舊的木馬程式重新封裝，讓已知病毒成了未知威脅，成功躲過防毒機制的偵測。

參考網址：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8518