防不勝防的後門惡意程式Holy Water

惡意程式要達到目的,不一定需要精密的技術或利用大量程式漏洞,研究人員近日公開了一款自 2019 年底開始分析的惡意程式 Holy Water,是幾個月來第二宗使用相同手法散播的惡意程式。

防不勝防的散播途徑
攻擊者首先入侵了為宗教人物、公共或慈善機構提供網頁託管服務的伺服器,然後犯罪份就把惡意的腳本放入那些網頁之內,利用他們散播攻擊。當用戶瀏覽受感染的網頁時,腳本使用完全正常的工具去收集用戶的資料,然後轉寄到第三方伺服器去核實。研究人員仍未知道如何選擇受害者,但因應收集到的資料,如果確定為目標,伺服器便會發送指令繼續攻擊。

攻擊的下一步就是最基本的技倆 (已被用上超過 10 年),提示用戶更新 Adobe Flash Player,以程式過期或存在保安風險作為藉口,如果受害者信以為真,原本以為是程式更新,其實是後門程式 Godlike12 下載和安裝到電腦上。

危險的 Godlike12
攻擊的策劃者靈活利用了正常的服務,例如分析受害者和儲存惡意編碼,並且透過 Google Drive 與 C&C 伺服器通訊,後門程式把識別器放在 Google Drive 儲存,並定期與它聯繫以檢查來自攻擊者的指令,執行指令後的結果也上存到相同的地方,根據卡巴斯基的專家觀察,攻擊者的目標是偵查和從被感染裝置中收集資料。

更詳細的技術詳情、使用工具和 IoC 資料可以瀏覽 Securelist

由最基礎的防護做起
暫時所見,Holy Water 只活躍於亞洲,但是專家證為它所使用到的工具其實頗為簡單和容易部署,所以其他地區也不能掉以輕心,現時未能確定攻擊是否針對個別人士或機構,但有一點可以肯定,任何人使用私人或公司裝置都能瀏覽受感染的網站,所以防護的建議是保護任何連接網絡的存裝,卡巴斯基的保安方案能夠為個人和公司電腦,偵測和攔截所有 Holy Water 用到的工具和技術。