根據新發表的研究結果,Gootkit惡意程式家族的Loader「Gootloader」的框架日益精密,更用上Search Engine Optimization (SEO) poisoning的方式,令Google搜尋把播毒網站顯示在較高搜尋結果。
甚麼是Gootloader惡意程式工具?
Gootloader是一個以Javascript為基礎的感染框架,傳統上用於Gootkit遠端存取木馬(Remote Access Trojan, RAT),Gootkit惡意程式家族出現了超過5年,期間持續進化,發展成為成熟的木馬程式,主要目標是盜取銀行登入資料。
Gootloader過往扮演載具的角色傳遞Gootkit惡意程式,近年則致力於改良傳遞的方法,它除了是一個無檔案惡意程式傳遞(fileless malware),Gootloader透過合法的PowerShell流程逃避防毒軟件的偵測,現在再加上SEO poisoning的方法,令它比同類攻擊較為突出。
入侵合法網站
為了達到SEO poisoning荼毒Google的搜尋機制,Gootloader攻擊者首先要入侵大量合法網站,現時粗略估計有400台伺服器。研究人員表示,那些合法網站井鈈知道自己的網站被濫用,雖然無法知道網絡罪犯如何取得存取網站的方法,但一般都是傳統幾種方法:Gootkit惡意程式取得網站密碼、從黑市購買被盜的帳號登入資料或使用CMS軟件的安全漏洞等。
利用Google SEO散播惡意程式
Gootloader攻擊者入侵網站然後調整網站CMS,以使用SEO策略,目的是當搜尋某些問題時出現在搜尋結果頂端。其中一個例子是搜尋某樓宇買賣問題時,會出現一家加拿大的醫療中心網站,這就是被攻擊者入侵所造成。被入侵的網站具備留言板功能,一名「用戶」查詢樓宇買賣問題,只要發問的字完全相同,便會在Google的搜尋結果排在較高位置,即使內容與被入侵的網站本身完全無關,而在那留言板上,一個以管理員身份的貼子會作出回應,並且具備連結。
Gootloader傳遞惡意內容機制
Gootloader在傳遞惡意內容時涉及多個階段,是比較複雜的機制。開始時當用戶在被入侵的網站點擊「管理員」提供的連結,他們會收到一個ZIP檔案(檔案名因搜尋問題而異),壓縮檔內含有其他JS檔案(相同檔名),讓JS檔牽涉藏在純文字檔內的JavaScript編碼,用來執行被入侵網站的JavaScript,通常是調用Windows SCripting Host(wscript.exe)。
在第一階段也會暗中嘗試聯絡C2 server,如果成功便進入第二階段惡意程式過程,然後創建一個在系統重新啟動時自動執行的PowerShell腳本,為攻擊者製造一個隱藏自己的環境。由於這階段在下次電腦重啟前並不完全執行,所以受害者可能在數個小時甚至數日後才會發現感染事件。
當電腦重啟後,PowerShell腳本運作並開始執行一系列骨牌式的活動,直至Gootloader下載最終的惡意內容,可能是加密狀態下的Kronos、REvil、Gootkit或Cobalt Strike,餘下便是解密和在記憶體執行惡意內容。
其他惡意程式的濫用Google SEO
網絡罪犯借助SEO吸引更多人注意並非新手法,早在2011年已經出現,在2017年更令用戶成為銀行木馬程式Zeus Panda的朋害者。研究人員表示,這種手法被持續使用是因為有效用,雖然Firefox的NoScript功能可以防止這種攻擊,但並非所有人都裝有Script blocker這種功能,到用戶發現自己成為受害者卻為時已晚。
資料來源: Threat Post
