由APT組織LuoYu所創建的惡意程式WinDealer,最吸引到研究人員的是其發送方式,攻擊者相信精於man-on-the-side的攻擊方法,並成功用於發送惡意程式和控制已經受感染的電腦。
Man-on-the-side攻擊
Man-on-the-side攻擊是攻擊者透過某種方式控制通訊渠道,容許他讀取傳輸和和任意加入訊息到正常數據交換之內,例如:攻擊者截取了完全合法軟件的更新要求,然後把惡意的檔案偷龍轉鳳,而這正是WinDealer散播的方法。
攻擊者也使用類似的手法去執行指令對電腦進行感染,為了讓保安研究人員更難找到C&C伺服器,惡意程式不含有正式的地址,取而代之是嘗試存取一個預設範圍內的隨機IP地址,攻擊者能夠攔截和進行回應,在某些個案,WinDealer嘗試存取一個不存在的地址,但因為有man-on-the-side,它仍能接收到回應。
根據Kaspersky的專家透露,要成功使用以上技倆,攻擊者需要持續訪問整個子網絡的路由器,或在互聯網供應商層面的某些先進工具。
誰是WinDwaler的目標?
大部份WinDealer的目標都位於中國,他們是海外的外交機構、學術界成員或涉及國防、物流或電信業務的公司,不過有時候LuoYu APT組織也會感染其他國家的目標,當中包括:奧地利、捷克、德國、印度、俄羅斯和美國,在最近幾個月,他們對於其他東亞國家在中國有辦公室的商業機構具有更強烈的興趣。
WinDealer的功能
詳盡的惡意程式本身和其發送機制的技術分析可以在Securelist內找到,簡而言之,WinDealer具備現代的間諜程式功能,當中包括:
- 操縱檔案和檔案系統(打開、寫、刪除和收集資料夾及磁盤的數據)
- 下載和上載任意檔案
- 執行任意指令
- 搜尋純文字檔和MS Office文件
- 撮取螢幕畫面
- 掃瞄本地網絡
- 支援後門功能
- 收集存在的Wi-Fi網絡數據
防範的方法
很不幸地,在網絡層面非常難以防護man-on-the-side攻擊,理論上持續的VPN連線會有幫助,但並非總是可行,因此,每台連線互取網的裝置都應該具備可靠的保安方案,再配合EDR等級的方案協助在最期偵測和制止攻擊。
資料來源:Kaspersky Blog
