研究人員在不久前分享了網絡犯罪組織Head Mare,使用PhantomPyramid後門程式攻擊工業企業的情況,攻擊的套路頗為標準,以含惡意程式的密碼壓縮檔附件散播,並以特別技術隱藏惡意編碼。
多語言者(Polyglot)技術
根據Mitre ATT&CK對polyglot的描述,這是一種檔案同時對應幾種文件類型,並根據啟動的應用程式而進行不同的操作,它能同時迷惑用戶及部份機本防護機制,令檔案看似完全無害,例如圖像或文件檔,但事實上它們內含惡意編碼,編碼更可能使用了幾種程式語言同時編寫。
攻擊者使用了不同的格式組合,有研究員曾發現使用Microsoft Compiled HTML Help格式(.chm),它同時也是一個HTML應用程式(.hta),即是表面上看起來是.jpeg圖像檔,內裡實則是.phar PHP檔案。
PhantomPyramid個案中的多語言者檔案
攻擊者傳送的是.zip檔案,能夠被標準的壓縮應用程式打開,但實則上它是一個二進位執行檔,最後增加一個小zip壓縮檔在內,當中含有一個雙重延伸.pdf.Ink的捷徑檔,如果受害者以為它是正常PDF檔案開啟時,捷徑便會行powershell腳本,使惡意.zip檔案作為執行檔啟動,並在暫存目錄建立一個誘餌PDF檔案作為掩眼法。
防範表裡不一的威脅
為防止啟動惡意編碼,我們建議在所有連接互聯網的電腦上安裝可靠的保安方案,此外,由於犯罪份子開始使用惡意或社交工程電郵,在mail gateway配備保安方案也是一個不錯的主意。
資料來源:Kaspersky Blog
