DAEMON Tools差不多是掛載鏡像檔軟件的代名詞,這款多年來大受用戶歡迎的軟件,不幸成為了大型供應鏈攻擊的受害者,攻擊者把惡意程式碼加入到安裝程式內,所有木馬化的執行檔都擁有DAEMON Tools開發商的數碼簽署。
安裝惡意版DAEMON Tools的風險
在木馬化的軟件安裝到受害者的電腦後,惡意檔案會在每次系統啟動時發動,向C&C伺服器發送請求,伺服器會發送指令下載和執行惡意內容。首先,攻擊者部署資料收集工具收集MAC地址、主機名稱、DNS域名、執行程序清單和已安裝的軟件,以及語言設定,惡意程式會把以上資訊發送至C&C伺服器。
在某些個案中,在收集到資料之後,C&C伺服器發送後門程式到受害者的裝置,它能下載額外的惡意內容,執行shell指令和在記憶體中運行shellcode模組,後門可以用來部署更精密的QUIC RAT,它支援複數通訊協定,而且能把惡意內容加入到notepad.exe和conhost.exe,詳細資料可以瀏覽Securelist。
目標是誰?
自四月初開始,數以千計嘗試安裝惡意內容的被感染DAEMON Tools軟件被偵測到,大部份被感染裝置屬於家庭用戶,大約10%在機構內的系統運行,地理上,朋害者遍佈數百個不同國家和地區,大部份受害者位於俄羅斯、巴西、土耳其、西班牙、德國、法國、意大利和中國。大部份攻擊都止於安裝資料收集工具,被後門感染的只有數十部屬於政府、科學和製造機構,還有俄羅斯、白俄羅斯和泰國的零售商。
被感染的版本
惡意程式碼被偵測到在DAEMON Tools版本12.5.0.2421至12.5.0.2434,攻擊者入侵了DTHelper.exe、DiscSoftBusServiceLite.exe和DTShellHlp.exe,全部被安裝到DAEMON Tools的目錄中。在事件公開後,廠方已找出問題所在並推出新版本,更新版12.6.0.2445不再具備上述的惡意行為。
如何自救?
如果你的電腦安裝了DAEMON Tools,我們建議徹底檢查該電腦從4月8日起有否異常活動,以及安裝可靠的保安方案,防止經由DAEMON Tools的供應鏈攻擊。
資料來源:Kaspersky Blog
