時事社會

攻擊台灣的駭客正改變其躲避防禦的手法

最新型網路攻擊防護領導廠商FireEye®公司(NASDAQ: FEYE)實驗室持續追蹤並發現許多進階持續性滲透攻擊(Advanced Persistent Threat, APT)的駭客,正漸漸改變其所使用的工具、技術與程序(TTP),以躲避網路防禦機制。

FireEye最近分析了一個針對台灣的魚叉式網路釣魚攻擊(Spear Phishing)電子郵件。駭客會寄送一個名為103.doc的Word病毒文件來攻擊收件者,該文件內含DW20.exe惡意安裝程式。此攻擊的最終酬載(payload)稱為Terminator RAT(遠端木馬工具),也就是FakeM RAT。這個RAT過去被用來攻擊西藏與維吾爾族的人權活動人士,現在越來越常被用於攻擊台灣。

我們也發現這些攻擊使用了一些偵測躲避技術,可見Terminator RAT不斷在進化。首先,攻擊者在惡意軟體與代理程式伺服器之間,置放一個用以中繼(relay)兩者之間相互傳輸的元件,由於此中繼元件不含惡意內容,因此可能會被偵測軟體辨識為無害。接著,攻擊者修改網路表頭,使其看起來和舊版不一樣,以躲避偵測。最後,攻擊者還加入了多種不同的躲避技術,以阻撓電腦鑑識調查(forensics investigation)與檔案掃描等防毒功能。

欲進一步了解事件背景,請造訪 FireEye 部落格或是直接與我們聯繫:
http://www.fireeye.com/blog/technical/malware-research/2013/10/evasive-tactics-terminator-rat.html

關於FireEye
新世代網路攻擊防護領導先鋒FireEye®,秉持著防護企業免於網路攻擊的使命。網路威脅日趨複雜,並可輕易突破新世代防火牆、入侵防禦系統、防毒軟體與安全閘道等傳統特徵碼的安全防禦機制,對企業網路造成重大損害。FireEye平台提供即時、動態的威脅防護,不用簽名就能為企業組織提供包括網路、電子郵件和檔案在內各種主要威脅以及在攻擊生命週期的個別階段進行保護。FireEye平台核心為虛擬執行引擎,搭配動態威脅情報網路,即時幫助企業辨識與封鎖各種網路攻擊,包括Web、電子郵件、行動裝置與檔案型網路攻擊,以達到保護企業資產的目標。FireEye平台已部署於全球40多個國家,並獲得1,100多個客戶與合作夥伴的採用。其中有超過100家的財星500大企業已採用此平台。