[資安小常識] 應用MSRT防範Escad和Junipd的惡意攻擊

今年二月,Microsoft惡意軟體移除工具(MSRT)加入三個新項目:Win32/EscadWin32/Jinupd和Win32/NukeSped來協助保護客戶。

首先,惡意駭客藉由Jinupd等銷售點惡意軟體竊取敏感性資料如信用卡資訊。而Escad和NukeSped的後門功能也被惡意軟體作為攻擊目標。

以上所述三項惡意軟體皆對使用者造成資安上的危害,然本篇將會多將重點放在Escad和NukeSped進行討論。

 

MMPC(Microsoft Malware Protection Center)藉由分析二進位資料,發現了Escad的許多惡意攻擊功能。它可以在受到攻擊的電腦中執行大量的常式,用來蒐集敏感的資料,其中包括:

  • 設置為代理伺服器
  • 複製檔案,並將它們發送到遠端的IP位址
  • 將檔案遠端下載到受感染的系統
  • 枚舉(enumerate)任何資料夾中的檔案
  • 收集機器中的資訊,如電腦名稱、TCP連接和網路介面卡的資訊
  • 修改防火牆設定
  • 修改IP設定

以上常式(routine)將被感染的系統開放給其他遠端攻擊— 包括下載和運行其他惡意軟體。

Escad會將檔案偽裝成安裝服務,在系統啟動時運行。而下列便為已使用此手法進行攻擊的案例:

  • ansi.nls
  • dayipmr.tbl
  • netmonsvc.dll
  • pmsconfig.msi
  • pmslog.msi
  • rdmgr.dll
  • remoteevtmanager.dll
  • tmscompg.msi     

因此,若任何這些檔案的存在都可能意味著受到Escad感染。

圖 1 和圖 2 顯示Escad 惡意軟體在最近幾個月的比例及其分佈特徵。

圖 1: 2014年 12 月以來Escad 檢測結果

圖 2: 感染Escad 的國家

最近,MMPC檢測到NukeSped的變種在受到Escad的針對性攻擊過程中被安裝。NukeSped 可能以下列程式名稱攻擊系統:

  • comon32.exe
  • diskpartmg16.exe
  • dpnsvr16.exe
  • expandmn32.exe
  • hwrcompsvc64.exe
  • mobsynclm64.exe
  • rdpshellex32.exe
  • recdiscm32.exe
  • taskchg16.exe
  • taskhosts64.exe

另外,MMPC檢測到Trojan:Win32/NukeSped.A!dha自我安裝為名叫WinsSchMgmt的服務軟體,它也會安裝一個txt檔案,而該檔案中包含可能受到影響的IP 位址清單。NukeSped將連接到駭客端,從而具有執行以下任一操作的能力:

  • 檢查互聯網連接
  • 下載並運行檔案 (其中包括更新或其他惡意軟體)
  • 啟用/禁用這些受到攻擊的電腦中資料夾的完全存取權限
  • 系統根目錄
  • Syswow64
  • System32
  • 報告管理員新的感染
  • 接收設定資料
  • 接收惡意駭客的指令
  • 搜尋PC 的位置
  • 上傳PC的資訊

NukeSped也會安裝其他檔案如igfxtrayex.exe,而MMPC檢測到名稱為Trojan:Win32/NukeSped.B!dha的變體也有可能被命名為brmgmtsvc

NukeSped在目前目錄中植入檔案名稱taskhostxx.exe的複本-其中xx可以是任何字母。

它不僅探勘受感染系統的體系結構,更會安裝32或64位元的協力廠商驅動程式在 %temp% \usbdrv3.sys中。惡意軟體用此合法的檔案修改磁區的主引導記錄,阻止機器啟動(booting)。在被感染的系統中,NukeSped同時也會禁用下列服務:

  • MSExchangeIS
  • MSDEPSVC
  • SSIS
  • SSRS
  • Termservice
  • W3SVC
  • WMServer

Trojan:Win32/NukeSped.B!dha也在預設的windows 目錄中植入檔案iissvr.exe。MMPC檢測到此檔案名稱為Trojan:Win32/NukeSped.C!dha。這種由駭客發起的變體具有嵌入的圖像音效檔案,它可經由HTML頁面的滾動通知使用者系統上的檔案已被破壞的消息。

圖 3: 資料來源 Trojan:Win32/NukeSped.C!dha

 

為防範以上所述惡意軟體攻擊,建議使用者安裝微軟安全產品如Microsoft Security Essential Download,其具有檢測Escad、Jinupd和NukeSped的能力。也建議用戶將安全軟體更新到最新版本,並定期全面掃描個人電腦。另外,加入Microsoft Active Protection Service Community(MAPS)也可以協助您充分使用微軟雲保護服務的微軟安全產品。最後,定期備份檔案也可以協助防止惡意軟體攻擊和資料遺失。