PDF《Tropic Trooper 攻击行动》

Tropic Trooper 攻击行动 利用长期验证的漏洞来渗透您的机密单位 Kervin Alintanahin 进阶持续性渗透攻击防御应变小组 内容 简介.

ii 攻击目标.1 攻击阶段.2 突破防线.2 第一波恶意程式:TROJ_YAHOYAH.3 安装行为

3 下载行为

4 维持常驻

6 后门程式:BKDR_YAHAMAM

7 幕后操纵 (C&

C) 通讯.7 横向移动.10 相关资料.12 防 Tropic Trooper 攻击行动

14 L集威胁情报

14 下载连结

14 字串

15 服务.15 解决方案

15 结论.iii 附录 iv 恶意档案.iv 参考资料 vi 简介 台湾和菲律宾已成为一项名为 Tropic Trooper (热带 骑警) 的进阶持续性渗透攻击行动目标.从2012 年 活跃至今的这项攻击行动,其幕后骇客专门锁定台湾 的政府机关以及一些重工业企业.此外,这项行动也 攻击了菲律宾的重要军事单位.尽管这项攻击行动 背后的动机仍然不明,但歹徒使用的工具和技巧却透 露出一些两国都应深入检讨的潜在弱点. Tropic Trooper 攻击行动利用了两个至今最常遭到 攻击的 Windows? 漏洞:CVE-2010-3333 和CVE-2012-0158 来入侵目标网路.这项攻击之所以 能够成功,部分的原因是它采用了基本的图像隐藏 术(steganography) 来将恶意程式码隐藏在图片当 中,然后再搭配聪明的社交工程技巧.这份研究报 告提供了有关 Tropic Trooper 攻击目标、攻击阶 段、攻击工具及手法的深入技术资料..* * 特别感谢 Ronnie Giagone 提供额外的分析资讯 和意见. ?

2015 Trend Micro Incorporated 攻击目标 Tropic Trooper 攻击行动当中所用的恶意程式与

2011 年越南和印度一些机 构所遭到的攻击有一些共通的特性. [1] Tropic Trooper 攻击行动专门锁定台湾和菲律宾的政府机关、军事单位以 及重工业企业. [2] Tropic Trooper 攻击流程 ?

2015 Trend Micro Incorporated 攻击阶段 突破防线 Tropic Trooper 使用了鱼叉式网 路钓鱼邮件并挟带恶意附件档案 来攻击一些既有的漏洞,特别 是:CVE- 2010-3333 和CVE-2012-0158.[3C5] 这两个漏 洞自从被发现以来,就是最常遭 到攻击的漏洞. [6C7] 为了渗透目标网路,骇客会利用一 以下是几个歹徒曾经用过的档案名称: ? 3AD

28 March 2013, SI re ASG Plan Bombing in Zamboanga City.doc ? Troops Disposition

26 FEB 13.doc ? 2nd qtr

2013 AR PF15.doc ? Draft AS-PH MLSA - v3 DAGTS_CFO_ILOG_DSA Clean.doc ? 关於104年中央政府总预算.doc ? 实验室电话表.doc 鱼叉式网路钓鱼邮件样本 些聪明的社交工程技巧.他们会使用与某些情况相关的主旨、内容以及 配合该情况的附件档案名称 (例如「声明」),让收件人不疑有他而下载并 开启邮件宣称需要进一步审阅的档案. ?

2015 年趋势科技版权所有. ? [REDACTED]自荐信及个人简历.doc 当附件档案开启时,会执行一个内嵌的恶意执行档, 一般来说是个档案下载程式,该程式会连上一个恶意 网站来下载另一个图片档案.某些附件档案会开启一 个引开注意力的无意义文件来掩护其恶意行为. 第一波恶意程式:TROJ_YAHOYAH Tropic Trooper 攻击行动电子邮件随附的档案下载程式 就是趋势科技侦测到的 TROJ_YAHOYAH 木马程式, 这是一个同时支援

32 和64 位元作业系统的档案下载 程式.它使用了一个加密的设定档,并利用 HTTP GET 请求来下载其他档案,然后再记忆体中解开并执行这 些档案. 诱饵文件例 (左边是针对菲律宾的目标;

右边是针对台 湾的目标) 安装行为 当TROJ_YAHOYAH 木马程式执行时,会先检查受感 染电脑的 Windows 是否为