資訊安全技術論壇

 找回密碼
 加入會員
搜索
查看: 4265|回復: 0

[威脅] 賽門鐵克: 新惡意程式感染 - 不需再透過惡意檔案存在

[複製鏈接]
發表於 2015-10-4 13:02:25 | 顯示全部樓層 |閱讀模式
本帖最後由 DannyLan 於 2016-4-19 13:50 編輯

[賽門鐵克] 新興威脅通知:新惡意程式感染 - 不需再透過惡意檔案存在,只需要透過惡意註冊機碼



由於Poweliks 具有首見之持續性、不以檔案形式存在及透過註冊機碼之惡意程式之特性,成為 2014 之頭條。該技術於 Poweliks 問世前,從來沒有見過,但其實它是惡意程式作者早晚會採用的技術。於2015 五月首見一個 Kovter 的變種惡意程式,為了躲避偵測並且持續地存在被感染的電腦,為第一個應用 Poweliks 技術之惡意程式。

當新的 Kovter 變種惡意程式感染一部電腦,該木馬具有存在註冊機碼並且不會一直存在於硬碟之特質。它透過操弄註冊機碼來躲避偵測。該木馬透過機碼來保持其持續存在的特性,於電腦開機時確保自己能夠被載入記憶體中。

該 Kovter 惡意程式家族於 2013 年被發現,並且不斷持續發展。該威脅於 2013 及 2014 年間上升顯著,原因為與專門鎖定受害者電腦螢幕及顯示關於違法罰金訊息之傳統綁架程式Trojan.Ransomelock.AK 有關係。然而,Kovter 於其中扮演一個眾所皆知的點擊詐騙行為。

不以檔案形式存在之威脅
如同 Poweliks,Kovter (版本 2.0.3 之前) 具有存在記憶體、不透過檔案形式之能力並且使用多種技術存在於註冊機碼中。於一開始感染階段,Kovter 檢查是否 PowerShell 已經安裝於該電腦,如果 PowerShell 沒有安裝而且對外網路可以連線,則該木馬會下載 一個framework。如果於感染的當下沒有對外網路連線,則 Kovter 會轉換成傳統的以檔案形式存在之惡意程式。於不以檔案形式存在之感染,Kovter 會新增一個或多個註冊啟動機碼以透過合法的 MSHTA 程式執行 JavaScript。


圖 1. Registry run key value used to execute the malicious JavaScript

一旦執行,該 JavaScript 會從另一個 Kovter 的註冊機碼呼叫另一個 JavaScript,第二個被呼叫的 JavaScript 會解碼並且執行一個存在於該 JavaScript 中惡意 Kovter PowerShell script。


圖 2. Kovter registry entry containing second JavaScript

該 PowerShell script 會執行 shellcode 以解密並且讀取 Kovter 主要的模組進記憶體中,如同圖二所示。以不透過檔案為基礎之成功感染後,Kovter 會刪除硬碟中之啟動感染的檔案。該技術相似於 Poweliks 所採用之技術。

保護該註冊機碼內容
如同 Poweliks,Kovter 會透過 null 字元或 0 byte 字元為開頭,且後面緊接 16 進位字元 (例如 "x007a865e5da",該 "x00" 為 null 字元) 以嘗試保護其使用之註冊機碼內容。由於 Regedit 相關工具會將該內容視為可以列印之字元,導致結果無法順利讀取,如圖三


圖 3. Regedit error when opening Kovter’s run key

移除工具
如果您覺得已經被 Kovter 感染,或 IPS 已經通知您電腦已經被 Kovter 感染,建議您執行以下工具 :
•    Trojan.Kotver Removal Tool

賽門鐵克及諾頓產品透過以下定義檔偵測 Kovter

Antivirus detections
•    Trojan.Kotver
•    Trojan.Kotver!gen1
•    Trojan.Ransomlock.AK
•    Trojan.Ransomlk.AK!gm
•    Trojan.Gen
•    Trojan.Gen.2
•    Trojan.Gen.SMH
Heuristic detections
•    SONAR.Heur.Dropper
•    SONAR.Heuristic
•    SONAR.Heuristic.120
•    SONAR.Heuristic.132
•    SONAR.ProcHijack!gen1
•    SONAR.SuspInject!gen1
•    SONAR.SuspBeh!gen3
•    SONAR.SuspBeh!gen104
•    SONAR.SuspBeh!gen108
•    SONAR.SuspBeh!gen124
•    SONAR.SuspBeh!gen133
•    SONAR.SuspBeh!gen137
•    SONAR.SuspBeh!gen141
•    SONAR.SuspBeh!gen143
•    SONAR.SuspBeh!gen159
•    SONAR.SuspBeh!gen162
•    SONAR.SuspBeh!gen163
•    SONAR.SuspBeh!gen168
•    SONAR.SuspBeh!gen171
•    SONAR.SuspBeh!gen232
•    SONAR.SuspBeh!gen281
•    SONAR.SuspBeh!gen308
•    SONAR.SuspBeh!gen397
•    SONAR.SuspBeh!gen414
•    SONAR.SuspBeh!gen452
•    SONAR.SuspBeh!gen483
•    SONAR.SuspBeh!gen526
•    SONAR.SuspBeh!gen530
•    SONAR.SuspBeh!gen605
Reputation detections
•    Suspicious.Cloud.2
•    Suspicious.Cloud.5
•    Suspicious.Cloud.7.L
•    WS.Reputation.1
Intrusion protection signatures
•    System Infected: Trojan.Kotver Activity
•    System Infected: Trojan.Ransomlock.AK Activity 2
•    System Infected: Trojan.Ransomlock.AK Activity 3
•    System Infected: Trojan.Ransomlock.AK Activity

資料來源: Symantec

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?加入會員

x
您需要登錄後才可以回帖 登錄 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|資訊安全技術論壇  

GMT+8, 2021-4-19 11:22 , Processed in 30.105062 second(s), 28 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表