2017/11/1
資安科技研究所 Angel Wang
遠東國際商業銀行的國際匯款系統SWIFT 10月3日遭駭客入侵,被盜轉了18億元匯款到海外。本篇文章將分析駭客使用的惡意程式所具備的功能,藉此來釐清攻擊者的手法並還原攻擊過程來了解事情的全貌。下列表格為此次用來進行攻擊的惡意程式的檔案資訊,在接下來的篇幅將進一步分析並討論這幾支程式。
| 檔名 | MD5 | 檔案類型 | 行為類型 |
| bitsran.exe | d08f1211fe0138134e822e31a47ec5d4 | PE32 executable (GUI) Intel 80386, for MS Windows | Ransom.Hermes勒索病毒/後門程式/內網擴散 |
| RSW72CE.tmp | b27881f59c8d8cc529fa80a58709db36 | PE32 executable (GUI) Intel 80386, for MS Windows | 加密程式/木馬程式/社交工程工具 |
Bitsran.exe這支程式主要用於建立後門、加密系統檔、以及內網擴散,圖一綠框標示的部分,顯示出此程式將自己寫進HKLM的機碼註冊值中。而此惡意程式主要有兩個行為,其中一個是以遠端系統帳號執行此惡意程式以建立後門並進行加密檔案,同時也會進行確保後門以及加密檔案的行為,即使受駭電腦關機後再開啟依然能夠執行。
 |
| 資料來源:資安所自行整理 |
| 圖一 機碼註冊值 |
在執行動作期間,此惡意程式會將當前記憶體資訊以暫存檔的方式儲存成一個名為RSW1010.tmp的檔案。據判斷,此行為應是為了將當前記憶體裡的資料刪除或加密抹除掉,藉此增加鑑識人員剖析駭客手法的難度。在進行動態分析時,就有發現到RSW1010.tmp這個檔案,其內容被加密後遺留在圖二所標示的位置C:\windows\temp\底下。
圖二 暫存檔路徑
 |
| 資料來源:資安所自行整理 |
| 圖二 暫存檔路徑 |
而當所有的任務結束後,該惡意程式會將電腦裡的檔案改變副檔名,使電腦裡的檔案都無法正常開啟使用。例如在圖三中即可看到該程式會在檔案的副檔名後方加上底線符號,藉此讓檔案無法順利開啟。
 |
| 圖三 bitsran.exe執行路徑 |
| 資料來源:資安所自行整理 |
在加密完電腦中既有的全部檔案後,為了將後續新增的檔案也進行加密動作,因此該程式還會在系統中建立一個排程,持續對新進檔案進行加密。以圖四為例,可看到程式會在每天的0:00~23:59執行一次加密動作。
 |
| 圖四 bitsran工作排程 |
| 資料來源:資安所自行整理 |
值得一提的是,當我們以ollydbg載入記憶體做動態分析時(圖五),赫然發現到FEIB的2組登入帳號及密碼,分別為FEIB\SPUSER14,密碼為 ******vgy7;FEIB\scomadmin,密碼為 ********adM,原來此惡意程式已經將帳號以及密碼都預設在程式之中了!
 |
| 圖五 FEIB登入帳密 |
| 資料來源:資安所自行整理 |
既然程式中的帳號以及密碼都是預設好的,也就是代表攻擊者在使用此勒索病毒之前,便已經掌握攻擊對象的帳密資料,那他只要將錢轉走就可以直接離開就行了。據此我們推測,此勒索程式與其他以加密機敏資料勒索錢財為目的程式不同,而可能只是攻擊者用來將自己入侵的相關資料加密,讓鑑識人員不能輕易的找到線索。
前面我們所談到的,是透過靜態的逆向分析所得出的推測結果,接下來將展示實際執行的狀況,用以驗證逆向分析後所作出的結論。
由逆向分析可知,此程式在加密系統檔案時,會產生RSWEAB.tmp檔以及系統排程task。而我們實際使用process explorer 工具(圖六)來觀看程式此惡意程式執行的過程,也確實觀察到Bitsran.exe下方產生的RSWEAB.tmp。
 |
| 圖六 執行時的Process狀態 |
| 資料來源:資安所自行整理 |
前述我們提到此程式有兩個主要行為,除了先前提到的建立後門的行為,另一個行為就是掃描內網IP,並試圖針對內網的電腦進行擴散。在圖七中可看到我們以wireshark所側錄的封包情形,觀察到Source端正以TCP方式透過445 port對10.x.x.x的IP位址進行掃描。由於此處顯示的內網IP與圖五觀察到的帳密資料情況相同,都是預先設置在程式裡的,因此提高了我們推測攻擊者在執行勒索軟體時,已經掌握系統相關資料的可信度。
 |
| 圖七 內網擴散封包 |
| 資料來源:資安所自行整理 |
圖八為當前系統的機碼值狀況,紅色的區塊標示出目前可疑的機碼值。此處也可看到,BITSRAN.exe是掛載到HKLM下的,與前述分析的情形吻合。
 |
| 圖八 Bitsran.exe程式系統機碼值變動狀態 |
| 資料來源:資安所自行整理 |
圖九表示系統已經被植入了後門。而在觸發後,許多的外部IP向受駭電腦進行連線與控制。
 |
| 圖九 Remote Control Evidence |
| 資料來源:資安所自行整理 |
接著我們來探討RSW72CE.tmp這支程式,此程式主要用於加密檔案或是社交工程。當用於加密電腦內的應用程式時,會使得使用者在受駭電腦內無法使用任何一個軟體。當程式觸發時就會如圖十所顯示,UNIQUE_ID_DO_NOT_REMOVE檔案會出現在每個檔案夾內,代表該位置的軟體都不能正常開啟使用。
 |
| 圖十 產生UNIQUE_ID_DO_NOT_REMOVE檔案 |
| 資料來源:資安所自行整理 |
此外,為了使鑑識人員無法找到任何追蹤線索,駭客會將系統中有關的檔案全部刪除以掩蓋行蹤。在圖十一中可以看到,攻擊者使用自行撰寫出的.bat檔執行刪除任務,將windows 硬碟空間C~H下的.vhd、.bac、.bak、.wbcat、.bkf、Backup、.set、.dsk……等檔案一律刪除。
 |
| 圖十一 bat檔刪除備份檔案語法 |
| 資料來源:資安所自行整理 |
同樣地,此程式也如同前述的Bitsran.exe一樣,會自動建立系統排程,用以確保後續新進的相關檔案都能夠完整清除掉,以防止留下任何可供追蹤的線索。
 |
| 圖十二 RSW72CE.tmp程式系統機碼值變動狀態 |
| 資料來源:資安所自行整理 |
圖十二顯示了機碼註冊值的狀況。同樣地,我們也看到了此程式將自己寫進HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchos的位置,以確保重開機後也能執行。
 |
| 圖十三 office之dll檔系統機碼值變動狀態 |
| 資料來源:資安所自行整理 |
此惡意程式將受駭電腦內的所有檔案都進行加密,使得應用程式都不能開啟。並且刪除系統檔案,使鑑識人員無法進一步的依靠系統環境得到線索,大大提高了還原事情經過的難度。
除此之外,此程式還有另一項特點,就是利用office的各類文件作為社交工程的手段來擴散災情。藉由更改dll檔,在開啟office所屬的文件時,EIP會因為被竄改而去取得駭客植入的shellcode進入點,如圖十三所示。此作法即是以大眾常用的office文件作為執行惡意程式的掩護,將開啟office文件的舉動作為執行惡意程式的觸發點。
在這篇文章中,我們藉由程式上的一些特點推論出幾點觀察。例如,勒索軟體除了成為銷毀行蹤的工具外,也可能成為攻擊者隱匿行蹤的煙霧彈。當惡意程式披上勒索軟體的外衣時,會使檢查人員誤認其為一般的勒索行為,致使其進行重灌行為,藉以消除重要的追蹤線索。另外還有竄改office的dll檔,使開啟office檔案作為惡意程式的觸發點。透過這些觀察,我們就能確定各種可能的攻擊點,並從事件的根本上去解決,這樣才能預防類似事件再次發生。
資安最前線 