資訊安全新知分享
NEITHNET 資安實驗室
永恆之藍 (EternalBlue),由美國國家安全局(NSA)開發,是利用Windows系統的SMB協議漏洞(MS17-010),來獲取系統最高權限的漏洞利用程式。2016年駭客組織影子掮客(The Shadow Brokers)聲稱入侵了NSA旗下的秘密網路攻擊組織方程式(Equation Group),取得並開始兜售攻擊工具,於隔年4月公開了DoublePulsar、FuzzBunch、EternalSynergy及EternalBlue等攻擊工具。
由於「永恆之藍」允許駭客自遠端執行任意程式,不少駭客利用此特性,搭配勒索軟體進行攻擊。儘管微軟於2017年3月14日已經發布過Microsoft Windows修補程式,同年4月被洩漏後,仍陸續引發各種勒索軟體大規模攻擊,最具代表性的當屬在公開僅僅一個月之後發動的WannyCry攻擊,另外還有NotPetya攻擊。
時隔多年,2023年10月卡巴斯基揭露存在超過5年的惡意軟體框架StripedFly,後續分析卻能追朔到2016年,多麼讓人震驚的發現。
起先是在2022年發現有兩組惡意程式碼(Shell Code)被注入到Wininit處理程序,這兩組程式碼過往曾在惡意軟體Equation出現,當時被誤認為挖礦程式,但這只是表面可見的威脅,也可以說是一個面具,掩蓋了攻擊者的主要目的。後來發現此Shell Code會透過Wininit處理程序從Bitbucket、GitHub、GitLab下載惡意程式,然後執行PowerShell指令碼,過程中利用永恆之藍漏洞,最終在受害電腦部署StripedFly。
StripedFly與其他利用永恆之藍的惡意軟體最大的區別在於傳播方式,他悄悄的傳播,目的是為了避免被各種軟體或安全防護偵測。透過漏洞利用傳遞的核心 shellcode 將額外的 shellcode 注入後部署包括具有類似插件的可擴展功能的框架以及極其輕量級的 TOR 網路用戶端,目的是避免網路通訊受到干擾。此過程完成後,大門將永久密封,惡意軟體將繼續停用受感染系統上的 SMBv1 協定。因具備蠕蟲功能,亦嘗試在本地網路內傳播,除漏洞利用外,還依賴 SSH 協議,將StripedFly散布到位處相同內部網路的Windows、Linux電腦。研究人員根據駭客所使用的Bitbucket儲存庫,估計有超過100萬台電腦遭到感染,其中在今年4月至9月仍有近6萬台電腦受害。
藏在表面挖礦的假象下,更深沉的意圖,StripedFly主要功能包含:執行攻擊者下達的命令、收集帳密資料、對目標電腦進行偵察、利用SSH帳密組合嘗試滲透其他電腦、利用永恆之藍漏洞入侵其他Windows電腦、反向代理伺服器、挖掘門羅幣。
早在2017年就被修補的漏洞,至今仍有巨大影響,更在不知不覺中,受害電腦來到百萬。挖掘漏洞是駭客攻擊,修補漏洞是工程師亡羊補牢,如果最終使用端沒有進行縫補的動作,那也只是看守大門,卻開著後門說歡迎光臨,做了表面而已。
資安防禦,需要更深沉且厚實的守護。
除去正面禦敵外,也應定期環顧、檢視自身條件,確保自己的背後是安全的,杜絕隱患,別讓永恆之籃成為下一個駭客的搖籃。
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com。