Photo by David Clode on https://unsplash.com/photos/3udd_NEmgDs

微軟警告一隻名為Dexphot的惡意程式,近一年來在網路散佈,最高峰時曾有8萬台PC被駭客植入用來挖比特幣。微軟指出,Dexphot也展現出現今惡意程式躲避偵測手法之高明。

微軟Defender ATP Research團隊的惡意程式監控系統,自去年10月以來,偵測到一隻程式大規模感染。它每20到30分鐘即變換一次檔名,並植入到數千台裝置上。根據其程式碼特性,微軟將之命名為Dexphot。根據微軟的紀錄,Dexphot災情在6月達到高峰,有高達8萬台被感染,近幾個月降到將近1萬台。

微軟研究人員Hazel Kim指出,Dexphot是幾乎上不了主流媒體版面的威脅程式,其目的只是為了利用電腦運算資源來挖比特幣。但Dexphot卻發展出相當高明的技術手法,以長期潛伏在系統內。

Dexphot有許多方法可以避免防毒軟體偵測。首先,它採取兩階段感染法,由之前經由其他軟體套件下載到PC的ICLoader惡意程式打前鋒,再下載Dexphot下載器。Dexphot下載到PC上,只有最開始的部份是進入磁碟,但後續元件就會運用無檔案(fileless)攻擊法,載入到系統記憶體。其次Dexphot使用離地攻擊法(living off the land,LOLbins),使用Windows某些合法行程,像是msiexec.exe、unzip.exe、rundll32.exe、schtasks.exe和powershell.exe來執行惡意行程,包括安裝MSI套件、釋放惡意檔案、下載loader DLL、執行排程作業及強制更新。在其他系統行程(如svchost.exe、nsookup.exe)上,Dexphot則運用相當高明的行程掏空(process hollowing)手法,藉由清空合法行程內容,以便借其外殼執行惡意程式。這些手法都是為了躲避防毒軟體偵測。

Dexphot還運用一種很特別的多形(polymorphism)手法。由於近年安全廠商已經蒐羅了無檔案惡意程式的資料庫,為此Dexphot演化出可以經常改變散佈的惡意檔案名及型態來迴避偵測。例如有時是普通.zip檔、有時為密碼保護的zip 檔、Loader DLL檔,有時是檢查防毒產品的批次檔,而每次檔案名、使用密碼也都不一樣。微軟發現它每20到30分鐘即可變化一次,等防毒廠商偵測到其感染後,它又換上不同的面貌出現。

此外,它的2個監控服務可以隨時檢測,若發現其中一個惡意行程遭到防毒軟體中止或刪除,就會自動結束其他行程,之後利用重新開機、或是每90到110分鐘一次再重新感染受害裝置,以確保駭客可以重新掌控所有受害系統。

Kim指出Dexphot其實證明了,不起眼的威脅可以達到的技術複雜性和演變速度,藉以躲避偵測、不動聲色謀取財務報酬的能力。

除了Dexphot,微軟兩個月前也先後發現AstarothNodersok這二個惡意程式,使用了離地攻擊或無檔案攻擊的複雜手法,來成功達陣。


Advertisement

更多 iThome相關內容