示意圖。Original photo by Blogtrepreneur (CC BY 2.0) (https://www.flickr.com/photos/143601516@N03/29402709463/in/photostream/)

美國警方及政府昨日警告,中國政府支持的駭客近日利用惡意程式Taidoor變種發動攻擊。

自2008出現的惡意程式Taidoor,過去不少臺灣政府與企業遭受其害,趨勢科技在2012年針對這隻惡意程式的報告中,指出他們觀察到所有受害者均在臺灣,大多數為政府組織。而在2013年FireEye針對Taidoor的威脅研究報告中,也指出它的受害者包括政府機構、企業與研究分析智庫,而且特別是隻特別針對臺灣的惡意程式。

現在,這隻惡意程式的變種,又有新的攻擊活動跡象值得關注。美國國土安全部(Department of Homeland Security)下的網路作戰指揮部(Cybercomm)、網路安全基礎架構安全署(CISA)及聯邦調查局(FBI)昨日連袂發佈惡意分析報告,發出最高順位的警告,呼籲企業及政府單位啟動網路防護,以免曝露於中國政府的惡意網路活動中。FBI指出,該局「很有信心」中國政府支持的駭客利用惡意程式變種及代理伺服器,已駭入受害者網路中,等待日後發動網路攻擊。

這是今年2月以來,美國政府針對北韓駭客發動6隻惡意程式進行網路攻擊發出警告之後,最新一次要美國企業當心外國政府為主的攻擊行動。

根據網路作戰指揮部的說明,Taidoor早在2008年就被用於系統攻擊。最新發現到的樣本是Taidoor x86及x64版本,它是以一個服務DLL檔安裝到目標系統內,執行後釋出兩個檔案。第一個是Taidoor下載器,負責下載並解密出第二個檔案,即主要的遠端存取木馬程式(RAT),也就是Taidoor,它會被寫入電腦記憶體中執行。Taidoor RAT一半是代理伺服器部署,以避免曝露出來源伺服器。

不過研究也顯示,Taidoor並沒有可以躲過系統重開機以潛伏在電腦中的功能,目前研究人員推斷可能是由其他管道再以DLL檔安裝。

報告指出,當Taidoor進入記憶體中,就會和外部C&C伺服器建立連線,並經由443傳輸埠傳送封包。一如所有RAT的功用,Taidoor也可讓背後的駭客得以蒐集受害系統上的資訊。

為防範Taidoor的危害,美國政府建議企業管理員及個人將病毒特徵碼、作業系統更新到最新版本、安裝個人或企業防火牆,關閉檔案及列印共享服務,若一定得開啟也需使用強密碼或是AD驗證。同時企業非必要,最好不要將用戶設為管理員權限,並養成使用者良好的上網、軟體安裝習慣等。


Advertisement

更多 iThome相關內容