惡意程序Dexphot以高明手法躲避偵測,8萬台PC變礦機
微軟警告一隻名為Dexphot的惡意程序,近一年來在網路傳播,最高峰時曾有8萬台PC被黑客植入用來挖比特幣。微軟指出,Dexphot也展現出現今惡意程序躲避偵測手法之高明。
微軟Defender ATP Research團隊的惡意程序監控系統,自去年10月以來,偵測到一隻程序大規模感染。它每20到30分鐘即變換一次文件名,並植入到數千台設備上。根據其程序代碼特性,微軟將之命名為Dexphot。根據微軟的記錄,Dexphot災情在6月達到高峰,有高達8萬台被感染,近幾個月降到將近1萬台。
微軟研究人員Hazel Kim指出,Dexphot是幾乎上不了主流媒體版面的威脅程序,其目的只是為了利用計算機計算資源來挖比特幣。但Dexphot卻發展出相當高明的技術手法,以長期潛伏在系統內。
Dexphot有許多方法可以避免殺毒軟體偵測。首先,它採取兩階段感染法,由之前經由其他軟體組件下載到PC的ICLoader惡意程序打前鋒,再下載Dexphot下載器。Dexphot下載到PC上,只有最開始的部分是進入磁碟,但後續組件就會運用無文件(fileless)攻擊法,載入到系統內存。其次Dexphot使用離地攻擊法(living off the land,LOLbins),使用Windows某些合法行程,像是msiexec.exe、unzip.exe、rundll32.exe、schtasks.exe和powershell.exe來執行惡意行程,包括安裝MSI組件、釋放惡意文件、下載loader DLL、執行調度作業及強制更新。在其他系統行程(如svchost.exe、nsookup.exe)上,Dexphot則運用相當高明的行程掏空(process hollowing)手法,藉由清空合法行程內容,以便借其外殼執行惡意程序。這些手法都是為了躲避殺毒軟體偵測。
Dexphot還運用一種很特別的多形(polymorphism)手法。由於近年安全廠商已經搜羅了無文件惡意程序的資料庫,為此Dexphot演化出可以經常改變傳播的惡意文件名及形態來迴避偵測。例如有時是普通.zip檔、有時為密碼保護的zip檔、Loader DLL檔,有時是檢查殺毒產品的批次檔,而每次文件名、使用密碼也都不一樣。微軟發現它每20到30分鐘即可變化一次,等殺毒廠商偵測到其感染後,它又換上不同的面貌出現。
此外,它的2個監控服務可以隨時檢測,若發現其中一個惡意行程遭到殺毒軟體中止或刪除,就會自動結束其他行程,之後利用重新開機、或是每90到110分鐘一次再重新感染受害設備,以確保黑客可以重新掌控所有受害系統。
Kim指出Dexphot其實證明了,不起眼的威脅可以達到的技術複雜性和演變速度,藉以躲避偵測、不動聲色謀取財務報酬的能力。
除了Dexphot,微軟兩個月前也先後發現Astaroth和Nodersok這二個惡意程序,使用了離地攻擊或無文件攻擊的複雜手法,來成功達陣。
