真☆卡巴↘無雙↙

"新型複雜威脅整合了「老派」惡意軟體編寫者的技巧和最新的Adobe Reader弱點，針對多個重要機構發動攻擊，收集地緣政治情報。"

今天，卡巴斯基實驗室專家團隊發表了一份最新的研究報告，分析了一系列涉及使用最新發現的Adobe Reader（CVE-2013-6040）PDF弱點的安全事件，並發現了一款最新高度可定製化被稱為MiniDuke的惡意程式。過去幾週 內，MiniDuke後門程式被用來針對全球多個政府機構發動攻擊。卡巴斯基實驗室的安全專家攜手CrySys實驗室，對這些攻擊進行了詳細分析，並公佈 了調查結果。

根據卡巴斯基實驗室的分析，多個重要目標已經被MiniDuke攻擊所攻陷，其中包括烏克蘭、比利時、葡萄牙、羅馬尼亞、捷克和愛爾蘭的政府機構。此外，被攻陷的還包括一個研究學院，兩個智囊團和一家美國醫療保健機構以及匈牙利一家知名的研究基金會。

卡巴斯基實驗室創始人兼CEO尤金‧卡巴斯基說：「這是一次非比尋常的網路攻擊。我記得這種風格的惡意程式出現於90年代末期和 21世紀初。我懷疑這類惡意軟體編寫者是否在沉寂超過10年之後，又重新甦醒，加入網路世界創建最新複雜威脅之列。這些精英或者說「老派」的惡意軟體編寫 者在過去曾經創建出高度複雜的病毒，現在他們將這個技能與最新能夠繞過沙盒的弱點利用技術結合，開始針對多個國家的政府機構和研究機構發動攻擊。」

尤金還補充道：「MiniDuke是一款高度可定製後門程式，由彙編程式編寫，體積非常小，僅有20kb。透過結合，使得經驗豐富的老派惡意軟體編寫者可以使用最新發現的弱點利用程式和高明的社交工程技巧，從而造成多個重要被攻擊目標面臨極高風險。」

卡巴斯基實驗室的主要研究發現：

• MiniDuke背後的攻擊者仍然在行動，最近在2013年2月20日還創建了惡意軟體。為了攻陷受害者，攻擊者使用了極為有效的社交工程技 巧，發送惡意PDF文檔到受攻擊目標。攻擊用PDF與被攻擊機構具有高度相關性，其內容是精心設計的，其中包括假冒的人權報告資訊（ASEM）和烏克蘭的 外交政策以及北約（NATO）的成員國計劃等。惡意PDF中包括弱點利用程式，能夠攻擊版本號為9、10和11的Adobe Reader，並繞過其沙盒安全措施。這類弱點利用程式的創建使用了專門的工具包，其所用工具包似乎同FireEye最近發現的攻擊所用工具包一致。儘管 如此，MiniDuke攻擊中使用的弱點利用程式與其目的不同，並針對其定製了自己的惡意軟體。
• 一旦系統的弱點被成功利用，惡意程式會在系統磁盤上植入一個體積非常小的下載器程式，其體積僅為20kb。每個系統下的下載器程式都不同，其 中包含以彙編語言編寫的可定製後門程式。系統啟動後，後門程式會載入，並使用一套數學算法確定每個電腦唯一的指紋，之後用這些資料進行通訊加密。後門程式 還具有躲避硬編碼工具分析功能，在特定環境下如VMware中。如果後門程式發現位於此類環境下，會保持空閒狀態，而不會繼續執行下一步功能，從而不會解 密自身，將更多功能暴露出來。這表明，惡意軟體編寫者瞭解防毒和IT安全人員為了分析和檢測惡意軟體所採取的手段。
• 如果受攻擊系統滿足預設的需求，惡意軟體會利用Twitter（在使用者不知情的情況下）尋找預先設定的帳號發出的特定tweet資訊。這些 帳號是MiniDuke的命令和控制（C2）操作者創建的，其中的tweet資訊包含特定標籤，為後門程式指定加密URL連結。透過這些URL連結可以連 接C2，並向後門程式發送指令，並加上其他額外後門程式透過GIF檔案的形式加密傳送到系統。
• 基於這些分析，似乎MiniDuke的創造者創建了一種動態備份系統，能夠繞過防毒檢測。如果Twitter無法工作，或帳戶無法使用，惡意軟體會使用Google搜索其他C2的加密字符串。這種模式非常靈活，使得操縱者可以不斷變換後門程式獲取命令或惡意程式碼的管道。
• 一旦受感染系統連結到C2，會接收加密的後門程式。這些後門程式採用GIF檔案遮人耳目，偽裝成圖片進入受感染電腦。一旦下載到電腦，後門程 式會下載更大的後門程式，這種後門程式能夠執行一些基本的功能，例如拷貝檔案、行動檔案、清除檔案、創建目錄，結束進程等。當然，還能夠下載和執行新的惡 意軟體。
• 惡意軟體後門連結到兩個伺服器，其中一個位於巴拿馬，另一個位於土耳其。後門程式透過伺服器接收攻擊者的指令。
• 卡巴斯基實驗室系統將MiniDuke惡意軟體檢測為:Backdoor.Win32.MiniDuke.gen和 Backdoor.Win32.Miniduke。卡巴斯基實驗室還能夠檢測PDF文檔中使用的弱點利用程式，檢測結果為 Exploit.JS.Pdfka.giy..