沒完沒了的 APT：Travnet 發動新一輪攻擊！

APT 這種有針對性的攻擊可以說是防不勝防，就連現時市面上的保安方案亦未必能百分百應付。近日一種曾令各國聞風色變的惡意軟件似乎正整裝待發準備重新上路，各位管理員是時候需留意一下了。

這種惡意軟件名為 NetTraveler（又名 Travnet 或 Netfile），以往犯罪組織曾透過這種惡意軟件發動針對性的攻擊﹐受影響的國家多達 40 個；而根據 Kaspersky 實驗室的安全專家 Costin Raiu 指，當年的攻擊背後始作俑者與西藏/維吾爾組織有關，而當年針對的目標為石油公司、科研公司、大學、私人公司、政府、軍火商等。

上星期，Kaspersky 實驗室的專家便偵測到一封內含惡意連結的電郵，這封電郵主要傳給多個維吾爾組織成員，而當中包含了一條連至世界維吾爾組織的網站的網址，然而當用戶按下有關連結後將直接連到已知並內含 NetTraveler 惡意程式的網站 （weststock[dot]org）。

當我們翻開該網頁的 HTML 細看時便會發現於程序開初已載入一個名為 new.jar 的 JAVA APPLET 程式，對比 Hex editor 後可發現 new.jar 本身應用一種早於月前被公佈的 CVE-2013-2465, JAVA 5,6,7 漏洞以求發動進一步行為；針對此漏洞，Oracle 早於 2013 年 6 月公佈修正檔，不過人類的習慣總是「不喜歡更新」，所以估計一旦被植入 new.jar 並引發程序，將有很多電腦「中招」。

這裡所指的程序其實是隱藏於 new.jar 之中的 file.tmp 檔案，根據 Hex Editor 的資訊顯示，此檔案本身符合 NetTraveler backdoor dropper 的特徵，這是一種 NetTraveler 常見的 C & C（command and control）應用；當你的系統被植入 new.jar 後，隱藏當中的 C&C 軟件便會啟動，由於其體積十分細小，一般的防毒軟件難以偵測。

根據 Kaspersky 的專家測試發現，這款 file.tmp （C&C 軟件）一旦啟用後，將自動連到未知的伺服器，IP 為 198.211.18.93（網址為：http://worldmaprsh[dot]com/gzh/nettr/filetransfer[dot]asp）。根據專家的調查指出，此未知的伺服器應位於美國境內，並存於 Multacom Corporation 這家寄存公司的伺服器之中。

「有心人」除透過虛假郵件以發動攻擊外。近年來，一種名為 Watering Hole（水坑）攻擊亦十分流行，這種攻擊方式主要是黑客先攻擊一些被受信賴的網站，並從中植入惡意代碼；由於這些網站均十分知名且深受信任，因此用戶將在毫無戒心的情況下進入這些網址，最終令「中招」的機會大增。

而上述提到的 NetTraveler 亦被發現充分利用 Watering Hole（水坑）攻擊方式。根據 Kaspersky 的專家調查顯示，於上星期已發現一部份用戶曾於多次瀏覽知名網站後，自動轉到 NetTraveler 相關的惡意網站，這代表了某些知名網站已「中招」並且被植入 Watering Hole（水坑）攻擊方式。

我們翻開這些似乎已「中招」的知名網站的 HTML 時，可輕易發現黑客已透過 IFRAME 的方式植入名為 ie.jar 的 JAVA APPLET 程式；同樣地這些程式背後亦會隱藏了 C&C 軟件，當被植入系統後要將之完全揪出便十分困難了；根據 Kaspersky 的專家指，現時發現 NetTraveler 的 C&C 伺服器主要存在於香港、台灣、中國，而且相信在不久將來，伺服器數目及所在位置將會增加，的確值得大家留意。

其實要提升安全性，只要時刻保持所有軟件例如系統、Java、Office、Adobe Reader、瀏覽器的更新以及避免進入不知明的連結及不要下載不明來歷的附件即可，只要大家格守上述幾點，相信已能大大降低「中招」機會了；各位網絡管理員，準備好應對新一輪的 NetTraveler 攻擊未？