第一個檔案使用了 RTLO 技巧。歹徒在檔名的「PPT」之前插入了一個 Unicode 的 RTLO 指令,讓檔案看起來像是一個 PowerPoint 文件,但事實上卻是一個螢幕保護程式。為了提高電子郵件的可信度,歹徒又多放了一個正常的Microsoft Word 文件 (.DOC) 來轉移注意力。不僅如此,這個經過偽裝的「.SCR」螢幕保護程式執行時還會產生一個 PowerPoint 檔案,讓受害者以為開啟的確實是個簡報檔,因此更不容易起疑。
▲解壓縮後的附件檔案,其中看來像PPT檔的文件,其實是「.SCR」的螢幕保護程式
▲「.SCR」螢幕保護程式會產生一個「.PPT」檔案來轉移注意力
最後,這項攻擊行動會在受害者的電腦上植入一個後門程式,然後解開自己的程式碼,並把自己注入其他執行中的處理程序。植入電腦之後,後門程式會開始蒐集受 害對象電腦上的資訊,如使用者名稱、電腦名稱、主機名稱以及當前惡意程式處理程序代碼,讓歹徒可以追蹤個別受害對象。當後門程式成功連上遠端伺服器之後, 就會執行以下動作來進行一般偵查程序:
• 檢查電腦上安裝的軟體或 Proxy 設定
• 列出所有磁碟機
• 取得檔案
• 刪除檔案
• 執行遠端指令
根據趨勢科技2014年第一季資安報告指出,有 76% 的鎖定目標攻擊都是針對政府部門,而電子郵件是歹徒滲透目標網路最常見的手法,除了魚叉式網路釣魚電子郵件之外,歹徒還會不斷利用各種舊的軟體與系統漏 洞。例如,趨勢科技就發現有越來越多的鎖定目標攻擊使用 CVE-2012-0158 漏洞。儘管這個漏洞 Microsoft 早在 2012 年釋出的 MS12-027 修補程式當中已經解決,但此漏洞仍普遍存在於 Windows 通用控制項當中,歹徒因而能執行惡意程式碼。