國家級駭客組織所利用之惡意程式TAIDOOR,請勿點選或開啟任何可疑的檔案並提高警覺!

風險等級: 高度威脅
摘 要: 病毒通告:國家級駭客組織所利用之惡意程式TAIDOOR,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 1.部署黑名單於防護設備進行偵測,監控是否有資訊設 備已遭入侵 2.可依參考資訊連結,取得詳細惡意程式特徵如雜湊值與偵測規則,用以偵測系統是否存在相關惡意程式, 若確認資訊設備已遭入侵,建議立即進行必要處理措 施: (1)針對受害電腦進行資安事件應變處理。
(2)重新安裝作業系統,並更新作業系統及相關應用軟體。
細節描述: 1.Taidoor早在2008年就被用於系統攻擊。最新發現到的樣本是Taidoor x86及x64版本,它是以一個服務DLL檔安裝到目標系統內,執行後釋出兩個檔案。
第一個是Taidoor下載器,負責下載並解密出第二個檔案,即主要的遠端存取木馬程式(RAT),也就是Taidoor,它會被寫入電腦記憶體中執行。
Taidoor RAT一半是代理伺服器部署,以避免曝露出來源伺服器。

2.IP/host黑名單如下:
210[.]68[.]69[.]82
156[.]238[.]3[.]162
infonew[.]dubya[.]net
cnaweb[.]mrslove[.]com

3. SHA256雜湊值如下:
0d0ccfe7cd476e2e2498b854cef2e6f959df817e52924b3a8bcdae7a8faaa686(svchost.dll)
363ea096a3f6d06d56dc97ff1618607d462f366139df70c88310bbf77b9f9f90(svchost.dll)
4a0688baf9661d3737ee82f8992a0a665732c91704f28688f643115648c107d4(ml.dll)
6e6d3a831c03b09d9e4a54859329fbfd428083f8f5bc5f27abbfdd9c47ec0e57(rasautoex.dll)

參考資訊: US-CERT
iThome