news2

《資安新聞周報》雅虎逾 5億用戶個資外洩!/ 訂房個資外洩 16人被騙180萬/

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

雅虎證實5億用戶資料遭駭客竊取  中時電子報網

巴哈馬文件解密 全球政要名流再度心惶惶  聯合新聞網

鹹濕照遭駭 勞森衰不停  自由時報電子報

假退費真詐財 訂房個資外洩 16人被騙180萬  中國時報

輔大性侵案擴大 駭客「匿名者」揚言公布教職員資料  中時電子報網

嚇!騰訊駭客入侵特斯拉 19公里內遙控汽車  聚財網

勒索病毒猖獗 Q2受害季增4倍  工商時報

八秒一次病毒攻擊! PC-cillin 2017雲端版來罩你  雅虎奇摩

勒索病毒攻擊 26%民眾會付贖金  聯合新聞網

很怕私密檔案被綁架?資安專家建議做 4 件事!  自由時報電子報

假退費真詐財 訂房個資外洩 16人被騙180萬 聯合新聞網

在出現勒索訊息之前,勒索病毒暗中做的四件事  電腦硬派月刊 Continue reading “《資安新聞周報》雅虎逾 5億用戶個資外洩!/ 訂房個資外洩 16人被騙180萬/"

勒索病毒 feature_image_400x400-200x200

如何阻止勒索病毒滲透企業網路和在內部蔓延?

這是探討勒索病毒 Ransomware (勒索軟體/綁架病毒)四部曲中的第三部。這個系列文章會探討勒索病毒用來攻擊使用者和企業的各種技術。同時也說明了,如果想減少勒索病毒所帶來的風險,最好的辦法是在企業網路的各個部位實施多層次防護 – 閘道、端點、網路和伺服器。

可以到這裡閱讀之前的文章:

勒索病毒 Ransomware (勒索軟體/綁架病毒)已經成為影響數百萬使用者並且掠取數百萬美元的嚴重問題。本系列之前的文章探討勒索病毒進入系統的方式及加密的行為。在本篇文章中,我們將研究勒索病毒如何使用網路及可能的解決方法。

檢視網路連線相當有用,因為網路活動是企業內部惡意活動進行的指標。反之,如果企業對網路沒有適當的能見度,就可能因為未受管理的設備(它們不一定受到閘道安全軟體的保護)或可信任設備來的未經授權連線而造成勒索病毒的感染。

受感染的企業內部電腦在勒索病毒攻擊中可能扮演兩種角色:

  • 成為通訊中繼站
  • 變成病毒擴散到其他系統和伺服器的幫兇

 

角色#1:命令和控制(C&C

對勒索病毒來說,網路最重要的用途是連接攻擊者的命令與控制(C&C)伺服器,因為勒索病毒通常需要這連線來取得加密檔案用的金鑰。

金鑰會由C&C伺服器送到中毒電腦用來加密目標檔案。如果連線建立完成,多數勒索病毒會從C&C伺服器取得公共金鑰,並用它來加密目標檔案。對應的私鑰會一直留在攻擊者那邊。公鑰可以隨時加以改變,而不會在惡意程式碼中發現任何金鑰。

如果無法建立與C&C伺服器的連線會發生什麼事?大多數勒索病毒(像是CryptoWall)不會去加密任何檔案。不過也有些變種可以自己進行加密的動作。一個例子是CrypXXX,在程式碼中內嵌了預設金鑰。Cerber變種通常會在本機產生金鑰,讓安全研究人員比較容易進行逆向工程,並替使用者製造解密工具來回復加密檔案。新的變種偏好使用來自C&C伺服器的金鑰,讓使用固定金鑰的解密工具無用武之地。

角色#2:擴散

勒索病毒還可以在企業內部透過網路分享散播。當勒索病毒在中毒系統上執行時,多數都會加密本機磁碟和網路磁碟上的檔案。結果就是病毒會更快地在企業內部散播,結果本來只是單機的中毒問題,造成讓整個企業都停擺的後果。

如前所述,勒索病毒也能夠經由未授權的連線來侵入網路。比方說,Cryisis勒索病毒會利用遠端桌面協定(RDP)的暴力破解攻擊。在2016年3月,Surprise勒索病毒據報會使用偷來的TeamViewer登錄憑證來感染系統。

Continue reading “如何阻止勒索病毒滲透企業網路和在內部蔓延?"

HR

你具備法文讀寫能力嗎?歡迎來到網路犯罪地下世界,如果你不介意用贓物作為酬勞的話!

你具備法文讀寫能力嗎?你可以敏銳的分辨出錯誤和正確的法文拼寫及文法嗎?你或許能夠在法國網路犯罪世界工作—-如果你不介意用贓物作為酬勞的話。

根據趨勢科技最近在法國地下網路的發現,我們看見了有趣的發展 – 地下網路在徵求一位「清理人(Cleaner)」,並且將職務說明貼到論壇上來徵求合適人選。根據職務說明,「清理人(Cleaner)」的工作是要檢查拼寫錯誤及文章可讀性並且來清理內容。

這是我們第一次看到徵人廣告直接貼在地下網路。這樣的廣告在一般的網站可能看起來相當正常。但這廣告的四周都是販賣惡意軟體或網路犯罪即服務等廣告,而且這份工作聽起來有點太過容易。話又說回來,這工作也可能相當具有挑戰性,因為法文有陰陽性名詞以及各種不同的詞性變化規則。

以下是我們所看到的徵人廣告截圖:

 

圖1、清理人(Cleaner)的廣告

Continue reading “你具備法文讀寫能力嗎?歡迎來到網路犯罪地下世界,如果你不介意用贓物作為酬勞的話!"

Instagram終於加入放大照片功能啦!有什麼眉眉角角需要注意呢?

數週前,Instagram釋出一則影片呈現最新放大照片Pinch to zoom功能,這個新功能可以讓使用者以雙指反方向滑動的手勢輕易縮放照片、影片。Instagram官方於內文表示雖然暫時只限定iOS用戶,但Android愛好者也無須久等喲!終於,讓我們等到了 🙂

instagram-zoom1

你知道嗎?除了偶爾犯懶不想修痘痘的女生會擔心舊照被翻出來外,其實「放大」這個極其普遍功能有許多安全上的隱憂。若一天8篇發文,就能推測出你住家和辦公室位置,當平凡的街景經由放大看到路牌或標的性建築,發圖文實際上與打卡相去不遠了。另外值得注意的是車牌、證件編號、登機證條碼等,若不小心出現也是一種潛在威脅喔! Continue reading “Instagram終於加入放大照片功能啦!有什麼眉眉角角需要注意呢?"

又有明星私密照?是時候好好正視密碼這道防線了!

本週娛樂新聞亮點除了布裘銀色夫妻組解散,還有GD戀小8歲日本嫩模 私密浴照火辣流竄。年僅 20歲的日籍女模小松菜奈於9月18日被爆與BIGBANG隊長GD相戀,起因源自於GD私人Instagram帳號疑似遭駭客盜用,而使得GD與小松菜奈的私下親密照曝光。
01
明星、名人私人照流出已不是第一次了,2014年
蘋果 iCloud 平台遭逢駭客攻擊,多位明星私密照流出,包含許多已刪除許久的照片、影片。當時涉及到的明星包括奧斯卡影后珍妮佛勞倫斯(Jennifer Lawrence)、愛莉安娜·格蘭德(Ariana Grande),凱特·阿普頓(Kate Upton)和維多利亞·嘉絲蒂(Victoria Justice)等等。 Continue reading “又有明星私密照?是時候好好正視密碼這道防線了!"

勒索病毒 feature_ransomeware-200x200

勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

雖然趨勢科技所看到的大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)只針對儲存在本地磁碟、可移除式媒體和網路分享上的特定檔案類型或資料夾,我們也發現到有些勒索病毒並不挑剔:HDDCryptor。被偵測為Ransom_HDDCRYPTOR.A的HDDCryptor不僅會針對網路分享的資源,如透過伺服器訊息區塊(SMB)分享的磁碟、資料夾、檔案、印表機和序列端口,還會鎖住磁碟。這種破壞性作法讓此勒索病毒成為家庭用戶及企業嚴重而真實的威脅。

圖1、勒索信的照片;HDDCryptor使用寫死的惡意軟體ID(123141),這意味著運作者可能只用單一的解密金鑰。
圖1、勒索信的照片;HDDCryptor使用寫死的惡意軟體ID(123141),這意味著運作者可能只用單一的解密金鑰。

 

感染媒介和安裝方式

HDDCryptor可能是透過無意間從惡意網站下載或是經由其他惡意軟體所帶來的方式感染系統。這個勒索病毒的安裝方式是將數個組件(正常或惡意的都有)植入系統的根目錄:

  • dll(偵測為Ransom_HDDCRYPTOR.A)
  • exe(用來加密磁碟)
  • exe
  • sys
  • txt(惡意軟體活動日誌)
  • EXE(掃描掛載中的網路磁碟和加密儲存在上面的檔案)
  • exe(用來掃描之前存取過的網路資料夾)
  • txt(用來儲存關於掛載網路磁碟的資訊)
  • txt(用來儲存使用者密碼)

它還會加入一個名為DefragmentService的服務並且透過命令行加以執行,好持續存活在系統內。

Continue reading “勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟"

網路犯罪

法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」

有別於多數,法國地下市集的服務對象比較偏向小型隨身武器的買家、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

不信任感讓法國地下市場瀰漫著猜忌

圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。
圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。

現在我們知道法國網路犯罪集團絕大多數都在深層網路 (Deep Web) 活動,尤其是在所謂的「黑暗網路」(Dark Web)。不過每隔一陣子,網路犯罪集團就會浮上表層網路 (Surface Web) 刷一下存在感。例如,目前已經消失的網路犯罪市集「當駭客們互駭 – 在法國地下世界上演的戲碼」前一陣子就在 YouTube 上刊登廣告。而巴西北美的地下市集則是利用社群媒體平台來宣傳自己的非法業務。那麼法國有何獨特之處?

若要說法國地下市集有何獨特之處,那就是瀰漫著一股極端謹慎的氛圍。所有論壇/市集的經營者都對新進成員保持戒心。任何有興趣進入論壇/市集的人,都必須先繳交一筆蠻大的會費,甚至要接受一番調查。新進成員獲得的待遇有別於已獲同儕信任的成員。論壇的系統管理員只允許取得一定聲望值的人積極參與活動。會員所從事的網路犯罪交易越成功,其聲望值就越高。

這種瀰漫在市集間的不信任感,也助長了成員之間的猜忌。因此,第三方代管 (Escrow) 服務是確保交易順利進行的必要機制,如同俄羅斯和德國的市集一樣。挺諷刺的是,每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。
圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

Continue reading “法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」"

pcc2017

全台每8秒一個裝置受到勒索病毒攻擊!網友心痛指數抓狂排行 No.1:【 那一年我們的照片被綁架 】

 

PC-cillin 2017雲端版全新上市,3+1多層式防護遠離勒索病毒威脅

 

【2016年9月21日台北訊】勒索病毒全球肆虐,引發消費資安危機!趨勢科技針對台灣勒索病毒最新現況提出警訊:全台平均每8秒就有一個裝置受到攻擊!其中有高達4成是針對一般消費者的電腦裝置進行攻擊。在日漸頻繁的勒索病毒攻擊下,網路大數據顯示消費者最心痛的遭勒索經歷前三名依序為:舊時照片找不到、拯救電腦要花錢以及重要文件打不開,再再都造成消費者難以計算的精神與金錢損失。為提供消費者更全面的資安防護,趨勢科技PC-cillin 2017雲端版於今(21日)宣布正式上市,除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!

afs_0219_fix

台灣勒索病毒警鐘快響,全台每8秒就有一個裝置受到攻擊

台灣勒索病毒攻擊日趨嚴重,根據趨勢科技最新統計數據顯示,最近六個月台灣遭勒索病毒攻擊總數超過200萬次,換算平均每8秒就有一個裝置遭受攻擊;其中有4成是針對一般消費者的攻擊。趨勢科技台灣暨香港區總經理洪偉淦表示:「台灣是亞太區遭勒索病毒攻擊第二高的國家,僅次於日本。 2016年上半年整體勒索病毒攻擊次數相較去年同期成長了4倍;其中針對消費端裝置的攻擊在2016第二季相較第一季更是急速成長4倍,可見勒索病毒威脅正以驚人的速度影響一般民眾的生活。」

afs_0504

最心痛勒索經歷排行:兒時照片找不到、拯救電腦要花錢、重要文件打不開

勒索病毒對民眾所造成的危害已經不容忽視, 根據趨勢科技與網路溫度計合作的網路大數據分析註1,民眾最心痛遭勒索病毒攻擊經歷排行前五名依序為:

Continue reading “全台每8秒一個裝置受到勒索病毒攻擊!網友心痛指數抓狂排行 No.1:【 那一年我們的照片被綁架 】"

Check in打卡

CryLocker勒索病毒利用PNG檔案上傳受害者資料,透過 Google Map定位 API取得相關位置

利用正常網站當作命令與控制伺服器(C&C)通常是惡意軟體為了避免目標起疑的作法。雖然多數勒索病毒 Ransomware (勒索軟體/綁架病毒)會直接將收集到的資訊送到指定的C&C伺服器,也有些變種會略有不同。像是CuteRansomware會利用Google文件將資訊從受感染系統送給攻擊者。

最新的一個勒索病毒 CryLocker(偵測為RANSOM_MILICRY.A)也是類似地會利用Imgur,這是個免費線上圖片網站讓使用者上傳照片與朋友分享。在趨勢科技監控漏洞攻擊套件活動時,發現 Rig和Sundown都會散播此威脅。

勒索病毒打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿

這是我們第一次看到利用PNG圖檔來打包收集自中毒系統的資料。PNG圖檔也是網路犯罪分子追蹤受害者的手法。從中毒系統收集資料後,勒索病毒會將PNG圖檔上傳到Imgur相簿。攻擊者主要是利用此手法來躲避偵測並持續在系統上保持隱匿。趨勢科技已經通知 Imgur 關於CryLocker對他們服務的惡意使用。

 

圖1、受害者資料被打包成PNG圖檔並上傳到Imgur相簿的截圖。

 

漏洞攻擊套件透過惡意廣告散播

趨勢科技在9月1日發現惡意廣告活動透過 Rig漏洞攻擊套件來散播此勒索病毒。但從9月2日開始就停止派送。仔細檢查上傳到Imgur的 PNG圖檔後,我們注意到有資料是早在8月25日就被加密。

圖2-3、Sundown和Rig漏洞攻擊套件的流量

Continue reading “CryLocker勒索病毒利用PNG檔案上傳受害者資料,透過 Google Map定位 API取得相關位置"

警察打來說之前被詐騙的錢可以拿回了?等等,假的!

近日165反詐騙諮詢專線發現,陸續有曾遭ATM解除分期付款詐騙的民眾再度接獲詐騙電話,假冒警察(金管會)說民眾之前的網購被詐騙案件,警方已逮捕詐騙集團成員,並起獲贓款,要協助報案人辦理退款動作,要求民眾前往操作ATM提款機,民眾因此再次受騙。

blog_pic Continue reading “警察打來說之前被詐騙的錢可以拿回了?等等,假的!"