月份: 2016 年 9 月

行動裝置勒索病毒:Android 勒索病毒威脅成長 15 倍

趨勢科技 TrendMicro

過去 18 個月來,趨勢科技目睹 個人電腦勒索病毒 Ransomware (勒索軟體/綁架病毒) 稱霸資安威脅版圖,不論數量和破壞力都前所未見。但現在,網路犯罪集團已開始將矛頭指向另一個目標:Android 行動裝置平台。根據我們的研究顯示,2016 年 6 月 Android 勒索病毒威脅較 2015 年 4 月成長了 15 倍[i]

行動裝置勒索病毒威脅最早出現在二年多前,此後便幾乎銷聲匿跡,因為大家的目光都在它的老大哥身上,也就是電腦版勒索病毒。但我們是不是該對行動勒索病毒多點關注?讓我們來看看你為何該注意這項威脅、這項威脅如何散布,以及你如何維護行動裝置安全。

你為何該注意  ?你可以一日不用電腦 ,但是手機呢?

勒索病毒會鎖住你的電腦或行動裝置,或者將你的檔案加密,你必須支付網路犯罪集團一筆贖金才能解開你的電腦和檔案。若你不支付贖金,歹徒會將你的照片和文件永久刪除,或者讓你永遠都無法使用電腦或行動裝置。

在今日,行動裝置比個人電腦更融入我們的日常生活當中,因此若遭到勒索病毒攻擊,將造成莫大的影響,這一點,任何曾經遺失手機的人都會懂。

行動裝置勒索病毒如何散布? 瀏覽色情網站、網路論壇或點選簡訊中的垃圾連結都可能遭到攻擊

行動勒索病毒會冒充正常應用程式、熱門遊戲、Flash 播放程式、視訊播放程式或是系統更新,經常出現在非官方應用程式商店 (趨勢科技至今仍未在 Google Play 商店上發現任何勒索病毒威脅)。此外,你也可能因瀏覽色情網站、網路論壇或點選簡訊中的垃圾連結而遭到攻擊。

行動裝置勒索病毒如何運作? 繼續閱讀

<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播

趨勢科技 TrendMicro

勒索病毒 Crysis會注入木馬程式到重新導向或連接的設備,如印表機和路由器,以便讓攻擊者能夠重新進入和感染系統,即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金,因為看來只能解決一時的問題。

Crysis勒索病毒可以結合RSA和AES的加密演算法來加密185種類型的檔案,使用 vssadmin來刪除備份,並且修改註冊表來使得在每次啟動時都會自動執行。

 

今年二月出現的勒索病毒 Ransomware (勒索軟體/綁架病毒) RANSOM_CRYSIS.A,現在會透過暴力破解遠端桌面協定(RDP)散播,目前澳洲和紐西蘭的企業傳出疫情。

在今年六月初曾經報導過Crysis想接手TeslaCrypt所留下的市場(因為TeslaCrypt作者決定結束業務),並且追上勒索病毒界中流行的Locky。Crysis主要透過垃圾郵件散播,可能是帶有雙重副檔名的木馬化病毒附加檔案(將惡意軟體偽裝成非執行檔的一種手法),或是連到受感染網站,網路服務也可能會散播合法軟體的可疑安裝檔。現在它也會將暴力破解攻擊遠端桌面協定作為其感染途徑之一。

Windows遠端存取工具所具備的資源重新導向功能讓使用者可以方便的存取、處理和使用本地磁碟的檔案、印表機、剪貼簿和可移除設備等資源。使用暴力破解攻擊遠端桌面協定的Crysis,利用來源電腦的重新導向磁碟,執行勒索病毒。

圖1、透過RDP暴力破解攻擊的Crysis感染流程示意

 

RDP是內建在Windows作業系統的功能,可以讓使用者透過網路來連接另外一台電腦。RDP常會被針對性攻擊/鎖定目標攻擊(Targeted attack )利用來取回資料,竊來的資料可以放到網路地下市場販賣,還可以將劫持的系統整合到「Botnet傀儡殭屍網路」內來發動進一步的惡意攻擊。 繼續閱讀

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體

趨勢科技 TrendMicro

七月台灣發生金融史上頭一遭,ATM自動吐鈔盜領事件!國際犯罪集團以惡意程式入侵台灣第一銀行自動櫃員機電腦系統,利用遠端操控模式讓全台34台提款機自動提款機(ATM)自動吐鈔,盜領八千萬。接著八月泰國亦發生銀行ATM遭盜領1229萬泰銖(約合新台幣1130萬元)事件。資安趨勢部落格曾報導過ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升,以下這篇文章將分析新提款機( ATM )惡意軟體:Ripper。

 

 Ripper能夠讓提款機吐出大量金錢,也稱為「jackpotting中大獎」。它可以從插入卡片的EMV晶片和磁條讀取資料。這可能是種認證方式,確認共犯實際上位在提款機前。這個惡意軟體還具備自毀功能,可以從受影響系統消除自身的所有痕跡。這可以阻礙目標銀行發現和解決攻擊。

————————————————-

八月資安研究人員發表一篇報告討論稱為Ripper的新提款機( ATM )惡意軟體,認為它跟泰國最近的自動提款機(ATM)攻擊有關。作為預防措施,曾有大批自動提款機被暫時關閉。

這份研究綜述了此惡意軟體所使用的技術,針對的三大提款機廠商及Ripper和之前自動提款機(ATM)惡意軟體的比較。他們的分析是根據MD5雜湊值為15632224b7e5ca0ccb0a042daf2adc13的檔案。此檔案在8月23日從泰國使用者上傳到Virustotal。

趨勢科技在分析過程中注意到一些其他的細節,這是在之前的分析中所沒有或似乎有所矛盾的地方。我們將在本篇文章中強調這些差異。並且提供一些技術指標(如code offset程式碼偏移量)來讓其他研究人員可以繼續延伸我們的工作。

在今年四月,趨勢科技的前瞻性威脅研究小組和歐洲刑警組織EC3合作一篇關於當時所有提款機惡意軟體威脅的綜合報告。我們在之後一直注意新出現的惡意軟體。該份報告提供給金融和執法機構社群的成員。如果你身為這些產業的一份子而沒有收到這份報告,可以聯絡Robert McArdle繼續閱讀

《資安新聞周報》雅虎逾 5億用戶個資外洩!/ 訂房個資外洩 16人被騙180萬/

趨勢科技TrendMicro

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

雅虎證實5億用戶資料遭駭客竊取  中時電子報網

巴哈馬文件解密 全球政要名流再度心惶惶  聯合新聞網

鹹濕照遭駭 勞森衰不停  自由時報電子報

假退費真詐財 訂房個資外洩 16人被騙180萬  中國時報

輔大性侵案擴大 駭客「匿名者」揚言公布教職員資料  中時電子報網

嚇!騰訊駭客入侵特斯拉 19公里內遙控汽車  聚財網

勒索病毒猖獗 Q2受害季增4倍  工商時報

八秒一次病毒攻擊! PC-cillin 2017雲端版來罩你  雅虎奇摩

勒索病毒攻擊 26%民眾會付贖金  聯合新聞網

很怕私密檔案被綁架?資安專家建議做 4 件事!  自由時報電子報

假退費真詐財 訂房個資外洩 16人被騙180萬 聯合新聞網

在出現勒索訊息之前,勒索病毒暗中做的四件事  電腦硬派月刊 繼續閱讀

如何阻止勒索病毒滲透企業網路和在內部蔓延?

趨勢科技 TrendMicro

這是探討勒索病毒 Ransomware (勒索軟體/綁架病毒)四部曲中的第三部。這個系列文章會探討勒索病毒用來攻擊使用者和企業的各種技術。同時也說明了,如果想減少勒索病毒所帶來的風險,最好的辦法是在企業網路的各個部位實施多層次防護 – 閘道、端點、網路和伺服器。

可以到這裡閱讀之前的文章:

勒索病毒 Ransomware (勒索軟體/綁架病毒)已經成為影響數百萬使用者並且掠取數百萬美元的嚴重問題。本系列之前的文章探討勒索病毒進入系統的方式及加密的行為。在本篇文章中,我們將研究勒索病毒如何使用網路及可能的解決方法。

檢視網路連線相當有用,因為網路活動是企業內部惡意活動進行的指標。反之,如果企業對網路沒有適當的能見度,就可能因為未受管理的設備(它們不一定受到閘道安全軟體的保護)或可信任設備來的未經授權連線而造成勒索病毒的感染。

受感染的企業內部電腦在勒索病毒攻擊中可能扮演兩種角色:

  • 成為通訊中繼站
  • 變成病毒擴散到其他系統和伺服器的幫兇

 

角色#1:命令和控制(C&C

對勒索病毒來說,網路最重要的用途是連接攻擊者的命令與控制(C&C)伺服器,因為勒索病毒通常需要這連線來取得加密檔案用的金鑰。

金鑰會由C&C伺服器送到中毒電腦用來加密目標檔案。如果連線建立完成,多數勒索病毒會從C&C伺服器取得公共金鑰,並用它來加密目標檔案。對應的私鑰會一直留在攻擊者那邊。公鑰可以隨時加以改變,而不會在惡意程式碼中發現任何金鑰。

如果無法建立與C&C伺服器的連線會發生什麼事?大多數勒索病毒(像是CryptoWall)不會去加密任何檔案。不過也有些變種可以自己進行加密的動作。一個例子是CrypXXX,在程式碼中內嵌了預設金鑰。Cerber變種通常會在本機產生金鑰,讓安全研究人員比較容易進行逆向工程,並替使用者製造解密工具來回復加密檔案。新的變種偏好使用來自C&C伺服器的金鑰,讓使用固定金鑰的解密工具無用武之地。

角色#2:擴散

勒索病毒還可以在企業內部透過網路分享散播。當勒索病毒在中毒系統上執行時,多數都會加密本機磁碟和網路磁碟上的檔案。結果就是病毒會更快地在企業內部散播,結果本來只是單機的中毒問題,造成讓整個企業都停擺的後果。

如前所述,勒索病毒也能夠經由未授權的連線來侵入網路。比方說,Cryisis勒索病毒會利用遠端桌面協定(RDP)的暴力破解攻擊。在2016年3月,Surprise勒索病毒據報會使用偷來的TeamViewer登錄憑證來感染系統。

繼續閱讀