行動電話如何變成企業威脅?

在去年,手機的數目已經超過了全世界的總人口數。在美國手機用戶的數量超過了傳統室內電話用戶,而且有一半的人只用手機通訊。在現代的智慧化城市裡,無線建築正逐漸成為一般家庭、工廠和公司的新建設標準。有線電話遲早有一天會消失。

儘管電話詐騙聽似古老的駭客技術,電話(特別是手機)對使用者和企業來說仍然很重要。就像企業電子郵件帳號會成為魚叉式釣魚攻擊(SPEAR PHISHING)的目標一樣,公司電話現在也會成為網路犯罪分子社交工程(social engineering )攻擊的目標。

比方說,使用者在不知不覺中給出自己的公司電話號碼(如在社群網站上),讓詐騙分子可以輕易地這些地方入手來收集所需的電話號碼。這些人接著用社交工程攻擊來躲過一般網路和電子郵件所具備的保護機制。

雖然電話阻斷服務攻擊及自動撥號攻擊是已知且被認為只是擾人的事情,行動電話出現更加複雜的攻擊,主要是在手動及社交工程電話的方式。趨勢科技前瞻性威脅研究(FTR)團隊(與紐約大學、新加坡管理大學和喬治亞理工學院合作)最近部署了一套行動電話蜜罐系統(mobipot)來研究行動電話威脅和網路犯罪生態系統。我們不僅想知道這些攻擊怎麼進行,還有網路犯罪組織的方式。

Mobipot用honeycard(由研究人員管控的SIM卡,會記錄電話和訊息形式的攻擊)配置。這些honeycard的號碼透過多種方式來送給可能的攻擊者,包括執行手機病毒來洩露儲存在測試手機上聯絡人的號碼。

 

圖一介紹了Mobipot的架構,圖二則秀出其硬體。

圖1、Mobipot架構

圖2、Mobipot硬體

詐騙來電和簡訊大多數都出現在上班時間,可以看出網路犯罪分子想將其混入正常流量加以掩護

經過超過七個月的時間,研究人員收集了來自215發送者的1,021則訊息及來自413組號碼的634通語音電話。有超過80%都屬於不正常的來電或訊息,包括垃圾訊息、語音釣魚和針對性攻擊等威脅。

這些來電和簡訊大多數都出現在上班時間。可以看出網路犯罪分子想將其混入正常流量好看起來合法。詐騙分子還利用GSM代理系統和VoIP技術來掩飾偽造自己的發話號碼,讓傳統的黑名單偵測技術無法發揮效用,必須具備能考量脈絡資訊的新技術。

 

詐騙和垃圾訊息佔這些不正常通訊的 65%

用自動撥號和簡訊的方式出現,詐騙和垃圾訊息佔這些不正常通訊的65%。Mobipot收到的訊息包括提供鈴聲、行動資費方案、網路服務和遊戲及其他種類的廣告。下面是一些有趣的例子:

  • 私家偵探提供盯哨和監視服務
  • 駭客服務,如進入個人電子郵件和監聽使用者。
  • 交易非法商品,如偷來的信用卡、被入侵的支付帳戶、Paypal與驗證的餘額以及不同金額和形式的發票。
  • 政治宣傳(在中國收到):「祝你新年平安。這通電話是想告訴你中國的苦難仍在繼續。我們要如何可以不浪費錢?[…]忠於中國共產黨。在我們的計畫中要改革土地[…]」

Continue reading “行動電話如何變成企業威脅?”

法國總統大選在即 外交部斷然取消海外電子投票

總統大選人在海外嗎?別擔心電子投票讓你公民參與零距離。海外公民能以電子投票已不是新聞,這項技術在2012年法國議員選舉,讓70萬海外法國人輕鬆投票。然而,本周日法國總統選舉投票日就在眼前,法國外交部卻取消了海外法國人的電子投票。

去年,至少有八起針對政治團體的高調攻擊活動,分別發生在:美國、德國、烏克蘭、土耳其和蒙特內哥羅等國家。其中,最受矚目的是美國總統大選期間,數十名政界人士、民主黨全國委員會(DNC)工作人員、演說稿作者、資料分析師、前歐巴馬競選活動人員、希拉蕊競選活動人員,甚至是企業贊助者都曾被多次鎖定。 Continue reading “法國總統大選在即 外交部斷然取消海外電子投票”

《資安新聞周報》黏土轉印破解指紋解鎖/ 詐騙郵件7徵兆 / 跳出字形或 windows 更新,竟是勒索病毒搞鬼

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

按個讚,莫名貼情色文,還被移送法辦!每天有 100 次掉入網路釣魚陷阱,必學5招自保 資安趨勢

【可疑郵件處理SOP】你該知道的詐騙郵件7徵兆 iThome

Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! 資安趨勢

LINE 臉書詐騙 北市去年逾億元 聯合報

【科技詐騙頻傳】詐騙集團入侵LINE「借款」 中、老年人易上當      鏡週刊

【自保這樣做】智慧手機沒隱私? 3成有安全漏洞       台灣蘋果日報網 Continue reading “《資安新聞周報》黏土轉印破解指紋解鎖/ 詐騙郵件7徵兆 / 跳出字形或 windows 更新,竟是勒索病毒搞鬼”

Locky 勒索病毒等惡意程式,如何反制傳統的沙盒模擬分析?

沙盒模擬分析經常是傳統端點防護與網路防護的最後一道防線。所謂沙盒模擬分析正如其名所言,就是讓惡意程式或可疑檔案在虛擬化的控制環境當中毫無顧忌地執行,然後分析其行為,藉此判斷檔案是否安全。此方法有助於確保端點安全,將不信任的檔案隔離,以免對系統造成損害,甚至危害企業基礎架構。

然而,如果惡意程式找到了可以避開沙盒模擬分析的方法呢?如果惡意程式可以知道自己正在沙盒模擬環境當中執行呢?如果惡意程式刻意隱藏自己的惡意行為,讓沙盒模擬環境看不出來呢?

以下探討當前一些知名的惡意程式,看看它們如何騙過傳統資安防護、如何在系統上暢行無阻,以及新的「進階」沙盒模擬分析技巧如何解決這些問題。

不怕沙盒模擬分析技巧的知名惡意程式

Locky  勒索病毒家族  (趨勢科技命名為:RANSOM_LOCKY) 是最經典的範例,它最著名的就是能夠利用多種方法來感染系統,包括: 加密的 DLL、 Windows 腳本檔以及社交工程 垃圾郵件附件檔案  (暗藏惡意巨集的文件檔、.RAR 壓縮檔,以及JavaScript 和 VBScript 腳本),或者利用漏洞攻擊套件  (例如之前收錄了 Flash 零時差漏洞的某個攻擊套件)。

Locky 在 2016 年因為使用了系統核心漏洞攻擊套件而備受矚目。其攻擊程序使用了一個木馬程式 (TROJ_LOCKY.DLDRA) 來當作檔案下載工具,該木馬程式會利用一個本機權限升級漏洞 (CVE-2015-1701:早在 2015 年 5 月 12 日即已修補),偽裝成一個系統執行程序來騙過沙盒模擬分析。藉由系統核心漏洞,駭客就能透過系統核心機制 (如:工作項目、系統執行緒、非同步程序呼叫) 來連線至幕後操縱 (C&C) 伺服器並下載勒索病毒。所以,駭客不需在系統上產生檔案就能讓系統感染惡意程式。此技巧通常會配合當年 Magnitude 漏洞攻擊套件所收錄的某個零時差漏洞  (CVE-2016-1019:2016 年 4 月 5 日已修補)。

最近較新的 勒索病毒家族 也開始積極利用某些技巧來判斷自己是否在虛擬機器 (VM) 或沙盒模擬環境當中執行。例如 Locky 的變種就會利用層層編碼的惡意 JavaScript 來下載並執行壓縮的 DLL 檔案,內含偵測虛擬機器和執行環境的程式碼。KeRanger (OSX_KERANGER) 是一個暗藏在檔案分享軟體與惡意 Mach-O 檔案的 Mac 平台勒索病毒,可在被感染的系統上蟄伏三天之後再開始加密系統上的檔案。

Shamoon/Disttrack (WORM_DISTTRACK 家族) 最早發現於 2012 年,通常出現在針對性攻擊當中,主要攻擊對象為中東地區知名機構。它會將系統主開機磁區 (MBR) 清除,讓受害機構網域下的電腦和伺服器無法開機。當它在 2016 年 12 月重出江湖時,開始多了一個反制沙盒模擬分析環境的技巧,感染當下不會出現惡意行為,而是設定了一個定時炸彈在特定日期和時間觸發,此時才會在系統上植入惡意元件。

無檔案式惡意程式如何避開沙盒模擬分析?

對於無檔案式攻擊來說,元件越少越好。因為這類攻擊一般並無實際的檔案,也不會下載檔案到受害電腦或寫入硬碟,惡意程式通常直接在系統記憶體中執行。對駭客來說,沒有實體可分析的檔案就不會留下太多痕跡,有助於反制傳統的沙盒模擬分析。 Continue reading “Locky 勒索病毒等惡意程式,如何反制傳統的沙盒模擬分析?”

大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板

四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?

關於 Cloud Hopper 攻擊行動,企業該如何防範?

資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。

受害對象已延伸到亞洲

該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。 Continue reading “大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板”

French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本

近期勒索病毒:更難偵測的手法與躲避技巧

勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄,他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式,甚至更強硬的勒索方式來逼迫受害者就範。

最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER), 這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中,相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。

系統一旦感染 CrptXXX,受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站,然後輸入勒索病毒產生的識別碼 (ID),接著遵照指示付款。

French Locker在螢幕上顯示10 分鐘的倒數計時器,時間一到就刪除一個檔案

French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器,每次 10 分鐘一到,就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染,或是由其他惡意程式植入系統當中,受害者可選擇英文或法文介面。首先,勒索病毒會將自己複製一份到系統上,然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。

圖 1:FrenchLocker 的勒索訊息畫面。
圖 1:FrenchLocker 的勒索訊息畫面。

Continue reading “French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本”

按個讚,莫名貼情色文,還被移送法辦!每天有 100 次掉入網路釣魚陷阱,必學5招自保

☒「前往我的賣場」竟連結到網路釣魚網站?!
☒ 網址明明是 Google 官網,居然連到 Yahoo?!
☒ 搜尋 LINE跳出山寨 LINE 詐騙網站,意圖盜帳號密碼!
☒ 按個讚,莫名貼情色文, 23歲女被移送法辦 !

網路釣魚陷阱何其多,在2012年的 Black Hat USA安全大會上所做的調查顯示,69%的人表示每週都會有網路釣魚(Phishing)郵件進入到使用者的信箱。超過25%的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。

每天有100次掉進駭客陷阱的風險

根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,等於我們每天有100次掉進駭客陷阱的風險。 它出現在網路購物平台也出現在社群網站,他們有個共同性:”以假亂真”。台灣最近發生的案例, 報導中的雲林縣鐘姓女子,日前上網看了色情網站影片連結,一不小心按了讚之後,沒想到卻中毒,臉書帳號遭盜後被用來轉貼了暗示性交易相關訊息,因而觸犯「妨害風化案及兒童及少年性剝削防制條例」被函送法辦!警方表示,有犯罪集團利用工具軟體,將色情圖片與木馬程式結合,一旦點選相關連結,就會被導向臉書網路釣魚登錄假頁面,導致帳號被盜。

上述只是網路釣魚陷阱中的一小部分,詐騙集團最常使用網路釣魚(Phishing)蒐集個資,網路釣魚會得逞,通常是因為受駭目標無法區分真偽,以下舉幾個相似度高達 90%以上的以假亂真案例:

病毒史上冒名案例一:臉書被髒話洗版,原來是朋友們中了臉書髒話病毒!

這不禁讓人連想到當年的”飆髒話病毒”:媽媽竟在臉書飆髒話”X!太失望,你看看” , 當時很多人臉書都被髒話洗版了,包含平日形象端莊慈愛的媽媽,原來是不小心按到惡意連結, 不但會中毒還會自動散發病毒連結給臉書上的所有朋友。

曾經大量散發的臉書髒話病毒

 

病毒史上冒名案例二::“12 小時內不驗證帳號,將被永久停權”訊息“

一封假冒 Facebook 安全中心:“12 小時內不驗證帳號,將被永久停權”訊息“受害人重登入遭盜刷 !!
點色情影片,還拖臉書朋友下水! 看FB好友私訊推薦影片,竟被木馬附身!

[延伸閱讀:最多人誤點的 FB 詐騙公告]

✔臉書被盜怎麼辦?

透過下列網站取回帳號掌控權 https://www.facebook.com/hacked

✔懷疑接到來自假冒 Facebook 的網路釣魚郵件或訊息?
Facebook 網路釣魚檢舉信箱 :phish@fb.com

 

病毒史上冒名案例三:令人恨得牙癢癢的冒名裝熟簡訊

Continue reading “按個讚,莫名貼情色文,還被移送法辦!每天有 100 次掉入網路釣魚陷阱,必學5招自保”

企業可能遭遇的三種網路威脅:好大的胃口!網路捕鯨 (Whaling)專門鎖定企業高階主管

網路攻擊,不再是駭客獨自在黑漆漆的房間裡拼命敲著鍵盤…現代網路攻擊的實際樣貌

網路攻擊,不再是駭客獨自在黑漆漆的房間裡拼命敲著鍵盤…
網路攻擊,不再是駭客獨自在黑漆漆的房間裡拼命敲著鍵盤…

網路犯罪集團往往是跨國經營的財團,有能力執行深度的網路攻擊

資安軟體有時候會給你一種錯誤的安全感。根據《Information Age》的報導,金鑰與憑證管理解決方案廠商 Venafi 針對 500 名資訊長 (CIO) 做了一份調查,發現資訊長經常浪費數百萬美元在一些連合法與非法金鑰/憑證都無法分辨的網路資安解決方案。所以,才會有 90% 的受訪者表示他們的企業很可能遭到或已經遇到使用加密流量的網路攻擊。 Continue reading “企業可能遭遇的三種網路威脅:好大的胃口!網路捕鯨 (Whaling)專門鎖定企業高階主管”

跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! GC47 (Ransom_HiddenTearGCFS.A)有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。

< 近期勒索病毒回顧 >教學用開放原始碼勒索病毒,被網路犯罪集團用於不法用途

 前期勒索病毒回顧當中談到了一些新的 HiddenTear 勒索病毒變種,例如 Enjey Crypter (趨勢科技命名為 RANSOM_HiddenTearEnjey.A),該病毒是從 EDA2 勒索病毒衍生而來。與 HiddenTear 一起開發的 EDA2 原本也是教學用開放原始碼勒索病毒,但後來被網路犯罪集團用於不法用途。

本次發現的許多變種都是從 HiddenTear 勒索病毒小幅修改而來。下文介紹兩隻:

GC47 (Ransom_HiddenTearGCFS.A):顯示假的 Windows 升級視窗,被加密檔案副檔名還改為髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! GC47 (Ransom_HiddenTearGCFS.A)有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。一旦使用者點選了「ok」按鈕,就會開始執行加密程序。被加密的檔案包括文件、多媒體檔、影像檔等等,並且檔名末端會多了「.Fxck_You」副檔名。歹徒在勒索訊息當中要求支付 50 美元的檔案解鎖費用 (約 0.04 比特幣)。 Continue reading “跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話”

《資安新聞周報》張明正帶您認識世界加速劇變下的應變與反思/彈出「找不到字型」視窗,勒索病毒假冒的 !/

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

佛里曼鉅著《謝謝你遲到了》直播導讀分享:
趨勢科技張明正董事長,帶您認識世界加速劇變下的應變與反思!

勒索病毒家族數量飆升7倍 台灣成為主要攻擊目標      今日新聞網

Dropbox也淪陷  勒索病毒變種假冒 中央通訊社商情網

新型態勒索軟體出現,要解開軟體得先在遊戲中以最難模式達到超高分數  電腦王阿達

Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 !  資安趨勢部落格

6個你該意識到的Wi-Fi上網安全風險       iThome

趨勢發表Deep Security 10內建Xgen防護技術  CIO IT經理人

趨勢科技提醒變臉詐騙威脅日增 企業須做好四大防護  CIO IT經理人

趨勢科技守護消費者安心看劇,遠離檔案綁架惡夢!    iThome Weekly電腦報

趨勢科技Worry-Free 服務導入最新 XGen 防護技術      台灣產經新聞網

台灣版Kaggle!趨勢科技攜手國研院打造資料科學社群「T-brain」    數位時代

防毒、防隱私外洩、防騷擾多合一:趨勢安全達人介紹        比價王 Continue reading “《資安新聞周報》張明正帶您認識世界加速劇變下的應變與反思/彈出「找不到字型」視窗,勒索病毒假冒的 !/”