【2018年12月19日,台北訊】全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)發表2019年資安年度預測報告,針對網路安全威脅與網路犯罪攻擊趨勢,提出三大重點警示:憑證資料外洩遭盜用詐騙事件將不斷增加、網路釣魚攻擊手段將取代漏洞攻擊套件成為主要攻擊手法以及工控系統的安全性持續受到威脅。
趨勢科技臺灣區暨香港區總經理洪偉淦表示:「回顧今年全球資安政策推動,可觀察到各組織及企業對於資料安全的重視; 重大資訊安全事件的發生亦凸顯連網裝置普及所面臨的資安問題。預期在2019年企業和組織將導入更多連網設備,而連網速度也將大幅提升,資訊安全將面臨更廣泛與多元的挑戰,不僅企業對於資訊安全團隊的需求將提高,多層式智能防護的資安政策將在企業經營中扮演關鍵的角色,企業領導人對於網路安全的重視及培養經營團隊資安意識,更是建構自身企業網路安全防護架構的重要基石。」
圖像隱碼術(Steganography) – 將惡意檔案藏在圖片中來躲避偵測的方法,一直以來都被駭客用來散播惡意軟體或進行其他惡意攻擊。趨勢科技最近發現有駭客在「MEME」迷因圖(梗圖)上使用了這種技術。在10月25日和26日,攻擊者透過一個在2017年建立的 Twitter 帳號發表了兩條包含惡意Meme迷因圖的推文。圖內嵌了命令,讓惡意軟體從惡意 Twitter 帳號下載到受害者電腦後加以解析。變成電腦內惡意軟體的C&C服務。但要注意的是,惡意軟體並非從 Twitter下載,我們也沒有觀察到惡意軟體是用哪種機制散播給受害者。
編按:「Meme」指在網路上快速傳播擴散的爆紅內容,也有用發音/miːm/直譯為「迷因」, Meme圖通常指具有某種梗的圖片。
這個新威脅(偵測為TROJAN.MSIL.BERBOMTHUM.AA)值得注意的地方在於,惡意軟體透過合法服務(也是熱門的社群網路平台)接收命令,使用看似正常實為惡意的Meme迷因圖,而且除非關閉惡意Twitter帳號,不然無法中斷此威脅。Twitter在2018年12月13日已經關閉了該帳號。
隱藏在所提到圖片中的命令是「/print」,指示惡意軟體擷取受感染電腦的螢幕截圖。螢幕截圖會被送到駭客控制的C&C伺服器(利用pastebin.com來取得網址)。
趨勢科技發現,一旦惡意軟體在受感染電腦上執行,就會將從Twitter帳戶下載惡意Meme迷因圖到受害者電腦上。接著會取出圖內所藏的命令,在此次案例中是「print」命令,讓惡意軟體截取受感染電腦的螢幕截圖。接著惡意軟體會從Pastebin取得C&C伺服器資訊。再將所收集的資訊或命令輸出上傳到指定網址,傳送給攻擊者。
圖1、顯示Pastebin網址的惡意軟體程式碼
在分析過程中,我們看到Pastebin取得的網址指向內部或私有IP地址,這可能只是攻擊者臨時的設定。
圖2、Pastebin取得的網址指向私有IP地址
2012年全球最大石油公司遭駭 75%電腦受感染, 資安專家分析,造成3萬部電腦受影響的就是Shamoon病毒。2016年媒體報導沙烏地阿拉伯遭到「國家級」駭客攻擊 ,Shamoon 惡意程式出現升級版,攻擊沙國數個政府機關。近日趨勢科技看到了惡名昭彰的磁碟清除病毒Shamoon(又稱Disttrack)出現更新版本的報導。同時也發現了好幾個此版本Shamoon 的樣本(趨勢科技偵測為Trojan.Win32.DISTTRACK.AA和 Trojan.Win64.DISTTRACK.AA)。雖然無法確認此版本的病毒是否真的有在外面散播,但我們正在分析此病毒來確認其功能,因為它所可能帶來的破壞性影響。
趨勢科技的趨勢科技XGen™ 防護透過主動式技術(如行為分析和高保真機器學習)能夠保護使用者和企業不會遭受此磁碟清除病毒影響。以下是使用者和企業關於最新的Shamoon病毒所需要知道的資訊:
什麼是Shamoon/Disttrack?
Shamoon(或稱Disttrack)蠕蟲是種磁碟清除病毒。它會覆蓋掉受感染電腦內的檔案,同時會感染主開機紀錄(MBR)。它的第一代會覆蓋掉文件、圖像、影片和音樂檔,清除MBR並換成燃燒旗幟的圖檔。第二代使用的是張有名的難民照片。
新版本的Shamoon似乎具備相同的MBR清除功能。而據報跟之前刪除替換檔案的版本不同的是,這次有不可逆轉的加密檔案功能。它似乎也缺少一些元件,例如用於網路橫向移動及命令和控制(C&C)通訊的預設憑證。我們還在進行分析中,一旦有更新資訊就能夠加以確認。
這新版本的Shamoon/Disttrack有實際在外散播嗎?
根據報導,一個包含最新版 Shamoon的檔案從義大利上傳到VirusTotal。我們並沒有發現任何跡象顯示此版本的Shamoon有在外擴散。
智慧工廠(Smart Factories)是工業物聯網 (IIoT) 改造傳統製造業的最佳展現。製造業現在對智慧工廠的願景、能力、優勢和建置挑戰,已有相當程度的基本認識。然而最大改變之一就是,智慧工廠這類技術轉型需耗費相當龐大的經費,因此,如何發揮最大投資效益,將是一項重要的考量。針對這點,系統整合商可從重新評估現有的資安措施著手。
只要遭遇一次的網路攻擊,智慧工廠所帶來的效益,如:即時資料監控、供應鏈管理、預期性維護等等,將瞬間化為烏有。這正是為何企業在邁向「智慧化」時,千萬不能輕忽資安的重要性。不過,只要稍微研究一下過去的網路攻擊案例,並回顧一下網路攻擊常見的發生情況,就能發掘 IIoT 資安最常被忽略的問題以及最需要加強的地方。
重新回顧那些針對 IIoT 系統的攻擊,不僅有助於重新認識該領域的真正威脅,更能當成個案研究來讓我們進一步了解 IIoT 威脅的性質。下圖顯示過去十多年來一些專門針對 IIoT 系統的攻擊。
從這些事件可以看出智慧工廠內的一些工業控制系統 (ICS),尤其是監控與資料擷取 (SCADA) 系統,在遭遇攻擊時可能帶來的潛在損失。從過去的案例來看,針對基礎架構的攻擊很有可能造成大規模損失,視其攻擊對象而定。而且,專門攻擊這類系統的歹徒目前仍在不斷研究如何改善其工具以翻新其攻擊手法。 繼續閱讀
