藉自動更新系統散佈惡意程式 建立殭屍大軍,企業及政府請盡快建置重要主機異動監控機制
【2013年06月26日 台北訊】南韓最高政治中心青瓦台網站於昨日爆發網站遭受駭客攻擊,導致網頁被置換並關閉事件,引起全球矚目。根據趨勢科技全球病毒防治中心Trend Labs的最新研究發現,韓國雲端儲存服務軟體「SimDisk 」伺服器在此波攻擊中疑似遭駭客攻擊並置入檔名為「SimDiskup exe.」的惡意程式,其透過自動更新系統散佈至使用者端,試圖造成大量的感染,成為受駭客控制的網路「殭屍大軍」,進一步發動DDoS 攻擊試圖癱瘓政府網站。
根據趨勢科技Trend Labs最新分析發現,駭客攻擊韓國雲端儲存服務廠商「SimDisk」的伺服器並取得控制權後,即置換「SimDisk exe.」執行檔,並透過自動更新系統散佈一隻名為「SimDiskup exe.」的惡意程式至使用者端,一旦更新下載完成,此裝置將遭惡意程式感染,該惡意程式會連回特定網址接收指令,並下載另一隻名為DDOS_DIDKR.A的惡意程式,以培養網路「殭屍大軍」,並運用這些受感染裝置針對政府網站發動DDoS攻擊,癱瘓目標網站。
想要保有乾淨而健康的數位生活不僅僅是安裝和使用安全軟體而已。就跟現實生活一樣,想保持健康就必須讓自己的生活方式建立起永久性的改變。也就是說要適應某些作法,讓它成為習慣。雖然這需要一些努力,但它所帶來的好處也相當值得。
為了幫你開始數位整理,趨勢科技整理出一份指南針對你數位生活中最重要的部分。
筆記型電腦和桌上型電腦會因為每天的使用而累積出數位髒亂。不管是在工作中還是在家裡,如果你一不小心就會導致一團混亂。
該怎麼做
為何要整理
擺脫雜亂的最好辦法就是扔掉它們。清除瀏覽器快取和移除不必要的程式可以騰出系統空間,並消除潛在的安全風險。
不使用的程式往往都不會更新,留下讓壞人有可趁之機的漏洞。選擇保留的程式要隨時更新是很重要的。這點同樣也適用於作業系統。
系統速覽
筆記型電腦和桌上型電腦會因為每天的使用而累積出數位髒亂。不管是在工作中還是在家
就跟桌上型電腦和筆記型電腦一樣,行動設備(像是智慧型手機和平板電腦)也容易產生數位髒亂。事實上,行動設備中所累積的髒亂程度可能比你的桌上型電腦和筆記型電腦還要多。為什麼?因為行動設備能夠處理的運算能力更少。
行動設備還會保留大量的個人資料,如果管理不善,就有可能會落入他人之手。
該怎麼做
為何要整理
行動設備速覽
社群網路在你的數位生活扮演了重要的角色。它不再只是一個用來聯繫親朋好友的便利工具。
你的公開個人檔案對整個世界簡述了你是誰。你的隱私絕對值得保護,不然就會非常危險。
該怎麼做
【2013 年 6 月 25 日 台北訊】全球資訊安全軟體領導廠商趨勢科技 (東京證券交易市場股票代碼: 4704) 今天宣布與國際刑警組織 (INTERPOL) 合作,協助打擊全球網路犯罪。
今日的網路威脅背後皆有跨國犯罪集團在幕後操控,可在數分鐘內對特定目標發動複雜、精密的聯合攻擊。 網路威脅不同於傳統的犯罪,其複雜程度相對比較高,導致網路犯罪調查需要高度專業與跨國、跨區域的大規模合作與調度,而且還須具有專業能力、運用工具與基礎架構,才能有效對抗威脅,進而實現一個更安全的數位世界。
為此,國際刑警組織 (INTERPOL) 即將於 2014 年在新加坡成立國際刑警全球總部 (INTERPOL Global Complex for Innovation ,簡稱 IGCI) ,作為打擊網路犯罪中心,協助跨國性行動。IGCI 將與網路威脅相關各領域的專家合作,善用其專業能力及資源協助全球執法行動,打擊網路犯罪。
趨勢科技執行長陳怡樺與國際刑警組織祕書長 Ronald K. Noble 日前於法國里昂會面討論此次合作各項事宜。身為國際刑警組織的合作對象,趨勢科技將貢獻多年對抗網路威脅的專業能力,協助國際刑警組織打擊犯罪。
建立「安全的數位資訊交換世界」,一直是趨勢科技的企業目標,此次合作,趨勢科技將為國際刑警組織及多個參與國的政府、警政機關,以及負責重大基礎建設的民間企業提供網路威脅相關訓練課程,傳授專業知識及最佳實務原則來解決國內及國際新興的數位犯罪問題,訓練內容將包括電子學習(e-learning)模組、課堂訓練、實作課程、專業認證,為維護全球數位世界安全更盡一份心力。
關於國際刑警組織 (INTERPOL)
國際刑警組織是世界最大跨國警察組織,共有 190 個國家參與。該組織的角色是促進全球警力合作,創造更安全的世界。其高科技的技術及行動支援設備,使其能充分因應 21 世紀打擊犯罪的挑戰。
◎ 歡迎加入趨勢科技社群網站
在2012年裡,我們看到了各式各樣的APT攻擊活動利用Microsoft Word的漏洞 – CVE-2012-0158。這是一種轉變,之前最常被利用的Word漏洞是CVE-2010-3333。雖然我們還是繼續看到CVE-2012-0158被大量的使用,不過我們也注意到惡名昭彰的「MiniDuke」攻擊所製造針對Adobe Reader漏洞 – CVE-2013-0640的攻擊程式碼使用量的增加。這些惡意PDF檔案所植入的惡意軟體和MiniDuke並無關聯,但卻和正在進行中的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動有關。
Zegost
趨勢科技所發現的一組惡意PDF檔案,藏有上述漏洞攻擊碼的誘餌文章使用的是越南文,檔案名稱也是相同的語言。
這些PDF檔案內嵌著和MiniDuke攻擊活動所使用類似的JavaScript程式碼。相似之處包括了類似的函數和變數名稱。
使用Didier Steven的PDFiD工具來分析這PDF檔案,顯示出這兩個PDF檔案非常相似。雖然並非完全相同,但兩者之間的相似之處是難以否認的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。這些地方代表著有JavaScript出現,有某種自動行為出現和頁碼。這三個項目可以幫我們確認MiniDuke和Zegost的相似之處。
雖然自從上個月匿名者組織Anonymous宣告#OpPetrol攻擊之後,估計有1000個網站、35000個電子郵件憑證和超過10萬個Facebook帳號被聲稱已經淪陷,但直到目前,攻擊者的參與程度和攻擊的整體複雜性似乎還是有限。這些篡改網頁和資料外洩的狀況和最近其他行動裡所看到的一致,攻擊似乎並沒有得到太多注意。
但是像#OpPetrol這樣的行動讓擁有不同技能和目的的各種攻擊者有機會可以參與其中,並且進行自己的工作。而且並非所有單位都有相同的應變能力和對應措施,所以還是強烈建議利用主動式安全措施來加緊戒備。
趨勢科技的研究人員,一直透過大量的全球威脅情報資源來密切監視狀況。我們追蹤了連向目標網站的惡意活動,發現了之前就已經被確認是已經淪陷,被殭屍網路/傀儡網路 Botnet幕後黑手所控制的IP地址。看起來,這些連向目標網站的連線是為了要獲取進一步的存取能力,或是準備要進行DDoS攻擊。
趨勢科技還發現惡意軟體 CYCBOT 被用來將被感染系統導向目標網站。CYCBOT最初是在2011年出現,過去主要是被用來將流量導到指定網站,特別是廣告網站。它最為人所知的就是透過按次付費安裝的方式來散播。
在科威特、卡達和沙烏地阿拉伯有大量的目標政府網站在受到最近淪陷的IP地址攻擊後離線。這些IP地址在之前從未有過連上這些政府網站的紀錄。
我們會持續監視這起攻擊,並且報告調查結果。你也可以參考一些組織在面臨這類攻擊的前中後期,要如何保持安全的作法,像是我最近的文章:「Anonymous的OpPetrol攻擊:它是什麼?會發生什麼事?為何要關心?」
@原文出處:Anonymous’ #OpPetrol: Leading into June 20
@延伸閱讀