解密 PlugX 能力

在我們之前的文章裡,趨勢科技報導了被稱為PlugX的新品種遠端存取工具(RAT),它被用在Poison Ivy相關的APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中。乍一看,這個遠端存取工具似乎只是個簡單的工具,具備有限的遠端存取能力。然而,進一步分析PlugX會發現它有更多微妙之處。

在典型的攻擊中,PlugX通常具備三個組成部分,即:

  • 一個正常檔案
  • 一個可以由正常檔案載入的惡意DLL
  • 一個包含惡意程式碼,可以由DLL載入的二進位檔案。

 

攻擊是由包含惡意附件檔的釣魚郵件所開始,通常是壓縮過或精心製造的文件檔,可以攻擊 Adobe Acrobat Reader微軟Office(特別是 CVE-2010-3333)的漏洞。在此案例中,它透過特製文件檔到達(偵測為TROJ_ARTIEF.LWO)。這個木馬程式會植入並執行BKDR_PLUGX.SME,它接著會植入以下檔案:

所有使用者的%User Profile%\Gf\NvSmart.exe – 一個正常的NVIDIA檔案(NVIDIA Smart Maximise Helper Host)

  • 所有使用者的%User Profile%\Gf\NvSmartMax.dll – BUT
  • 所有使用者的%User Profile%\Gf\boot.ldr – TROJ_PLUGX.SME

要注意的是,這惡意軟體會植入檔案NvSmart.exe,這是一個已知的正常NVIDIA檔案。

繼續閱讀

偽裝成正常應用程式的Android廣告軟體越來越多

趨勢科技在八月的後幾週對幾個常見的Android應用程式商店的監測顯示,被偵測為ANDROIDOS_PLANKTON變種的應用程式數量在迅速地增加著。

ANDROIDOS_PLANKTON最初是由北卡羅萊納大學在兩個月前所發現的,因為它可以讓遠端使用者下載惡意檔案並執行指令而被注意著。這個發現也被稱為是「最大規模的Android惡意軟體爆發」,因為有數百萬應用程式含有類似PLANKTON的可疑程式碼。在我們的研究中,這類惡意程式的數量在8月19日至25日之間在Google Play上有所成長。

另一個從我們的監測中所看到值得注意的趨勢是,偽裝成正常應用程式的廣告軟體數量增加。廣告軟體會顯示多個廣告到被感染的設備上,好讓它的開發者獲取利潤。在這些網站上可以看到最多的廣告軟體是ANDROIDOS_ADWIZP,ANDROIDOS_AIRPUSH,ANDROIDOS_ADSWO,ANDROIDOS_LEADBOLT。

 

偽裝成正常應用程式的Android 廣告軟體越來越多

 

 

趨勢科技的客戶目前都已經受到保護, 趨勢科技行動安全防護for Android中文版會偵測這些惡意應用程式。可以防止這些惡意應用程式被安裝在行動設備上。

 

惡意軟體偽裝成Android應用程式在短時間內並不會消失。在這時候,使用者下載應用程式前要保持小心謹慎。注意應用程式和開發者的信譽評價對於保護行動裝置是有所幫助的。

想了解更多關於如何保護行動設備的資訊,可以參考底下的數位生活電子指南:

 

@原文出處:More Adware and PLANKTON Variants Seen in App Stores

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

@延伸:

164個仍在線上的Android廣告軟體,其中有專發送簡中的限制級廣告

以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能

熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大

Android – 更潮就更危險!六個Android 主要威脅與安全守則

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

假 Android 版本Skype,安裝後簡訊爆量,帳單暴增

了解Google Bouncer
Android裝置上的七種惡意軟體類型與排行
Android上的間諜軟體測試版會竊取簡訊
哪一種行動作業系統最合適企業?
[圖文解說]旅行中誰吸乾了你的智慧型手機電力?
安裝手機應用程式前要注意的三件事
2011下半年 Android 手機威脅月平均成長率高達 60%
惡意Android應用程式:看成人影片不付費,威脅公布個資
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu
智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

手機變成落湯”機”頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !

中國第三方應用商店提供下載的手機間諜軟體 想竊聽他人手機 當心被反竊聽
你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

惡意Android應用程式:看成人影片不付費,威脅公布個資

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

◎ 歡迎加入趨勢科技社群網站
   

虛擬化的無代理防護也適用於雲端嗎?

作者:趨勢科技Christine Drake

 

嗯,這要看狀況。讓我先退一步來簡單說明一下無代理防護,作為這談話的背景資料。

 在虛擬環境裡,許多公司都安裝了傳統基於代理(Agent-based)的實體端點防護到每台虛擬機器(VM)上。但是安裝完整的解決方案到每一台虛擬機器上會吃光系統資源並降低效能。另一種方法是將安全性整合到虛擬化平台。在每部主機上提供一個專用的安全虛擬設備,可以利用虛擬化平台的API和虛擬機器管理程式的內部互動來保護每台虛擬機器,而不需要在每個客戶端虛擬機器上安裝程式來作為保護。虛擬設備會確保每台虛擬機器都更新到最新防護而不會影響到任一虛擬機器的資源。這設備還會排序安全掃描和更新的時間來維護性能。

 

經由VMware vShield Endpoint和資安夥伴解決方案所整合的第一個無代理(Agentless)虛擬化安全防護是防毒功能。現在有越來越多安全廠商都提供無代理的防毒軟體。但無代理的作法還可以應用在更廣泛的檔案安全上,包括對檔案和虛擬機器管理程式的完整性監控,以及網路安全上,像是入侵防禦和防火牆等。

 

經由VMware的整合,無代理安全防護當然也適用於虛擬資料中心。但它可以被部署在雲端嗎?比方說,在vCloud環境?如果你有自己雲端環境VMware平台底層的虛擬機器管理程式的控制權,那麼答案是肯定的。比方說,佈署到你資料中心的私有雲,你可以控制底層的基礎架構,就可以部署無代理安全防護好帶來安全性和效能優勢。

 

但是公共雲就不同了。在多數情況下,服務供應商會控制底層的基礎架構,你不會有專用主機資源給你的雲端環境部署。在這情況下,你需要安裝基於代理的安全防護,來保護你在這種多租戶環境下的虛擬機器。不過,服務提供商也可以提供無代理安全防護作為服務的附加選項,讓你可以管理自己虛擬機器的無代理安全防護。

 

理想的虛擬化和雲端安全解決方案需要提供無代理和基於代理的部署選項。隨著公司向雲端邁進,大部分都會部署混合雲,包含了私有雲和公共雲的元件。安全解決方案必須要可以靈活地佈署無代理安全防護到私有雲,還有基於代理的安全防護到公共雲,而且可以統一管理,整合協調這兩種環境上的安全策略。不管你在哪裡佈署雲端環境,你會希望安全解決方案可以很容易地跟上雲端運算所需的發展和變化。

  繼續閱讀

PC-cillin 2013新上市 一套適用PC、手機、平板電腦,首推FB 臉書隱私偵測防護及密碼管理e指通 上網安心個資不外洩

趨勢科技台灣及香港區總經理 洪偉淦(右二)展示全新上市趨勢科技PC-cillin 2013,為台灣率先推出一套適用於PC、手機、平板電腦三種平台的雲端安全軟體。
趨勢科技台灣及香港區總經理 洪偉淦(右二)展示全新上市趨勢科技PC-cillin 2013,為台灣率先推出一套適用於PC、手機、平板電腦三種平台的雲端安全軟體。

2012 09 12 台北訊】隨著行動裝置和雲端運算風潮的普及,傳統的防毒觀念早已過時!現正邁入PC(個人電腦)被重新定義的新世代,PC除了可以是桌上型電腦、筆記型電腦,現在更演化為平板電腦、智慧型手機等各種薄型化、行動化的新形態。因應此一發展趨勢,一向掌握最新資安脈動的趨勢科技(東京證券交易所股票代碼:4704),今日推出全系列消費性產品,包含PC-cillin 2013雲端版網路安全軟體、 趨勢科技行動安全防護for Android中文版(TMMS 2.5 )PC-cillin for Mac密碼管理e指通(Direct Pass)。其中,PC-cillin 2013雲端版以跨平台支援概念為主要訴求,不再僅限於家用電腦與筆記型電腦,更可支援平板電腦與智慧型手機等行動裝置,且特別強化個人資料防護功能,推出獨家研發的Facebook隱私偵測防護,並內含最新功能產品密碼管理e指通,可為消費者提供最高的雲端防護力!

「根據TNS市調公司調查顯示,PC-cillin 2013雲端版成為2012消費者防毒軟體付費市場調查的第一名,而身為第一款於市場上推出的消費性網路安全軟體雲端版更是獲得眾多第三方專業機構評側為防毒功能第一名!」趨勢科技台灣暨香港區總經理 洪偉淦興奮分享道:「多螢幕時代的來臨,現代人的數位生活與平板電腦和智慧型手機緊不可分,安全防護需與時俱進到行動設備,才能給消費者最完整的防護。趨勢科技以跨平台支援的設計突破原本PC防毒的框架,能一次防護手機、平板電腦、筆電與桌上型電腦,從行動到家用、從PC到Mac、從雲端到社交網路,全方位守護消費者的數位生活!」

 

趨勢科技產品行銷經理朱芳薇進一步解析PC-cillin 2013雲端版的新風貌:「PC-cillin 2013雲端版具備更精進的獨家主動式雲端截毒服務  Smart Protection Network,除了將80%病毒碼移到雲端讓掃描更輕快,更擁有三大特色,一是跨平台支援,可同時支援多種裝置,包括PC (Windows)、 Mac、以及Android 行動裝置;二是更強大的社群網路防護,運用獨家的Facebook隱私防護掃瞄功能,在進行Facebook瀏覽時,給予更多警示,包含隱私權設定的檢視與提醒、以及塗鴉牆上網站的安全性分類。另外,也擴增了社群網站的掃描範疇,包括微博、Google+和LinkdIn等知名社群網站。」

 

「第三個特色是創新研發的個資防護e指通(Direct Pass),」朱芳薇繼續說明:「現代人倚靠網路處裡金融事務的程度越來越深,且對於社群網站的黏著度也居高不下。為了保護廣大網路愛用者能在浩瀚的網路空間保有隱私並防止個資被盜,趨勢科技特別研發的個資防護e指通(Direct Pass),能以一組超級密碼就能同步存取所有網頁帳密,加上高安全性的加密功能與安全瀏覽器,避免個資外漏,拒駭客於千里之外。讓消費者能更安心、便利地管理網上的個人資料。」

 

趨勢科技於今日正式推出全系列消費性產品,包含PC-cillin 2013、 行動安全防護個人版(TMMS 2.5 )、PC-cillin for Mac、密碼管理e指通(Direct Pass),為台灣率先推出適用於PC、手機、平板電腦三種平台的雲端安全軟體
趨勢科技於今日正式推出全系列消費性產品,包含PC-cillin 2013、 行動安全防護個人版(TMMS 2.5 )、PC-cillin for Mac、密碼管理e指通(Direct Pass),為台灣率先推出適用於PC、手機、平板電腦三種平台的雲端安全軟體

趨勢科技除了於今日推出最新PC-cillin 2013雲端版及行動安全防護個人版(TMMS 2.5)外,更首度推出PC-cillin for Mac與個資防護e指通(Direct Pass),這兩項全新問世的產品預計在今年10月正式上市。趨勢科技全系列消費性產品皆能支援最新 Windows 8 作業系統, PCC for Mac 可支援最新OS X Mountain Lion 、TMMS 2.5 可支援到Android最新4.0及以上。PC-cillin 2013 PC版,一套軟體可安裝在3台電腦(或平板、手機)上,盒裝版定價為NT1,990,升級價只要NT1,290。而行動安全防護(TMMS 2.5)盒裝版定價為NT890,PC-cillin for MAC推出線上下載版本,定價為NT990。密碼管理e指通(Direct Pass)線上下載版定價NT299。如需更進一步的詳細資訊,請參考:https://www.pccillin.com.tw/


想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

【立即下載試用PC-clin 2013 雲端版 臉書地雷區 bye bye~

免費下載防毒軟體:歡迎即刻免費下載試用網路安全防毒軟體PC-cillin 2013 即刻按這裡下載

 

◎ 歡迎加入趨勢科技社群網站

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

作者:Jon Oliver(趨勢科技軟體架構總監)

 上禮拜的Java零時差漏洞已經被許多種漏洞攻擊包所用,包括大家所熟知的Blackhole漏洞攻擊包。

 在這篇文章中,我們會介紹在過去一週內所爆發的一些相關攻擊。趨勢科技主動式雲端截毒服務  Smart Protection Network中的自動化處理系統已經開始偵測這些攻擊,只要它們一出現就會加以封鎖。

 有許多種方法被用來將網路使用者導到藏有這些攻擊程式的網頁上,包括:

 

 

利用多種方式來將使用者導引到惡意網站,的確增加了攻擊成功的機會,也讓使用者所面臨的風險更大了。在垃圾郵件方面,我們看到四種被使用的社交工程陷阱( Social Engineering)誘餌: 

  1. 偽造的LinkedIn訊息
  2. 假防毒軟體通知
  3. 偽稱來自eFax的傳真
  4. 西聯匯款轉帳 繼續閱讀