總統大選人在海外嗎?別擔心電子投票讓你公民參與零距離。海外公民能以電子投票已不是新聞,這項技術在2012年法國議員選舉,讓70萬海外法國人輕鬆投票。然而,上週日法國總統選舉投票日前不久,法國外交部卻取消了海外法國人的電子投票。
去年,至少有八起針對政治團體的高調攻擊活動,分別發生在:美國、德國、烏克蘭、土耳其和蒙特內哥羅等國家。其中,最受矚目的是美國總統大選期間,數十名政界人士、民主黨全國委員會(DNC)工作人員、演說稿作者、資料分析師、前歐巴馬競選活動人員、希拉蕊競選活動人員,甚至是企業贊助者都曾被多次鎖定。 繼續閱讀
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
按個讚,莫名貼情色文,還被移送法辦!每天有 100 次掉入網路釣魚陷阱,必學5招自保 資安趨勢
【可疑郵件處理SOP】你該知道的詐騙郵件7徵兆 iThome
Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! 資安趨勢
【科技詐騙頻傳】詐騙集團入侵LINE「借款」 中、老年人易上當 鏡週刊
離職MIS偷用同事憑證入侵系統,半導體公司資料庫遭植定時惡意程式 IT Home
【自保這樣做】智慧手機沒隱私? 3成有安全漏洞 台灣蘋果日報網 繼續閱讀
沙盒模擬分析經常是傳統端點防護與網路防護的最後一道防線。所謂沙盒模擬分析正如其名所言,就是讓惡意程式或可疑檔案在虛擬化的控制環境當中毫無顧忌地執行,然後分析其行為,藉此判斷檔案是否安全。此方法有助於確保端點安全,將不信任的檔案隔離,以免對系統造成損害,甚至危害企業基礎架構。
然而,如果惡意程式找到了可以避開沙盒模擬分析的方法呢?如果惡意程式可以知道自己正在沙盒模擬環境當中執行呢?如果惡意程式刻意隱藏自己的惡意行為,讓沙盒模擬環境看不出來呢?
以下探討當前一些知名的惡意程式,看看它們如何騙過傳統資安防護、如何在系統上暢行無阻,以及新的「進階」沙盒模擬分析技巧如何解決這些問題。
Locky 勒索病毒家族 (趨勢科技命名為:RANSOM_LOCKY) 是最經典的範例,它最著名的就是能夠利用多種方法來感染系統,包括: 加密的 DLL、 Windows 腳本檔以及社交工程 垃圾郵件附件檔案 (暗藏惡意巨集的文件檔、.RAR 壓縮檔,以及JavaScript 和 VBScript 腳本),或者利用漏洞攻擊套件 (例如之前收錄了 Flash 零時差漏洞的某個攻擊套件)。
Locky 在 2016 年因為使用了系統核心漏洞攻擊套件而備受矚目。其攻擊程序使用了一個木馬程式 (TROJ_LOCKY.DLDRA) 來當作檔案下載工具,該木馬程式會利用一個本機權限升級漏洞 (CVE-2015-1701:早在 2015 年 5 月 12 日即已修補),偽裝成一個系統執行程序來騙過沙盒模擬分析。藉由系統核心漏洞,駭客就能透過系統核心機制 (如:工作項目、系統執行緒、非同步程序呼叫) 來連線至幕後操縱 (C&C) 伺服器並下載勒索病毒。所以,駭客不需在系統上產生檔案就能讓系統感染惡意程式。此技巧通常會配合當年 Magnitude 漏洞攻擊套件所收錄的某個零時差漏洞 (CVE-2016-1019:2016 年 4 月 5 日已修補)。
最近較新的 勒索病毒家族 也開始積極利用某些技巧來判斷自己是否在虛擬機器 (VM) 或沙盒模擬環境當中執行。例如 Locky 的變種就會利用層層編碼的惡意 JavaScript 來下載並執行壓縮的 DLL 檔案,內含偵測虛擬機器和執行環境的程式碼。KeRanger (OSX_KERANGER) 是一個暗藏在檔案分享軟體與惡意 Mach-O 檔案的 Mac 平台勒索病毒,可在被感染的系統上蟄伏三天之後再開始加密系統上的檔案。
Shamoon/Disttrack (WORM_DISTTRACK 家族) 最早發現於 2012 年,通常出現在針對性攻擊當中,主要攻擊對象為中東地區知名機構。它會將系統主開機磁區 (MBR) 清除,讓受害機構網域下的電腦和伺服器無法開機。當它在 2016 年 12 月重出江湖時,開始多了一個反制沙盒模擬分析環境的技巧,感染當下不會出現惡意行為,而是設定了一個定時炸彈在特定日期和時間觸發,此時才會在系統上植入惡意元件。
對於無檔案式攻擊來說,元件越少越好。因為這類攻擊一般並無實際的檔案,也不會下載檔案到受害電腦或寫入硬碟,惡意程式通常直接在系統記憶體中執行。對駭客來說,沒有實體可分析的檔案就不會留下太多痕跡,有助於反制傳統的沙盒模擬分析。 繼續閱讀
四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?
資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。
該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。 繼續閱讀
勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄,他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式,甚至更強硬的勒索方式來逼迫受害者就範。
最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER), 這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中,相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。
系統一旦感染 CrptXXX,受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站,然後輸入勒索病毒產生的識別碼 (ID),接著遵照指示付款。
French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器,每次 10 分鐘一到,就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染,或是由其他惡意程式植入系統當中,受害者可選擇英文或法文介面。首先,勒索病毒會將自己複製一份到系統上,然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。
