針對西藏運動的攻擊活動利用混合惡意軟體
在趨勢科技部落格之前的文章裡,我們提到了混合惡意軟體的出現,這種惡意軟體會經由另一個檔案型病毒感染而進入系統。所以實際上會有兩種不同的惡意軟體家族在受感染電腦上執行。在這種情況下,攻擊者能夠透過一次執行就產生兩種不同的行為,最大限度地去增加被感染的電腦。
CNN的報導也顯示,有惡意軟體正透過Skype來散播,這讓我們想起另一起之前所發現會利用Skype的攻擊。
趨勢科技發現有個網頁宣稱會提供Skype的加密軟體。這個網頁被代管在敘利亞的{BLOCKED}encription.sytes.net,IP地址是{BLOCKED}.{BLOCKED}.{BLOCKED}.0.28。這是之前攻擊所用的同一台命令和控制(C&C)伺服器。該網頁有個內嵌YouTube影片,聲稱來自「IT Security Lab(安全實驗室)」,可以用來加密語音通訊。
如果使用者被騙去下載檔案,就會出現一個宣稱會加密使用者Skype數據的程式。這個程式 – Skype Encription v2.1.exe,被趨勢科技偵測為BKDR_METEO.HVN。分析之後,我們沒有發現任何證據顯示這軟體有提供任何安全功能。
第三方市場研究報告將趨勢科技列為雲端安全軟體領導廠商
【 台北訊】趨勢科技的努力屢獲專業研究機構肯定!根據市場研究機構 TechNavio 「全球雲端安全軟體[1]市場」(Global Cloud Security Software Market) 報告,全球雲端安全市場正快速成長,趨勢科技(東京證券交易所股票代碼:4704) 為雲端安全市場中的主要供應商。TechNavio跟IDC亦於日前提出的報告[2]中表示趨勢科技是「全球虛擬化安全管理市場領導者」以及「全球企業端點伺服器安全領導者」。
根據 TechNavio 估計,2010年全球雲端安全軟體市場總值為 2 億 4 千 1 百萬美元,預計2014 年將成長到 9 億 6 千 3 百 4 十萬美元,年複合成長率 (CAGR) 達到41.4%。在全球安全軟體市場中,趨勢科技擁有最大的市場占有率,領先其他主要廠商。TechNavio 的報告指出,趨勢科技之所以能夠主導該市場,是因為其涵蓋甚廣的全球經營策略;並且趨勢科技與雲端及虛擬化服務供應商 VMware 的合作關係,以及與 HP、Cisco、Dell、Microsoft Corp.、Oracle 及 Wipro 的合作,也是其能主導市場的主因之一,而廣大的客戶群與品牌聲譽更讓趨勢科技在全球雲端資安市場中如虎添翼。
TechNavio 的報告指出:「全球雲端安全軟體市場的主要成長動力來自於關鍵資料儲存雲端服務使用率成長,受到彈性及成本等多重因素[3]的影響,越來越多企業開始轉而將資料儲存到雲端。駭客看準雲端商機,針對雲端的相關攻擊爆增,也是雲端安全軟體市場成長的動力之一。」
趨勢科技產品長 Steve Quane 表示:「趨勢科技在雲端安全市場的領導地位,是我們不斷努力專注於雲端安全創新的成果。一方面能夠不斷延伸全球雲端基礎架構的涵蓋範圍,一方面又能提升安全性並降低產品的複雜度,進而提供使用者更好的使用經驗。」
趨勢科技提供企業虛擬化與雲端領域旗艦級產品Deep Security。Deep Security是專為系統與應用程式安全而設計,橫跨實體、虛擬及雲端環境,可滿足今日動態資料中心嚴格的作業安全需求與遵規要求。其整合入侵偵測及預防、網頁應用程式防護、防火牆、一致性監控、記錄檔檢查以及惡意程式防護等功能,為集中管理的軟體解決方案。此外,Deep Security 更為業界第一且唯一無代理程式的 VMware 環境安全解決方案,提升企業伺服器整合率、效能、管理性及安全性。 相關產品介紹請參考https://tw.trendmicro.com/tw/products/enterprise/deep-security/
更多趨勢科技虛擬化雲端安全資訊,請參考www.trendmicro.com.tw/cloud。
[1] TechNavio 對「雲端安全軟體」的定義為專為雲端式服務或雲端運算架構提供安全的軟體。雲端安全軟體可以是一套獨立的解決方案,或是一整個套裝軟體。此軟體主要專注於遵規、監督、資料保護、架構、身分識別及存取控管等關鍵安全要素。一套典型的雲端安全解決方案通常會提供加密、身分與存取管理 (IAM)、端點監控、漏洞掃瞄、入侵偵測、應用程式安全及訊息安全等功能。
2 IDC 的「2011-2015 年全球端點安全預測與 2010 年廠商市佔率」(Worldwide Endpoint Security 2011-2015 Forecast and 2010 Vendor Shares) 以及 TechNavio 的「全球虛擬化安全管理解決方案 2010-2012」(Global Virtualization Security Management Solutions 2010-2012) 報告當中分別被列為「企業端點伺服器安全領導者」以及「全球虛擬化安全管理市場領導者」。
3如彈性、成本與可用性等。
[1] TechNavio 對「雲端安全軟體」的定義為專為雲端式服務或雲端運算架構提供安全的軟體。雲端安全軟體可以是一套獨立的解決方案,或是一整個套裝軟體。此軟體主要專注於遵規、監督、資料保護、架構、身分識別及存取控管等關鍵安全要素。一套典型的雲端安全解決方案通常會提供加密、身分與存取管理 (IAM)、端點監控、漏洞掃瞄、入侵偵測、應用程式安全及訊息安全等功能。
[2] IDC 的「2011-2015 年全球端點安全預測與 2010 年廠商市佔率」(Worldwide Endpoint Security 2011-2015 Forecast and 2010 Vendor Shares) 以及 TechNavio 的「全球虛擬化安全管理解決方案 2010-2012」(Global Virtualization Security Management Solutions 2010-2012) 報告當中分別被列為「企業端點伺服器安全領導者」以及「全球虛擬化安全管理市場領導者」。
隨著蘋果公司推出了單一清除工具以及整合Java更新程式的清除工具給使用者,目前可以安全地說Flashback惡意軟體的擴散狀況已經在控制之下了。但是這樣一個影響範圍廣大的攻擊事件(至少了影響1%的使用中Mac電腦),可能會對蘋果電腦的威脅環境造成長期的影響。
蘋果電腦:不再無辜
Mac之前並不是網路駭客的目標,原因很簡單,並不值得攻擊。當Mac OS X在2001年首次推出時,Mac的市場佔有率還太小,並不值得網路駭客們去針對它來研究,因為和Windows系統比起來,投資報酬率實在是太低了。
但是現在,網路犯罪地下世界的某人已經證明了,Mac是完全可行的攻擊目標。50萬台的數字可不是好玩的。在這波未明攻擊的帶領下,我們認為還會有別的人跟著效法。進一步針對蘋果電腦的攻擊可能很快就會發生了,因為現在已經有人證明有辦法進行(也有辦法獲利)攻擊了。
事實上,這是早已經在進行的事情了。在Flashback出現之前,趨勢科技就已經發現目標攻擊也會針對Mac使用者。我們也在那之後發現一個新的威脅 – SABPAB惡意軟體家族,它會攻擊跟Flashback一樣的漏洞,或是出現在Mac版微軟Office的特定漏洞。(我們將這些威脅偵測為OSX_SABPAB.A,而那些惡意Office文件被偵測為TROJ_MDROP.SBPAB。)
趨勢科技發現跟之前所看到不同的勒索軟體變種。一個典型的勒索軟體 Ransomware會加密檔案或限制使用者使用受感染系統。但趨勢科技發現這個特殊變種會感染主要開機磁區(MBR),防止作業系統被啟動。根據趨勢科技的分析,這個惡意程式會複製原本的MBR,再用自己的惡意程式碼覆蓋掉。一旦感染完成,它會自動重新啟動系統讓感染生效。當系統重新啟動後,勒索軟體會顯示以下訊息:
這個訊息告訴使用者這台電腦已經被封鎖了,他們需要透過支付系統QIWI交付920烏克蘭幣(UAH)到一個12位的電子錢包號碼 – 380682699268。付錢之後,他們會收到一個代碼來解鎖系統。這個代碼應該會恢復作業系統和移除感染。這特殊變種有「解鎖代碼」存在,一旦使用解鎖代碼,MBR感染就會被回復。
趨勢科技將這勒索軟體偵測為TROJ_RANSOM.AQB,而受感染的MBR則偵測 繼續閱讀