《資安漫畫 》更換新的智慧型手機有哪些要注意的事項?

 

Google帳號及Apple ID的設定

開啟智慧型手機電源,完成語言及Wi-Fi等的設定後,在Android裝置上會被要求輸入Google帳號,iPhone手機則是必須輸入登錄Apple ID帳號以便確認。使用Google帳號及Apple ID帳號時,Google及Apple為了提供消費者各項的服務會要求輸入帳號及密碼。

已持有Google帳號及Apple ID帳號的用戶,可延續使用此帳號,但在此為防止帳號被不肖第三方盜用,設定密碼是很重要的。使用社群網站服務時,必須使用經過本人認證的帳號及密碼來進行登錄,一旦在多數的社群網站服務上使用同一組密碼或易被猜測的傻瓜密碼,被破解的危險性增高。在裝置上使用帳號來登錄時,請務必設定一組讓難以推測的密碼。

參考: 不駭怕? 英國國會議員與他人共用帳密是常態!

密碼安全提示問題竟讓小廣吃味了!

資安漫畫 密碼安全提示 21

 

社群網站隱私設定

一旦拿到智慧型手機,每位用戶幾乎都會迫不及待地想使用Facebook Instagram、Twitter、LINE等SNS的社群網站。開始使用社群網站時必須留意的就是隱私權的設定了。為了不被其他不肖人士窺探個資請進行適當的隱私權設定,及限制個人自我簡介及貼文的公開對象。 繼續閱讀

《病毒30演變史》2000年史上最毒的電子情書: 「ILOVEYOU」我愛你病毒全球大告白

1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
我們將分期為大家介紹《1988-2018 資安威脅演變史 》中,造成全球重大損失的病毒與攻擊手法事蹟
本期介紹的是傳播速度比梅莉莎病毒快上數倍,破壞力更為強大的-LOVELETTER(情書)/I LOVE YOU(我愛你) 病毒

每年 5月 20 日是網路告白日,同樣選擇在 5 月告白的還有一口氣同時向上百萬人進行全球大告白的「ILOVEYOU」(我愛你)病毒。

1999年Mellisa 梅麗莎病毒擴散全球花了四天時間,2000 年同樣以電子郵件散播的「ILOVEYOU」(我愛你)病毒只花了四小時
「如果月底前,我仍無法獲得一份穩定的工作,我就要釋放出第三種病毒,把硬碟中所有資料夾殺得片甲不留。」來自菲利賓,史上最毒情書-I LOVE YOU病毒作者曾撂下這樣狠話

2000年5月 4日趨勢科技晚間發佈一級病毒警訊,「ILOVEYOU」病毒病毒透過電子郵件,迅速地在全球各地擴散。這隻由 VB Script程式語言所撰寫的病毒,傳播途徑類似1999年3月釀成巨災的梅莉莎病毒,主要透過一封信件標題為 「ILOVEYOU」的電子郵件散播,附加檔案為 “LOVE-LETTER-FOR-YOU.txt.vbs” (獻給你的情書),因此也被稱為「LOVELETTER」情書病毒或愛情蟲病毒,該病毒可說是早期使用社交工程(social engineering )手法得逞的經典案例。電腦使用者一旦執行附加檔案,病毒會經由被感染者 Outlook 通訊錄的名單發出自動信件,藉以連鎖性的大規模散播,造成企業 mail server癱瘓。病毒發作時,會感染並覆寫附檔名為:*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse….等十種檔案格式;檔案遭到覆寫後,附檔名會改為 *.vbs 。

 

看起來是 .TXT 文件檔,怎麼會中毒?

該病毒的附檔名是 LOVE-LETTER-FOR-YOU.TXT.vbs 。但是 Windows 會將第二個檔名隱藏起來,所以使用者看起來會以為是一般的 .TXT 文件檔。

2000年5月4日上午趨勢科技首先接獲歐洲客戶的求救訊息,之後,德國分公司在二小時內湧進了數百通的求援電話,其中包括了政府機關與工商單位,並有數家大型ISP公司遭受此病毒的感染,業務服務陷入停擺。4日下午,病毒透過 email,在極短的時間內即擴散至台灣,有數家與國外業務往來密切的大型企業傳出災情,mail server瞬間被灌爆,網路陷入癱瘓。「ILOVEYOU」病毒與Melissa ( 梅莉莎 )病毒的最大差異在於,梅莉莎病毒只會對通訊錄的前50個名單發出垃圾郵件,而 ” 「ILOVEYOU」病毒是向所有的通訊錄名單發出自動信件,其傳播的速度比梅莉莎病毒快上數倍,破壞力更為強大。

 

繼續閱讀

利用機器學習(Machine Learning)協助識別網頁竄改(Web Defacement)

網頁竄改(web defacement) – 一種明顯改變網頁外觀的攻擊,特別在政治事件後會被駭客用來表達自己的政治立場。我們在進行許多研究時都會遇到。我們在之前的一篇文章裡探討了常見的網頁竄改活動,並在另一篇文章中強調了我們資安研究工具內的機器學習(Machine Learning)能夠協助電腦緊急應變小組(CERT/電腦資安事件應變小組(CSIRT)及網站管理員為此類攻擊做好準備。後者是出自我們最新報告「找出網頁竄改活動:使用DefPloreX-NG從竄改網頁取得深入了解」內的分析結果。在這裡我們會闡述為什麼機器學習能夠協助我們更好地分析理解駭客如何運作及組織起來。

 

利用DefPloreX-NG機器學習技術來幫忙

我們在2017年推出了DefPloreX,這是個可以用在大規模電子犯罪鑑識的機器學習工具。而今年,我們推出了DefPloreX-NG,這個版本整合了強化的機器學習演算法及新的視覺化範本。我們在最新的網頁竄改報告中實際地利用了DefPloreX-NG來分析19年來1,300萬份的網頁竄改記錄。資安分析師和研究人員也可以用它來即時識別正在進行的網頁竄改活動,甚至是新或未知的攻擊活動。增強且具備更多功能的工具組能夠更有效地從原始遭竄改網站過濾出可操作的情報。它可以自動識別和追蹤網頁竄改攻擊活動,為每起攻擊活動加上有意義的標籤。此外,它還可以更加輕鬆地排序和搜尋網站,像根據攻擊者或駭客組織、動機、內容或宣傳類型、頂級網域(TLD)、遭竄改網站類別(媒體等)等等標籤。這些很大程度地是經由機器學習的幫忙。

 

 

圖1、使用DefPloreX-NG自動分析遭竄改網頁

繼續閱讀

無檔案式挖礦惡意程式出現新技巧,並已發現變種

隨著勒索病毒Ransomware的數量持續下滑虛擬加密貨幣挖礦惡意程式似乎開始崛起並取而代之。除了虛擬加密貨幣在真實世界逐漸受到關注之外,這類貨幣對網路犯罪集團還有另一項優點,那就是能讓他們躲在體制當中永遠不被發現的隱密性。

事實上,許多今日的挖礦惡意程式甚至有辦法透過無檔案的方式來感染系統。無檔案式攻擊能讓駭客將惡意程式隱藏在記憶體中,讓資安研究人員更難加以鑑識分析。

今年二月,趨勢科技發現了一個無檔案式虛擬加密貨幣挖礦惡意程式 (Fileless-DASKUS) 會利用 PowerShell (PS) 工具來感染系統。有別於 2017 年 8 月所發現的 TROJ64_COINMINER.QO,這個挖礦惡意程式並非透過 Windows Management Instrumentation (WMI) 來感染系統。而是像過去看到的  KOVTER  和 ANDROM 這兩個知名的無檔案式惡意程式一樣,利用系統登錄為感染媒介。

下圖顯示此挖礦惡意程式的感染過程:

此惡意程式與 KOVTER 及 ANDROM 利用系統登錄的方式比較如以下三圖所示: 繼續閱讀