作者: 趨勢科技 TrendMicro

Kinsing 惡意軟體使用 Rootkit的分析

趨勢科技 TrendMicro

Kinsing附帶了數個shell腳本。這些shell腳本負責下載和安裝、移除或反安裝各種資源密集型服務和程序。這篇文章會重點介紹rootkit組件的作用。

我們上一次討論Kinsing惡意軟體是在2020年4月,當時我們分析其基於Golang的Linux程式會針對設定不當的Docker Daemon API端口植入虛擬貨幣挖礦程式。

隨著Shell腳本以及Linux惡意後門和程式的不斷發展,Kinsing作者會持續跟上腳步也不足為奇了。在本文中,我們會討論惡意軟體變種當前的功能,包括加入更難被受感染機器偵測到的功能。與Trident惡意軟體使用rootkit來隱藏虛擬貨幣挖礦程式的作法類似,Kinsing也整合了會預載程式庫的使用者模式rootkit

惡意軟體本身附帶了數個shell腳本。這些shell腳本負責下載和安裝Kinsing後門程式,挖礦程式和rootkit,以及移除或反安裝各種資源密集型服務和程序。這些腳本與前面文章裡討論的腳本類似。這篇文章會重點介紹rootkit組件。

技術分析


部署shell腳本的第一步是移除/etc/ld.so.preload(如果存在)。

Removing the immutable file flag
Removing the immutable file flag
圖1. 移除/etc/ld.so.preload

這/etc/ld.so.preload檔案會在開機時將共享物件或程式庫路徑列表載入每個使用者模式程序,早於任何其他的共享程式庫 – 包括C執行時期程式庫(libc.so)。各Linux發行版本預設不會存在該檔案。因此,必須特意去建立。

繼續閱讀

盤點疫情期間,針對Zoom、Slack、Discord等通訊軟體的惡意攻擊

趨勢科技 TrendMicro

趨勢科技2020年中報告裡討論了新冠狀病毒(COVID-19,俗稱武漢肺炎)疫情爆發如何迫使許多組織從實體辦公室轉移到虛擬辦公室,這樣的變化也造成了即時通和視訊會議軟體的興起,成為不可或缺的通訊工具。雖然這些應用程式為企業提供了維持員工之間溝通的方法,但也引起了惡意行為者的注意,他們總是想將新技術整合進惡意活動裡。

針對 Zoom 的攻擊很一致


沒有任何軟體比視訊會議軟體Zoom更能定義2020,自疫情爆發以來就呈現著爆炸性的成長。鑑於其在學校、企業和個人的高使用率,網路犯罪分子將精力集中在對Zoom的攻擊也就不足為奇了。

關於Zoom最著名的惡意活動可能是”Zoombombing”,惡作劇者會侵入會議然後進行惡意行為,如散佈色情內容甚或只是單純的騷擾。

儘管很煩人,但Zoombombing在安全性方面通常是無害的。而另一方面,我們也發現會使用惡意軟體的Zoom攻擊,這會對組織和個人帶來更大的破壞。最常見的Zoom攻擊是會將惡意軟體跟Zoom安裝程式綁在一起。

在某些案例中,攻擊者會用假Zoom安裝程式來誘騙使用者安裝到電腦上。我們在五月看過會偽裝成Zoom安裝程式的惡意軟體案例。雖然一般使用者可能很難區分正常和偽裝的Zoom應用程式,但仔細檢查可以發現惡意版本的檔案大小明顯較大。

繼續閱讀

少了 ITSM企業該如何管理風險?

趨勢科技 TrendMicro

您或許已經從 SolarWinds 那邊收到將其 ITSM 產品下線的建議。此一情況非常特殊,因為絕大多數的漏洞在修補之前,企業都會先透過某種防護機制 (如 IPS 偵測規則) 來爭取一些時間,等待廠商釋出修補更新,然後再進行測試和安裝,以盡可能減少對業務的衝擊。
所以,廠商會建議立即將產品下線是相當不尋常的事,這意味著使用該產品的風險非常之高。只不過,當您將該產品下線時,您將面臨沒有 ITSM 的風險 (儘管較小)。

企業內部有許多風險管理都是仰賴非資安產品來執行。
目前最能有效管理企業資安風險以提升企業安全的兩項措施,就是系統修補與資料備份。

企業已從勒索病毒 Ransomware (勒索軟體/綁架病毒)身上學會資料備份的重要性,至於系統修補則是為了維持營運及安全。系統修補的工作跟資料備份一樣,都是由非資安團隊負責,歸在 IT 系統管理 (ITSM:Information Technology Service Management) 底下。

系統修補牽動著網路資安的兩股力量:營運與安全性。營運是最重要的事,沒有了營運,企業也就沒有什麼東西需要保護。

繼續閱讀

趨勢科技以完整專業顧問服務為基底,型塑更全面性工控防護能量

趨勢科技 TrendMicro

◼本文由 DIGITIMES 採訪撰稿

今年(2020)對於製造業、關鍵基礎設施行業來說,可謂命運多舛的一年,許多知名業者淪為資安事故的受難者,連帶造成營運生產中斷、影響社會大眾,使「工控安全」頓時成為熱門議題。

持平而論,現階段許多OT場域的工控安全水平,其實有極大補強空間,只因不管談到隔離管制、安全配置、管理盤點乃至 ACL…等等資安基本功,多半做得不盡確實;憑藉這般薄弱基礎,又積極推動數位轉型和機聯網,唯恐門戶洞開,招惹更多資安威脅進門,著實令人憂心。

近期歷經多起資安事件震撼教育,已讓多數業主意識到工控安全的重要性。趨勢科技強調,由於近年來針對工控資安鑽研甚深,歸納發生頻率最高、也最容易導致營運中斷的工控資安事件,即是勒索蠕蟲、APT Ransom及Coin Miner三大類;它們屢屢攻擊得逞的癥結,在於 OT場域普遍存在的資安風險,包含大內網環境、幽靈設備無法管理、不安全的認證存取、老舊未更新電腦設備、人員疏失、無基本安全防護,以及無法即時查覺威脅擴散。

為此,趨勢科技悉心擘劃 OT Security三大安全策略。首先是「隔離管制」,利用邊界防護、區段隔離、微隔離(實體隔離)及單機隔離(邏輯隔離)等由淺入深不同層次的安全隔離機制,化解大內網、不安全認證存取等難題。其次是「威脅可視」,透過產線設備資產偵測、場域威脅即時監控,補強幽靈設備無法管理、威脅擴散無從即時查覺等罩門。再來是「關鍵保護」,藉由白名單應用程式Lockdown方案、重要主機多層次防護方案、掃毒隨身碟等重要工具,一次弭平無安全防護、老舊未更新電腦、人員疏失等風險。

繼續閱讀

專攻擊知名企業的「雙重勒索」Egregor勒索病毒不只加密資料,還會主動通知媒體,讓被駭企業消息曝光

趨勢科技 TrendMicro

Egregor是一種複雜的勒索病毒 Ransomware (勒索軟體/綁架病毒),在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。

在2020年底,Maze勒索病毒(近期最惡名昭彰的勒索病毒家族之一)背後組織宣布關閉運作。不過就在Maze退役後不久,被稱為Egregor的勒索病毒就跟著接班,據稱已成為之前Maze勒索病毒聯盟夥伴,繼續駭人的首選勒索病毒。Egregor跟Maze一樣使用了「雙重勒索」技術,駭客不僅威脅受害者不支付贖金將會失去資料,而且還會公開其資料。

◼2021/1/8 更新:美國聯邦調查局(FBI)對企業發出警告,要當心 Egregor 勒索軟體。

使用先進的混淆技術 的Egregor


Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。

2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)

這隻勒索病毒通常會跟QAKBOT之類的遠端訪問木馬(RAT)一起派送。而QAKBOT之前也被發現跟MegaCortex和ProLock勒索病毒家族有關,這顯示QAKBOT和Egregor間可能存在合作關係,或者是QAKBOT組織的新病毒。

跟 Ryuk 等新型勒索病毒家族使用的雙重勒索技術類似,Egregor 威脅要公開被竊資料來迫使受害者付款。除了加密資料外,Egregor幕後駭客也威脅要通知媒體,來公開企業遭受入侵的消息。

繼續閱讀