趨勢科技 TrendMicro | 資安趨勢部落格

Linux 挖礦程式戰爭：資源之爭

2020 年 09 月 22 日2021 年 12 月 23 日趨勢科技 TrendMicro

本文探討 Linux 系統上各種不同挖礦( coinmining )程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。

在一般人的印象裡，Linux 生態系應該比其他作業系統更安全、也更穩定，所以才會連 Google、NASA 和美國國防部 (DoD) 都採用 Linux 來架設其網路基礎架構和系統。可惜的是，Linux 並非只受到知名大型機構青睞，它對網路犯罪集團來說也是相當具吸引力。

本篇部落格探討 Linux 系統上各種不同虛擬加密貨幣挖礦程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。

挖礦惡意程式依然活躍並持續演進

虛擬加密貨幣挖礦活動本質上不算惡意行為，頂多就是像 1800 年代的淘金熱一樣。只不過當年挖礦的工具是十字鎬和鏟子，如今換成了電腦，而開採的對象從黃金變成了各種虛擬加密貨幣，如：比特幣 (Bitcoin)、門羅幣 (Monero)、乙太幣 (Ethereum)、XRP 等等。隨著虛擬加密貨幣的市值突破 3,500 億美元，虛擬加密貨幣已名符其實成為一種數位金礦。

但很不幸的，並非所有數位淘金者都會透過正當手段來賺錢。網路犯罪集團經常偷偷在一些使用者的裝置上安裝虛擬加密貨幣挖礦惡意程式，利用使用者的運算資源來幫他們挖礦，完全不經使用者同意。如此一來，他們完全不需投資任何挖礦設備就能輕鬆賺錢。

近年來， 虛擬加密貨幣挖礦惡意程式大量成長，尤其是門羅幣挖礦程式。因為這款虛擬加密貨幣提供了交易的完全匿名性與私密性，因此非常適合非法交易使用。除此之外，我們發現網路犯罪集團會利用各種手段來讓獲利最大化。他們喜歡鎖定一些運算效能強大的裝置，並且將其他競爭對手的挖礦程式清除，同時也試著擴大平台和裝置的版圖。

深入挖礦程式之爭

多年來，我們一直在研究 Linux 虛擬加密貨幣挖礦惡意程式的成長趨勢。之前我們就曾分析過 KORKERDS 這個 Linux 惡意程式，它會隨附在一個 rootkit 當中，用來隱藏惡意的處理程序，不讓系統監控工具發現。此外我們也探討過 Skidmap 這個會調降受害裝置資安設定的 Linux 惡意程式，而且它還能提供後門讓駭客存取裝置。

前述兩個挖礦惡意程式都展現了高超的技巧，利用受害裝置的資源幫駭客賺錢。今日，我們要特別點出我們從自家誘捕網路和網際網路上都觀察到的一項日益普遍的現象，那就是現在的挖礦程式都會將受害裝置、系統及環境內其他類似的惡意程式停用或移除。

根據我們所分析到的樣本，這類挖礦程式在感染裝置之後的第一件事就是檢查裝置上是否有其他競爭對手的挖礦程式。如果偵測到其他挖礦程式，就會清除競爭對手的處理程序，並從系統上將其程式徹底清除，確保它們無法再次啟動。

繼續閱讀

Google Doc 等13 個合法表單服務網站被惡意建立釣魚表單

2020 年 09 月 21 日2020 年 09 月 17 日趨勢科技 TrendMicro

許多釣魚網頁會放在使用欺騙性網域名稱的網站或用網站產生器製作的網頁。然而最近因為有了僅需幾分鐘即可設定好的工具表單，讓製作釣魚網頁的難度大大降低。

一直以來，網路都是各行各業不可或缺的工具，在面臨新冠狀病毒(COVID-19,俗稱武漢肺炎) 情爆發的現在更是如此，許多公司都依靠網路連線來完成在家工作。不幸的是，網路犯罪分子也會利用網路的可用性來從使用者身上賺取金錢。最常見的手段之一是利用網路釣魚(Phishing)。

網路釣魚騙局會利用收集敏感資訊（如信用卡號、社會保險號和帳戶帳密等）的網站服務。許多都放在使用欺騙性網域名稱的網站或用網站產生器製作的網頁。然而最近因為有了表單（僅需幾分鐘即可設定好的工具），讓釣魚網頁的製作變得更加容易。

延伸閱讀: 駭客跟著你一起在家上班! 登入憑證網路釣魚「疫」常激增

13 個合法表單服務網站被惡意建立釣魚表單

以下是常被用來建立釣魚表單的表單產生服務。但要注意的是這些本身是合法、非惡意的網站。不過就如同其他合法平台一樣，它們也會被惡意使用：

123formbuilder.com
docs.google.com
form.simplesurvey.com
formpl.us
forms.gle
forms.office.com
formtools.com
smartsurvey.co.uk
supersimplesurvey.com
survey.survicate.com
surveygizmo.com
survs.com
zfrmz.com

繼續閱讀

「Zerologon」虛擬修補的價值

2020 年 09 月 18 日2020 年 09 月 18 日趨勢科技 TrendMicro

CVE 最近又發布了一個新的漏洞：CVE-2020-1472，並且登上了不少媒體版面。這個被稱為「Zerologon」的新漏洞可讓駭客利用 Netlogon 認證所使用的加密演算法來假冒任何電腦向網域控制站取得認證。

簡單來說，這就是 Netlogon Remote Protocol (MS-NRPC 通訊協定) 的一個漏洞，會讓駭客能在網路上的裝置執行惡意程式。駭客可以利用 MS-NRPC 通訊協定向網域控制站 (Domain Controller，簡稱 DC) 認證以取得系統管理權限。

根據我們 ZDI 漏洞懸賞計畫研究人員 Dustin Childs 指出：「更糟糕的是，目前並無法徹底解決該漏洞，此次修補更新只是讓網域控制站可暫時保護裝置，下次的修補更新 (預定 2021 年第一季推出) 才會強迫 Netlogon 使用安全的 RPC 通訊協定來徹底解決這項問題。不過套用這個修補更新之後，您還是要調整網域控制站的設定。Microsoft 已針對這些設定發布了一份指南來協助系統管理員進行調整。」

已經有了修補更新，為何這還會是個大問題？

繼續閱讀

CSO 觀點：Ricoh USA 如何建立雲端及網路資安優先策略,讓營運邁入疫後「新常態」?

2020 年 09 月 17 日2020 年 09 月 18 日趨勢科技 TrendMicro

Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 分享他對強化企業內部資安觀念的看法以及雲端優先的策略如何讓該公司營運順利邁入「新常態」

正當各行各業都在經歷劇烈轉變之際，企業 CXX 高階領導人應重新檢討自己的資安與技術架構是否足以因應。為了保護客戶並提升遠端工作人員的生產力及可用性，高階主管紛紛尋求可用的技術方案，例如導入雲端服務。

隨著疫情持續延燒，企業被迫必須實施在家工作的政策，越來越多企業都開始覺得有必要在永續性、安全與行動化方面做出改變。更重要的是，無論企業大小，這樣的改變都將為決策者帶來新的挑戰與契機。

Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 對於該產業的演變早已司空見慣，包括網路資安與網路犯罪活動的演進，以及企業治理的觀念需要逐漸擴散到企業的各個層面。Levine 在該公司任職已有 25 年之久，憑著他在 IT 與資安產業的多年經驗，他對企業內的許多職務都不陌生：工程與專案管理、資安、基礎架構、網路中心、營運、法務支援、企業管理、存取管理、實體保全、電子化搜尋 (eDiscovery) 與訴訟支援等等。

繼續閱讀

趨勢科技研究發現 39% 的員工會從個人裝置存取企業資料

2020 年 09 月 17 日2021 年 07 月 02 日趨勢科技 TrendMicro

WFH 遠距工作已成為常態的情況下，企業應重新檢討當前的資料政策

【2020年9月17日，台北訊】全球雲端防護領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天針對防疫新生活的遠端資料存取安全提醒企業多加留意，根據其「Head in the Clouds」研究調查指出，在家工作(WFH,Work From Home)遠距工作改變了企業資料的處理方式，現今工作與家庭生活的界線正日益模糊，智慧家庭裝置與相關應用程式將是企業網路資安防線的一大弱點。

趨勢科技「Head in the Clouds」研究調查了 27 國共 13,000 多名在家工作(WFH,Work From Home)遠距工作的員工在疫情期間的生活與工作習慣。該研究顯示，有 39% 的員工會使用個人裝置來存取企業資料，通常是經由雲端服務與雲端應用程式。這些屬於個人的智慧型手機、平板、筆記型電腦不僅在上網安全防護方面不如企業所配發的裝置，而且還暴露於家用網路中各種 IoT 應用程式與裝置的資安弱點。比方說，有超過三分之一 (36%) 的受訪員工，其個人裝置並非都有最基本的密碼保護。

繼續閱讀