作者: 趨勢科技 TrendMicro

如何在Twitter上收集資安威脅情報,保護組織對抗威脅?

趨勢科技 TrendMicro

資安專家和安全團隊如何利用社群媒體收集可用來保護其組織的威脅情報?

本文重點:

  • 使用社群媒體情報(SOCMINT)
  • 透過Twitter收集威脅情報
    •
  • 好的一面:社群媒體作為威脅情報的可行來源
    •
  • 壞的一面:濫用社群媒體來散播假新聞
    •
  • 醜陋的一面:惡意利用Twitter來進行網路犯罪和詐騙
    •
  • 社群媒體情報(SOCMINT)有價值嗎
    •

    使用社群媒體情報(SOCMINT

    社群媒體平台可以讓使用者和組織進行通訊和分享資訊。而對資安專家來說,它可能不僅僅是個網路工具。還是個能夠提供從漏洞、漏洞攻擊碼和惡意軟體到惡意份子及異常網路活動等有價值資訊的來源。事實上,有44%的受訪組織提到社群媒體情報(SOCMINT)對其數位風險保護解決方案的重要性。

    我們開發了用來檢查 Twitter上資料和案例研究的工具,以了解如何利用社群媒體來收集可供行動的威脅情報。好的一面:社群媒體可以成為另一個資訊來源,只要經過驗證就可以用來保護組織對抗威脅。壞的一面:社群媒體可能被利用來破壞公眾人物或組織的聲譽。

    我們的研究還揭示了一些警告。社群媒體情報(SOCMINT)可以進一步為研究人員提供脈絡資訊,或讓企業的資安團隊有更多資料可以用來保護線上資產。但這需要脈絡資訊、準確性和可靠性才能真正有用。使用社群媒體情報(SOCMINT)的資安專家必須在將資料整合進企業的網路安全解決方案和策略前先加以審查。

    透過Twitter收集威脅情報

    處理社群媒體資料

    從社群媒體管道收集威脅情報需要可被處理、分析、驗證和能夠提供脈絡的資料。

    有多種方法可以取得原始資料。有開放原始碼的情報工具(如TWINT)能夠抓取資料,或用公開的Twitter串流API來收集樣本資料進行分析。另一種作法是對現有資料集進行更深入的研究,例如被美國政治數據分析網站FiveThirtyEight用來分析酸民推文的資料集。而我們的研究使用了Twitter公開API,因為它符合Twitter的服務條款和使用政策。我們還將本研究所有得到的入侵指標(IoC)回報給Twitter。

    繼續閱讀

    「尋找我的 iPhone」卻找到釣魚網站,導致 Apple 登入憑證被盜

    趨勢科技 TrendMicro

    她的 iPhone 被偷後,收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 連結。沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。

    iphone 手機

    傳統犯罪與網路犯罪的結合,已使得傳統犯罪的受害者陷入更悲慘的境遇。最近的一個案例就是,一位女子在參加芝加哥一年一度的 Lollapalooza 音樂節時不慎 iPhone被偷。結果在她經由網路尋找 iPhone 時卻不小心誤觸盜賊的網路釣魚網站,導致 Apple ID 和密碼也被騙走。

    這名受害者向當地的新聞媒體 CWBChicago 分享了這段經歷,希望不要再有其他人受害。如同一般的網路釣魚詐騙一樣,這名女子收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 網頁的連結。但她直到自己的登入憑證被盜了之後才意識到這則簡訊以及剛剛登入的網頁很可能是假的,因為,沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。

    顯然,要是這名女子能一開始就識破那則網路釣魚訊息,這一切的悲劇就不會發生。這話說來容易,但歹徒就是有能力偽造出幾可亂真的網路釣魚頁面,就連最謹慎的用戶也可能被騙。

    不必故意使用拼錯的字,就可讓網路釣魚網址看起來完全無任何異樣

    繼續閱讀

    垃圾信夾帶山寨新聞網站連結,引導至虛擬貨幣交易詐騙網站

    趨勢科技 TrendMicro

    點擊偽裝成合法新聞網站和虛擬貨幣交易網頁的詐騙網站內的任何連結,都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。

    假新聞網站
    垃圾郵件連結會將受害者導到偽裝的新聞網站 點擊詐騙新聞網站內的任何連結都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。

    垃圾郵件使用PHP函式作為持續性機制,利用受感染裝置發送惡意連結

    趨勢科技的蜜罐系統偵測到一波垃圾郵件,會利用受感染裝置來攻擊有漏洞的網頁伺服器。利用暴力破解攻擊弱帳密的裝置後,攻擊者將它們當作代理程式來將base64編碼的PHP腳本轉發到網頁伺服器。該腳本會將內嵌詐騙網站連結的電子郵件寄送給特定目標。

    雖然我們發現的部分樣本是垃圾郵件或是將使用者重新導到虛擬貨幣詐騙網站,但垃圾郵件殭屍網路(botnet)可能會被用來將散播惡意軟體到更多系統或有漏洞的伺服器。因為是透過受感染裝置來發送惡意連結,如果出現更大規模的攻擊會很難找出幕後組織或攻擊者。此外,使用PHP web shell和函式不僅可以進行入侵和感染 – 還可以讓攻擊者在漏洞被修補後還能再次存取伺服器。

    A close up of a device Description automatically generated

    圖1. 垃圾郵件活動攻擊鏈

    攻擊者透過暴力破解取得裝置的SSH存取權限,接著利用端口轉發來將惡意PHP腳本發送到網頁伺服器。

    繼續閱讀

    偽裝成股票交易軟體 Stockfolio 竊個資的 Mac 惡意應用程式

    趨勢科技 TrendMicro

    趨勢科技發現兩隻偽裝成 Mac合法交易軟體 Stockfolio 的木馬,會在螢幕上出現真實的股票交易介面,但在背景執行惡意行為,蒐集使用者名稱、 IP地址 、螢幕截圖等個資。其中一個變種偽裝成正常軟體的假應用程式包含了多個惡意組件,其中一個軟體套件 Stockfoli.app, 與正牌的應用程式:Stockfolio 比較, 名稱結尾少了 “o” 。

    建議想買賣股票的使用者在下載程式時要小心謹慎,尤其是當它來自未知或可疑的網站時。使用者可以利用趨勢科技PC-cillin取得保護,它提供了全面性的安全防護及多裝置的保護來抵禦網路威脅。

    偽裝成股票交易軟體 Stockfolio 竊個資的 Mac 惡意應用程式

    在網路時代之前,想在股票或期貨市場進行交易需要打電話給券商(這樣做通常代表著額外費用),而股票交易軟體的出現讓一般使用者也可以自己進行交易。但這類軟體的盛行也引來網路犯罪分子的注意,惡意分子會製作假交易軟體來誘騙毫無戒心的受害者並竊取其個人資料。趨勢科技最近發現並分析了此類應用程式,這惡意軟體變種會偽裝成 Mac上的合法交易軟體 Stockfolio

    我們發現了此惡意軟體家族的兩個變種。第一個樣本包含兩個腳本程式並會連到遠端網站來解密其加密的程式碼,而第二個樣本雖然只使用一個腳本以及更簡化的行為,但實際上還加入了持續性機制。

    繼續閱讀

    《IOT 物聯網》預設密碼讓60萬台GPS追蹤裝置陷入危險

    趨勢科技 TrendMicro

    專攻擊 IOT 的殭屍網路Satori作者最近認罪了,同時研究人員發現超過60萬個GPS追蹤裝置因為使用預設密碼而有危險。最近的這兩起新聞在在突顯了物聯網(IoT ,Internet of Thing)安全問題因為裝置安全性差加上網路犯罪分子積極攻擊的加乘作用而更加嚴重。

    《IOT 物聯網》預設密碼讓60萬台GPS追蹤裝置陷入危險

    遭監視對話、偽造裝置位置以及追蹤裝置 都是預設密碼“123456”惹的禍

    Avast的安全研究人員發現有GPS追踪裝置暴露風險。他們首先在T8 Mini發現了數個問題,這是款中國深圳物聯網廠商365科技所製造的GPS追踪裝置。

    他們的調查發現這家廠商所生產的其他30多種GPS追踪裝置都有相同的問題,讓影響程度指數化地上升。研究人員表示,預設密碼讓駭客能夠入侵使用者帳號,接著可以監視對話、偽造裝置位置,以及透過GSM頻道追蹤裝置。

    繼續閱讀