趨勢科技 TrendMicro | 資安趨勢部落格

挖礦惡意程式攻擊 Linux 系統,並利用 Rootkit 自我隱藏

2018 年 11 月 19 日2018 年 11 月 16 日趨勢科技 TrendMicro

隨著虛擬加密貨幣越來越熱門，網路犯罪集團不意外地正積極開發、微調各種虛擬加密貨幣挖礦惡意程式。事實上，這類威脅是趨勢科技最常一直偵測到的惡意程式，而且各種平台和裝置皆有。

最近我們發現一個新的挖礦( coinmining )惡意程式 (趨勢科技命名為 Coinminer.Linux.KORKERDS.AB) 專門攻擊 Linux 系統，而且會利用某個 Rootkit (Rootkit.Linux.KORKERDS.AA) 來隱藏其惡意執行程序，讓監控工具看不到其執行程序。這一點會讓偵測工作變得更困難，因為被感染的系統只會看到效能變差，但卻看不出是誰在消耗資源。除此之外，該惡意程式還可以更新或升級自己的程式和組態設定檔案。

值得注意的一點是，在 Unix 以及類 Unix 系統 (如 Linux) 的檔案權限設定方式下，只要是具備執行權限的檔案都能執行。我們推測，這個虛擬加密貨幣挖礦惡意程式的感染途徑是經由惡意的第三方/非官方或受感染的外掛程式 (如：媒體串流軟體)。當使用者安裝這類外掛程式時，就等於提供它系統管理權限，如果是已經被駭的應用程式，惡意程式就能以應用程式所擁有的權限來執行。這樣的感染方式並非罕見，因為其他 Linux 虛擬加密貨幣挖礦惡意程式也是利用這樣的途徑入侵。

【延伸閱讀:Unix：會徹底改變勒索病毒遊戲規則嗎？】

圖 1：虛擬加密貨幣惡意程式的感染過程。
繼續閱讀

從日本新創 ONE FINANCIAL談起:萬物聯網時代，區塊鏈如何讓資料的掌控權回歸使用者?

2018 年 11 月 16 日2018 年 11 月 19 日趨勢科技 TrendMicro

一款由日本 17 歲天才高中生山內奏人所開發的 App 「ONE」，吸引消費者主動出售購物收據及清單，引起日本民眾爭相下載並且由於反應太過熱烈而暫停服務，以重新確定商業模式後再出發。該平台的核心概念，成功地將消費者的隱藏資訊和價值的非對稱性，轉化為消費者自主性的販售行為，並且在行銷包裝上擺脫了個資侵犯的疑慮，這對於以區塊鏈技術所搭建的數位資產及資料交易中心服務，不啻為一個值得研究的個案探討與市場趨勢。如今個資保護的意識抬頭，使用者常常不自覺地默認社交媒體廣告提供商連結自身的瀏覽內容記錄，然而在號稱史上最嚴格的個資保護法規 GDPR 於2018五月正式上路後，任何軟體平台服務都必須更謹小慎微的檢驗自身取用的消費者資訊以及重新思考其商業應用模式。

基於區塊的使用者資料交易及處理平台與對應的生態圈。 — 圖片來源：One Financial 官網

你所認知的個資真的是 GDPR 所定義的個資 – 區塊鏈的因應之道

GDPR規範服務提供商必須確保用戶對資料的存取權（Right to Access）、被遺忘權（Right to Be Forgotten）及遷移權（Right to Data Portability），因此，當一個服務要使用消費者資料時，必須清楚說明資料將用於何處、如何被使用，且有義務進行資料保護，並允許用戶完全刪除資料或停止使用該資料，甚至決定是否授權資料共享。這三大賦予使用者的權利在表面上看來都與區塊鏈的技術有某程度的隔閡與抵觸，但表面不足以為論，仔細深究GDPR對個人資料的定義：只要資料具備個人可識別資訊（Personally Identifiable Information, PII）或可被辨識為自然人的條件，就符合GDPR保護傘下規範的個資。

因此個人相關資料如姓名、地址、電子郵件等固不待言，個人所屬電子設備的Cookie ID、MAC位址等甚或與個人身份有關聯的假名資料（Pseudonymous Data）亦屬於保護個資。以前述的App 「One」為例，使用者的消費發票只要連結上使用者傳送設備的IP及地理資訊，也有可能關聯成為PII資料，但該服務卻成功而透明的讓使用者自己選擇是否交易其資料引為其他商業用途。如此說來，在基於區塊鏈技術發展的平台上，我們實不必糾結於技術天性的適切與否，而是每個平台服務商都對本身的商業模式如何引用消費者資料的模式行為做好極細緻的分析與分類：屬於GDPR保護的個資則劃分出來回歸消費者掌控；而非GDPR規範的個人資料，則在商業模式的引導下成為區塊鏈分散帳本上的紀錄資料。繼續閱讀

垃圾郵件攻擊鎖定日本，使用圖像隱碼術散布 BEBLOH 金融木馬程式

2018 年 11 月 15 日2018 年 12 月 19 日趨勢科技 TrendMicro

趨勢科技發現一波垃圾郵件攻擊，使用 BEBLOH 金融木馬程式來鎖定使用者，我們偵測到的 185,902 封垃圾郵件，其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動，非常類似於近期的垃圾郵件攻擊中，濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。

我們分析部分垃圾郵件後發現，BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示，同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導，這次攻擊行動是由 NARWHAL SPIDER 發動，使用了圖像隱碼術，把惡意代碼隱藏在意想不到的圖像媒體中，藉此躲避特徵碼比對偵測。

【延伸閱讀】:圖像隱碼術(Steganography)與惡意程式：原理和方法

圖 1：垃圾郵件攻擊行動感染鏈

繼續閱讀

設定不當的容器被用來散播挖礦病毒

2018 年 11 月 14 日2018 年 11 月 07 日趨勢科技 TrendMicro

趨勢科技最近發現有設定不當導致API端口暴露的Docker遭到惡意利用的案例。有惡意活動會掃描開放端口2375/TCP和2376/TCP，這些是Docker引擎服務（dockerd）所使用的端口。攻擊者接著將虛擬貨幣挖礦病毒（趨勢科技偵測為Coinminer.SH.MALXMR.ATNE）散布到這些設定不當的系統。

Docker會在作業系統層級實現虛擬化 – 也稱為容器化（containerization）。Docker API能夠讓遠端使用者像本地端用戶那樣地控制Docker映像。建議不要開放能夠讓外部存取的API端口，因為這會讓駭客有機會利用此不當設定進行惡意活動。

Docker引擎本身並沒有遭到攻擊，Docker企業版本也沒有受到影響。我們是在Docker社群版本看到這些少見的惡意行為。事實上，Docker技術提供讓使用者可以啟用及設定的安全功能來保護容器和工作負載。Docker也提供了防護Docker社群和企業版本的工具、文件和指南。當然，兩者的安全最佳實作都會要求不要開放這些端口。比方說建議運行商業應用程式的企業使用商業用的Docker企業版，能夠提供精確、基於角色的存取控制設定，必須經過身份認證才能使用API。

在我們的研究中，Docker API端口暴露是使用者設定不當的結果，因為我們發現這不當設定是在管理員層級手動設定的。實際上，因為設定不當而讓自身暴露於威脅中並非新鮮事，而這對企業來說也可能是得長期面對的挑戰。事實上，我們透過Shodan搜尋發現有許多人的Docker主機設定不當，特別是在中國。而同時還有美國、法國、德國、新加坡、荷蘭、英國、日本、印度和愛爾蘭也出現設定不當的Docker主機。大多數暴露的系統都是運行Linux作業系統。有意思的是Linux上的服務需要手動設定，而在Windows上直到17.0.5-win8都不是如此，出於安全理由而禁止服務暴露。雖然不當設定廣泛地在各版本都有發生，但根據Shodan的搜尋結果顯示超過一半有此問題的主機運行的是18.06.1-ce版本，這是相對較新的Docker版本。