趨勢科技 TrendMicro | 資安趨勢部落格

【2019 年資安預測】被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票…(6-1)

2019 年 01 月 02 日2019 年 01 月 11 日趨勢科技 TrendMicro

漏洞攻擊套件的活動將持續減少,網路犯罪集團回歸到一個更基本的漏洞那就是：人心的弱點。近年來，網路釣魚攻擊的數量開始增加，從趨勢科技所攔截的網路釣魚相關網址數量就能看出端倪。
過去一年網路犯罪集團從各種資料外洩當中累積了大量的帳號登入憑證，根據 Ponemon Institute 和 Akamai 所做的一份報告指出，透過自動化方式將某處偷來的同一組帳號密碼嘗試登入多個其他熱門網站的密碼填充攻擊 (credential stuffing) 手法情況日益嚴重，我們將看到網路犯罪集團利用這些偷來的帳號密碼註冊一些累積里程和點數回饋方案、註冊一些假鄉民帳號來從事網路宣傳、張貼假評論來操縱一些消費性入口網站、或者在一些社群民調上灌票等等。

當不斷有少年駭客回嗆:「不是我厲害,是你的密碼設定太弱了!」時,「Iloveyou」或「 1234 」等弱密碼卻仍年年蟬聯傻瓜密碼排行榜,網友的安全意識顯然需要加強。

另外,趨勢科技也預測 2019 年將看到一些更細膩或更新的數位勒索手法出現。例如，青少年或青年遭到非錢財方式的勒索案例將會增加。

趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性，將這些預測分成幾大領域,並分期刊出。

網路犯罪回歸到一個基本漏洞：人心弱點;網路釣魚將取代漏洞攻擊套件,成為主要攻擊管道

網路釣魚攻擊 在 2019 年將大幅成長。今日，軟體與作業市場占有率分布較以往更加零散，沒有單一作業系統能獨占一半以上的市場 (已不再像五年前的情況)。因此，網路犯罪集團也開始回歸到一個更基本的漏洞那就是：人心的弱點。的確，近年來，網路釣魚攻擊的數量開始增加，從我們所攔截的網路釣魚相關網址數量就能看出端倪。

已攔截的網路釣魚相關網址數量逐年攀升 (根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2018 年第三季的統計資料)。

繼續閱讀

Mirai 變種 Miori 再進化：IoT殭屍網路透過ThinkPHP遠端程式碼執行漏洞散播

2019 年 01 月 01 日2018 年 12 月 31 日趨勢科技 TrendMicro

對許多的物聯網（IoT ,Internet of Thing ）使用者來說，針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體，一直被用在許多的攻擊活動中，會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後，出現了各種不同的Mirai變種和衍生病毒。

我們分析了一個稱為「Miori」的Mirai變種，它會透過PHP框架（ThinkPHP）的遠端程式碼執行（RCE）漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是，我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。

除了Miori，有幾隻已知Mirai變種（如IZ1H9和APEP）也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器，就會將其變成殭屍網路的一部分，用來進行分散式阻斷服務（DDoS）攻擊。

檢視Mirai變種 – Miori

Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體：

圖1.、RCE下載並執行Miori惡意軟體

繼續閱讀

Android (安卓)桌布應用程式出現廣告詐騙活動

2018 年 12 月 31 日2018 年 12 月 30 日趨勢科技 TrendMicro

趨勢科技在Google Play商店上偵測到15個會進行點擊廣告詐騙的桌布應用程式。直到本文撰寫時，這些應用程式在Play商店上已經被下載了超過222,200次，我們的監測顯示大多數分佈在台灣、義大利、美國，德國和印尼。Google已經確認移除了所有偵測到的應用程式。

圖1、出現在Google Play商店的點擊詐騙應用程式。

應用程式行為

這些應用程式有著吸引人的圖示，同時號稱會提供美麗的手機桌布。應用程式本身也有著非常正面的使用者評論，但我們高度懷疑這些評論是假的，只是為了取信使用者。

圖2、Wild Cats HD桌布應用程式被下載超過10,000次。

在Google Play商店上的評價為4.8分。

繼續閱讀

【資安】舊的威脅還沒解決,新的威脅卻不斷出現?解析四種企業易遭到的攻擊

2018 年 12 月 28 日2018 年 12 月 22 日趨勢科技 TrendMicro

根據趨勢科技託管式偵測及回應 (MDR) 服務的資料顯示，企業最常遭遇的威脅通常能反映出企業的網路資安政策。例如，若企業經常仰賴實體裝置或區域網路共用磁碟來傳輸資料，當然就更容易發生惡意程式大規模感染的情況。因此，企業提升資安的首要步驟之一，就是了解自己為何較容易遭遇某些威脅。

圖 1：各種威脅數量的逐月變化 (4 月至 9 月)。

為了說明企業最常遭遇的威脅如何反映其內部政策，我們研究了趨勢科技 Smart Protection Network™ 全球情報網東南亞地區為期六個月的資料。

我們發現，從 2018 年第二季至第三季，一些舊的威脅依然名列前茅，最常見的是大量散布的惡意程式。在一般人的觀念中，大量散布的惡意程式早已過時，也因此這些偵測數量之龐大有點讓人意料。若從全球情勢來看，企業或許會認為應該將防禦集中在防範全球目前最夯的威脅，例如「無檔案式」惡意程式和虛擬加密貨幣挖礦程式。然而，如果企業因此而部署專為最新威脅而設計的解決方案，反而走錯了方向。

投資網路資安解決方案應考量企業的個別情況。正如研究資料顯示，歹徒並不一定會捨棄舊的手法，他們會視企業的個別弱點而挑選其所用的攻擊手法。

在以下各節當中，我們將說明四種企業容易遭到攻擊的情況，並提出具體的政策建議:

一.未受保護的資料傳輸機制容易散播惡意程式 繼續閱讀

【資安】付錢給勒索病毒,然後攻擊就結束了嗎?

2018 年 12 月 27 日2018 年 12 月 22 日趨勢科技 TrendMicro

對駭客來說，勒索病毒Ransomware (勒索軟體/綁架病毒)就像是一棵搖錢樹,儘管這類型的惡意軟體已經出現多年，但攻擊者仍持續地靠著這個金雞母賺取高額的不義之財。

勒索病毒每天仍影響超過 10 萬台電腦

事實上，根據美國司法部副部長Rod Rosenstein在2017年劍橋網路高峰會的演說，勒索病毒每天影響了超過10萬台電腦。根據 Government Technology的報導，這些攻擊者得逞近10億美元。但錢進去駭客的口袋,加密的檔案未必回得來，也就是說即使受害者依照駭客的要求付了錢也不一定能夠取回資料的控制權。

付還是不付？

當螢幕上出現勒索病毒訊息時，馬上就會有許多問題和需要考慮的點浮現在腦海。比如:

公司要如何繼續維持運作？

使用者該如何存取重要的檔案和資料？

有備份可以讓業務運作馬上回復正常嗎？

而最重要的問題之一，就是要不要支付贖金。

根據 Forbes 的報導，美國聯邦調查局在2016年就密切關注勒索病毒事件的蔓延和嚴重程度，指出受害者不應屈服於駭客要求，也不該支付贖金。正如 Kaspersky Labs的資料證明，支付贖金的受害公司大約有五分之一並沒有收到駭客承諾的解密金鑰。

換句話說，企業付了錢卻沒有取回自己的關鍵應用程式、檔案和資料。

「不幸的是，在大多數勒索病毒攻擊中，失去多年寶貴資料的風險太高，相較起來要求的贖金就顯得很少，讓大多數受害者直接屈服於駭客要求而不會去求助於執法單位，」Forbes的Harold Stark解釋道。

付錢後發生什麼事?

讓我們來看一些真實的勒索病毒案例，以及當受害者付贖金之後發生什麼事。

許多網路攻擊的受害企業並沒有拿到承諾的金鑰

真實案例:有備份的印第安納州醫院在感染 SamSam後,還是付了55,000美元

根據ZDNet的報導，一家印第安納州的醫院Hancock Health在系統感染勒索病毒SamSam後選擇支付55,000美元（當時4比特幣的價值）。儘管員工和使用者馬上就發現並回報，但醫院的IT團隊無法阻止勒索病毒的擴散。

總而言之，幾乎醫院所有的關鍵IT系統都受到病毒影響，無法使用電子郵件、電子病歷系統及其他內部平台。其中包括有1,400多個檔案遭到加密並被重新命名為“I’m sorry“。

在此案例所用的勒索病毒 – SamSam會找尋有弱點的伺服器，並且可以散播到網路內的其他電腦來進行快速而大規模的攻擊。正如ZDNet的Charlie Osborne所指出，駭客會根據SamSam病毒在受害者網路內的散播程度來決定贖金金額。

「這種威脅具備針對性而不只是隨機攻擊，SamSam可以透過Web shell部署、批次處理腳本在多台電腦上進行散播、或是經過遠端存取和建立通道來執行，」Osborne解釋道。

在感染事件發生後，醫院管理員被迫在一周內支付贖金，不然就得承受讓檔案和資料永遠不見的風險。雖然醫院確實有備份（重要的資料安全最佳實作），但還是選擇支付贖金。醫院IT管理員解釋說，雖然可以用備份來回復駭客加密的資料和檔案，但這過程可能需要數天甚至數週。更重要的是，經過將工作轉成手動和紙筆作業後兩天，醫院只想要快速地解決問題。

而這家醫院只是眾多感染 SamSam 病毒的受害者之一，在2018年春天，趨勢科技報導了一起在亞特蘭大市的案例。在此次攻擊中，該市的服務（包括用來繳費或存取法院資料的公眾平台）都無法使用。在這起事件中，駭客要求的代價是解密一台電腦 6,800美元，或支付51,000美元來完全解密。