趨勢科技 TrendMicro | 資安趨勢部落格

起死回生的Emotet銀行木馬程式,在全球建立了721個非重複的 C&C 伺服器

2018 年 11 月 28 日2018 年 12 月 27 日趨勢科技 TrendMicro

曾由趨勢科技在 2014 年所發現的「Emotet」銀行木馬程式，去年已經正起死回生，並推出自家的垃圾郵件模組來散布該程式，開始攻擊一些新的產業和地區，甚至能躲避沙盒模擬與惡意程式分析技巧。今年，我們進一步分析了 Emotet 的活動來了解這個模組化惡意程式的惡意行為。我們針對 Emotet 的相關威脅樣本進行了一番徹底的研究，包括 2018 年 6 月 1 日至 11 月 15 日這段期間所蒐集到的相關威脅樣本：8,528 個非重複網址、5,849 個文件植入程式以及 571 個執行檔，並發現了 Emotet 的幕後基礎架構以及可能的犯罪集團資訊。

》延伸閱讀: 假冒銀行轉帳通知耍詐!!銀行惡意軟體會利用網路監聽來竊取資料

以下是幾項重要的研發現：

至少有兩組並行的基礎架構在背後支撐 Emotet 的殭屍網路
當我們將該惡意程式的幕後操縱 (C&C) 伺服器和 RSA 金鑰進行分類之後就能清出看出兩組不同的基礎架構。此外我們也發現歹徒每個月都換更換一次 RSA 金鑰。而不同基礎架構所推送的下一階段惡意程式在用途和攻擊目標上並無重大差異，因此分開兩組基礎架構的用意應該只是為了讓 Emotet 更不容易被追查，同時也提供容錯備援的能力。
Emotet 的相關樣本可能是經由多個分層負責的不同單位所製作
從活動模式不一致的情況可以看出，負責製作及散布文件植入程式的幕後單位，似乎與負責壓縮及部署 Emotet 執行檔的單位不同。文件植入程式在非上班時間 (UTC 時間凌晨 1:00 至 6:00) 會停止製作。此時很可能有三組不同的電腦正在壓縮及部署 Emotet 的執行檔，其中兩組的系統時區可能分別設定在 UTC +0 以及 UTC +7。
Emotet 惡意程式的作者很可能住在 UTC+10 或者更往東邊一點的時區內
當我們根據每個執行檔樣本所解壓縮出來的惡意程式組譯時間戳記來將這些執行檔分類時，我們可歸納出兩個樣本群組，其組譯時間戳記與惡意程式首次在外發現的時間一致。這原因很可能是組譯時間戳記使用的是惡意程式作者的電腦當地時間。如果這些當地時間正確無誤的話，那就可推論出惡意程式作者很可能住在 UTC +10 或更往東邊一點的時區內。

繼續閱讀

什麼是無檔案病毒（Fileless Malware）攻擊?

2018 年 11 月 27 日2018 年 12 月 10 日趨勢科技 TrendMicro

在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染，影響了40多個國家。The Hacker News指出這種技術在過去並非主流，使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺，不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導，俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊，讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

根據 Slate 報導指出，惡意軟體正以前所未有的速度發展著，每分鐘出現四隻新變種。這數字對企業來說已經夠大了，而這還不包括未被發現的威脅。許多攻擊者都開發了自己的技術來躲避常見的安全解決方案，好對受感染電腦造成最大的破壞和獲取更多的資料。

傳統安全軟體已經很努力地在追趕惡意軟體，不過復雜的無檔案病毒為企業帶來了更大的威脅。無檔案病毒在最近常被用來繞過傳統的檔案掃描技術，在受感染電腦內保持隱匿而不被發現。雖然這類病毒不像其他惡意軟體那樣能夠被很好的檢測，但無檔案病毒是企業所必須正視的隱藏性威脅。

一種隱藏的威脅:無檔案病毒（Fileless Malware）

一般的作業系統和應用程式有著許多不同的漏洞，讓攻擊者可以利用來感染電腦並偷走敏感資料。通常被入侵完都還不發覺出現這些安全間隙 – 必須與時間賽跑來修補漏洞並阻止類似情況。無檔案病毒跟其他病毒一樣會利用程序漏洞 – 像是讓瀏覽器執行惡意程式碼、利用Microsoft Word巨集或使用Microsoft PowerShell工具，不一樣的是它會在不被察覺下進行。無檔案病毒透過特製的PowerShell腳本直接寫入電腦記憶體。根據TechRepublic撰稿人Jesus Vigo的說法，一旦取得存取權限，PowerShell會讓系統偷偷執行命令，這命令會根據攻擊者意圖及攻擊計畫時間長短而有所不同。

無檔案病毒被寫入程式碼使其難以偵測。

從正面看，駭客不知道自己有多長時間可以進行攻擊，因為系統可能隨時都會重新啟動而讓攻擊中斷。不過駭客也已經為這些狀況做好準備來確保無檔案病毒不用依賴端點保持連線。駭客會寫入註冊表並設定腳本好在系統重新啟動後執行，確保攻擊能夠繼續。這些能力對沒有為這類複雜性攻擊做好準備的企業構成了極大的威脅。

現在的安全軟體基於惡意軟體特徵碼來偵測攻擊。但因為無檔案病毒沒有感染系統的實體檔案，因此安全軟體不知道該看什麼。此外，這類威脅利用系統本身的命令來執行攻擊，進行網路流量和系統行為監控時可能沒有考慮到這一點。

“這些情況顯示出無檔案病毒有多危險。”

攻擊案例

有許多重大攻擊已經利用無檔案病毒感染進行。這些情況顯示出無檔案病毒的危險程度，卻也提供了組織該注意什麼地方的經驗。

無檔案攻擊讓 8台自動提款機吐鈔 80 萬美金

在2017 年早些時候，有超過100家銀行和金融機構遭受無檔案病毒攻擊感染，影響了40多個國家。The Hacker News指出這種技術在過去並非主流，使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺，不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導，俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊，讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

這次攻擊可能是用 PowerShell 將 Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

UIWIX 跟隨 WannaCry 的腳步,使用無檔案病毒技術

在WannaCry(想哭)勒索病毒影響數千家企業後不久，其他變種也開始出現模仿。UIWIX勒索病毒使用跟WannaCry一樣的漏洞攻擊，不過還加上了無檔案病毒技術。根據趨勢科技的報告，如果UIWIX偵測到虛擬機或沙箱就會自行終止，從而避免被偵測和分析。這變種相當難被停止及從受感染系統移除，而且會使用兩種演算法進行加密。

幸運的是，有一種方法可以阻止這隻惡意軟體影響你的系統。當 WannaCry(想哭)勒索病毒出現之後，就釋出了重大修補程式來解決此漏洞。企業系統只要可以更新必要的修補程式就能夠對抗利用此安全漏洞的UIWIX及類似威脅。儘管進行改變可能需要一些時間，但確保系統受到保護還是值得的。

偵測隱形風險

要跟上不斷變化的威脅形勢並應對如無檔案病毒這樣的複雜性病毒對許多企業來說都是件令人頭大的事情。但是管理者可以採取一些措施來保護自己免於隱形風險的威脅，並且更好地偵測這些躲避技術。趨勢科技建議要部署最新的修補程式，採用最低權限原則並啟用客製化沙箱。企業還應該要採用最佳實作來防護和使用PowerShell，檢查系統內的可疑或惡意行為。IT部門還應考慮設定監視規則來偵測可能用於惡意PowerShell腳本內的命令。監控系統行為、防護可能的進入點及停用不必要組件對於防止無檔案病毒感染都相當重要。

無檔案病毒提醒了我們網路威脅的發展方向，日益複雜的新病毒及企業該如何做好應對這些風險的準備。了解這些技術可以幫助管理者了解要檢視的目標及如何保護好自身安全。想了解更多關於無檔案病毒及如何保護企業的資訊，請立即聯繫趨勢科技

@原文出處：Fileless Malware: A Hidden Threat

利用機器學習來對 Gh0st RAT 變種的惡意網路流量分群 (Clustering)

2018 年 11 月 26 日2018 年 11 月 20 日趨勢科技 TrendMicro

網路犯罪集團躲避網路防護產品的能力和效率都越來越高。每一天，我們都會看到一些有關企業網路遭駭客入侵、資料遭到竊取、令專家傷透腦筋的報導。因此，如果沒有一套更有效率的偵測系統或方法，這樣的情況還會繼續下去。今日的駭客經常使用變形、加密、編碼以及其他技巧來自動製造大量變種，試圖躲避像規則式偵測技巧這類傳統入侵偵測方法。

為了解決日益成長的網路威脅，以及因應日益複雜的網路入侵技巧，趨勢科技特別鑽研了網路流量分群 (network flow clustering) 技巧，這是一種運用機器學習(Machine learning,ML)來提升現有入侵偵測技巧的方法。

我們之所以可藉由檢查網路流量資料來偵測網路上的異常狀況，是因為網路流量當中包含了許多有用的資訊可讓我們分析各種應用程式與服務的網路流量組成。為了利用分群技巧來有效率地大量標記和處理這類資料，我們採用了一種半監督式機器學習方法。接著，再利用這些標記來分辨不同惡意程式家族之間的關係和差異。

繼續閱讀

勒索病毒家族數量減少,但感染為何持續發生?

2018 年 11 月 23 日2018 年 11 月 26 日趨勢科技 TrendMicro

在當前的威脅環境中，網路安全顧問和 IT 管理人員必須謹記，勒索病毒 Ransomware (勒索病毒/綁架病毒)對於個別使用者、大多數企業和組織，皆會構成普遍和危險的威脅。

這些感染首次出現時，以技術專家前所未見的型態，結合強大的加密和敲詐手法，迫使受害者支付贖金。然而過往案例顯示：即使向歹徒支付比特幣(Bitcoin）之後，也未必能恢復重要資料和平台的存取權限。

根據趨勢科技的報告《看不見的威脅，迫在眉睫的損失》(Unseen Threats, Imminent Losses)，自 2018 年初迄今，成功偵測到的勒索病毒僅些微增加，無助於減緩勒索病毒對企業資安造成的威脅。

勒索病毒家族數量減少

不久之前，幾乎每天都會出現新的勒索病毒家族，許多新樣本以有趣甚至聳動的名稱出現，勒索病毒更以不同的方式發動攻擊，使得部署主動防禦機制格外困難。

令人欣慰的是，趨勢科技研究人員發現，在 2018 年上半年，新型勒索病毒家族減少了 26%。此外，成功偵測到的勒索病毒活動，總共只增加了 3%。

乍聽之下似乎是個好消息，但勒索病毒活動依然盛行，部分惡意攻擊者因散布勒索病毒牟取可觀利潤，在食髓知味，依然熱中此道。

趨勢科技在《看不見的威脅，迫在眉睫的損失》(Unseen Threats, Imminent Losses)中表示：「在網路安全的領域中，雖然勒索病毒體的盛行率已達高原期，但企業仍須保持警惕，不過這場步調的改變，可能是因為勒索病毒漸受關注，使得預防和緩解方法得以改進。」

在增強安全防護方面，組織的首要之務是瞭解勒索病毒的樣本和散布方式，以及這些策略如何命中弱點，使系統受到感染。組織若能提高警覺，防範主要的勒索病毒散布手法，就可以降低這類威脅的風險。

正如趨勢科技的 TrendLabs 在另一份報告《勒索病毒：過去、現在和未來》中指出，樣本可採用多種方式散布，包括垃圾電子郵件和網路釣魚(Phishing)式攻擊、遭感染的網站和網頁，以及漏洞攻擊套件。我們將深入檢視各種手法的近期範例。

研究人員在發現：2018 上半年，新型勒索病毒家族減少了 26%。雖然 2018 上半年勒索病毒家族數量減少，但無論規模大小或產業類別，這種攻擊依然盛行。

繼續閱讀

垃圾郵件舊瓶裝新酒,專挑冷門檔案格式夾帶惡意附件

2018 年 11 月 22 日2018 年 11 月 13 日趨勢科技 TrendMicro

隨著網路資安廠商的防禦能力不斷提升，網路犯罪集團也開始在惡意程式上推出新的花招來因應。最近趨勢科技發現了一些經由垃圾郵件散布的新威脅被包裝在老舊且少用的檔案類型當中。垃圾郵件目前依然是網路犯罪集團最愛的散播途徑之一，垃圾郵件攻擊儘管老派，卻占了全球電子郵件流通數量的 48% 以上。

趨勢科技在 2017 年資安總評報告當中指出，垃圾郵件當中最常出現的惡意附件檔案類型為：.XLS、.PDF、.JS、.VBS、.DOCX、.DOC、.WSF、.XLSX、.EXE 及 .HTML。除此之外，我們也在今年八月發現了會散布 GandCrab v4.3 勒索病毒的 .EGG 檔案。不過，網路犯罪集團仍在不斷翻新其使用的檔案類型。以下說明網路犯罪集團如何利用一些舊的檔案類型來包裝新的威脅，證明他們隨時都在實驗新的技巧以躲避垃圾郵件過濾機制。

趨勢科技近日偵測到近 7,000 個採用 ARJ 壓縮的惡意檔案

ARJ 是「Archived by Robert Jung」的簡寫，這是一個 90 年代出現的檔案壓縮軟體，.ARJ 檔案的用途與 .ZIP 類似，只不過沒有後者那麼流行。儘管 .ARJ 檔案從 2014 年起即成為歹徒散布惡意檔案的格式之一，但我們最近發現使用 .ARJ 格式來散布惡意檔案的情況突然暴增。趨勢科技 Smart Protection Network™ 情報網最近已偵測到將近 7,000 個採用 ARJ 來壓縮的惡意檔案。

圖 1：隨附惡意 .ARJ 壓縮檔案的垃圾郵件攻擊過程。繼續閱讀