虛擬貨幣挖礦病毒的驚人成長不只是因為它能夠賺錢的潛力,也因為它可以待在系統內不被發現,特別使用了各種混淆技術。對許多駭客來說,讓惡意軟體保持隱形而難以被偵測是必須面對的課題,以趨勢科技發現新的挖礦病毒: Coinminer.Win32.MALXMR.TIAOODAM為例,它便會使用多種混淆和封裝新技術。
安裝行為
圖1、惡意軟體感染鏈
作者: 趨勢科技 TrendMicro
Microsoft Office線上影片功能,被散播 URSNIF 資料竊取病毒
在10月下旬,Cymulate的安全研究人員展示了一個攻擊邏輯漏洞的概念證明樣本(PoC),讓駭客可以利用 Microsoft Office 的線上影片功能散播惡意軟體。我們在 VirusTotal 上找到一個真實病毒(趨勢科技偵測為TROJ_EXPLOIT.AOOCAI),會利用此手法來散播URSNIF資料竊取病毒(TSPY_URSNIF.OIBEAO)。
惡意軟體的感染媒介為何?
因為此種攻擊使用特製的Word文件,所以它可能會透過其他惡意軟體或作為垃圾郵件附件檔或連結/網址來進入使用者系統。
此漏洞會影響Microsoft Word 2013及後來的版本。概念證明樣本和真實病毒都是用Microsoft Word 的 DOCX 檔案類型,這是種能夠包含文字、物件、樣式、格式和圖片的XML檔案。它們儲存成分別的檔案並封裝成ZIP壓縮的DOCX檔案。
圖1:概念證明樣本(左)和真實病毒(右)感染鏈的比較
概念證明樣本和真實病毒的運作模式?
概念證明樣本和真實病毒利用了Microsoft Office內嵌線上影片功能的邏輯錯誤,這功能可以讓使用者嵌入外部來源(如YouTube或其他類似媒體平台)的線上影片。
概念證明樣本是將線上影片嵌入文件後再修改檔案內的XML完成。如Cymulate所示,它的作法包括:
- 修改文件副檔名(從DOCX改成ZIP)。
- 取出壓縮檔內的檔案。
- 找出XML檔案內的可用來加入惡意腳本或網址的標籤(embeddedHtml)。請注意,修改embeddedHtml參數內的網址後,點擊文件內影片的任何位置都會自動將使用者導到指定的網址。
- 修改embeddedHtml內的腳本來初始化和部署後續病毒。
挖礦惡意程式攻擊 Linux 系統,並利用 Rootkit 自我隱藏
隨著虛擬加密貨幣越來越熱門,網路犯罪集團不意外地正積極開發、微調各種虛擬加密貨幣挖礦惡意程式。事實上,這類威脅是趨勢科技最常一直偵測到的惡意程式,而且各種平台和裝置皆有。
最近我們發現一個新的挖礦( coinmining )惡意程式 (趨勢科技命名為 Coinminer.Linux.KORKERDS.AB) 專門攻擊 Linux 系統,而且會利用某個 Rootkit (Rootkit.Linux.KORKERDS.AA) 來隱藏其惡意執行程序,讓監控工具看不到其執行程序。這一點會讓偵測工作變得更困難,因為被感染的系統只會看到效能變差,但卻看不出是誰在消耗資源。除此之外,該惡意程式還可以更新或升級自己的程式和組態設定檔案。
值得注意的一點是,在 Unix 以及類 Unix 系統 (如 Linux) 的檔案權限設定方式下,只要是具備執行權限的檔案都能執行。我們推測,這個虛擬加密貨幣挖礦惡意程式的感染途徑是經由惡意的第三方/非官方或受感染的外掛程式 (如:媒體串流軟體)。當使用者安裝這類外掛程式時,就等於提供它系統管理權限,如果是已經被駭的應用程式,惡意程式就能以應用程式所擁有的權限來執行。這樣的感染方式並非罕見,因為其他 Linux 虛擬加密貨幣挖礦惡意程式也是利用這樣的途徑入侵。
【延伸閱讀:Unix:會徹底改變勒索病毒遊戲規則嗎?】
圖 1:虛擬加密貨幣惡意程式的感染過程。
繼續閱讀
從日本新創 ONE FINANCIAL談起:萬物聯網時代,區塊鏈如何讓資料的掌控權回歸使用者?
一款由日本 17 歲天才高中生山內奏人所開發的 App 「ONE」,吸引消費者主動出售購物收據及清單, 引起日本民眾爭相下載並且由於反應太過熱烈而暫停服務,以重新確定商業模式後再出發。該平台 的核心概念,成功地將消費者的隱藏資訊和價值的非對稱性,轉化為消費者自主性的販售行為,並 且在行銷包裝上擺脫了個資侵犯的疑慮,這對於以區塊鏈技術所搭建的數位資產及資料交易中心服 務,不啻為一個值得研究的個案探討與市場趨勢。 如今個資保護的意識抬頭,使用者常常不自覺地默認社交媒體廣告提供商連結自身的瀏覽內容記錄, 然而在號稱史上最嚴格的個資保護法規 GDPR 於2018五月正式上路後,任何軟體平台服務都必須更謹小慎微的檢驗自身取用的消費者資訊以及重新思考其商業應用模式。
你所認知的個資真的是 GDPR 所定義的個資 – 區塊鏈的因應之道
GDPR規範服務提供商必須確保用戶對資料的存取權(Right to Access)、被遺忘權(Right to Be Forgotten)及遷移權(Right to Data Portability),因此,當一個服務要使用消費者資料時,必須清 楚說明資料將用於何處、如何被使用,且有義務進行資料保護,並允許用戶完全刪除資料或停止使 用該資料,甚至決定是否授權資料共享。 這三大賦予使用者的權利在表面上看來都與區塊鏈的技術有某程度的隔閡與抵觸,但表面不足以為論,仔細深究GDPR對個人資料的定義:只要資料具備個人可識別資訊(Personally Identifiable Information, PII)或可被辨識為自然人的條件,就符合GDPR保護傘下規範的個資。
因此個人相關資 料如姓名、地址、電子郵件等固不待言,個人所屬電子設備的Cookie ID、MAC位址等甚或與個人身 份有關聯的假名資料(Pseudonymous Data)亦屬於保護個資。以前述的App 「One」為例,使用者 的消費發票只要連結上使用者傳送設備的IP及地理資訊,也有可能關聯成為PII資料,但該服務卻 成功而透明的讓使用者自己選擇是否交易其資料引為其他商業用途。 如此說來,在基於區塊鏈技術發展的平台上,我們實不必糾結於技術天性的適切與否,而是每個平 台服務商都對本身的商業模式如何引用消費者資料的模式行為做好極細緻的分析與分類:屬於GDPR保護的個資則劃分出來回歸消費者掌控;而非GDPR規範的個人資料,則在商業模式的引導下成為 區塊鏈分散帳本上的紀錄資料。 繼續閱讀
垃圾郵件攻擊鎖定日本,使用圖像隱碼術散布 BEBLOH 金融木馬程式
趨勢科技發現一波垃圾郵件攻擊,使用 BEBLOH 金融木馬程式來鎖定使用者,我們偵測到的 185,902 封垃圾郵件,其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動,非常類似於近期的垃圾郵件攻擊中,濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。
我們分析部分垃圾郵件後發現,BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示,同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導,這次攻擊行動是由 NARWHAL SPIDER 發動,使用了圖像隱碼術,把惡意代碼隱藏在意想不到的圖像媒體中,藉此躲避特徵碼比對偵測。
【延伸閱讀 】:圖像隱碼術(Steganography)與惡意程式:原理和方法
圖 1:垃圾郵件攻擊行動感染鏈