我們在一月看到了磁碟清除病毒KillDisk攻擊在拉丁美洲的幾家金融機構。其中一次攻擊的目標是組織內連接SWIFT網路的系統。
而在五月,我們在同一個區域發現會清除開機磁區的惡意軟體。其中一個受害組織是一家銀行,讓其系統好幾天無法使用,也讓營運中斷了將近一個禮拜而無法提供客戶服務。我們的分析發現這起攻擊僅是用來分散注意力,最終的目的是進入能夠連接銀行SWIFT網路的系統。
一開始發現是電腦開機磁區出現問題。根據我們的測試所看到的錯誤訊息,可以確認這是另一個(可能是新的)KillDisk變種。這訊息在感染MBR病毒的系統很常見,但在其他類型的惡意軟體(如勒索病毒)並不常見,有些人一開始認為這就是罪魁禍首。趨勢科技將此威脅偵測為TROJ_KILLMBR.EE和TROJ_KILLDISK.IUE(病毒碼;14.281.00)。
光看這行為很難判斷這起攻擊是隨機性的網路犯罪活動或是像我們之前一月所看到,是組合式攻擊的一部分。
圖1、開機磁區被覆寫後的錯誤訊息
我們找到了可能是2018年五月攻擊所用的病毒樣本。執行之後也如預期的破壞了開機磁區(見圖1)。初步分析這個檔案後顯示它是用Nullsoft腳本安裝系統(NSIS)所製作,這是用來製作安裝程式的開放原始碼工具。駭客利用此工具並故意地將其命名為“MBR Killer”。儘管這樣本利用VMProtect(防止被逆向工程的虛擬化保護工具)加以保護,但我們仍然能夠確認它能夠清除實體硬碟的第一個磁區,如圖2所示。
我們在這樣本中沒有發現其他新或值得注意的行為。程式碼中看不出命令和控制(C&C)基礎設施或通訊相關訊息,或是類似勒索病毒的行為。這惡意軟體中沒有與網路有關的行為跡象。
圖2、惡意軟體命名為“MBR Killer”(上)。程式碼片段顯示其會清除硬碟的第一個磁區(下)
圖3、惡意軟體進行MBR清除動作
這個惡意軟體會清除中毒系統內找到的所有實體硬碟。以下是它如何進行MBR清除的動作:
在呼叫API時,主執行檔會植入組件檔%User Temp%/ns{5 random characters}.tmp/System.dll。然後主執行檔會載入DLL檔案,它提供呼叫API所需的匯出函式“Call”。
這隻惡意軟體的破壞力會讓中毒電腦無法運行,也更加強調了縱深防禦的重要性:建立安全防護陣列來涵蓋組織IT基礎架構的各個層面,從閘道和端點,到網路和伺服器。以下是一些組織可以用來抵禦這類威脅的最佳實作:
趨勢科技解決方案
入侵指標(IoCs):
相關雜湊值:
SHA256: a3f2c60aa5af9d903a31ec3c1d02eeeb895c02fcf3094a049a3bdf3aa3d714c8
SHA1: 2aa3803869edee7fa1ab7cf96d992ccfecc89e7b
MD5: 9e33143916f648ec338f209eb0bd4789
SHA256:1a09b182c63207aa6988b064ec0ee811c173724c33cf6dfe36437427a5c23446
SHA1: 2766d7eaf2003f435f1a868b3687355823d34470
MD5: c1831baa5505f5a557380e0ab3f60f48
今年一月也曾出現KillDisk的變種病毒攻擊拉丁美洲的金融機構,相關文章以及雜湊值如下:
SHA256:8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5
SHA1: 5c2ef418a36799541cec673dd7d9f87371a9e3bd
MD5: 571de903333a6951b8875a73f6cf99c5
@原文出處:New KillDisk Variant Hits Latin American Financial Organizations Again 作者:Fernando Mercês(資深威脅研究員)
一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過,目前已經實施。這項規範成為全球各地的熱門話題,其中採用更嚴格的資料保護標準,並訂定高額罰款,而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響,不論其規模或地點為何。位於亞洲地區的公司,以及分公司遍佈歐洲的跨國企業,只要收集及處理歐盟公民資料,就要負責遵循法規。
這項規範也描述受影響組織的資料保護義務,其中包括採用最先進的安全措施,乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規,歐盟主管機關提供兩年的時間,讓各會員國及組織有時間做好準備。現在過渡期已經結束,GDPR 正式實施。
現在會發生什麼事情?
實施法規代表組織應已依據 GDPR 處理個人資料,包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定,主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度,處理已經開始但尚未完成法規遵循工作的企業及組織。
最糟情況是什麼?組織要為未遵循法規造成的損害負責,並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額,以較高者為準。
最理想情況是什麼?若組織完全遵循 GDPR,或使用規範作為起始點超越最低標準,將享有重大優勢。其中部分效益包括:安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率,以及加強客戶及使用者的信任度。
雖然 GDPR 適用於歐盟公民的個人資料,但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後,有多個國家也加強本身國內法規,例如英國及澳洲在內的多個地區,也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會,不論是跨國企業還是小型組織,都能趁此跟上全球在資料隱私及先進安全技術方面的進展。
組織應如何應對?
在理想情況下,組織現在應已完成法規遵循的所有基礎工作,也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務,因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容,確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效,組織應做好準備面對任何必要變更。 繼續閱讀
防毒軟體獨立測試機構 AV-TEST,是使用者檢驗防毒軟體的重要管道之一。趨勢科技PC-cillin2018雲端版 100% 攔截 196 項「真實世界」零時差攻擊,並 100% 攔截 5,484 個常見惡意程式,再次在這類測試當中名列前茅,獲得第三方公正機構肯定。
AV-TEST 2018 年 4 月 Windows 家庭使用者測試報告出爐:趨勢科技 Internet Security (即 PC-cillin) 展現 100% 防護力,榮獲「最佳產品獎」(Top Product Award)
趨勢科技 Internet Security 12.0 (即 趨勢科技PC-cillin2018雲端版) 再度榮獲「最佳產品」(Top Product) 評價,在國際權威測試機構 AV-TEST.org 的測試當中展現 100% 的「防護力」。該機構的 2018 年 3、4 月測試在 Windows 10 平台上評測了 18 款端點防護產品,最新版的趨勢科技 Internet Security 能夠 100% 攔截 196 項「真實世界」零時差攻擊,並 100% 攔截 5,484 個常見惡意程式,且在面對 1,615,677 個軟體樣本時更展現零誤判的優異表現。
此外在「效能」方面,趨勢科技也獲得 5.5 的評價,對電腦速度的影響在全部 5 項測試當中有 3 項低於業界平均值。在面對 500 個網站樣本以及 1,615,677 良性軟體樣本時也展現零誤判的實力,在 42 個良性軟體安裝測試當中也從未發生錯誤攔截的情況。此外,它在「易用性」方面也獲的 6.0 的最高評價,勝過其他 10 家受測的端點防護產品。 繼續閱讀
你可能已經看到美國聯邦調查局警告家庭用戶關於路由器和NAS遭受新一波網路攻擊的報導。下面會簡單介紹發生了什麼事,以及你該如何保持家用IT系統的安全。
什麼是VPNFilter?
這是全球家庭用戶所面臨的新惡意威脅名稱。至少有50萬台家庭及SOHO所會使用的小型路由器和NAS設備遭受惡意軟體感染。美國司法部認為罪魁禍首是俄羅斯網路犯罪集團APT28或“Fancy Bear”,而且跟克里姆林宮有關。
目前尚不清楚這惡意軟體為何突然散播開來,但它具備了多種功能。VPNFilter可以:
我被攻擊了嗎?
不幸的是,很難判斷設備是否已經遭受感染,因為惡意軟體會進行多階段的秘密動作。會遭受此次攻擊影響的設備包括但不限於:
該如何保持網路安全?
目前還不清楚駭客是如何攻擊這50萬台網路設備,但所提到型號都包含了公開已知的軟體漏洞或是有預設密碼,這些都讓它們容易遭受攻擊。
因此,最好遵循FBI的建議並重新啟動你的路由器。更好的做法是遵循Cisco的建議並進行重置。詳細說明如下: 繼續閱讀
