趨勢科技研究人員的一項研究顯示下載的軟體檔案中有83%屬於未知或未經分類過的檔案,有些甚至已經出現超過兩年了。因為大多數惡意軟體威脅來自於下載事件,因此研究人員開發了具可讀性的機器學習系統,能夠成功地將未知檔案分類為正常或惡意。
這項研究利用在七個月內所收集的300萬份的網路下載事件作為資料集。這些事件利用多種趨勢科技內部系統及外部公開系統來標記以進行研究和分析。但只有不到17%的資料集能用傳統方法進行標記。
儘管這些未知檔案的普及率非常低,但研究結果發現有69%的電腦下載一個或多個可能為惡意軟體的未知軟體檔案。
利用機器學習來解開未知狀態
為了減少未知下載軟體的數量,趨勢科技研究人員開發了一套機器學習系統,這個系統會將對軟體檔案資訊和特徵的觀察結果自動產生出偵測規則。這套可據以行動的智慧系統分析下載軟體檔案的以下資訊:
FacexWorm 透過 Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁,要求不知情的使用者同意並安裝一個解碼器擴充功能(FacexWorm)以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。
趨勢科技的網路安全產品團隊發現了一個惡意的Chrome擴充功能,將其命名為FacexWorm,它利用了多項技術來針對受影響瀏覽器所連到的虛擬貨幣交易平台,並且會透過Facebook Messenger散播。到目前為止只有少量使用者受到這惡意擴充功能影響,Chrome在趨勢科技警告前就已經移除許多這類的擴充功能。
FacexWorm並不新。它在2017年8月被發現,儘管當時它的意圖尚不明朗。但我們在4月8日注意到其突然出現密集的活動,這與德國、突尼西亞、日本、台灣、韓國和西班牙出現FacexWorm的外部報告一致。
我們的分析顯示FacexWorm的功能已經翻新。它保留了跟Digmine一樣會上傳和發送社交工程(social engineering)連結到受影響Facebook帳號好友的行為。但現在它還可以竊取FacexWorm所感興趣的網站帳號密碼。還能夠將受害者導向虛擬貨幣詐騙攻擊、將惡意挖礦程式碼注入網頁、重新導向攻擊者的虛擬貨幣推薦計劃連結,並且可以接收地址換成攻擊者的地址來劫持交易平台和網路錢包的交易。
雖然在檢查攻擊者地址錢包後,至今只發現一起比特幣交易被FacexWorm劫持,但我們不知道它利用惡意網頁挖礦賺得多少。
圖1、FacexWorm的感染鏈
散播
FacexWorm透過Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁,要求不知情的使用者同意並安裝一個解碼器擴充功能(FacexWorm)以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。
圖2、假YouTube網頁要求使用者安裝FacexWorm
圖3、FacexWorm所發送訊息的範例
WhatsApp 已同意不再與其母公司 Facebook 分享用戶的個人資料,靜待歐盟通用資料保護法 (General Data Protection Regulation,簡稱 GDPR) 上路。此外,該公司也同意,如果未來再就其他用途與 Facebook 分享資料,將會遵守 GDPR 的規定。該公司的這項動作是為了回應英國資訊委員會 (Information Commissioner’s Office,簡稱 ICO) 對其資料分享行為的調查。
2016 年 WhatsApp 曾因眾多團體對其更新後的隱私權條款與條件有所疑慮而中止與 Facebook 分享用戶資料的計畫。其新政策當中包括了針對某些用途與 Facebook 分享用戶資料的條款。同年,ICO 針對此案展開全面調查,而法國和德國方面也隨之跟進。
分享資料務必遵守法規
ICO 發現這項資料分享的作法毫無法源根據,而且 WhatsApp 並未充分告知用戶有關其個人資料的被分享狀況。此外,這項資料分享計畫也與現有用戶當初提供個人資料時的用途不符。若當時兩家公司的資料分享計畫成案,將違反英國現行資料保護法 (Data Protection Act,簡稱DPA) 的規定。值得注意的是,目前已經有一個資料保護法修正案 (Data Protection Bill,簡稱 DPB) 正在國會審查,該案將確保未來英國法律不會與 GDPR 牴觸。
ICO 表示 WhatsApp 一案並不會引起罰鍰,因為資料外洩尚未成立。WhatsApp 已保證英國用戶的資料除了就資料處理的用途之外從未與 Facebook 分享。其實 DPA (及 GDPR) 並未「真正」禁止資料分享,只要企業機構遵照法律要求即可。
[觀賞趨勢科技邁向 GDPR 遵規之路的影片:GDPR 個案研究影片]
邁向 GDPR 遵歸之路的步驟
目前,Facebook 和 WhatsApp 已經開始針對 GDPR 進行一些調整。Facebook 已修改了隱私權政策,包括提供一些工具讓用戶控管及保護自己在社群網路上的隱私。同樣地,WhatsApp 也正在開發用戶資料隱私選項。等到這些更新內容推出,使用者就能將自己的帳戶資料下載成一份報告,以符合 GDPR 對資料可攜性權利的規定。ICO 表示未來將持續監控 WhatsApp 將如何修改其隱私權政策以及條款與條件,並持續觀察該公司在使用者同意權更加嚴格的 GDPR 規範底下將如何因應。 繼續閱讀
趨勢科技最近發現了一隻新的勒索病毒(偵測為RANSOM_BLACKHEART.THDBCAH),它的惡意行為包括帶入並執行一個合法工具 – AnyDesk。這並非惡意軟體第一次濫用類似工具。一個擁有超過2億名使用者的工具 – TeamViewer也在之前被勒索病毒利用受害者連線來散播。
但在本案例中,RANSOM_BLACKHEART將合法程式和惡意軟體捆綁在一起,而非是利用AnyDesk來進行散播。
雖然 RANSOM_BLACKHEART具體是如何進入系統仍屬未知,但我們知道使用者有可能在瀏覽惡意網站時不自覺地下載了勒索病毒 Ransomware (勒索軟體/綁架病毒)。
一旦下載完成,RANSOM_BLACKHEART會產生並執行兩個檔案:
圖1、RANSOM_BLACKHEART產生的檔案
如前所述,第一個檔案包含了 AnyDesk,這是個功能強大的應用程式,可以在不同桌面作業系統(包括Windows、MacOS、Linux和FreeBSD)間進行雙向遠端控制,並且可以在Android和iOS上進行單向存取。此外,它還可以傳輸檔案,提供聊天客戶端及記錄連線內容。要注意的是,攻擊者所用的是舊版AnyDesk而非目前的版本。
圖2、我們所分析樣本所帶的 AnyDesk使用者介面
研究人員發現了熱門智慧家居系統內的物聯網(IoT ,Internet of Thing)設計缺陷:他們發現駭客可以寫程式利用Amazon的Alexa服務來竊聽使用者並轉錄所聽到的訊息。要做到這點只需要建立一個應用程式,讓語音啟動的數位助理將所聽到的所有內容轉錄給駭客,這是種會被惡意用來竊取敏感資訊的功能。
[延伸閱讀:你的連網語音助理安全嗎?]
Alexa語音助理的設計是在收到提示詞後會開始收聽使用者指令,不過只啟用一小段時間。一旦服務通知使用者對話結束就會回到休眠狀態,直到下一次收到提示詞啟動。當研究人員以駭客的角度來研究這功能,發現可以在程式中插入空白回覆提示詞來惡意利用這功能,這表示Alexa認為自己已經通知使用者設備仍在收聽,但其實卻是保持沉默。使用者並不會意識到這一點,而且也可能沒有注意到Echo設備上的藍色指示燈亮起。只要沒有收到使用者的提示詞,這收聽狀態就會一直繼續下去。
經過進一步的測試,研究人員增加說明了如何將設備所收聽到的所有訊息轉錄下來,可以再將收集到的資訊傳送給駭客,直到設備關閉。研究人員已經將此漏洞告知了Amazon,儘管完整的修復方法並未透露,但此一漏洞已經被修復。 繼續閱讀