趨勢科技 TrendMicro | 資安趨勢部落格

勒索病毒居然已經十幾歲了!資安專家:有三個理由,今年還會”狗狗纏”

2018 年 02 月 21 日2018 年 02 月 22 日趨勢科技 TrendMicro

勒索病毒已經出現十多年了，因為病毒的攻擊手法越來越精細，幾乎所有的國家都出現受害者，成為了全球性的威脅。根據CSO的報導，勒索病毒的歷史比許多人所想的都更漫長。儘管過去幾年出現的大規模攻擊讓其成為矚目的焦點，但其實駭客從2005年開始就一直在使用勒索病毒。而且在過去11年間的勒索病毒攻擊已經超過一般的資料外洩事件。

三個勒索病毒在未來數年仍將持續肆虐的理由

不幸的是，網路犯罪份子持續在勒索病毒方面取得成功，幾乎每天都有更多的知名企業淪為這類攻擊的受害者。毫無疑問地，勒索病毒會繼續成為網路安全產業眼中的威脅。這裡有三個勒索病毒在未來數年仍將持續肆虐的理由：

1）勒索病毒持續進化中

大多數的勒索病毒都屬於加密型或上鎖型。Heimdal Security解釋說明，加密型勒索病毒（或說是鎖住資料）會利用複雜的加密演算法讓受害者無法存取系統檔案和資料。CryptoLocker是這類型中最知名的勒索病毒之一。從局外人的角度來看，勒索病毒可能看似簡單：從受害者那裡取走一些東西並要求錢來贖回。然而在加密型和上鎖型之下還有好幾種不同類型的勒索病毒，並且有許多種感染受害者的手法。

另一種的上鎖型勒索病毒則是會鎖住中毒設備的作業系統，這意味著所有檔案和資料以及應用程式和系統都無法使用。最近的Petya攻擊就屬於這類型。繼續閱讀

勒索病毒也可網購! ShurL0ckr在暗網上販售，據報可以繞過雲端應用程式

2018 年 02 月 15 日2018 年 02 月 23 日趨勢科技 TrendMicro

安全研究人員發現一個名叫ShurL0ckr的新勒索病毒據説可以繞過雲端平台的偵測機制。就跟Cerber和Satan一樣，ShurL0ckr操作者將這勒索病毒經營成外包服務，讓其他網路犯罪分子也可以分一杯羹，從受害者贖金中抽取佣金。

《延伸閱讀》散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

根據研究人員對ShurL0ckr的分析顯示，它可以躲避雲端應用程式偵測來進行擴散。跟其他勒索病毒一樣，網路釣魚（Phishing）和路過式下載「Drive by download」是最可能的感染媒介。

ShurL0ckr的出現也顯示出另一個更大的問題：網路犯罪分子對合法平台和服務的濫用。研究人員指出，使用雲端應用程式的企業有44%或多或少受到惡意軟體影響。事實上，他們發現至少有三家企業級軟體即服務（SaaS）應用程式感染了惡意軟體。研究人員還發現，惡意腳本、可執行檔以及木馬化的Office文件和圖片檔是最常用的進入點。

勒索病毒不會很快就消失。事實上，隨著企業越來越採用新興技術來開拓業務，勒索病毒和數位敲詐可以預見會是網路犯罪的主流。繼續閱讀

Uber 爆漏洞,雙重認證機制出包

2018 年 02 月 14 日2018 年 02 月 13 日趨勢科技 TrendMicro

2017 年 11 月，全球叫車共乘大廠 Uber 陷入了一場資料外洩風暴，該公司被揭發有 5,700 萬名司機和乘客的資訊外流到網路上。一月底又出現了另一個資安問題，研究人員 Karan Saini 發現 Uber 有一個系統漏洞可讓駭客跳過 Uber 應用程式的雙重認證 (2FA) 機制。

該公司早在 2015 年就開始實驗雙重認證，希望能取代電子郵件和密碼的簡單認證方式。然而，這項功能卻因為 Uber 應用程式的登入方式而使得駭客有可能跳過這項安全機制。根據 Saini 提供的詳細資料指出，使用者只要有電子郵件和密碼就能登入其帳號。接著，使用者可以在同一個瀏覽器階段切換到 Uber 的「help」(協助) 子網域，然後再用相同的登入憑證就能登入。

Uber 公司已在本文截稿前修正了該問題，並且說明這有可能是其內部資安團隊為了測試評估各種雙重認證技術的效果而導致的問題。同時，該公司也表示並非所有裝置都預設使用雙重認證，只有在適當的情況下才會使用，也就是當發現有可疑活動的時候。

雙重認證的重要性

隨著資料外洩與資訊竊盜案件日益頻傳，不論企業機構或一般消費者都應開始考慮淘汰傳統的單一認證機制，改用雙重認證。對企業機構來說，這意味著必須在其系統內加入雙重認證，對一般消費者來說，這意味著要確實啟用這項機制 (如果不是預設使用的話)。

此案例告訴我們，即使是雙重認證系統也並非完美。更何況，網路犯罪集團還可透過網路釣魚或惡意程式的方式來克服這項機制。不過，多一分防護總是比少一分好，所以雙重認證畢竟還是比單一認證來的安全。而且雙重認證不一定會比較複雜，因為大多數的雙重認證都只是需要多一封手機簡訊或多一個應用程式 (後者較為安全) 來進行雙重認證而已。

所有企業機構，尤其是需要經手或儲存大量客戶資料的企業，都應優先在系統當中加入額外的安全機制。雙重認證是一道容易架設的安全機制，而且不論對企業或使用者來說都不需太複雜的步驟。

請參考這篇「如何設定雙重認證 (2FA)」來保護您的網路帳號。

原文出處：Bug Allows Attackers to Bypass Uber’s Two-Factor Authentication System

《虛擬貨幣》關注這些名人的 Twitter ,就可獲得比特幣?!山寨版名人Twitter 帳號耍詐

2018 年 02 月 14 日2018 年 02 月 13 日趨勢科技 TrendMicro

詐騙集團利用山寨版名人Twitter 帳號竊取比特幣

詐騙集團已經找到新方法來延續過去的奈及利亞王子騙局：利用社群媒體來竊取虛擬貨幣（又稱數位貨幣），如以太坊或比特幣。而且從最近的報導中可以發現似乎真的有受害者上當，將自己的虛擬貨幣送給了詐騙集團。

這騙局相當簡單，卻能夠有效地欺騙沒有防備的受害者。在這騙局中，詐騙集團山寨了知名人士或組織的Twitter帳號（如John McAfee，Elon Musk，Donald Trump，Ripple，CryptoCoinsNews）。接著用這山寨帳號來回復推特，開啟一個對話或討論串。他們聲稱會送出多達30比特幣給關注者，只要他們將微薄的0.02-0.03比特幣發送到一個特定錢包/地址。

根據不斷出現的推文，這種快速致富的詐騙似乎是奏效了。儘管有很多人將這些推文標記為可笑且很容易就可以避開，但是因為假推文送到比特幣地址的金額總計已達0.184比特幣，約合1,474美元。對於這樣不用花多少努力的騙局來說，這投資報酬率不算壞。

[相關閱讀：奈及利亞王子騙局在西非地下市場很普遍 ]

冒用知名人士與組織的信譽加上虛擬貨幣日益成長的現實價值，使其成為有力的社交工程誘餌。這些詐騙也象徵威脅環境的一種趨勢：經過考驗可以成功的技術會被重複運用在新興技術或平台上。繼續閱讀

駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式

2018 年 02 月 13 日2018 年 02 月 13 日趨勢科技 TrendMicro

時間拉回 2017 年 9 月，當時 Microsoft 修正了 CVE-2017-11882 這個可讓駭客從遠端執行程式的 Microsoft Office 漏洞。但這仍無法阻止 Cobalt 網路犯罪集團繼續利用此漏洞來散布各種惡意程式，例如FAREIT、Ursnif 以及某個破解版 Loki 資訊竊取程式 (這是一個以竊取密碼和加密虛擬貨幣錢包為賣點的鍵盤側錄程式)。

最近，趨勢科技發現駭客又再次利用 CVE-2017-11882 漏洞發動攻擊，這次採用的是一種罕見的方法，透過 Microsoft Windows 作業系統中的 Windows Installer 服務。此手法有別於之前使用 Windows 的 mshta.exe 程式來執行 Powershell 腳本以下載並執行惡意檔案的作法，而是透過 Windows Installer 服務當中的「msiexec.exe」程式來執行惡意檔案。

完整感染過程