趨勢科技 TrendMicro | 資安趨勢部落格

地下市場:只要3美元,就能存取企業遠端桌面（RDP）伺服器!

2018 年 01 月 02 日2017 年 12 月 27 日趨勢科技 TrendMicro

安全研究人員發現有好幾個「黑暗網路」(Dark Web) 的地下市場在販賣能夠存取企業遠端桌面（RDP）伺服器的憑證，只要賣3美元。該報告揭示一個名為Ultimate Anonymity Services（UAS）的著名地下市場販賣來自醫療產業、教育和政府等組織的 RDP 帳號。

值得一提的是總共提供了3.5萬筆暴力破解來的RDP帳號，其中有7,200筆來自中國，6,100筆來自巴西，3,000筆來自印度，1,300筆來自西班牙，900筆來自哥倫比亞。UAS服務商還出售了300個位在美國的RDP帳號，分別來自加州、俄亥俄州、奧勒岡州和維吉尼亞州。價格介於3美元到10美元間。研究人員指出，跟競爭對手（如xDedic）以高達100美元價格銷售類似產品相比，UAS的較低價格是因為它在網路犯罪分子間越來越受歡迎。

這份報告解釋了最近所發生的一連串資料外洩和勒索病毒相關事件，因為能夠進入這些系統和網路讓網路犯罪分子和惡意份子可以竊取資料或將資料當作人質。舉例來說，暴力破解RDP是Crysis勒索病毒的主要感染媒介和進入點。即使是像MajikPOS這樣的銷售端點病毒也結合了入侵的RDP帳號和遠端存取木馬來竊取信用卡資料，然後在地下論壇販賣。

[延伸閱讀：你的資料如何被用來對付你?]

的確，地下市場遍布著非法商品及遭竊資料和惡意軟體，供應商經常會根據需求來調整售價。但以中東和北非地下市場為例，它們的貨幣價值也會受到參與者的獨特文化所影響。

事實上，許多惡意軟體和對某些系統和網路的連線服務在中東和北非地下市場是免費提供。包括了加密程式、鍵盤側錄程式、SQL注入工具、惡意軟體產生器到資料採集與監控系統（SCADA）端口號碼。RDP只賣8美元，而電子商務憑證售價僅1美元。繼續閱讀

2018年資安預測:已知漏洞將會成為最大攻擊來源

2017 年 12 月 29 日2017 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技發表了對2018年的預測報告。在報告中，我們列出了在2018年威脅環境可能會出現的八種演變。雖然這些預測涉及廣泛，從物聯網到網路宣傳戰都有，但是真正的主題是2018年最大的攻擊將來自已知漏洞。

這預測源自2017年所有的重大資安事件（像是WannaCry(想哭)勒索蠕蟲事件）都是基於已知漏洞。只要研究Shadow Brokers所洩漏出的資訊，犯罪份子就可以取得國家級情報機構所使用且成功攻擊的漏洞清單。因為這樣，很容易就可以預見犯罪分子也會利用這些漏洞。

一個未知的漏洞（只有情報組織才知道的漏洞）和已知漏洞間最大的差別就是使用它們的攻擊者數量呈指數增加。所以，一旦有漏洞被公眾所知，時間就開始在倒數，剩下的只是“什麼時候”會攻擊到使用者的問題。繼續閱讀

剖析ATM惡意軟體家族: PRILEX和CUTLET MAKER

2017 年 12 月 28 日2017 年 12 月 28 日趨勢科技 TrendMicro

長時間以來趨勢科技都在致力於研究ATM惡意軟體，特別是那些能夠秘密針對銀行客戶的新病毒家族。在本文裡，我們將會介紹最近兩個值得注意的惡意軟體：Prilex和Cutlet Maker。它們都有特別吸引人的地方，不過是不同的原因。

PRILEX – 一種會劫持銀行應用程式的高度針對性惡意軟體

如果攻擊者知道關於特定自動提款機的一切，那麼這起針對性攻擊/鎖定目標攻擊(Targeted attack )會發生什麼事？

Prilex惡意軟體會竊取受感染ATM使用者的資訊。本起案例來自一家巴西銀行，但想想看到這類攻擊如果出現在你的地區，無論你是客戶還是銀行都會遭受影響。

這個被稱為Prilex的惡意軟體家族在2017年10月首次由被通報。我們解析了這個惡意軟體並發現一些不尋常的東西：它會掛鉤某些動態連結程式庫（DLL），用自己的應用程式畫面來取代別人的。它所影響的外部DLL包括：

dll
dll
dll

我們在網路上搜尋這些DLL，但無法找到任何相關資訊。鑑於這惡意軟體內的字串全是葡萄牙文，我們詢問了我們在該地區的銀行聯絡人。我們發現那些DLL屬於那裡銀行的ATM應用程式。這成為了高度針對性的攻擊。最重要的是，惡意軟體只影響特定廠牌的ATM，這代表攻擊者可能對其進行分析並製作客製化的攻擊。

攻擊方式很簡單。一旦機器受到感染，惡意軟體會與銀行應用程式一起執行，在螢幕出現詢問使用者帳號安全碼時用自己的畫面加以替換。此安全碼是在巴西常見於保護ATM和線上交易的雙因子認證方式。一旦使用者輸入此安全碼，惡意軟體會擷取並加以儲存。

圖1、螢幕顯示詢問帳號安全碼

趨勢科技針對程式碼進行分析後發現在竊取資料後出現了有意思的事情：惡意軟體嘗試與遠端命令和控制（C&C）伺服器進行通訊，並上傳信用卡資料和帳號安全碼。據我們所知，這是第一個假定自己連到網際網路的ATM惡意軟體。由於攻擊者似乎對這家銀行的作法和流程非常熟悉，所以這銀行的ATM很可能有連線。繼續閱讀

Digmine 數位貨幣挖礦程式,透過Facebook Messenger 散播中

2017 年 12 月 27 日2017 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技發現一個新的數位貨幣挖礦殭屍網路會透過Facebook Messenger散播，該惡意程式已經從韓國蔓延至越南、亞塞拜然、烏克蘭、越南、菲律賓、泰國和委內瑞拉等地,以散播方式來看，相信很快就會散播到其他國家。我們將其命名為 Digmine，這是根據在韓國最近所發生相關事件的報告內所提到的別名（비트코인채굴기bot）。

Digmine會偽裝成影片檔傳送，但實際上是個] AutoIt 可執行的腳本程式。如果使用者的Facebook帳號設定為自動登入，Digmine會操作Facebook Messenger將該檔案連結送給帳號的好友。對Facebook的利用目前僅限於散播，但攻擊者未來也可能會劫持Facebook帳號本身。功能性程式碼是取自命令和控制（C&C）伺服器，意味著可以被更新。

Digmine並會搜尋並啟動Chrome，然後載入從C&C伺服器取得的惡意擴充功能。

數位貨幣挖礦殭屍網路的已知工作模式（特別是挖掘門羅幣的Digmine）會盡可能地留在受害者系統內。它也會希望感染盡可能多的機器，因為這代表了運算力的增加以及更多可能的網路犯罪收入。

圖1：Digmine的攻擊鏈

圖2：透過Facebook Messenger（上）發送的Digmine連結及偽裝成影片的檔案（下）；原始圖檔來源：c0nstant（右下）

繼續閱讀

14 億筆帳號密碼外流到光換密碼夠嗎?

2017 年 12 月 27 日2021 年 06 月 29 日趨勢科技 TrendMicro

有些你已經不再使用的年代久遠的網站和服務,密碼被盜沒關係?但由於網路使用者經常在不同網路帳號上使用相同的密碼，因此就算是老舊資料，對駭客也還是非常具有價值，因為他們還是可以進入一些目前仍在使用中的帳號。

近日有一則相當令人擔憂的消息：研究人員在地下網路最深的某個角落發現了一個祕密寶藏，裡面含有 14 億筆之前遭到外洩的使用者名稱和密碼。沒錯，14 億筆，搞不好你的帳號也在名單上。所以，如果你有多個不同帳號重複使用相同的密碼，那麼這些帳號很可能都已成了駭客的囊中之物。多年來，密碼管理一直是使用者頭痛的問題，既然如此，那何不利用這個機會好好解決一下你密碼的管理問題，讓駭客永遠沒有機會靠近你？

「趨勢科技密碼管理通」能為你解決密碼安全與密碼管理的頭痛問題，節省你的上網時間，讓你重新掌握主動權，現在就讓我們來看看。

外洩帳號和密碼來自數百起資料外洩事件

這則發生在黑暗網路(Dark Web,簡稱暗網),路的事件對任何不善於管理密碼的網際網路使用者來說，都是一記響亮的警鐘。這個高達 41 GB 的資料庫就潛藏在網路犯罪地下論壇當中。更有甚者，這些使用者名稱與密碼組合是以明碼的方式保存，因此駭客甚至是沒有技術背景的一般人都可以很輕易地搜尋並找到他們想要的資料。

不僅如此，資料庫內這些外洩而來的帳號和密碼，目前已證實為真實資料，而且是從數百起資料外洩事件當中彙整而來，包括：LinkedIn、MySpace、Last.FM 和 Netflix 等知名網站都在其列。其中有將近兩億筆資料之前從未以明碼的方式出現過。這意味著什麼？這意味著駭客只要取得這份資料庫，很快搜尋一下，就能輕易登入受害者的網路帳號。繼續閱讀