趨勢科技 TrendMicro | 資安趨勢部落格

磁碟加密勒索病毒 HDDCryptor 變種, 根據感染規模來調整受害者的贖金

2017 年 08 月 22 日2017 年 08 月 16 日趨勢科技 TrendMicro

磁碟加密勒索病毒HDDCryptor的變種（趨勢科技偵測為RANSOM_HDDCRYPTOR.AUSE）據報在巴西和沙烏地阿拉伯感染了許多受害者。它跟2016年11月攻擊舊金山市政交通局（SFMTA）的磁碟加密惡意軟體是同一個家族，當時迫使公共交通系統手動分配路線，並打開票閘以防止運作停擺。

HDDCryptor（也被稱為Mamba）在去年9月首次出現。它可以加密透過SMB分享的網路資源，包括網路磁碟、資料夾、檔案、印表機和序列埠。它惡意使用一些免費軟體、開放原始碼軟體和商用軟體來搞亂磁碟及掛載的SMB磁碟，並且用修改過的開機引導程式（bootloader）覆寫主開機記錄（MBR），進而鎖住受感染電腦的硬碟。受感染系統重新啟動後會顯示勒贖通知而非正常的登入畫面。

[延伸閱讀：勒索病毒造成藍色當機畫面：HDDCryptor使用商業工具來加密網路分享和鎖住硬碟 ]

它的感染載體讓人聯想到其他家族（如Crysis和Erebus Linux勒索病毒），會利用漏洞攻擊來在植入並執行惡意軟體前先取得管理員權限。到了11月下旬，HDDCryptor更新使用了更加精簡的加密程序及防沙箱和反除錯功能，更能夠去躲避防毒和其他偵測技術。

[延伸閱讀：<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定（RDP）散播]

HDDCryptor修改受感染系統的MBR以顯示勒贖通知

開放原始碼磁碟加密軟體DiskCryptor的憑證和簽章，它是被HDDCryptor利用的工具之一 繼續閱讀

《實測》有可能找到公司高層主管在線上交友網站上的相應帳戶嗎?

2017 年 08 月 21 日2017 年 08 月 21 日趨勢科技 TrendMicro

太多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏

從線上交友網站個人檔案收集到的企業資訊數量，高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用，有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例，它會在未經使用者認可的情況下，擷取使用者在 Facebook 上的資訊，然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料，卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。

線上交友軟體透露過多的敏感資訊,也提供攻擊者素材

現在有越來越多的人使用線上交友尋找對象，但線上交友會對企業造成威脅嗎？使用者本身透露的資訊種類及資訊量，例如個人資料、工作場所、經常前往與居住的地點等，對於尋找對象的人而言是很有用的資訊，但同時攻擊者也會利用這些資訊，做為入侵組織的起點。

為了證實這項風險，趨勢科技研究了多個線上交友網站，初步包括先請回答以下問題：

假定有一個已知的目標 (例如公司高層主管、IT 部門主管、公職人員)，是否有可能找到他們在交友網站上的相應帳戶 (假設他們有這樣的帳戶)？
針對線上交友網站上的特定帳戶，是否有可能追蹤到他們在其他社群網站的資料，例如 Facebook、LinkedIn 或企業網頁？

不幸的是，以上答案皆為「是」。

Honeyprofile	誘騙用個人檔案
Profile matching (physical attributes, job information, tec.)	個人檔案匹配 (外表特徵、工作資訊等)
Location profiling	地點分析
Target’s real-word social media profile	目標現實生活的社群媒體個人檔案
Open Source Intelligence profiling	公開來源情報分析
Target’s only dating network profile	目標的線上交友網站個人檔案

圖 1 我們如何追蹤可能目標的線上交友及現實生活/社群媒體個人檔案

駭客也可在線上交友網站,找到特定個人檔案之外的相應身分

在幾乎所有的線上交友網站上，我們發現如果要尋找一個已知在該網站註冊的目標，是非常容易的事。這並沒有什麼好奇怪的，因為線上交友網站可讓使用者運用各種條件來過濾對象，例如年齡、地點、教育程度、職業、薪資，當然還有外表特徵，例如身高與髮色，除了 Grindr 之外，因為此網站要求提供的個人資訊較少。

地點是非常有用的資訊，因為利用 Android 模擬器，可將 GPS 位置設定在地球上的任何地方，將所在地點設定在目標企業的地址，然後將匹配對象的半徑範圍盡可能縮小。

相反的，我們可以透過典型的公開來源情報 (OSINT) 分析，找到特定個人檔案在線上交友網站之外的相應身分。同樣的，這一點也不讓人感到驚訝，許多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏。其實有份研究指出，運用手機上的交友應用程式進行三角測量，就能找到持有人的實際所在位置。

在找到目標的位置並連結目標的真實身分後，攻擊者要做的只剩下利用這些管道。我們對此進行測試，在我們的測試帳戶之間傳送內含已知惡意網站連結的訊息，而這些訊息都正常地發送出去，未被標記為惡意訊息。

只要利用一點社交工程，很容易就能欺騙使用者點擊連結。攻擊者發送的連結可能是常見的網路釣魚網站，例如偽裝的交友應用程式或網站，如果受害者的密碼在多處重複使用，攻擊者就能侵入個人的生活圈。攻擊者也可能使用攻擊套件，但大多數人是在手機上使用交友應用程式，因此入侵難度較高。一旦成功入侵目標，攻擊者可嘗試劫持更多電腦，最終入侵受害者的工作及其企業網路。

接受交友就會被鎖定攻擊？

這種攻擊理論上可行，但實際上真的有發生過嗎？是的，真的有。今年初發生在以色列軍隊的鎖定攻擊，就是利用社群網站的個人檔案做為攻擊進入點。網路愛情詐騙不是什麼新鮮事，但線上交友網站上究竟發生過多少類似事件？

我們用假帳戶設立「誘騙用個人檔案」以進一步探索。將研究範圍縮小至 Tinder、Plenty of Fish、OKCupid 以及 Jdate，選擇這些網站的理由，是根據顯示的個人資訊量、互動的方式，以及無需支付初始費用。

然後，我們建立涵蓋不同地區及產業領域的個人檔案。大多數交友應用程式會限制搜尋區域，而且對象必須也接受你或給你按「讚」才能進行匹配，這表示我們也必須給真人持有的個人檔案按「讚」。於是就出現了一些有趣的情況：我們晚上在家陪伴家人時，得給搜尋範圍內每個新出現的個人檔案按「讚」(是的，我們的配偶都能諒解)。

我們也為研究訂定了幾項規則，就是不輕易答應交往，但保持開放交友心態：

不率先連絡對方
僅回應特定訊息 (以確認對方是否為真人，或只是傳送惡意連結)
嘗試加快對話的速度；在一開始就提供對方良性社群網站的連結，讓攻擊者更容易在回覆中提供惡意連結
嘗試成為被鎖定的目標；不要鎖定任何人或以網路釣魚方式攻擊任何人

以下是我們收到的訊息範例：繼續閱讀

CVE-2017-0199：新的惡意軟體攻擊PowerPoint漏洞

2017 年 08 月 18 日2017 年 08 月 18 日趨勢科技 TrendMicro

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞，讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入（OLE）介面以散播惡意軟體。它通常利用的是惡意RTF文件，也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本（趨勢科技偵測為TROJ_CVE20170199.JVU）會用新的方法（利用PowerPoint播放模式）來利用CVE-2017-0199漏洞，這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用，本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解，藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

技術分析

圖1：TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊（SPEAR PHISHING）附件的方式抵達，偽稱來自電線廠商，實際上則是會植入一個遠端存取工具。這個偽裝是有原因的，因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

郵件樣本內容如下：

圖2：魚叉式釣魚郵件樣本

雖然電子郵件本身有提到訂單請求，但收到郵件的使用者看不到商業文件，而是會看到一個PPSX檔案，點擊後會顯示如下：繼續閱讀

HBO 的Twitter和Facebook帳號被駭

2017 年 08 月 18 日2017 年 08 月 22 日趨勢科技 TrendMicro

最近的報告顯示HBO同意支付25萬美元來換取駭客從其伺服器竊取的1.5TB資料，現在他們又面臨了另一個安全漏洞。

以劫持知名社群帳號而聞名的白帽駭客組織OurMine攻下了許多電視網路認證過的Twitter和Facebook帳號。這包括了HBO的節目帳號，如“權力遊戲（Game of Thrones）”，“女孩我最大（Girls）”和“好球天團（Ballers）”。

圖1、遭駭HBO Twitter帳號截圖

駭客在所有的帳號上發布了相同訊息，內容如下：“你好，這裡是OurMine，我們只是在測試你的安全性，HBO團隊請聯絡我們來提升安全性 – ourmine.org à 聯絡人”。他們還在推特上發出：“讓我們讓#HBOHacked紅起來！” 繼續閱讀

誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!

2017 年 08 月 18 日2017 年 08 月 28 日趨勢科技 TrendMicro

目前，資安研究人員已發現有超過 1,000 個應用程式感染了 SonicSpy 間諜程式 (趨勢科技命名為 ANDROIDOS_SONICSPY.HRX)，這是一個可讓駭客操控 Android 裝置的惡意程式。

SonicSpy 是以熱門即時通訊軟體 Telegram 的開放原始碼為基礎所開發出來，其開放原始碼的用意就是希望讓大家能打造屬於自己的通訊平台。但 SonicSpy 卻在該軟體當中加入間諜與遠端遙控功能，然後換個名字將應用程式上架，例如：Soniac、Hulk Messenger、Troy Chat 等等。

目前感染 SonicSpy 的應用程式數量已超過 4,000 個，顯示 SonicSpy 背後應該有一個自動化開發流程。此外，資安研究人員也指出，這些間諜程式也會透過第三方應用程式市集和網路釣魚簡訊來散布。網路釣魚簡訊 (稱為 SMS phishing 或 SMiShing) 同樣也是一種網路釣魚攻擊，它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。

[TrendLabs 資安部落格文章：Android 後門程式 GhostCtrl 可暗中錄音、錄影，而且還不只這樣…]

竊聽、偷拍、撥打高費率付費服務電話….SonicSpy 具備 73 種遠端遙控指令

SonicSpy 具備 73 種遠端遙控指令，其中包括：