趨勢科技 TrendMicro | 資安趨勢部落格

什麼是加密虛擬貨幣（Cryptocurrency）？數位貨幣挖礦程式所帶來的影響

2017 年 07 月 27 日2018 年 02 月 08 日趨勢科技 TrendMicro

澳洲政府承認數位虛擬貨幣為合法的支付方式。從七月一日起在該國用數位虛擬貨幣（如比特幣）購買產品或服務時免稅，以避免被重複徵稅。因此，交易商和投資者不會因為在合法交易平台上買賣而被徵稅。

日本則是在四月讓比特幣成為合法的支付方式，預計有超過2萬家商家接受比特幣付款。其他國家也加入了這個行列（儘管只是部分）：瑞士、挪威和荷蘭的企業和部分公開組織。最近一項研究指出，不重複的活躍數位貨幣使用者在二百九十萬到五百八十萬之間，大部分位在北美和歐洲。

但數位貨幣必須做好什麼面對網路威脅的準備呢？有許多。像比特幣這樣受真實世界歡迎的數位虛擬貨幣也讓網路犯罪想要加以利用。但實際上會如何作？這對企業和一般用戶來說又代表什麼？

什麼是加密虛擬貨幣（Cryptocurrency）？

加密虛擬貨幣是代表一種貨幣單位的加密資料串。它經由點對點網路所監控和管理，也稱為區塊鍊，作為交易（如購買、出售、轉讓）的安全帳簿。跟實體貨幣不同，加密虛擬貨幣去中央化，這代表它們並不由政府或其他金融機構發行。

加密虛擬貨幣透過加密演算法來產生，經由稱為挖礦的程序來維護和確認，由一群電腦或特製硬體（如特殊應用積體電路，ASIC）來處理和驗證交易。這個過程會用加密虛擬貨幣來回報給礦工。

[相關：比特幣是數位加密虛擬貨幣的未來嗎？]

比特幣不是全部也不是最終 繼續閱讀

鎖定航太工業的垃圾郵件攻擊,散播跨平台遠端存取木馬 Adwind

2017 年 07 月 26 日2017 年 07 月 24 日趨勢科技 TrendMicro

JAVA_ADWIND是一個跨平台 DIY 專用遠端存取木馬程式(RAT)，可在任何安裝有 Java 軟體的系統上執行，因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動，但這次其主要目標是航太工業，而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。該程式的惡意行為包括：竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片，以及將資料外傳。

基本上，網路犯罪集團都是機會主義者。那個作業系統開始熱門，他們就會開發出對應的工具和攻擊技巧，藉此網羅更多受害者。這就是惡意程式為何希望能夠跨越各種不同平台。而且，若能再配合某種商業模式來將惡意程式賣給其他犯罪分子的話，效益就更高。

眼前就有一個案例：Adwind/jRAT (趨勢科技命名為：JAVA_ADWIND)。這是一個跨平台遠端存取木馬程式 (RAT)，可在任何安裝有 Java 軟體的系統上執行，因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。

最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動，但這次其主要目標是航太工業，而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。

Adwind 幕後集團現正活躍
這起垃圾郵件攻擊正好呼應了趨勢科技對 JAVA_ADWIND 長期監控的研究結果。事實上，此惡意程式的偵測數量從今年初便持續穩定成長：從一月份的 5,286 增加至六月份的 117,649。另一點值得注意的是，JAVA_ADWIND 的偵測數量從五月至六月一下子暴增 107%，顯示犯罪集團正積極地散播該程式。

Adwind/jRAT 的惡意行為包括：竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片，以及將資料外傳。Adwind 之前的版本大多用來攻擊銀行和丹麥企業，甚至會收編受感染的裝置來納入「Botnet傀儡殭屍網路」網路當中。

Adwind 身為一個跨平台 DIY 專用遠端存取木馬程式，它其實還有許多別名：jRAT、Universal Remote Control Multi-Platform (UNRECOM)、AlienSpy、Frutas 以及 JSocket。2014 年，趨勢科技曾經發現一個修改過的 Android 版 Adwind/jRAT，增加了數位貨幣採礦功能。而且由於它採用服務的經營方式，因此我們可以看到許多其他網路犯罪集團所開發的客製化版本與專屬功能。

圖 1：JAVA_ADWIND 從 2017 年 1 月至 6 月的偵測量。 繼續閱讀

惡意軟體識別工具Yara ,竟被惡意程式用來作弄資安研究人員

2017 年 07 月 25 日2018 年 12 月 19 日趨勢科技 TrendMicro

對絕大多數資安研究人員來說，Yara 是一個非常寶貴的惡意軟體識別工具，它可建立一些規則來追蹤惡意程式，讓許多資安研究人員的作業流程可以自動化。然而，儘管 Yara 可靠又好用，但卻不應當成監控最新惡意程式變種的唯一工具。

網路上可以找到很多 Yara 的規則，從 Yara-Rules 專案到本部落格文章所提供用來偵測惡意程式入侵指標 (IOC) 的 Yara 規則都有。除此之外，資安研究人員還可建立屬於自己的規則來偵測目前正在尋找的特定威脅，有時候並不會輸給網路上所提供的規則。

《延伸閱讀》透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

當 Yara 的某個規則被觸發時，它會產生警示來提醒研究人員採取進一步行動，包括啟動虛擬機器 (VM) 或除錯器和解譯器來查看被觀察的樣本到底試圖做些什麼，這對許多資安研究人員來說，算是家常便飯。

在趨勢科技監控威脅的過程當中，有一個惡意程式的樣本 (趨勢科技命名為 JOKE_CYBERAVI) 觸發了許多條 Yara 規則。我們第一次發現這個樣本的時間是在全球標準時間 (UTC) 2017-05-11 14:33:49。當查看該執行檔的 PE 標頭時，我們看到它的時間戳記是全球標準時間 12:57:16。換句話說，我們是在該檔案產生出來後的 90 分鐘左右就發現到該檔案。全部加起來，該檔案我們總共偵測到 26 次。

圖 1：JOKE_CYBERAVI 檔案屬性。

一開始，該檔案看起來還蠻有趣的，因為它似乎內建了某些防除錯機制。這類技巧通常是惡意程式為了防止研究人員利用反向工程加以研究。

圖 2：惡意程式的部分程式碼。

當查看該檔案的 PE 資源時，我們發現到有些奇怪，它有三段資源：RT_MANIFEST、CYB 和 LOL。沒錯，有個叫做「LOL」(放聲大笑) 的資源。繼續閱讀

《資安漫畫》離開座位時,你的螢幕有上鎖嗎?

2017 年 07 月 24 日2017 年 07 月 26 日趨勢科技 TrendMicro

繼續閱讀

黑吃黑：黑暗網路(Dark Web,簡稱暗網)內的駭客攻擊活動

2017 年 07 月 24 日2021 年 06 月 29 日趨勢科技 TrendMicro

黑暗網路(Dark Web,簡稱暗網)上那些鮮為人知的網站，經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站，充斥著各式各樣的地下市集販賣著琳瑯滿目的商品，包括：網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告，比如「 表面之下：探索深層網路 (Deep Web)」。

然而關於「黑暗網路」(Dark Web,簡稱暗網) 內部的駭客攻擊活動，卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊？黑暗網路(Dark Web,簡稱暗網)內部的攻擊規模和性質又是如何？出乎我們意料，我們發現這些攻擊在黑暗網路當中還算相當頻繁，而且駭客經常是手動進行這類攻擊，其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。

趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作，發表了一篇名為「黑暗網路(Dark Web,簡稱暗網)對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem)，並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近，我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。

架設誘捕陷阱來吸引網路犯罪分子

趨勢科技的研究目的是希望深入了解黑暗網路(Dark Web,簡稱暗網)內部的駭客犯罪手法，並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其，我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。

為了達成研究目的，趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後，我們會自動蒐集所有記錄檔，並且將環境復原至乾淨的狀態。

我們的誘捕陷阱包含以下幾種：