趨勢科技 TrendMicro | 資安趨勢部落格

激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?

2017 年 05 月 05 日2017 年 05 月 05 日趨勢科技 TrendMicro

就算使用者變更了帳號密碼，歹徒的應用程式還是能夠存取該帳號，除非…..

Pawn Storm 利用 OAuth 開放認證機制從事進階社交工程詐騙

Pawn Storm 是一個從 2004 年活躍至今的激進駭客間諜團體。根據趨勢科技最新的研究顯示，該團體一直想盡各種辦法、盡各種手段來試圖從攻擊目標竊取重要資訊。他們最擅長也最令人擔憂的是利用網路釣魚（Phishing）來騙取帳號登入資訊。2016 年受害對象包括：美國民主黨全國代表大會 (Democratic National Convention，簡稱 DNC)、德國基督教民主黨 (Christian Democratic Union，簡稱 CDU)、土耳其國會和政府機關、蒙特內哥羅國會、世界反運動禁藥機構 (World Anti-Doping Agency，簡稱 WADA)、半島電視台 (Al Jazeera) 以及其他多家機構。

本文探討 Pawn Storm 如何利用開放驗證 (Open Authentication，簡稱 OAuth) 機制來從事進階社交工程詐騙。駭客在 2015 至 2016 年間攻擊了不少使用免費網站郵件服務的重要人士。

OAuth 如何遭到利用？

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制，此機制的好處是使用者不須提供自己的帳號密碼，而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
繼續閱讀

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

2017 年 05 月 04 日2017 年 05 月 02 日趨勢科技 TrendMicro

行動惡意軟體對企業造成破壞性影響變得越來越加普遍，因為行動設備已經越加成為靈活存取和管理資料的偏好平台。趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式（趨勢科技偵測為ANDROIDOS_MILKYDOOR.A）, 其中一個在Google Play上已經有50萬到100萬的安裝數量。

MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似，都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。

雖然MilkyDoor看起來像是DressCode的接班人，不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell（SSH）通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷（payload），使得偵測惡意軟體變得加棘手。

趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式，從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播，利用原版的知名度來吸引受害者。

對企業的影響

MilkyDoor會對企業帶來較大的威脅，因為它被設計來攻擊企業的內部網路，私人伺服器，最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰，特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限，並且使用正常或看似良性的網路通訊存在於設備中。

結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務，從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描，以找出可利用（和有漏洞）的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫，就是一個例子。由於這些伺服器是公開的，但是其內部資料庫缺乏認證機制而讓情況變嚴重。

圖1：Google Play上帶有MilkyDoor應用程式的例子繼續閱讀

最新勒索病毒: WinSec利用電子商務平台散布,贖金用 PayPal 支付

2017 年 05 月 03 日2017 年 05 月 02 日趨勢科技 TrendMicro

原本以教學為目的所撰寫的開放原始碼勒索病毒HiddenTear,遭網路犯罪集團利用其原始程式碼不斷衍生出惡意的版本。近日Hidden Tear 又出了一個新的變種叫做「WinSec」 (趨勢科技命名為 RANSOM_HiddenTearDESBLOQ.A 及 RANSOM_HIddenTearDESBLOQ.B)，這是一個來自巴西駭客的勒索病毒，採用 .NET 撰寫並利用電子商務平台來散布，例如專門銷售數位商品的網站。

其第一個版本 RANSOM_HiddenTearDESBLOQ.A 會在系統上植入「Desbloquear.exe」執行檔，並顯示以下畫面：

此勒索訊息內容大致翻譯如下：

解開被加密的「.locked」檔案。
若您已經取得密碼，請在下方輸入密碼，然後按一下「Unlock Files」(解開檔案)。
若您沒有密碼，請按「Obter Senha」(取得密碼) 按鈕。

當使用者按下「Obter Senha」(取得密碼) 按鈕，就會另外開啟一個瀏覽器視窗並連上「Sellfy」網站，這是一個專門銷售數位商品的網路平台。歹徒勒索的金額只有 10 美元，因此還算容易負擔，而且可以透過 PayPal 支付。接著，病毒會隨機產生一個加密金鑰。

繼續閱讀

比 Mirai 更狠, BrickerBot 要讓智慧型家電,監控攝影機… 等 IoT 裝置,永遠變磚塊!

2017 年 05 月 03 日2017 年 05 月 03 日趨勢科技 TrendMicro

一種針對物聯網（IoT ,Internet of Thing）設備的新惡意軟體 BrickerBot 近日登上媒體,雖然據稱它的攻擊媒介跟 Mirai 類似，但是不同於 Mirai 會將受感染設備變成「Botnet傀儡殭屍網路」電腦，BrickerBot 是所謂「phlashing」(網路刷機) 攻擊的真實案例，這是一種永久阻斷服務攻擊 (簡稱 PDoS)，利用硬體裝置的安全漏洞，直接破壞裝置的韌體。

BrickerBot 和 Mirai 及 LuaBot (ELF_LUABOT) 這類專門攻擊 IoT 裝置的惡意程式一樣，會藉由裝置預設的帳號密碼來登入裝置。不過，BrickerBot 卻不像其他攻擊 IoT 裝置的病毒將感染的裝置變成殭屍以建立龐大的殭屍網路，進而發動分散式阻斷服務 (DDos) 攻擊。BrickerBot 會在感染裝置上執行一連串的 Linux 指令，導致感染裝置永久損壞。其中某些指令會毀損或惡意修改裝置儲存容量設定及核心參數、阻礙網際網路連線、影響裝置效能，以及清除裝置上所有檔案。

[延伸閱讀：如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?]

目前已知 BrickerBot 有兩種版本:

BrickerBot.1 版本專門攻擊使用 BusyBox 軟體的 IoT 裝置 (這是一套類似 Unix 工具包的軟體，適用 Linux 和 Android 系統)，裝置若開放了 Telnet 或 Secure Shell (SSH) 連線就可能遭到攻擊，後者之所以遭到攻擊是因為採用了舊版的 SSH 伺服器。一些仍在使用舊版韌體的網路裝置最可能遭到此版本的攻擊。

BrickerBot.2 版本專門攻擊開放 Telnet 服務並使用預設 (或寫死) 帳號密碼的 Linux 裝置。第二個版本會利用 TOR 出口節點 (exit node) 來隱藏其行蹤。

根據趨勢科技對 BrickerBot 的長期觀察，該程式還會利用路由器中的遠端程式碼執行漏洞。而初步分析也證實 BrickerBot 的確會使用預設的帳號/密碼組合 (如：「root/root」和「root/vizxv」) 來試圖登入裝置，此外還會隨機寫入裝置的儲存裝置。

[延伸閱讀： 如何保護路由器以防範家用網路攻擊]

去年，由於 Mirai 殭屍病毒的出現，以及它對企業和個人所造成的嚴重災情， IoT 裝置安全成了最迫切的議題。此次 BrickerBot 的現身，反映出 IoT 裝置在網路攻擊當中正逐漸扮演重要角色，因為某些產業的企業已開始慢慢導入這些裝置，例如：製造業和能源產業。就連像一般家用路由器這樣平凡的裝置，一旦被變成殭屍，就會完全聽從駭客的指示攻擊企業、竊取企業資產，或竊取感染裝置上的資料。

繼續閱讀