在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹。回顧 3 月新增的三隻勒索病毒的新花招:
勒索病毒Roza Locker 盯上遊戲玩家
勒索病毒 Ransomware (勒索軟體/綁架病毒)持續用惡意軟體來攻擊特定網路社群:遊戲玩家。Roza Locker(被偵測為RANSOM_ROZALOCK.A)是一種新的勒索病毒,針對俄語系的遊戲愛好者,會偽裝成電腦遊戲的安裝程式。開啟檔案之後,勒索病毒會要求提升權限好開始加密檔案。 繼續閱讀
某家跨國性整合技術製造商的會計主任,收到一封據稱來自執行長的電子郵件,信中指派了一項緊急的匯款工作。為了增加真實性,歹徒再假扮成律師打電話並寫信給這位會計主任。整個過程才幾個鐘頭的時間,歹徒撈到 48 萬美元。
同樣都是直接駭入電腦系統,商業流程入侵(BPC) 非藉由人員的疏失或入侵電子郵件帳號。歹徒會駭入企業的業務流程系統,藉由新增、修改或刪除資料來將款項轉到他們戶頭,或將商品轉到指定地點。一般來說,一樁 BPC 攻擊從背景調查、攻擊策畫到真正駭入企業系統並取得款項或商品,大約需要 5 個月的時間。
過去十年,資安威脅情勢已大幅演變,從 2001 年的蠕蟲開始,到 2005 年的「Botnet傀儡殭屍網路」和間諜程式,而現在則是針對性攻擊/鎖定目標攻擊(Targeted attack )、行動威脅與勒索病毒 Ransomware (勒索軟體/綁架病毒)當道的年代。威脅的破壞力不斷上升,而且動輒癱瘓企業。
為了因應日益成長的威脅,資安產業也開發出各種推陳出新的解決方法,例如:新一代防護、入侵偵測、雲端防護等等,這些都是解決今日資安問題的必要元素。然而若是考慮到企業整體,那毫無疑問地需要一套面面俱到、環環相扣的多層式防禦。除了氾濫成災的勒索病毒之外,還有兩種類型的攻擊將使得多層式防禦在 2017 年更加重要,那就是:變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)與商業流程入侵 (BPC)。
變臉詐騙 (BEC):專門針對那些經常需要匯款給外部供應商的企業機構
變臉詐騙早已不是什麼新鮮手法,趨勢科技和美國聯邦調查局 (FBI) 多年來一直不斷發表研究報告與警告來提醒大家注意這類攻擊。這是一種精密的詐騙手法,專門針對那些經常需要匯款給外部供應商的企業機構。事實上,我們在 2016 年資訊安全總評報告當中指出,這類攻擊已遍及全球 92 個國家,而且由於投資報酬率驚人,因此預料 2017 年還會繼續成長。
讓我們來看一下 2014 年發生在 AFGlobal 這家跨國性整合技術製造商的案例,就能了解這類詐騙是如何得逞。首先,該公司的會計主任收到一封據稱來自執行長的電子郵件,信中指派了一項緊急的匯款工作。為了增加真實性,歹徒再假扮成律師打電話並寫信給這位會計主任來說明這筆匯款,並希望款項能盡快匯出。在款項匯出之後,對方沉寂了幾天,緊接著又要求另一筆 1,800 萬美元的匯款。但由於金額過於龐大,讓會計主任起了疑心,這樁詐騙才因而現形。雖然後面這筆 1,800 萬美元的金額歹徒並未得逞,但歹徒在前一次匯款時已撈到 48 萬美元,而且整個過程才幾個鐘頭的時間。
這就是變臉詐騙可怕之處,才不過短短的時間就能造成高額的損失。
⊙延伸閱讀:
「緊急通知」或「付款到期」開頭的信件,駭人獲利竟逾 30 億美元
◢ 防 BEC 變臉詐騙小秘訣
商業流程入侵 (BPC):從內部流程直接將匯款轉向,準備期約 5 個月
然而若和商業流程入侵 (BPC) 詐騙相比,變臉詐騙的損失金額和影響力只不過是小巫見大巫。其中最知名的案例就是 2016 年初孟加拉銀行遭到網路洗劫的事件。除了洗劫銀行之外,歹徒的其他做案手法還有:駭入訂單系統篡改款項支付對象、入侵支付系統授權轉帳至歹徒戶頭、駭入出貨系統竄改高價商品的運送地址。 繼續閱讀
局部敏感哈希(Locality Sensitive Hashing,LSH)是一種作為可擴展,近似最近鄰搜尋物件的演算法。LSH可以預運算一個哈希(Hash)來跟另一哈希(Hash)作快速比較以判斷它們的相似度。LSH 的實際應用之一是用來優化資料處理和分析。一個例子是交通網路公司Uber將LSH實作在它們的架構中,用來處理資料以判斷行程有重疊的路線以減少GPS資料的不一致。趨勢科技從2009年開始就一直在此領域進行積極研究並發表了報告。在2013年,我們開放原始碼了一套適合用在安全解決方案的 LSH實作:趨勢科技局部敏感哈希(TLSH)。
TLSH是LSH的一種作法,可以用在白名單機器學習擴展的模糊哈希(fuzzy hashing)。TLSH可以生成用來分析相似性的哈希(Hash)值。TLSH根據與已知正常檔案的相似度來協助判斷是否能夠在系統上被安全地執行。比方說同一應用程式不同版本的數千個哈希(Hash)值可以透過排序和簡化來進行比較和進一步分析。後設資料(metadata)如憑證可以用來確認該檔案是否正常。
TLSH開發時也考慮到了主動合作。我們提供了開放原始碼工具來協助學習、評估和進一步加強TLSH。我們也有定期更新的後端查詢服務讓獨立安全研究人員和合作夥伴可以用來查詢及比較自己的檔案與好檔案間的相似度。 繼續閱讀
作者:趨勢科技 執行長(CEO)陳怡樺
這是一個令人難過的消息,多希望這並不是真的,3月24日星期五趨勢科技的技術長 Raimund Genes在德國家中驟逝。這對大家來說是一個令人無法置信的損失;對我個人而言,我失去了一個美好而親密的朋友,也失去了一名趨勢科技家族的成員,真是難以言喻且令人心碎的悲傷。
我剛認識Raimund時,他是趨勢科技在德國的代理商,經營著自己的事業。1996年,我和趨勢科技的另二位共同創辦人: 張明正 、陳怡蓁說服了他加入我們公司,在德國成立了我們的子公司Trend Micro Deutschland GmbH。我和這高尚的靈魂並肩工作了超過 21年。
Raimund是個很特別的人,他熱愛生命和網路安全產業。每次我們同桌共談,他的幽默和直率總會激勵著我。他擁有天生的領導魅力,讓人們看見他的願景和視界。他總能啟發人們、共事者和他的團隊朝著他的方向前進,做出符合他高規格的創新工作、產品、客戶服務和研究。
第三方應用程式商店竟可以藏身在 iOS App Store?!
iOS生態系通常被描述為封閉性的生態系統,處在 Apple的嚴格控制之下。但有心人士還是有辦法跳脫這嚴格的控制。還記得 Haima 應用程式嗎?它利用Apple所發放的企業憑證 – 這成本很高,因為所需的憑證要頻繁地改變。
趨勢科技最近發現一個可以從官方 iOS App Store下載的記帳應用程式,該應用程式帶有日文字,但應用程式商店本身是用中文。此外,它也出現在多個國家的App Store內。這個軟體名稱為為「こつこつ家計簿 – 無料のカレンダー家計簿」,也就是家庭記帳軟體。看起來是個家庭財務助手軟體,但實際上是一個第三方應用程式商店。透過這個第三方商店,可以下載被蘋果禁止的越獄應用程式,Apple已經將它從App Store中刪除。
圖1、iOS App Store內的家庭記帳軟體
圖2-4、應用程式啟動的各階段
程式碼(如下圖5)顯示當它首次啟動時會檢查系統使用者設定 plist 內的 PPAASSWOpenKey 鍵值。該應用程式利用這鍵值確認之前是否執行過:如果沒有,就不會有鍵值存在。該應用程式會轉去執行其他動作,要求資料使用權限來存取第三方商店。因為 iOS的權限機制,這請求需要由使用者(圖2)同意。第一次請求失敗讓應用程式轉成記帳本畫面,偽裝成合法應用程式(圖3)。圖3的文字聲稱資料存取權限是從應用程式匯出資料所必須。 繼續閱讀