一個過去鎖定電腦散播勒索軟體 Ransomware 的惡意集團Reveton ,現在將要求贖金的目標改為Android手機 – 通常是會瀏覽色情網站的訪客。
Reveton是純粹的勒索軟體,它具有系統層級的存取能力,能導致受害者的手機無法運作。被害者為了讓手機恢復原狀,必須透過歹徒指定的付款機制支付300美元贖金,才能取回手機使用權。
勒索軟體 Ransomware出現在行動世界只是個風暴的開始。「這將會變得非常的嚴重,」趨勢科技副總JD Sherry在Ransomware Gang Targets Android Phones這篇報導中說道:「我們將會在這一年看到大量的惡意軟體對手機進行攻擊,我不認為消費者和組織在轉移到行動設備時,已經準備好來面對這些攻擊。」
手機裝了這個惡意apk, 被綁架,會出現以下完全空白的畫面或是警察單位的警告信
不管是用哪種公共雲,安全性都是雲端服務供應商和你(服務使用者)的共同責任。對於IaaS產品來說,這通常意味著以下的責任分工:
| 雲端服務供應商 | 你 |
| 設備
實體安全 網路 基礎設施 虛擬層 |
作業系統
應用程式 資料 |
如果你曾經使用過AWS雲端服務,那你可能已經熟悉於這種模式。AWS一直在努力推廣此一模式給社群,所以現在其他服務供應商(以及像趨勢科技這樣的合作夥伴)就能夠利用這教育成果來幫助提高每個人在公共雲內的標準。
共同責任模式的成功關鍵在於確保你確認服務供應商的工作,然後集中精力在防護你責任範圍內的部分。
微軟的責任
微軟已經替Azure建立一個集中的安全性中心。微軟的Azure信任中心是個很棒的地方讓你可以確認微軟如何履行其對安全性的責任。 繼續閱讀
最近這則新聞駭客入侵嬰兒監視器,遠端嚇小孩!,報導指出根據美國Fox News報導,有一對家長發現,駭客入侵了他們為10個月女兒所準備的嬰兒監視器(baby monitor)。該駭客除了遠端操控該監視器的錄影角度,還大聲對著小孩喊叫。嬰兒的爸爸衝進女兒房間後,發現房內並無他人,但看到嬰兒監控器的鏡頭在轉動,嚇到直接把監視器的插頭拔掉。據使用者論譠上披露,該款無線IP攝影機所使用的韌體含有安全漏洞,該款攝影機最多可支援8個帳號,一旦有帳號留白,那麼不用輸入帳號或密碼就能存取該攝影機所拍攝的內容。
物聯網(IOT或萬物聯網IOE)是近來盛行的科技流行語之一,從Google搜尋趨勢就可以看得出來。這名詞指的是日常物品數位化的增加 – 任何新科技產品在設計時都會考慮到連接性,不管是智慧型電視、或是智慧型烤麵包機。隨著越來越多設備連上網路,防護這些設備也成為資安的下一個大挑戰。(本部落格相關文章物聯網(IOT或萬物聯網IOE)會遭受攻擊嗎?)
易被滲透的公共熱點和不安全的路由器讓類似Chameleon的威脅值得被重視。最近有一家安全廠商所發布的報告指出,在Amazon.com排名前50名最暢銷的路由器中有四分之三有駭客可以加以攻擊的漏洞。這問題再加上了大多數使用者不會更改無線基地台的預設密碼或IP地址,讓它們在遭遇大規模攻擊時非常的脆弱。
一個最近所出現的惡意軟體讓使用者不必下載檔案或是連上可疑網站就會讓系統受害。Chameleon,這是個在目前還只是概念證明的惡意軟體,但它強調了散播網路攻擊的載體範圍在不斷地擴大。具體地說,它結合了無線網路監聽程式和病毒,可以經由網路取得身份憑證,並且分析無線基地台的弱點。
Chameleon,網路安全和物聯網
Chameleon因為它的感染模式而被比喻成一種感冒,但其治療方式(它的設計曾被網路犯罪份子模仿)可是比喝大量的水和更多休息還要複雜。因為Chameleon是停留在網路上而非單一端點,許多防毒軟體可能很難加以察覺。
「當Chameleon攻擊無線基地台時,並不會影響它的正常運作,卻可以收集和回報所有連上之無線使用者的身份憑證。接著,病毒會找到其他可連上的無線基地台並加以感染」,利物浦大學的網路安全教授Alan Marshall如此說道。「這雖然只是假設,但之前並無法開發病毒來攻擊無線網路,但我們現在證明了這是可能的,而且可以快速地蔓延。」
在未來,安全專家很可能可以找到方法來監控Chameleon。但真正的問題並不只是此特定威脅。Chameleon特別的攻擊媒介 – 無線基地台,顯示出其已經漸漸地成為網路基礎設施的中心。它既是物聯網的骨幹,也是需要更加注意其安全的東西。
Chameleon的難以捉摸讓它成為值得注意的網路威脅之一,而且包含病毒讓它和直接駭入無防護的網路攝影機、路由器或其他物聯網設備進行基礎設施攻擊有所區別。然而,這些看來不同的危險也明顯地說明出攻擊者是如何地將注意力從獨立硬體(電腦、智慧型手機或是平板電腦)轉移到網路上,攻擊有漏洞的設備,或有時會集中所劫持的資源來進行之後的攻擊活動。
要防範Chameleon後繼者和其他網路惡意軟體需要面面俱到。一開始,使用者需要強化密碼安全和良好的無線網路習慣。安全社群和設備製造商也必須將網路設備,甚至一般機器如冰箱和空調設備都當作個人電腦一樣的看待 – 因為這些機器也會被感染。
今年開始不久,趨勢科技注意到一個舊惡意軟體家族TSPY_USTEAL再度出現。這資料竊取惡意軟體現在加入了新功能,包括了惡意加殼(Packer)、加花(Obfuscation)以及加入勒索軟體 Ransomware。
TSPY_USTEAL變種早在2009年就開始出現,以會竊取敏感資料著稱,像是電腦詳細資訊和儲存在瀏覽器內的密碼。它可以作為植入程式,將它資源區段內的外掛程式或二進位檔案植入受害系統。偷來的資訊會儲存在一加密的.bin檔案,透過FTP上傳到C&C伺服器。這是以前變種的部分行為,新版本中也繼續保有。
我們最新所偵測到的變種是TSPY_USTEAL.USRJ,它會植入勒索軟體 Ransomware(偵測為TROJ_RANSOM.SMAR)到受害系統上。這些勒索軟體是由一新工具包產生器所生成,讓攻擊者可以完全控制勒索軟體 Ransomware的行為,包括它所加密的檔案類型到顯示的勒贖說明。
我們將這工具包偵測為TROJ_TOOLKIT.WRN。下面是譯自俄文的英文功能說明。包括加密的檔案類型、勒贖說明、附加到加密檔案的副檔名以及所植入編碼程式的名稱。
圖一、勒索工具包的英文說明
勒索軟體 – TROJ_RANSOM.SMAR會將自身副本植入到使用者電腦中。然後用相同圖示和副檔名來加密特定檔案。例如,它可以將副檔名.EnCiPhErEd加到選定的檔案格式,像是.LNK,.ZIP等,就像是記號一般。它接著會植入一內含勒贖細節的圖檔。
圖二、勒贖說明 繼續閱讀
在過去的一年裡,加密一直是個熱門話題,因為個人和企業越來越意識到監視活動的增加,還有像CryptoLocker勒索軟體這樣顛覆性的惡意軟體,讓加密變成一種破壞行為而非保護功能。在這期間,網路公司(如雅虎)終於開始預設提供SSL和HTTPS給所有的使用者,以確保通訊安全和更好的資料隱私。
不過加密並非廣泛地被使用,雲端儲存服務是最明顯的例子。Dropbox和SugarSync等產品已經在消費者心中具有相當大的佔有率,它們的普及率也開始滲透進企業,有越來越多企業開始熱衷於將簡單的檔案分享功能整合進IT運作。但這些最初設計給消費者的服務是否具備有足夠的安全性呢?
一個包含了第三方附加程式和替代方案的生態系統已經如雨後春筍般地湧現,好幫組織消除安全上的疑慮。比方說,Boxcryptor和Cloudfogger可以在本地端檔案上傳前先加以加密,而來自服務供應商(像Egnyte)所提供的企業級解決方案可以讓企業無縫地結合本地和遠端代管檔案管理。換句話說,企業檔案分享和雲端儲存持續進行著領土爭奪戰,而加密和安全機制成為了產品差異化的關鍵。為什麼會變成這樣呢?
雖然並不乏有廠商提供檔案加密功能,但Dropbox和類似服務迄今都沒有預設提供類似功能,成為雲端服務市場內一個顯著的弱點,不管有多少第三方補救措施出現。最近Dropbox的伺服器突發事件凸顯出確保雲端資料安全的高難度 – 雖然該事故短暫且相對無害,也讓人省思如果發生了惡意資料外洩事件,數以百萬未受保護的檔案會發生什麼事。
Dropbox突發事件可能讓加密變成預設
有些雲端儲存服務已經開始實施加密,也許是為了反應像美國國家安全局的監視計劃。Google Cloud Storage,該公司提供給開發者和企業運作在雲端的平台,在去年夏天變成預設加密,不過Google並沒有提供相同的功能給其面向消費者的Google雲端硬碟服務。
Dropbox,最古老也最為人所知的消費者雲端解決方案,目前擁有超過2億的使用者,並沒有預設加密。不過該公司指出,其員工工作在零認知的環境,意味著他們並不知道使用者儲存在服務內的任何檔案內容。
不過,Dropbox使用者很難去驗證這說法,該公司及其類似的儲存服務已經成為服務總是會加密的一個例外。加密憑證可以包含比之前更多的位元,而現在靜態資料(data-at-rest)加密可以透過硬體完成,讓網際網路的大部分在未來都經過加密變成可能。
雲端儲存供應商避免預設加密的原因仍然未明,雖然可能和法律審查或技術考量有關。不過都一樣,使用者被要求必須要高度的信任這些公司,並相信他們所說的會運作在安全的環境。
最近的事件顯示出雲端儲存公司在保護檔案方面還有事可做。在其所謂的例行維護期間,可以看到Dropbox有好幾天呈現出核心服務斷線或不穩的狀況。這不是Dropbox首次停止運作,2012年因為Amazon Web Services故障也導致了停機,桌面客戶端程式同步上傳檔案也在2013年初出現過問題。但這次後果可能最為嚴重,一些進階方案(如Dropbox for Teams)使用者對於缺乏溝通和延遲的長度感到失望,這是由於漫長的資料庫檢索操作所造成。
Dropbox事件和「駭客」無關,也沒有證據顯示敏感資料外洩或使用者受到傷害。但這事件顯示出超大規模服務的脆弱性 – 如果伺服器作業系統升級可能會出問題而影響到數百萬的使用者,那也值得讓我們思考一下,如果缺乏預設加密可能會導致的後果。
預設加密已經成為顯學 – 為什麼儲存供應商故步自封?
美國國家安全局透露,隨著近來零售業者出現的網路安全問題,已經讓一些網路公司強制預設加密。在今年初,雅虎信箱預設使用HTTPS,這是因為惡意軟體導致廣告以及出現入侵資料庫意圖等安全問題所做出的反應。 繼續閱讀