《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

一個值得慶祝的消息,俄羅斯特警隊在俄羅斯逮捕了八個人。Gary Warner(阿拉巴馬大學伯明罕分校)在他的部落格內針對這個逮捕事件有篇很棒的文章,所以我在這裡就不再重複細節了。

雖說如此,我還是想說這是另一個很好的例子,顯示民間企業研究單位和國際執法組織之間如何進行跨國合作。趨勢科技希望在未來我們可以看到更多像這樣的例子,讓那些可惡的網路犯罪分子不再以為他們躲在法律鞭長莫及的地方。

網路犯罪分子不該認為他們可以隱藏在任何特定國家或司法管轄區域,而且因為國際法律的差異而避免被起訴。這起事件,還有最近在東歐的逮捕事件,都顯示了執法單位的跨國行動還是可以逮到他們。

就像Warner教授的部落格中所提到,趨勢科技的威脅研究部門在幾年前就對CARBERP做了相當研究,特別是深入地去舉出被當做目標攻擊的受害者。趨勢科技看到了在政府單位、產業界、學術界都有被當成目標攻擊的受害者,而且有許多的受害者銀行帳戶在不知不覺中被竊取了金錢。

CARBERP是一個特別討厭的銀行木馬,可以在沒有管理員權限下安裝,也能有效地躲過Windows 7和Vista的使用者帳戶控制(UAC)功能。

 

雖然CARBERP的數量跟普及程度看起來還不及ZeuS和SpyEye,但自從CARBERP在2009年下半年出現開始,趨勢科技看到了數量一直在穩定的成長(見圖1)。

 

《目標攻擊》狡猾的銀行木馬CARBERP始作庸者遭跨國逮捕

 

此外,根據趨勢科技的記錄顯示,幾乎有四分之一的CARBERP病毒感染發生在德國(見圖2)。

繼續閱讀

<線上相簿社群網路服務> Pinterest很有趣,但有隱私風險

Pinterest是最近掀起一陣風潮的新社群媒體,如果你還沒有聽過或是嘗試過它,簡單的說,Pinterest是一個讓你可以上傳和釘(Pin)圖片到你自己的線上相片簿的社群網路服務。這就像是圖片板的Twitter,可以讓你的照片以時間軸的方式呈現給所有人。

你可以轉釘你在Pinterest上發現的圖片,或是利用瀏覽器附加元件的擴充功能來轉釘任何在網路上看到的圖片。如果你喜歡其他使用者的圖片,或是他們喜歡你的,那你可以關注(Follow)他們或是被關注。你還可以對這些圖片發表評論,所以也可以跟別人一起討論。

來看看Fearless的Pinterest網頁:https://pinterest.com/fearlessweb

<線上相簿社群網路服務>Pinterest很有趣,但有隱私風險

 

我必須承認我真的很喜歡Pinterest的概念。在過去幾個禮拜裡,我已經釘了好幾個我所喜歡的圖片,像是音樂、電影和好笑的方面。Pinterest就是這麼好玩,我喜歡在這所看到的新圖片。每次上Pinterest網站就好像是在看本新相簿一樣。

但從另一方面來說,Pinterest所帶來的這一切就像他們所說的一樣,會將一切都公開出來。如果你沒有小心的使用這服務,你可能會真的犧牲掉自己的隱私,還會損害到你的名譽。

小心你所釘的東西

簡單的說,Pinterest目前沒有提供隱私設定,就跟Twitter一樣,你所釘的每件事情都可以讓所有人看到,不只是你的關注者。在上面並沒有像Facebook或Google+一樣可以用來限制誰可以看你釘的東西或是評論。而且就跟Twitter一樣,一旦你的圖片或是評論放上網路,就沒有辦法收回了。

繼續閱讀

桌面系統應用程式商店對使用者的意義為何 ?

最近,科技媒體上充斥著關於新一代桌上型/筆記型電腦作業系統即將於今年下半年上市的消息。幾個月來,微軟不斷持續透過Building Windows 8 部落格透露有關 Windows 8 的消息,最近一次就是 Windows on ARM (WoA) 與 Windows 8 消費者預覽版 (Consumer Preview) 發表的消息。此外,蘋果也發表了 OS X 10.8 Mountain Lion 的開發人員預覽版。

儘管這些新的作業系統都各自主打一些最新的功能,但有些功能卻可能徹底改變消費者使用及保護其系統的方式。這些系統都有一個共通的主題:他們正逐漸對使用者「設限」,使用者將來要下載和執行應用程式,非得受到廠商(微軟或蘋果)某種程度的管制不可。

Windows 8/Windows on ARM:WinRT Windows App Store

媒體對 Windows 8 的報導大多圍繞在新的使用者介面,也就是目前 Windows PhoneXbox 360 Dashboard 所使用的 Metro 設計風格。然而,Metro 應用程式不僅外觀大不相同,其開發方式也截然不同。

Metro 應用程式是採用完全不同的一套 API 來開發,也就是大家所知的 WinRT。這與目前所有 Windows 應用程式 (及惡意程式) 所用的 Windows API 涇渭分明。從安全的角度來看,WinRT 有兩項重要改變:首先,所有的 WinRT 應用程式都已沙盒化 (sandboxed)。雖然某些開發人員會覺得這樣不好,但這卻有助於降低應用程式漏洞所造成的衝擊。

第二項改變則更重要。WinRT 應用程式「只能」透過微軟核准的 Windows 商店下載。這一點早在2011 年 9 月的 BUILD 開發人員大會上就已闡明。開發人員仍可執行或下載應用程式商店以外來源的應用程式 (或許企業使用者將來也可以)。但是,一般的消費者將只能從微軟所保護的應用商店下載應用程式。

這項改變對未來新的 Windows 不同版本的影響不一。桌上型和筆記型電腦的使用者二種 (WinRT 和 Win32) 應用程式都能使用。不過,微軟已經挑明了,他們認為 WinRT 是 Windows 未來的方向。購買採用 ARM 處理器 Windows 平板電腦的使用者將只有 WinRT 應用程式可選。

結果,桌上型和筆記型電腦使用者的使用環境大致上和今日下載執行的情況差不多。如果有大量的開發人員都改用 WinRT,那這群使用者也將移轉至一種更受到管制的環境,也就是 ARM 版本 Windows 使用者一開始所處的狀況。雖然 Windows 也曾加入了一些較為明顯的改變,例如整合防毒與信譽評等技術,但是,對於應用程式環境設限,並且「強烈」鼓吹這樣的作法,將是使用者未來要面臨的真正挑戰。

Mac OS X Mountain Lion: Gatekeeper

從安全的觀點來看,新版 Mac OS X 作業系統最具意義的改變就是 Gatekeeper (守門人)。這是第一次有消費型作業系統有意義嘗試建立一套以應用程式來源為基礎的白名單列表。

Gatekeeper 正如其名,會根據應用程式的下載來源決定是否允許應用程式執行。它有三種設定:

Mac App Store:此選項只允許從蘋果 Mac App Store 下載的應用程式執行。

Mac App Store 與經過識別的開發人員:此選項可允許來自 Mac App Store 以及 Mac 開發人員計劃 (年費 $99 美元) 開發廠商的應用程式執行。

不限地點:Gatekeeper 將不對應用程式設限。

Gatekeeper 在預設情況下為第二選項。這至少讓蘋果看起來像是柔性「鼓勵」開發人員與他們建立正式的關係。只不過,這樣情況是否會持續到 2013 年 (也就是 Mountain Lion 之後的作業系統發表之時) 就不得而知了。

這一切對使用者的意義為何?

不論 Windows 或 Mac 平台都開始轉向一種管制更嚴的使用模式 (如智慧型手機和平板電腦)。這樣對使用者是好事嗎?不盡然。

現有的應用程式商店也曾經遭到駭客入侵。Android Market 在這方面的案例層出不窮,我們在「惡意程式部落格」(Malware Blog) 上已經多次討論。雖然 iOS App Store 從未出現像 Android Market 遭遇到的問題,但也出現過一些假應用程式

此外,只針對惡意應用程式將忽略了一項事實,那就是許多使用者所面臨的威脅其實跟惡意程式根本沒有關係。社交網路無時無刻不受到詐騙與垃圾郵件的攻擊,其手段包括假應用程式和問卷調查詐騙在內。HTML5 對駭客來說一樣是一項強大的工具。即使正常的應用程式加上完全正常的使用方式,也能讓駭客取得珍貴的使用者資訊。

今日電腦作業系統的發展趨勢 (如 Windows 和 OS X 目前的態勢) 似乎是要讓使用者無法自行掌握可執行的應用程式。有別於讓使用者自行決定,這些系統將由廠商 (如蘋果和微軟) 來幫您決定。廠商的口號基本上是:相信我們。我們會照顧您。Bruce Schneier 稱這樣的安全模式為封建安全制度 (seudal security)

這樣的問題是,個人使用者的安全在廠商心中不一定是優先要務。例如,開發人員就非常想要取得使用者的資訊,因為這樣應用程式要賺錢就更容易。但使用者對這樣的情作法可能放心或不放心。同樣地,大型企業可能受到一些獨立小型開發廠商不會遇到的政府壓力;凡是經營應用程式商店的廠商,都必然受到政府的壓力,但小型開發廠商則不然。

此外,應用程式商店會讓開發人員有一種錯誤的安全感,認為有管制的行動裝置作業系統已內建「安全網」,因此反而可能在撰寫程式時容易缺乏嚴謹。例如,研究人員發現,許多 Android 應用程式都有嚴重的安全缺陷。其他研究也發現,某些應用程式會透過無線方式傳送重要的使用者資訊,例如使用者名稱和密碼,卻毫無任何加密保護。如果這種輕忽安全的作法延伸到未來受管制的桌上型作業系統,使用者的資料就危險了。

微軟和蘋果推動應用程式商店模式的決策,將使得消費者所面臨的威脅情勢發生劇烈變化。雖然這樣的模式可以抑制某些資安威脅,但卻讓使用者失去絕大部分的選擇彈性,並且將決定權交給了應用程式商店經營者。此外,一切都轉型成應用程式商店模式也將對使用者的安全和隱私權帶來巨大影響。這個問題現在先討論總比以後再討論來得好。

@原文來源:Desktop App Stores – What It Means For Users)

◎ 歡迎加入趨勢科技社群網站
 

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

惡意郵件利用西藏事件作誘餌來進行目標攻擊

 就是這些信,讓日印藏被駭
1.印度軍事企業收到1封關於導彈防衛系統
2.西藏運動組織收到有關自焚的新聞
3.日本企業在311地震後收到關於輻射觀測報告。
相關報導:日印藏網諜活動 陸駭客有關聯
趨勢科技最近分析了一連串利用熱門社會政治議題來發送給特定使用者的電子郵件。其中一個跟德國總理對在西藏拉薩的抗議活動所做的發言有關。寄件者欄位顯示這封信來自澳洲西藏委員會(ATC,Australian Tibet Council)裡的重要人物。不過這封電子郵件當然是偽造的,電子郵件地址也是剛剛才建立用來假冒ATC人員。它還包含了一份聲稱跟發言相關的DOC檔案。一旦下載這個被偵測為TROJ_ARTIEF.AE的檔案,它會攻擊微軟Word的一個漏洞(CVE-2010-3333),接著產生被偵測為TSPY_MARADE.AA的檔案。一旦TSPY_MARADE.AA被執行起來,就會收集網路和系統資訊,再將這些偷來的資料上傳到惡意網站。 

惡意郵件利用西藏事件作誘餌來進行目標攻擊

  繼續閱讀

《漏洞攻擊》荷蘭新聞網 nu.nl 遭入侵,專挑午餐播報時段啟動病毒,蒐集系統資訊

荷蘭使用者最近被一個受入侵網站當做目標,一個在荷蘭相當受歡迎的新聞網站nu.nl。這個網站被入侵淪陷之後,被修改成會加入一個惡意框架,進而讓訪問者的電腦感染一個SINOWAL的變種。

趨勢科技的研究員Feike Hacquebord指出,考慮到這次攻擊的各種特點,它似乎就是特別設計來感染荷蘭的使用者。除了因為遭入侵網站是他們國家最流行的網站外,插入在網站的腳本正好在荷蘭的午餐時間前被啟動,而這時間通常是荷蘭使用者在辦公室裡用來看看新聞或其他網站的時候。

跟據nu.nl所發表的聲明,他們認為攻擊者攻擊了新聞群組內容管理系統(CMS)的一個漏洞,讓他們插入了2個腳本(g.js和gs.js)到nu.nl的子網域內。

 

《漏洞攻擊》荷蘭新聞網nu.nl遭入侵,專挑午餐播報時段啟動病毒

 

《漏洞攻擊》荷蘭新聞網nu.nl遭入侵,專挑午餐播報時段啟動病毒

 

調查結果顯示,這個被趨勢科技偵測為JS_IFRAME.HBA的腳本是高度加密的腳本,一旦執行就會將使用者帶到另一個帶有各種漏洞攻擊碼的腳本。

這個漏洞攻擊包被偵測為JS_BLACOLE.HBA,就是Nuclear漏洞攻擊包。一旦執行之後,它會檢查系統上是否有任何有漏洞的軟體,然後下載適用的漏洞攻擊碼來進行攻擊。

 

根據對這攻擊包程式碼所做的分析,帶有下列未經修補應用程式版本的電腦可能會被這種威脅感染成功:

 

  • Adobe Reader版本在8和9.3之間
  • Java版本在5和6之間,還有5.0.23和6.0.27之間 繼續閱讀