勒索軟體 Ransomware背後的惡意份子已經將目標放到消費者以外,將攻擊延伸到中小企業(SMB)。這區塊是勒索軟體 Ransomware很好的潛在目標,因為中小企業不太會有如大型企業那樣複雜的解決方案。同時中小企業主也通常有能力支付贖金。
此外,中小企業也不太可能具備如大型企業那樣全面的備份方案,增加支付贖金的可能性。想像一間擁有少於50名員工的公司。裡面的主管收到了一封內嵌看似正常網址的電子帳單郵件。他們點了連結而導致感染勒索軟體 Ransomware。不幸的是該公司並沒有備份資料。因此會讓他們傾向選擇支付贖金以換回檔案。但付錢取回檔案很可能會鼓勵網路犯罪分子在未來進行更多波攻擊。
這轉變中我們所看到最明顯的例子是TorrentLocker和CryptoWall,這是現今最持久也最大量的勒索軟體 Ransomware變種。
從2015年六到七月,趨勢科技觀察到多數點入CryptoWall相關電子郵件內惡意連結的使用者屬於中小企業用戶。
跟著英國國家打擊犯罪調查局(NCA)的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制(C&C)伺服器已經被美國聯邦調查局(FBI)關閉。
美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路,其被惡意軟體用來將竊得的資料發送給網路犯罪分子,並且下載包含目標銀行清單的設定檔案。此外,也已經起訴了Andrey Ghinkul(別名Andrey Ghincul和Smilex),「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。
破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作,各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制(C&C)網路是這團隊合作成功的最新例證。
什麼讓 DRIDEX與眾不同?
DRIDEX在這過去一年漸漸打響名號,一直被視為是 Gameover ZeuS(GoZ)惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P(點對點網路)架構及獨特的行為。
不同於其他惡意軟體,DRIDEX運用BaaS(殭屍網路即服務)商業模式。它運行數個「Botnet傀儡殭屍網路」,每個都以編號標識,並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲(特別是羅馬尼亞、法國和英國)。從過去三個月內趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的反饋資料顯示,美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。
DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習,DRIDEX開發者在其架構中在命令與控制(C&C)伺服器前多加了一層。
除此之外,DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似,它使用一種隱形持久性技術,會在系統關閉前寫入自動啟動註冊碼,並在系統啟動後刪除自動啟動註冊碼。然而,只有DRIDEX會清理儲存在註冊表中的設定,並改變惡意軟體副本的位置。
DRIDEX可以輕易地透過惡意電子郵件附件檔散播,通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉,但如果它在攻擊前就已經啟用,就可以直接進行攻擊。否則,攻擊者必須利用強大的社交工程(social engineering )來說服使用者啟用該功能。此外,我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。
趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞(CVE-2015-2590)進行攻擊。在當時,我們注意到另一個漏洞被用來繞過Java的點擊播放(Click-to-Play)保護。這第二個漏洞(CVE-2015-4902)現在已經被Oracle在每季定期更新中修復,這要歸功於趨勢科技的發現。
點擊播放(Click-to-Play)要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。
繞過點擊播放(Click-to-Play)保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用,因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織(NATO)成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名:最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。(此漏洞已經被Adobe修復。)
當我們私下披露此漏洞時,Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙;在我們徹底討論此漏洞前先讓我們討論一些背景資料。
Oracle提供Java網路啟動通訊協定(JNLP)技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中,攻擊者利用JNLP來部署applet。
要實現這做法,Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI(Java命名和目錄介面)。這種機制是Java遠端程序呼叫的基礎,稱為RMI(遠端方法調用)。JNDI有些基本概念和此攻擊有關,即:
下圖顯示此攻擊是如何運作:
攻擊者需要完成三件事以進行攻擊:
下面是攻擊進行的過程:
作者:Raimund Genes (趨勢科技技術長,CTO)
前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。
APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。
不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。
這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。
然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。
「 針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧。 繼續閱讀
馬來西亞航空MH17失事報告10月13日出爐,證實班機遭俄製飛彈擊落,隔天(10月14日)俄國駭客嘗試入侵荷蘭安全委員會電腦系統,嘗試取得敏感的最終失事報告。趨勢科技的研究發現應該是由 Pawn Storm 幕後集團針對DSB (Dutch Safety Board,亦稱 Onderzoeksraad) 所發動的攻擊。
根據趨勢科技前瞻威脅研究 (FTR) 團隊所提供的報告,Pawn Storm 背後的駭客已攻擊了負責調查馬來西亞航空 MH 17 班機墜毀事件的荷蘭安全委員會 (Dutch Safety Board,簡稱 DSB,亦稱 Onderzoeksraad) 。
MH 17 班機於 2014 年 7 月 14 日墜毀在烏克蘭東部,機上 283 名乘客和 15 名機組人員全部罹難。
由於該班機是從荷蘭阿姆斯特丹起飛,因此由 DSB 負責調查這起事件。2015 年 10 月 13 日,DSB 發表了他們的最終調查報告。 繼續閱讀