未分類 - 資安趨勢部落格

百度 Moplus SDK 開後門,上億Android 用戶受影響!!

2015 年 11 月 06 日2015 年 11 月 10 日趨勢科技 TrendMicro

Moplus SDK 的後門行為以及相關的 Wormhole 漏洞

這是一項重大問題，甚至比 Stagefright 漏洞還要嚴重，因為後者還需經由網路釣魚連結將使用者帶到某個網站，或是透過使用者的電話號碼才能發送惡意簡訊。但此 SDK 卻讓駭客只需單純地掃瞄網路 IP 位址，而且不需使用者配合採取任何動作，也不需任何社交工程技巧。

一個名為 Wormhole (蟲洞)的漏洞，據報專門攻擊百度的 Moplus SDK 軟體開發套件，最近因其攻擊成功之後所帶來的嚴重後果而聲名大噪。此漏洞是由中國的漏洞通報開放平台 WooYun.og 所舉報。

然而，經過趨勢科技的仔細研究之後發現，Moplus SDK 本身就內含一些後門功能，所以前述攻擊不必然是因為漏洞所引起或與之相關。目前，普遍的看法是此問題源自於 Moplus SDK 的存取權限控管沒有做好適當管制。因此，這個看似漏洞的問題，其實是該 SDK 本身內含後門功能所造成，例如：推送網路釣魚網頁、隨意插入聯絡人資訊、傳送假冒的簡訊、將本地端檔案上傳至遠端伺服器，以及未經使用者允許就安裝任何應用程式到 Android 裝置上。而且只要裝置連上網際網路，這些功能就能順利執行。如今，Moplus SDK 已內含在許多 Android 應用程式當中，目前大約有 1 億名 Android 用戶受到影響。此外，我們也發現，已經有一個使用 Moplus SDK 的惡意程式在網路上流傳。

此篇部落格將探討 Moplus SDK 當中的惡意功能，以及這些功能將為 Android 裝置帶來什麼風險。

圖 1：一個利用 Moplus SDK 將自己偷偷安裝到裝置上的惡意程式。

挖掘 Moplus SDK 的祕密

Moplus SDK 是由中國搜尋引擎龍頭百度所開發。在此次調查當中，我們檢視了兩個不同的 App，一個是「百度地图」(百度地圖) (com.baidu.BaiduMap，8.7.0) 另一個是「奇闻异录」(奇聞異錄) ( com.ufo.dcb.lingyi，1.3)。雖然它們內含的 SDK 版本有所不同，但程式碼卻大同小異。

圖 2：「奇聞異錄」(com.ufo.dcb.lingyi) 當中的 Moplus SDK。 繼續閱讀

“給錢,不然告訴你親友 ….!! “Ashley Madison 偷情網站用戶遭勒索封口費

2015 年 09 月 10 日2015 年 09 月 10 日趨勢科技 TrendMicro

幫別人守住秘密值多少錢？根據利用Ashley Madison偷情網站入侵事件的駭客，它最多只值一比特幣（Bitcoin），以目前的匯率計算大概是230美元。

在外洩資料流出公眾後不久，我們就知道會有某些威脅趕上這股潮流。對於Ashley Madison的會員來說，當然希望機密不要被公開,於是網路犯罪分子從中找到獲利的商機。

事件爆發沒多久，我們很快就開始收到各種垃圾郵件(SPAM)有系統地寄給Ashley Madison資料庫中的電子郵件地址。

有些郵件試圖敲詐收件者支付一些錢（最初是要求一比特幣；後來的郵件只要求一半）。如果使用者不付錢，他們的朋友和家人就會收到通知。表面上，這列表可以從使用者公開的Facebook朋友列表取得。這類型的電子郵件經常帶有Ashley Madison或Avid Life在其寄件者名稱中，或許是為了讓郵件看上去更加可信。（結果造成這些地址所用的網域更容易被注意到也很快就被關閉。）

圖1、勒索郵件（點入以看大圖）

繼續閱讀

行動憑證和開發者帳號：誰是假冒的？

2015 年 06 月 17 日2015 年 06 月 17 日趨勢科技 TrendMicro

如果企業繼續忽視他們在應用程式商店上的情況，就可能有失去客戶的風險。隨著惡意行動軟體持續成長，（Google Play上前 50 的免費應用程式,近 80％是山寨版! 恐引發個資外洩、手機中毒及金錢損失）公司和開發者還遭遇另一個來自山寨版的挑戰。

對於需要在Google Play上推出官方行動應用程式的公司來說，假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說，也有類似的影響，只是較為個人。如果使用者被騙去下載這些應用程式，最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。

在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式，他們可以很好地幫助使用者分辨那些是正牌應用程式，哪些是假冒的版本。例如：理想狀況下，所有的應用程式都該由同一名開發者發布，像是下列的各種趨勢科技應用程式：

圖1、Google Play上的趨勢科技程式

然而，我們也注意到有些組織並沒有做到這一點。相反地，出現多個開發者在發佈各種版本的官方應用程式。

圖2、各種銀行應用程式有著不同的開發者

為什麼會這樣？Android要求所有的應用程式都要簽章過（即使只是自我簽章）。當然，大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式，即使它們會被整合在一個帳號下。此外，可能用不同帳號來上傳應用程式，即使它們全都是同一家公司。繼續閱讀

安裝竊聽器,落伍了! 你親手安裝的手機app,可能會自動幫你打開麥克風錄音(第一季資安綜合報告新戰術分析)

2015 年 06 月 15 日2015 年 06 月 17 日趨勢科技 TrendMicro

惡意廣告會感染網站或廣告網路，使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡，使用者甚至不需要點擊廣告就會被感染

在過去，間諜會在聚會的房間裡安裝竊聽器以記錄談話。如今，網路犯罪分子可以透過社交工程來在手機上安裝應用程式以打開麥克風，進而記錄任何談話。

在趨勢科技最近的2015第一季資安綜合報告中，趨勢科技的威脅研究人員強調了許多正在影響我們的最新威脅。惡意分子在積極地尋找新方法來攻擊受害者並且尋找可以關注的新目標。讓我們來看看一些最近的威脅以及你可以如何加強防護來對抗它們。

惡意分子在全球增長:中國和俄羅斯仍然佔了大宗

趨勢科技針對地下世界活動的研究中，找到許多網路犯罪分子所使用的新工具和技術，越來越多非傳統地區日趨活躍。中國和俄羅斯仍然佔了大宗，但我們現在也看到來自巴西和非洲的惡意分子。很大的原因是進行網路犯罪很容易，只需要有一台電腦跟連上網路。深層網路內讓人開始駭客生涯的工具也變得更加易用和便宜，讓新手很容易就可以變成網路犯罪分子。在今年，趨勢科技會繼續發表關於中國、俄羅斯和巴西地下市場的新數據，再加上美國及日本的資訊，好讓讀者對這些地下世界如何運作有深入的了解。我們利用這些資訊來開發產品所使用的新技術，保護客戶免受這些最新威脅的影響。

攻擊中所使用的新戰術

在第一季內我們看到一些新戰術被使用，讓惡意分子可以確保受害者更容易被攻擊成功。在這裡強調一些重點：

惡意廣告：這些威脅很有挑戰性是因為它們會感染網站或廣告網路，讓受害人會連到惡意網站來遭受感染。使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡，使用者甚至不需要點擊廣告就會被感染。惡意分子也利用零時差漏洞來提高感染數量。
針對此一威脅的最好防護是確保你啟用網頁/網域信譽為評比技術（如趨勢科技所提供）來在這些廣告或惡意網站感染使用者前先加以封鎖。我們的端點解決方案所使用的新漏洞防護技術也可以主動地封鎖帶有漏洞攻擊碼（甚至是零時差漏洞）的網站。
勒索軟體 Ransomware和加密勒索軟體：這類威脅在黑洞漏洞攻擊包（被用來散布這類威脅）作者Paunch被捕後又捲土重來。我們看到很多加密勒索軟體的新變種和家族，同時看到網路犯罪分子開始針對企業團體（中小企業和大型企業）。受害者往往會支付贖金，因為其所用的加密技術無法被破解，惡意分子會在收到付款後送出解密金鑰。
我們並不認可這種做法，並建議使用者要使用良好的備份解決方案，可以在中毒後重建系統。最好的防護是防止此威脅進入。幾乎所有的勒索軟體都是透過電子郵件散播，無論是透過附加檔案或內嵌的連結。
趨勢科技建議要遵循良好的電子郵件實作，但我們同時也開發了新技術以提高偵測率。電子郵件沙箱技術（Deep Discovery Email Inspector，InterScan Messaging，ScanMail）可以在郵件遞送給使用者前先加以辨識。OfficeScan 11 SP1內建了新的勒索軟體 Ransomware偵測技術。InterScan Messaging具備社交工程（social engineering ）防護以辨識攻擊所使用的網路釣魚（Phishing）郵件。

繼續閱讀

從聖路易聯邦準備銀行遭攻擊,看日益增加的DNS攻擊威脅

2015 年 06 月 04 日2015 年 06 月 04 日趨勢科技 TrendMicro

最近聖路易斯聯邦準備銀行成為網路攻擊的受害者,這看起來是個典型的「水坑」攻擊，瞄準了受害者會聚集的地方。聖路易聯邦準備銀行在聲明中表示：「這種網域名稱系統（DNS）攻擊很常見，使用者被重新引導到假冒網站，可能在不知情的情況下曝露在網路釣魚（Phishing）攻擊、惡意軟體和名字及密碼遭竊取等危險中。」