勒索病毒採 APT 攻擊手法再進化 , 某企業超過一百台伺服器被 SOREBRECT 加密

 

 某企業超過一百台的伺服器被勒索病毒加密

勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊頻傳,災情遍佈各地,在各資安防護廠商積極防禦勒索病毒之時,惡意攻擊者也更上一層樓,發展出新的攻擊手法。日前趨勢科技發現一波勒索病毒攻擊事件,攻擊目標是一般企業,其中某間遭駭的公司超過一百台的伺服器被勒索病毒加密,檔案遭到加密後的副檔名為「.Pr0tect」。趨勢科技產品可偵測此頗勒索病毒為 RANSOM_SOREBRECT.A 和 RANSOM_SOREBRECT.B 。

SOREBRECT起初僅存在於中東地區的黎巴嫩及科威特等等國家,但漸漸地擴散出去,加拿大、中國、克羅埃西亞、義大利、日本、墨西哥、俄羅斯、台灣、美國都能夠見到其蹤跡。

▍ 延伸閱讀:內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT ▍

APT 攻擊手法:先取得管理者權限的帳號密碼資訊,再進行內網擴散

這起勒索病毒攻擊事件採用完全不同的新攻擊手法。以往受害者多是收到惡意電子郵件,或是瀏覽受駭網站或惡意廣告,遭到附加其中的勒索病毒攻擊,而這一起攻擊事件是駭客從外部入侵,取得內網具管理者權限的帳號密碼等機敏資訊,並進行內網擴散活動,將重要伺服器上的檔案加密,攻擊結束後它會刪除系統上的事件記錄(Event Log)和其他相關資訊,並且使用TOR洋蔥路由器來隱藏其通訊,使得資安部門無法有效調查攻擊事件。

 

Continue reading “勒索病毒採 APT 攻擊手法再進化 , 某企業超過一百台伺服器被 SOREBRECT 加密”

內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT

無檔案式威脅和勒索病毒 Ransomware (勒索軟體/綁架病毒)早已不是新聞,但若這兩種特性結合起來,將變得相當危險。前一陣子趨勢科技發現的 SOREBRECT 勒索病毒 (RANSOM_SOREBRECT.ARANSOM_SOREBRECT.B) 就是最好例子。

▍《延伸閱讀》勒索病毒採 APT 手法再進擊 , 某企業超過一百台伺服器被 SOREBRECT 加密 ▍

趨勢科技今年第二季初監控全球威脅情勢時首次發現 SOREBRECT 勒索病毒,經過擷取與分析樣本之後,我們發現 SOREBRECT 採用了一種特殊的技巧來執行檔案加密。此外,還有一個值得注意的地方是它使用了 PsExec 這個遠端執行工具。SOREBRECT 顯然是用這工具來執行勒索病毒的程式碼注射功能。

匿蹤是 SOREBRECT 最拿手的把戲

雖然 SOREBRECT 的最終目標依然是將系統上的檔案加密,但匿蹤卻是它最拿手的把戲。由於勒索病毒內建自我摧毀功能,因此可歸類為無檔案式病毒。它會先將自己的加密程式碼注射到某個正常的系統執行程序當中,然後再將自己的主程式終止。此外,SOREBRECT 還會大費周章刪除受害系統上的事件記錄檔 (Event Log) 和其他可供鑑識分析的資訊 (如系統上所執行過的檔案與時間,也就是系統的 appcompat/shimcacheprefetch),這樣的作法可避免留下可供分析軟體追蹤的活動痕跡。

我們在網路上首次發現 SOREBRECT 的樣本時,它的數量還算不多,而且大多集中在科威特、黎巴嫩等中東國家。但到了五月初,便開始在加拿大、中國、克羅埃西亞、義大利、日本、墨西哥、俄羅斯、台灣以及美國發現 SOREBRECT 病毒的蹤跡,受害的產業包括製造、科技與電信業。有鑑於勒索病毒的潛在破壞力獲利能力,SOREBRECT 會出現在其他國家也就不足為奇,甚至滲透到網路犯罪地下網路,成為歹徒兜售的一種服務。

圖 1:SOREBRECT 攻擊過程。

程式碼注入系統執行程序之後就會銷毀檔案,採集病毒樣本成了挑戰

SOREBRECT 在攻擊過程當中運用了一個正常的 Windows 指令列工具叫「PsExec」,此工具可讓系統管理員在本地端執行指令或在遠端系統上執行某個執行檔。歹徒之所以能夠利用 PsExec 在電腦上安裝 SOREBRECT 病毒,顯然系統管理員的帳號密碼已經被歹徒掌握,或者遠端電腦已經被入侵,或者其密碼已遭暴力破解。SOREBRECT 並非第一個利用 PsExec 工具的勒索病毒,例如:SAMSAMPetya 及其衍生變種 PetrWrap (趨勢科技分別命名為 RANSOM_SAMSAM 和 RANSOM_PETYA) 也會利用 PsExec 在已遭入侵的伺服器或端點上安裝勒索病毒。

然而 SOREBRECT 的作法又更加高明,它會在系統上安裝 PsExec,然後將自己的程式碼注射到 Windows 的系統執行程序 svchost.exe當中,然後再將自己的主程式庫銷毀。這兩種能力的結合非常強大:勒索病毒主程式庫在執行完成之後將自我銷毀,但被注入 Windows 服務執行程序 svchost.exe 當中的程式碼卻能繼續執行檔案加密動作。由於 SOREBRECT 在將程式碼注入系統執行程序之後就會銷毀檔案,因此,採集該病毒的樣本變成了一項挑戰。 Continue reading “內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT”

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: Continue reading “登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板”

後門敞開:物聯網的另一項挑戰

廠商將帳號密碼寫死在裝置裡面,是消費型物聯網 (IoT) 裝置工業用監控與資料擷取 (SCADA) 裝置、甚至關鍵基礎建設目前所面臨的嚴重問題之一。儘管目前已出現要求廠商嚴格審查原始程式碼與韌體的呼聲,但這類漏洞仍屢見不鮮,對使用者的隱私和資料安全造成危害。

資安研究員 Elliot Williams 在 Hackaday 網站上撰文 指出,絕大多數 DBLTek 公司生產的 GSM 轉 IP 裝置內部都有一組寫死的帳號密碼可用來執行管理員權限的指令。此問題已通報給廠商,但廠商似乎並對該漏洞進行修補,反而是採用了迂迴的作法,多加了一道自製的驗證程序,但其演算法卻是可經由反向工程得知。Trustwave 部落格上的一篇文章對整起事件有完整的說明,而且目前 Github 上也已經可以找到專門攻擊該漏洞的工具。 Continue reading “後門敞開:物聯網的另一項挑戰”

大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板

四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?

關於 Cloud Hopper 攻擊行動,企業該如何防範?

資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。

受害對象已延伸到亞洲

該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。 Continue reading “大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板”

趨勢科技2017資安預測公布:資安威脅三高 駭客淘金熱潮來襲!

新發表「XGen跨世代資安防護戰略」抵禦駭客淘金潮的致勝關鍵

【2016年12月13日,台北訊】全球網路資安解決方案領導品牌趨勢科技(東京證券交易所股票代碼:4704)今日發表2017年資安年度預測報告,指出隨著「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等資安威脅三高環境越趨成熟,趨勢科技預測新一年度駭客淘金潮即將大舉來襲。因應全球駭客地下經濟蓬勃發展與威脅手法不斷演變,趨勢科技全新發表「XGen跨世代資安防護戰略」,率先將高準度機器學習技術整合於防護解決方案,協助企業加速提升資安防護能力,將成為有效抵禦駭客淘金潮的致勝關鍵。

rover1

【圖說一】趨勢科技資深技術顧問簡勝財說明2017年資安環境有「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等三高威脅趨勢,駭客淘金熱潮將大舉入侵

bob

【圖說二】趨勢科技台灣暨香港區總經理洪偉淦分享2017年趨勢科技將以「XGen跨世代資安防護戰略」防禦日趨多變且駭客手法更精確的資安威脅

 

趨勢科技 2017 年度資安大勢預測:資安威脅三高環境成熟、駭客淘金手法遂行 APT 任務!

2016 年已開啟了網路犯罪集團探索未知攻擊領域和攻擊面的大門,以影響企業營運及消費者資安甚鉅的網路勒索為例,趨勢科技團隊統計截至今年第三季為止,全球網路勒索總攻擊次數已超過 1.8 億次,台灣受害排名則高居全球第 16,受攻擊總數逼近 300 萬大關1 ,FBI 最新數據更指出光是單一勒索病毒變種每天就能入侵大約  100,000  台電腦2

Continue reading “趨勢科技2017資安預測公布:資安威脅三高 駭客淘金熱潮來襲!”

【 資安語錄 】「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」

美國聯邦調查局局長James Comey說: 世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」

企業遭 APT 攻擊,平均被駭 559天才發現

趨勢科技台灣暨香港區總經理洪偉淦表示「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)很難防堵,趨勢科技做了300多件 APT攻擊案件調查,統計之後,發現客戶平均經過 559天,才會發覺情況有異請趨勢科技協助調查,也就是駭客進到家中已經偷了快兩年資料才會被發現。其中有件案例是發生在醫院,被勒索的還好是帳務系統,想想看如果是維生系統,就是人命問題了。

洪偉淦建議,企業在資安方面的投資,不能只著重在不讓人進來,因為員工、漏洞等實在太多。而是要提升危機能見度,及早發現,並事先準備好應對方案,發現狀況後先做隔離,再請顧問進入評估,減少傷害。

 

 

 

 

⊙延伸閱讀:Facebook 執行長做的這件事,FBI 局長 James Comey 也這樣做

今年四月美國聯邦調查局長康梅( James Comey )在演講時表示,他會把筆電上的視訊鏡頭用不透明膠帶貼起來,以防電腦被駭客入侵、行蹤被偷窺。 Continue reading “【 資安語錄 】「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」”

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體

七月台灣發生金融史上頭一遭,ATM自動吐鈔盜領事件!國際犯罪集團以惡意程式入侵台灣第一銀行自動櫃員機電腦系統,利用遠端操控模式讓全台34台提款機自動提款機(ATM)自動吐鈔,盜領八千萬。接著八月泰國亦發生銀行ATM遭盜領1229萬泰銖(約合新台幣1130萬元)事件。資安趨勢部落格曾報導過ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升,以下這篇文章將分析新提款機( ATM )惡意軟體:Ripper。

 

 Ripper能夠讓提款機吐出大量金錢,也稱為「jackpotting中大獎」。它可以從插入卡片的EMV晶片和磁條讀取資料。這可能是種認證方式,確認共犯實際上位在提款機前。這個惡意軟體還具備自毀功能,可以從受影響系統消除自身的所有痕跡。這可以阻礙目標銀行發現和解決攻擊。

————————————————-

八月資安研究人員發表一篇報告討論稱為Ripper的新提款機( ATM )惡意軟體,認為它跟泰國最近的自動提款機(ATM)攻擊有關。作為預防措施,曾有大批自動提款機被暫時關閉。

這份研究綜述了此惡意軟體所使用的技術,針對的三大提款機廠商及Ripper和之前自動提款機(ATM)惡意軟體的比較。他們的分析是根據MD5雜湊值為15632224b7e5ca0ccb0a042daf2adc13的檔案。此檔案在8月23日從泰國使用者上傳到Virustotal。

趨勢科技在分析過程中注意到一些其他的細節,這是在之前的分析中所沒有或似乎有所矛盾的地方。我們將在本篇文章中強調這些差異。並且提供一些技術指標(如code offset程式碼偏移量)來讓其他研究人員可以繼續延伸我們的工作。

在今年四月,趨勢科技的前瞻性威脅研究小組和歐洲刑警組織EC3合作一篇關於當時所有提款機惡意軟體威脅的綜合報告。我們在之後一直注意新出現的惡意軟體。該份報告提供給金融和執法機構社群的成員。如果你身為這些產業的一份子而沒有收到這份報告,可以聯絡Robert McArdleContinue reading “ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體”

勒索病毒侵台居亞洲第二,僅次日本

APT 攻擊猖獗,資安組織戰考驗企業資安戰力 掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技,今日(25)舉辦資安界年度盛會-CLOUDSEC 2016雲端企業資安高峰論壇,面對全球資安危機,趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢,首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性,及資安防禦三大重點:建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢,協助企業打造最完善的資安防禦策略藍圖,掌握資安主控權!

圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會
圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬!為全亞洲第二高,僅次日本

雲端服務、行動裝置與物聯網等科技進步,使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出註1,每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生,更有1,800個新的網路威脅產生並散佈到網域中,整體資安環境面臨巨大挑戰!趨勢科技觀察,近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊,以謀得較高的勒索利潤。根據趨勢科技研究報告顯示註2,截至2016年第二季,台灣地區所偵測到的勒索病毒便高達2百多萬!為全亞洲第二高,僅次於日本。 Continue reading “勒索病毒侵台居亞洲第二,僅次日本”

著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊

從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。IXESHE 駭客組織自台灣新政府520上任以來就開始進行密集的攻擊。從其所使用的釣魚信件來看,可以發現攻擊者對於台灣政府的組織架構及輿情相當熟捻,不停利用最新的熱門話題來製作釣魚信件
趨勢科技根據對其所使用的惡意後門程式所進行的分析,攻擊者從製造惡意程式,製作社交工程文件到送抵目標只需要5小時,也使得傳統進行特徵碼比對的防毒解決方案難以有效的偵測及封鎖。

IXESHE是著名的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)駭客組織,從2009年開始就頻繁地進行網路間諜活動,主要針對東亞的各國政府、電子廠商和一家德國電信公司。其他目標還包括了G20的政府官員以及紐約時報。趨勢科技一直都在密切注意這個駭客組織(IXESHE)所進行的針對性攻擊/鎖定目標攻擊(Targeted attack )攻擊活動,也在2012年推出了技術白皮書來詳述 IXESHE所用的手法及攻擊特徵。IXESHE也曾在2013年及2016年涉及針對北美傳播媒體產業及高科技產業的針對性攻擊。

[延伸閱讀:IXESHE白皮書]

台灣自2009年以來就一直是IXESHE的攻擊目標,而最新的一波攻擊也更新了其所使用的後門工具及通訊模式,同時利用最新的熱門話題(包括南海仲裁案、尼伯特風災和雄三飛彈誤射事件)來透過魚叉式網路釣魚 (Spear Phishing )信件攻擊鎖定的受害者。

 IXESHE 的 C&C 伺服器主要分布在台灣和美國
IXESHE 的 C&C 伺服器主要分布在台灣和美國(資ˋ料來源:IXESHE白皮書)

 

 

精心設計的社交工程誘餌

最新的這一波攻擊從2016年五月開始就進行密擊的攻擊,不停的利用最新熱門話題作為誘餌。從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。 

圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖
圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖

 

這些精心製作的魚叉式網路釣魚信件不僅僅是利用了熱門話題。其所夾帶的釣魚文件在內容及檔案屬性等細節上也都相當考究,讓人難以分辨真假。而且這些文件所用上的各層級官員姓名、手機號碼等資訊也讓人驚訝於IXESHE對台灣新政府掌握的精細程度。

圖2 釣魚文件截圖 
圖2 釣魚文件截圖
圖3、釣魚文件截圖 
圖3、釣魚文件截圖

 

Continue reading “著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊”