後門敞開:物聯網的另一項挑戰

廠商將帳號密碼寫死在裝置裡面,是消費型物聯網 (IoT) 裝置工業用監控與資料擷取 (SCADA) 裝置、甚至關鍵基礎建設目前所面臨的嚴重問題之一。儘管目前已出現要求廠商嚴格審查原始程式碼與韌體的呼聲,但這類漏洞仍屢見不鮮,對使用者的隱私和資料安全造成危害。

資安研究員 Elliot Williams 在 Hackaday 網站上撰文 指出,絕大多數 DBLTek 公司生產的 GSM 轉 IP 裝置內部都有一組寫死的帳號密碼可用來執行管理員權限的指令。此問題已通報給廠商,但廠商似乎並對該漏洞進行修補,反而是採用了迂迴的作法,多加了一道自製的驗證程序,但其演算法卻是可經由反向工程得知。Trustwave 部落格上的一篇文章對整起事件有完整的說明,而且目前 Github 上也已經可以找到專門攻擊該漏洞的工具。 Continue reading “後門敞開:物聯網的另一項挑戰”

大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板

四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?

關於 Cloud Hopper 攻擊行動,企業該如何防範?

資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。

受害對象已延伸到亞洲

該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。 Continue reading “大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板”

趨勢科技2017資安預測公布:資安威脅三高 駭客淘金熱潮來襲!

新發表「XGen跨世代資安防護戰略」抵禦駭客淘金潮的致勝關鍵

【2016年12月13日,台北訊】全球網路資安解決方案領導品牌趨勢科技(東京證券交易所股票代碼:4704)今日發表2017年資安年度預測報告,指出隨著「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等資安威脅三高環境越趨成熟,趨勢科技預測新一年度駭客淘金潮即將大舉來襲。因應全球駭客地下經濟蓬勃發展與威脅手法不斷演變,趨勢科技全新發表「XGen跨世代資安防護戰略」,率先將高準度機器學習技術整合於防護解決方案,協助企業加速提升資安防護能力,將成為有效抵禦駭客淘金潮的致勝關鍵。

rover1

【圖說一】趨勢科技資深技術顧問簡勝財說明2017年資安環境有「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等三高威脅趨勢,駭客淘金熱潮將大舉入侵

bob

【圖說二】趨勢科技台灣暨香港區總經理洪偉淦分享2017年趨勢科技將以「XGen跨世代資安防護戰略」防禦日趨多變且駭客手法更精確的資安威脅

 

趨勢科技 2017 年度資安大勢預測:資安威脅三高環境成熟、駭客淘金手法遂行 APT 任務!

2016 年已開啟了網路犯罪集團探索未知攻擊領域和攻擊面的大門,以影響企業營運及消費者資安甚鉅的網路勒索為例,趨勢科技團隊統計截至今年第三季為止,全球網路勒索總攻擊次數已超過 1.8 億次,台灣受害排名則高居全球第 16,受攻擊總數逼近 300 萬大關1 ,FBI 最新數據更指出光是單一勒索病毒變種每天就能入侵大約  100,000  台電腦2

Continue reading “趨勢科技2017資安預測公布:資安威脅三高 駭客淘金熱潮來襲!”

【 資安語錄 】「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」

美國聯邦調查局局長James Comey說: 世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」

企業遭 APT 攻擊,平均被駭 559天才發現

趨勢科技台灣暨香港區總經理洪偉淦表示「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)很難防堵,趨勢科技做了300多件 APT攻擊案件調查,統計之後,發現客戶平均經過 559天,才會發覺情況有異請趨勢科技協助調查,也就是駭客進到家中已經偷了快兩年資料才會被發現。其中有件案例是發生在醫院,被勒索的還好是帳務系統,想想看如果是維生系統,就是人命問題了。

洪偉淦建議,企業在資安方面的投資,不能只著重在不讓人進來,因為員工、漏洞等實在太多。而是要提升危機能見度,及早發現,並事先準備好應對方案,發現狀況後先做隔離,再請顧問進入評估,減少傷害。

 

 

 

 

⊙延伸閱讀:Facebook 執行長做的這件事,FBI 局長 James Comey 也這樣做

今年四月美國聯邦調查局長康梅( James Comey )在演講時表示,他會把筆電上的視訊鏡頭用不透明膠帶貼起來,以防電腦被駭客入侵、行蹤被偷窺。 Continue reading “【 資安語錄 】「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」”

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體

七月台灣發生金融史上頭一遭,ATM自動吐鈔盜領事件!國際犯罪集團以惡意程式入侵台灣第一銀行自動櫃員機電腦系統,利用遠端操控模式讓全台34台提款機自動提款機(ATM)自動吐鈔,盜領八千萬。接著八月泰國亦發生銀行ATM遭盜領1229萬泰銖(約合新台幣1130萬元)事件。資安趨勢部落格曾報導過ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升,以下這篇文章將分析新提款機( ATM )惡意軟體:Ripper。

 

 Ripper能夠讓提款機吐出大量金錢,也稱為「jackpotting中大獎」。它可以從插入卡片的EMV晶片和磁條讀取資料。這可能是種認證方式,確認共犯實際上位在提款機前。這個惡意軟體還具備自毀功能,可以從受影響系統消除自身的所有痕跡。這可以阻礙目標銀行發現和解決攻擊。

————————————————-

八月資安研究人員發表一篇報告討論稱為Ripper的新提款機( ATM )惡意軟體,認為它跟泰國最近的自動提款機(ATM)攻擊有關。作為預防措施,曾有大批自動提款機被暫時關閉。

這份研究綜述了此惡意軟體所使用的技術,針對的三大提款機廠商及Ripper和之前自動提款機(ATM)惡意軟體的比較。他們的分析是根據MD5雜湊值為15632224b7e5ca0ccb0a042daf2adc13的檔案。此檔案在8月23日從泰國使用者上傳到Virustotal。

趨勢科技在分析過程中注意到一些其他的細節,這是在之前的分析中所沒有或似乎有所矛盾的地方。我們將在本篇文章中強調這些差異。並且提供一些技術指標(如code offset程式碼偏移量)來讓其他研究人員可以繼續延伸我們的工作。

在今年四月,趨勢科技的前瞻性威脅研究小組和歐洲刑警組織EC3合作一篇關於當時所有提款機惡意軟體威脅的綜合報告。我們在之後一直注意新出現的惡意軟體。該份報告提供給金融和執法機構社群的成員。如果你身為這些產業的一份子而沒有收到這份報告,可以聯絡Robert McArdleContinue reading “ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體”

勒索病毒侵台居亞洲第二,僅次日本

APT 攻擊猖獗,資安組織戰考驗企業資安戰力 掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技,今日(25)舉辦資安界年度盛會-CLOUDSEC 2016雲端企業資安高峰論壇,面對全球資安危機,趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢,首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性,及資安防禦三大重點:建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢,協助企業打造最完善的資安防禦策略藍圖,掌握資安主控權!

圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會
圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬!為全亞洲第二高,僅次日本

雲端服務、行動裝置與物聯網等科技進步,使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出註1,每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生,更有1,800個新的網路威脅產生並散佈到網域中,整體資安環境面臨巨大挑戰!趨勢科技觀察,近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊,以謀得較高的勒索利潤。根據趨勢科技研究報告顯示註2,截至2016年第二季,台灣地區所偵測到的勒索病毒便高達2百多萬!為全亞洲第二高,僅次於日本。 Continue reading “勒索病毒侵台居亞洲第二,僅次日本”

著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊

從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。IXESHE 駭客組織自台灣新政府520上任以來就開始進行密集的攻擊。從其所使用的釣魚信件來看,可以發現攻擊者對於台灣政府的組織架構及輿情相當熟捻,不停利用最新的熱門話題來製作釣魚信件
趨勢科技根據對其所使用的惡意後門程式所進行的分析,攻擊者從製造惡意程式,製作社交工程文件到送抵目標只需要5小時,也使得傳統進行特徵碼比對的防毒解決方案難以有效的偵測及封鎖。

IXESHE是著名的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)駭客組織,從2009年開始就頻繁地進行網路間諜活動,主要針對東亞的各國政府、電子廠商和一家德國電信公司。其他目標還包括了G20的政府官員以及紐約時報。趨勢科技一直都在密切注意這個駭客組織(IXESHE)所進行的針對性攻擊/鎖定目標攻擊(Targeted attack )攻擊活動,也在2012年推出了技術白皮書來詳述 IXESHE所用的手法及攻擊特徵。IXESHE也曾在2013年及2016年涉及針對北美傳播媒體產業及高科技產業的針對性攻擊。

[延伸閱讀:IXESHE白皮書]

台灣自2009年以來就一直是IXESHE的攻擊目標,而最新的一波攻擊也更新了其所使用的後門工具及通訊模式,同時利用最新的熱門話題(包括南海仲裁案、尼伯特風災和雄三飛彈誤射事件)來透過魚叉式網路釣魚 (Spear Phishing )信件攻擊鎖定的受害者。

 IXESHE 的 C&C 伺服器主要分布在台灣和美國
IXESHE 的 C&C 伺服器主要分布在台灣和美國(資ˋ料來源:IXESHE白皮書)

 

 

精心設計的社交工程誘餌

最新的這一波攻擊從2016年五月開始就進行密擊的攻擊,不停的利用最新熱門話題作為誘餌。從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。 

圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖
圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖

 

這些精心製作的魚叉式網路釣魚信件不僅僅是利用了熱門話題。其所夾帶的釣魚文件在內容及檔案屬性等細節上也都相當考究,讓人難以分辨真假。而且這些文件所用上的各層級官員姓名、手機號碼等資訊也讓人驚訝於IXESHE對台灣新政府掌握的精細程度。

圖2 釣魚文件截圖 
圖2 釣魚文件截圖
圖3、釣魚文件截圖 
圖3、釣魚文件截圖

 

Continue reading “著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊”

採礦業面臨的網路威脅

檢視研究報告:「採礦業面臨的網路威脅」(Cyber Threats to the Mining Industry)
檢視研究報告:「採礦業面臨的網路威脅」(Cyber Threats to the Mining Industry)

 

由於今日全球市場對於大宗物資及商品的激烈爭奪,而且經濟發展皆需仰賴天然資源,再加上近來氣候極端變化,使得採礦業開始成為網路間諜活動的目標,甚至極端一點,成為破壞性或毀滅性網路攻擊的目標。這類網路間諜活動的目標在於取得最新的科技知識和情報,以便能在全球經濟市場當中維持競爭優勢與地位。

歹徒看上了採礦業在全球供應鏈上的戰略地位,使得該產業開始面臨網路攻擊的威脅。這類威脅不僅具備相當高的針對性,而且經過精密的計畫,其幕後的駭客團體也包羅萬象,從駭客激進團體、敵對國家,到有組織的犯罪集團。這些駭客已學會如何利用礦物天然資源在區域和全球供應鏈以及國家經濟當中所扮演的重要角色,並且知道如何攻擊礦業公司因極度仰賴整合性自動化系統所暴露的漏洞。

針對不同產業的網路攻擊

今日,各種產業遭到網路攻擊的新聞已經司空見慣,就像日常播報的資料外洩新聞一樣。進階持續性滲透攻擊 (APT)原本只是純粹的產業間諜行動 (如 BlackEnergy),現在卻已演變成可能造成實體破壞的攻擊與毀滅行動。研究人員發現,BlackEnergy 和另一個名為 Sandworm 的 APT 行動似乎是 2015 年 12 月烏克蘭兩座發電廠大斷電幕後的元凶。此外,BlackEnergy 和 KillDisk 亦曾試圖針對一家礦業公司和一家大型鐵路公司發動類似攻擊,同樣也是位於烏克蘭。這顯示 BlackEnergy 已有能力從能源產業跨足到其他產業。

 

產業、攻擊行動、惡意程式和幕後操縱 (C&C) 伺服器之間的交集。

 

產業為何會遭到攻擊?

網路攻擊並非單純只是 IT 的問題,而是可能對企業日常營運造成深遠的影響:營運中斷、設備損壞、商譽受損、財物損失、智慧財產權損失、競爭力損失、健康與人身安全風險等等。今日網路犯罪集團覬覦的目標不是只有錢和財務資料而已,他們不論在技術能力和犯罪手法上都有長足的進展,而且越來越曉得竊取敏感資料的價值所在,以及如何利用這些資料來賺錢並操弄商業的運作。例如,某個團體從 100 多家公司竊取到市場敏感的資訊,另一個團體從金融新聞媒體竊取到產品的上市前資訊,然後兩個團體彼此交換竊取到的資訊,這樣就能從股票市場獲利。 Continue reading “採礦業面臨的網路威脅”

SNSLocker 急著趕搭勒索病毒順風車,程式碼中竟含伺服器帳號密碼

SNSLocker 加密勒索病毒雖然在行為和外觀上並不突出,但其粗糙平凡的外表下卻隱藏著一項令人震驚的事實。當趨勢科技仔細研究過它的程式碼之發現,這個勒索病毒 Ransomware (勒索病毒/綁架病毒)程式碼當中竟含有其伺服器的帳號密碼。

SNSLocker 加密勒索病毒作者的動機就如同許許多多趕搭勒索病毒大賺黑心錢順風車的網路犯罪分子一樣:它使用的是網路上現成的伺服器和付款機制。不過這一次,歹徒不是太過心急,就是為了省錢,竟然讓自己的帳號密碼就這麼大剌剌地公開 (其帳號密碼 已經被其資安研究人員公布在社群網站上)。我們已經將這項消息通報給執法機關。

SNSLocker (偵測名稱:RANSOM_SNSLOCKER.A) 所包含的元素與絕大多數加密勒索病毒相同,例如:倒數計時、恐嚇訊息、加密檔案、提供付款連結、勒索贖金 (300 美元) 等等。

 

圖 1:SNSLocker 鎖定螢幕畫面。

SNSLocker 純粹採用 .Net Framework 2.0 並搭配一些熱門程式庫 (如 Newtonsoft.Json) 以及 MetroFramework UI 所撰寫。其核心更採用了 Microsoft .Net Crypto API 來縮短開發時間。

圖 2:SNSLocker 是以 .Net Framework 2.0 所撰寫。

先前已提到,該勒索病毒的程式碼當中含有其伺服器的帳號密碼字串。不論是刻意或是忘記,將密碼留在程式碼內,等於讓所有人都能進入其伺服器。不只這樣,其加密金鑰也可公開取得。

圖 3:程式碼中還留著伺服器帳號密碼。

架設伺服器和散布 SNSLocker
趨勢科技發現,駭客申請了一個免費的伺服器代管服務來架設幕後操縱 (C&C) 伺服器與付款伺服器。也就是說,駭客幾乎不用花費一毛錢來維護這個帳號。除此之外,SNSLocker 也利用了一個合法的數位貨幣交易閘道來接收款項,這顯示駭客在這方面並未多花費任何心思來做出自己的特色。

最後,我們看到 SNSLocker 已透過它的伺服器散布至全球各地。在我們分析的當時,其受害者早已遍布全球,儼然成為一項全球威脅。 Continue reading “SNSLocker 急著趕搭勒索病毒順風車,程式碼中竟含伺服器帳號密碼”

加密勒索軟體與「客戶」線上聊天對話實錄

 

加密勒索病毒 Ransomware (勒索軟體/綁架病毒)為了讓支付贖金的過程更容易,開始利用線上聊天與受害人進行溝通。這些新變種(偵測為Ransom_JIGSAW.H)所顯示的訊息跟早期 JIGSAW(奪魂鋸)變種類似:

圖1、 奪魂鋸ㄉJIGSAW勒贖訊息
圖1、 奪魂鋸JIGSAW勒贖訊息

 

有一個顯而易見的分別是:新變種有連結可以進入線上聊天功能:

圖2、奪魂鋸JIGSAW線上聊天功能
圖2、奪魂鋸JIGSAW線上聊天功能

 

為了測試可以做到什麼程度,我們假裝來自紐約的某公司員工,因為辦公室電腦感染了奪魂鋸JIGSAW加密勒索病毒而與”線上客服”對談,我們的對話出現在左邊,網路犯罪分子在右邊。兩邊都未經過編輯。 對話如下:


chat Continue reading “加密勒索軟體與「客戶」線上聊天對話實錄”