傀儡殭屍網路 - 資安趨勢部落格

還在使用老舊軟體和這 61 組弱密碼? 挖礦病毒利用多重攻擊手法自中國擴散至台灣、日本等亞洲企業

2019 年 04 月 16 日2019 年 04 月 16 日趨勢科技 TrendMicro

趨勢科技偵測到一個惡意軟體: Trojan.PS1.LUDICROUZ.A用多種感染方式,擴散門羅幣挖礦程式到更多的系統和伺服器。該挖礦病毒在今年初現身中國，原先的感染方式是用弱密碼及pass-the-hash（傳遞雜湊）技術,還有經由Windows管理工具與公開原始碼進行暴力破解攻擊，。在日本發現的這起新案例會用EternalBlue(永恆之藍) 漏洞攻擊及PowerShell來入侵系統並躲避偵測。

看起來攻擊者正在將此殭屍網路擴展到其他國家；趨勢科技發現在台灣、日本、香港、越南、印度及澳洲都發現了此威脅。

趨勢科技發現這個惡意軟體非常複雜，專門設計成感染更多的電腦，而且可以不會馬上被偵測到。它會利用電腦系統和資料庫的弱密碼，針對企業可能仍在使用的老舊軟體，使用會在記憶體內下載和執行組件的PowerShell腳本，攻擊未修補的漏洞以及使用Windows的啟動資料夾和任務排程進行安裝。

鑑於PowerShell的日漸普及加上有越來越多公開可用的開放程式碼，可以預期會看到更加複雜的惡意軟體。雖然收集系統資訊並送回C&C與直接竊取個人身份資料相比可能顯得微不足道，但系統資訊對機器來說是獨一無二的，可以用來追蹤識別使用者及其活動。

呼籲企業儘早更新系統, 使用複雜密碼, 並應用可以從閘道到端點主動封鎖這些威脅和惡意網址的多層次保護系統。

主要散播方式是利用弱密碼登入連接網路的其他電腦

這個惡意軟體（趨勢科技偵測為Trojan.PS1.LUDICROUZ.A）的主要散播方式是利用弱密碼登入連接網路的其他電腦。它不會直接將自己複製到連接的系統，而是透過遠端命令來變更中毒電腦的防火牆和端口轉發設定，建立排程來下載並執行更新的惡意軟體。下載的PowerShell腳本會執行：

繼續閱讀

Bashlite IoT 惡意程式新增挖礦與後門功能，專門攻擊 WeMo 品牌裝置

2019 年 04 月 11 日2019 年 04 月 08 日趨勢科技 TrendMicro

最近，趨勢科技發現 Bashlite 惡意程式出現新的版本，會將其感染的物聯網（IoT ,Internet of Thing ）裝置收編到某個殭屍網路來發動分散式阻斷服務 (DDoS) 攻擊。趨勢科技將這些惡意程式命名為 Backdoor.Linux.BASHLITE.SMJC4、Backdoor.Linux.BASHLITE.AMF、Troj.ELF.TRX.XXELFC1DFF002 以及 Trojan.SH.BASHDLOD.AMF。根據其採用的 Metasploit 模組來看，此惡意程式專門鎖定採用 WeMo Universal Plug and Play (UPnP) 通用隨插即用應用程式開發介面 (API) 的裝置來攻擊。

Bashlite 惡意程式亦稱為 Gafgyt、Lizkebab、Qbot、Torlus 或 LizardStresser，其最為人知的不良事蹟是 2014 年曾發動大規模分散式阻斷服務攻擊 (DDoS)，如今它甚至開始跨界感染 IoT 裝置。先前的 Bashlite 版本會利用 Shellshock 漏洞來入侵裝置，然後再透過遠端指令遙控被入侵的裝置發動 DDoS 攻擊 (如 2016 年所發生的事件)，或者再下載其它惡意檔案到被入侵的裝置。

這次發現的新版 Bashlite 相當值得關注。首先，其感染方式已不再仰賴特定 CVE 漏洞，而是使用可公開取得的 Metasploit 漏洞攻擊模組。此外，新版也支援更多 DDoS 遠端遙控指令，以及一些虛擬貨幣和後門功能。同時，還會在裝置上植入惡意程式來將競爭對手的殭屍病毒移除。

繼續閱讀

起死回生的Emotet銀行木馬程式,在全球建立了721個非重複的 C&C 伺服器

2018 年 11 月 28 日2018 年 12 月 27 日趨勢科技 TrendMicro

曾由趨勢科技在 2014 年所發現的「Emotet」銀行木馬程式，去年已經正起死回生，並推出自家的垃圾郵件模組來散布該程式，開始攻擊一些新的產業和地區，甚至能躲避沙盒模擬與惡意程式分析技巧。今年，我們進一步分析了 Emotet 的活動來了解這個模組化惡意程式的惡意行為。我們針對 Emotet 的相關威脅樣本進行了一番徹底的研究，包括 2018 年 6 月 1 日至 11 月 15 日這段期間所蒐集到的相關威脅樣本：8,528 個非重複網址、5,849 個文件植入程式以及 571 個執行檔，並發現了 Emotet 的幕後基礎架構以及可能的犯罪集團資訊。

》延伸閱讀: 假冒銀行轉帳通知耍詐!!銀行惡意軟體會利用網路監聽來竊取資料

以下是幾項重要的研發現：

至少有兩組並行的基礎架構在背後支撐 Emotet 的殭屍網路
當我們將該惡意程式的幕後操縱 (C&C) 伺服器和 RSA 金鑰進行分類之後就能清出看出兩組不同的基礎架構。此外我們也發現歹徒每個月都換更換一次 RSA 金鑰。而不同基礎架構所推送的下一階段惡意程式在用途和攻擊目標上並無重大差異，因此分開兩組基礎架構的用意應該只是為了讓 Emotet 更不容易被追查，同時也提供容錯備援的能力。
Emotet 的相關樣本可能是經由多個分層負責的不同單位所製作
從活動模式不一致的情況可以看出，負責製作及散布文件植入程式的幕後單位，似乎與負責壓縮及部署 Emotet 執行檔的單位不同。文件植入程式在非上班時間 (UTC 時間凌晨 1:00 至 6:00) 會停止製作。此時很可能有三組不同的電腦正在壓縮及部署 Emotet 的執行檔，其中兩組的系統時區可能分別設定在 UTC +0 以及 UTC +7。
Emotet 惡意程式的作者很可能住在 UTC+10 或者更往東邊一點的時區內
當我們根據每個執行檔樣本所解壓縮出來的惡意程式組譯時間戳記來將這些執行檔分類時，我們可歸納出兩個樣本群組，其組譯時間戳記與惡意程式首次在外發現的時間一致。這原因很可能是組譯時間戳記使用的是惡意程式作者的電腦當地時間。如果這些當地時間正確無誤的話，那就可推論出惡意程式作者很可能住在 UTC +10 或更往東邊一點的時區內。

繼續閱讀

研究報告:金融業正面臨越來越多憑證填充 (Credential Stuffing) 攻擊

2018 年 10 月 17 日2018 年 10 月 17 日趨勢科技 TrendMicro

當資料外洩發生，其後續的效應並不一定會隨著事件落幕而消失。Akamai 的研究人員指出，根據他們在 2017 年 11 月至 2018 年 6 月之間觀察到的 300 億次惡意嘗試登入顯示，金融業正面臨越來越多的憑證填充 (Credential Stuffing) 攻擊。

憑證填充攻擊是一項利用殭屍網路（botnet）以自動化方式不斷使用偷來的登入憑證試圖登入網路服務的一種攻擊技巧。這項手法使用大量外流的電子郵件地址和密碼，再搭配自動化腳本，以疲勞轟炸的方式不斷試圖登入網路服務，直到某一組帳號密碼成功為止。此攻擊技巧很可能讓企業因為詐騙、網路斷線導致業務停擺、緊急應變與通知客戶、系統修復以及商譽受損等等而造成損失。

該研究特別指出，遭遇這類攻擊的企業不分大小。報告引述的例子是某家財星 500 大 (Fortune 500) 企業，同時也是一家信用合作社，該公司的日常登入活動突然飆高，造成每分鐘網路流量大幅增加。在為期 6 至 7 天的觀察期間，其網路活動從 420 萬飆升至 850 萬次嘗試登入，因而讓這起殭屍網路暴力攻擊與試圖暗中存取活動曝光。

[延伸閱讀：A Shift in the ATM Malware Landscape: From Physical to Network-based Attacks]

目前，金融業與零售業依舊是這類攻擊的主要目標，因為這類自動化攻擊非常容易實行。而且行動裝置與網站的介面和作業系統通常會盡可能精簡，因為冗長的載入時間不利於客戶和合法使用者的線上體驗。同時，客戶和員工也習慣在多個網路帳號上使用相同的電子郵件與密碼組合，而企業也仍在使用一些老舊或廠商已不再支援的作業系統。除此之外，還有企業的員工和現有系統無法有效分辨正常使用者與網路犯罪集團的登入活動。

四招金融業防範憑證填充攻擊的方法

由於網路犯罪集團總是處心積在尋找獲利方式，因此針對金融業網路資產的攻擊不論是數量、型態和手法都會不斷增加。以下是一些強化安全來防範這類攻擊的建議方法：

養成良好的密碼習慣。避免在不同的網路帳號上使用相同的電子郵件與密碼組合，此外也要經常更換密碼。
盡可能啟用雙重認證 (2FA)，畢竟，多一層保護總是多一分安全保障。
定期下載廠商提供的更新。
觀察您的網路流量和系統。如果網路查詢、登入數量突然暴增，或者速度突然變慢，都有可能是遭到攻擊的跡象。採用一套資安軟體來掃瞄並清除惡意程式感染。

[延伸閱讀： ATM 惡意程式 Alice, 專門用來清空自動提款機]

趨勢科技 XGen™ 防護能為企業提供跨世代融合的威脅防禦技巧，完整防範各式各樣的威脅，保護資料中心、雲端環境、網路及端點。

它藉由高準度的機器學習來保護閘道與端點資料和應用程式，保護實體、虛擬及雲端工作負載。XGen 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析，來防範今日針對企業量身訂做的威脅，這些威脅不僅能避開傳統資安防禦，更能利用已知、未知或尚未公開的漏洞，竊取個人身分識別資訊或將資料加密。XGen 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

原文出處：Report Finds Increased Credential Stuffing Attacks on Financial Sector

新型殭屍勒索病毒 Virobot ,透過 Outlook濫發夾毒垃圾信

2018 年 09 月 28 日2018 年 09 月 27 日趨勢科技 TrendMicro

趨勢科技曾經預測勒索病毒Ransomware (勒索軟體/綁架病毒)的攻擊會在2017年達到高峰，並且維持這樣的水平，但是隨著時間的變遷，攻擊手法會更多變。2018上半年所出現的勒索病毒攻擊活動，驗證了這樣的預測，藉由更多開創性的手法提高了賭金。實際的案例如下：我們最近發現 Viro 殭屍網路(趨勢科技偵測為 RANSOM_VIBOROT.THIAHAH)，他同時具備了殭屍網路（botnet）與勒索病毒的能力，許多美國的受害者受此病毒所影響。當 Viro 殭屍網路病毒感染電腦，受感染的電腦會成為垃圾郵件殭屍網路的一員，並發送勒索病毒給更多受害者。由目前的資訊看來，Viro殭屍網路病毒跟目前已知的勒索病毒家族並沒有直接相關。