中小企業資安 - 資安趨勢部落格

在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

2017 年 08 月 08 日2017 年 08 月 01 日趨勢科技 TrendMicro

自從執法單位在2013年將Slik Road地下市場關閉之後，深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失，這是駭客可以交流、分享惡意程式碼和攻擊手法的地方，並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊，深網(Deep Web)內含藏著驚人的資料量 – 7,500TB，與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動，網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析，發現了576,000筆不重復網址，收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂，但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料，讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始：什麼是深網(Deep Web)？

在我們要進一步探討網路的這一塊可以教給我們什麼前，先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web)，它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場，裡面充斥著洗錢和非法毒品。因為這些活動，Ulbricht被控販毒和電腦駭客等犯罪行為，被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注，許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下：探索深網(Deep Web)”所指出，深網(Deep Web)或有時也被稱為暗網(Dark Web)，一開始的建立目的是提供使用者免於審查，可以自由發言的安全空間，它最終成為網路犯罪的避難所。

“深網(Deep Web)擁有超過20萬個網站，5,500億筆文件。”

槍支、僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼？ 繼續閱讀

資安人員該如何判斷哪些威脅有急迫性？

2017 年 08 月 03 日2017 年 07 月 31 日趨勢科技 TrendMicro

在今日的世界，資安團隊隨時會面臨各種資安事件，隨時會收到各種來源的威脅訊息，因此，不可能每次的威脅都等同看待，必須要能分辨輕重緩急。那麼，該從何著手？當然，只要有威脅出現，資安人員就必須處理，但每次的威脅卻不盡相同，我們該如何判斷哪些有急迫性、哪些沒有呢？

從最初的偵測到強制規範與矯正等一連串的動作，都需要率先掌握明確的威脅資訊與其嚴重性，才能採取有效行動來保護您最珍貴的資產，否則就算並非完全不可能，但實行起來也將困難重重。

以 XGen 防護為基礎的趨勢科技 TippingPoint Security Management System (SMS) Threat Insights 有效整合了多方來源的威脅資訊，讓您在資安應變的當下能夠輕易判斷威脅的輕重緩急，並且深入掌握當前及未來您網路可能遭遇的威脅，以及目前已經採取的防範措施狀況。繼續閱讀

鎖定「SambaCry」漏洞的新威脅現身， Linux 使用者請盡速更新系統

2017 年 07 月 20 日2017 年 07 月 21 日趨勢科技 TrendMicro

Samba的資安弱點即便經過修補，新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點（CVE-2017-7494）進行攻擊，影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外，Linux作業系統只要啟用SMB服務，也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備（包含網路儲存設備 (NAS)、IoT設備），一旦成功後即植入惡意程式。

企業環境（政府、製造業、金融業）大量使用 Linux 作業系統伺服器，且大部分均為關鍵業務系統。而Linux常被認為系統安全性高，較不會被入侵，因此較易疏於管理、更新、防護。駭客可能利用此情形，結合目標式攻擊與內網擴散手法攻擊此弱點，入侵至伺服器後加密檔案，進行勒索。因此，趨勢科技建議您，除了Windows作業系統需安裝修補程式外， Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件，極可能代表攻擊已進入到內網擴散階段，可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復，但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出，此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾，並促使伺服器載入並執行該程式庫。駭客一旦得逞，就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」，因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示，SambaCry 只被用來攻擊伺服器，且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料，駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A，發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例，它同樣也會在受害系統上開啟指令列介面。不過，ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先，它會攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置。其次，ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統，如：MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多，隨便上 Shodan 搜尋一下就能找到：指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾，含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。繼續閱讀

Android 後門程式 GhostCtrl ,可暗中錄音、錄影，還可隨心所欲操控受感染的裝置

2017 年 07 月 20 日2017 年 07 月 26 日趨勢科技 TrendMicro

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後，沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際，趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App，被駭客鎖定放置惡意後門程式，以竊取裝置的帳號資料還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式，主要是針對安卓 (Android )用戶，會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲，誘騙使用者上鉤。

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料，能造成的威脅還不只這樣 (至少就衝擊面來看是如此)，它還會引來一個更危險的威脅，那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名，是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能，第二版會進一步操控更多功能，第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看，未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地，各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學，有些人甚至還幫它開發了一些修補程式。

事實上，有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖)，由於這是一個 RAT 服務，因此這一點其實可以在程式編譯的時候修改 (或移除)。

圖 1：從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsapp、Pokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式，名稱大多叫做 App、MMS、whatsapp，甚至是 Pokemon GO。當應用程式啟動時，它會從資源檔解開一個 base64 編碼的字串並寫入磁碟，這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它，然後要求使用者安裝它。這程式非常難纏，就算使用者在要求安裝的頁面上點選「取消」，訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後，外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行：

圖 2：外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能，而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來，惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令，透過「new Socket(“hef–klife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密，APK 在收到之後會自行解密。有趣的是，趨勢科技也發現此後門程式在連線時會使用網域名稱，而非 C&C 伺服器的 IP 位址，這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址：

hef–ddns.net
f–ddns.net
no-ip.biz
no-ip.biz

值得注意的是，指令中可包含動作代碼和物件資料，駭客可透過這方式來指定攻擊目標和攻擊內容，因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能，讓使用者毫不知情。

以下是一些動作代碼和其對應的動作：

動作代碼 = 10、11：操控 Wi-Fi 狀態。
動作代碼 = 34：監控手機各感應器的即時資料。
動作代碼 = 37：設定手機使用介面模式，如夜晚模式/車用模式。
動作代碼 = 41：操控震動功能，包括振動方式和時機。
動作代碼 = 46：下載圖片來當成桌布。
動作代碼 = 48：列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
動作代碼 = 49：刪除指定目錄中的檔案。
動作代碼 = 50：重新命名指定目錄中的檔案。
動作代碼 = 51：上傳某個想要的檔案至 C&C 伺服器。
動作代碼 = 52：建立一個指定的目錄。
動作代碼 = 60：使用文字轉語音功能 (將文字轉成音訊)。
動作代碼 = 62：傳送 SMS/MMS 簡訊至駭客指定的號碼；內容可自訂。
動作代碼 = 68：刪除瀏覽器歷史記錄。
動作代碼 = 70：刪除 SMS 簡訊。
動作代碼 = 74：下載檔案。
動作代碼 = 75：撥打駭客指定的電話號碼。
動作代碼 = 77：打開活動檢視應用程式，駭客可指定統一資源識別碼 (Uniform Resource Identifier，簡稱 URI)，如：開啟瀏覽器、地圖、撥號的檢視等等。
動作代碼 = 78：操控系統的紅外線發射器。
動作代碼 = 79：執行駭客指定的指令列命令，並上傳輸出結果。