企業資安 - 資安趨勢部落格

洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk

2017 年 02 月 15 日2017 年 02 月 17 日趨勢科技 TrendMicro

無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點（PoS）系統及進行點擊詐騙（click fraud）。

Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織？

為何Lurk 總選擇在午休時間進行惡意內容派送?

沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?

Lurk 興風作浪的這五年

無檔案感染（Fileless Infection）就如同其名：沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見，而且對企業和一般使用者都造成了嚴重的威脅，因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點（PoS）系統及進行點擊詐騙（click fraud）。無檔案感染對攻擊者來說，重要的一點是可以先評估中毒系統，確認感染狀態再決定是否繼續或消失無蹤。

典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者

Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團，這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者，在部署其他惡意軟體前先探測其目標。感染鏈有多個階段，可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣，則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰，直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元，同時也破壞了受害者的營運、信譽和重要的一切。

Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織？他們還知道什麼其他的技術可能被其他網路犯罪分子仿效？他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業？我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析，我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。

*2011年至2012****年初：*利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統

Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說，特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站（如Google）。繼續閱讀

< BEC 變臉詐騙 > 男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕

2017 年 02 月 09 日2017 年 02 月 06 日趨勢科技 TrendMicro

曾有歹徒利用 Predator Pain 和 Limitless 這兩個鍵盤側錄程式，來從事變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) ，獲利高達約22億新台幣！其中Limitless作者在1月13日，一名大學生Zachary Shames向美國維吉尼亞州聯邦地方法院認罪，這個惡意鍵盤側錄程式被用來竊取數千份使用者敏感資訊（如密碼和銀行憑證）。在 2014年11月，趨勢科技的前瞻性威脅研究團隊（FTR）發表一份包含Limitless的研究報告，同時介紹它被如何用來竊取數千名受害者的資料。在此之前，我們將如何確認Shames為作者的詳細資料交給了美國聯邦調查局（FBI）。本文將詳細介紹我們如何建立連結，這是我們在已發表的報告中所沒有提及的。

根據東維吉尼亞的檢察官辦公室，維吉尼亞州詹姆斯麥迪遜大學的21歲資訊系學生被控協助和教唆電腦入侵。Shames承認開發和銷售超過3,000份的間諜軟體，用來感染超過16,000台電腦，這些行為違反了美國法典第18章第1030（a）（5）（A）和2條。

在2014年7月，FTR 團隊成員開始研究兩種商業化鍵盤側錄程式所進行的攻擊（Predator Pain 和Limitless Logger），這兩者都被用在多起入侵事件，其中不乏知名的受害者。

在研究過程，Limitless和其他工具一起被廣泛地用在針對性攻擊/鎖定目標攻擊(Targeted attack )活動。受害最深的國家是馬來西亞、印度、澳洲、丹麥和土耳其。

圖1、受 Predator Pain/Limitless影響的國家

繼續閱讀

備份不能算防禦 ! 當勒索集團找上門時，你的企業準備好了嗎？

2017 年 02 月 03 日2017 年 01 月 25 日趨勢科技 TrendMicro

2016 年，趨勢科技與 ISMG 合作，針對金融、醫療與政府機構進行了一項問卷調查，以期更了解他們在勒索病毒方面所面臨的挑戰。調查的結果有些令我們訝異，有些則和我們在 2016 一整年看到的情況大致相符。

大多數網路犯罪集團都會在攻擊當中運用到勒索病毒，而且幾乎所有的漏洞攻擊套件都會散布勒索病毒

我們都知道，勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為今日企業的一大頭痛問題，而 2016 年當中也出現了多起重大案例。根據趨勢科技發現，新勒索病毒家族的數量較去年成長了 748% ( 2015 年僅 29 個，2016 年竄升至 246 個)，顯然這項犯罪手法在網路犯罪集團之間已掀起一股旋風。絕大多數網路犯罪集團現在都會在攻擊當中運用到勒索病毒，而且幾乎所有的漏洞攻擊套件都會散布勒索病毒。可知勒索病毒已成為企業機構的一大威脅，也因此我們才想進一步了解這項威脅對企業機構和政府機關有何影響。讓我們一起來看看這項調查發現了什麼。

超過 53% 的企業機關都曾經成為勒索病毒的受害者;有 15% 的受訪者不曉得自己是否曾經受害

首先，過去一年當中有超過 53% 的企業機關都曾經成為勒索病毒的受害者。此外我們也發現，有 15% 的受訪者不曉得自己是否曾經受害。若依產業來看，我們發現金融業的防護似乎做得較好，因為金融業只有 33% 曾經受害，但政府機關則有 67% 曾經受害。這一點在我們的意料之內，因為金融機構在資安上的支出通常大於政府機關。有 75% 的受訪者表示，勒索病毒攻擊在過去一年似乎稍微或大幅增加，這與我們的研究結果以及我們在客戶端看到的情況一致，讓我們更確定犯罪集團現在比以往更常利用這項威脅。

大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊，而每個月至少遇到 5 次以上攻擊的則高達42%

其次一項特別引起我們注意的是受訪者遭受攻擊的次數。調查顯示，大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊，而每個月至少遇到 5 次以上攻擊的則高達42%。這突顯出一項眾多企業所面臨的重大挑戰：企業必須成功偵測並攔截每一次的攻擊，但歹徒卻只需成功一次就能得逞。另一項企業所面臨的威脅：針對性攻擊，也是同樣情況。我們現在越來越常看到歹徒在日常攻擊行動當中採用類似的手法。繼續閱讀

【一封郵件騙走一棟房子】變臉詐騙（BEC）常用的三種詐騙手法

2017 年 01 月 17 日2017 年 01 月 18 日趨勢科技 TrendMicro

變臉詐騙（BEC）手法對駭客來說是技術門檻低且獲利性極高的企業詐騙手法，詐騙平均損失金額統計高達 400 萬台幣(相當於一棟小坪數房子)。據估計，近兩年來變臉詐騙的不法獲利總金額高達 30 億美元，對於變臉詐騙（BEC）此類低成本高收益的攻擊，將是台灣企業於 2017 年度仍極需高度重視的資安威脅風險。

繼續閱讀

商務電子郵件安全》不只抓假冒寄件者 ,利用人工智慧才厲害!

2017 年 01 月 12 日2017 年 12 月 22 日趨勢科技 TrendMicro

為何趨勢科技的 BEC 變臉詐騙偵測技術與眾不同？

九月我們發表了搭載採用 XGen防護技術的新郵件安全防護技術以及新產品Smart Protection for Office 365。其中一個關鍵的技術就是利用人工智慧的電子郵件詐騙或變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱 BEC）偵測技術。

FBI:平均每起事件所造成的損失達到13.2萬美元

使用者收到BEC詐騙郵件時往往很難去分辨是真是假。可能會因為專注在採取行動來滿足高階主管的迫切要求而錯過發覺這封郵件是偽造的細微跡象。傳統的電子郵件安全解決方案很難去阻止這類攻擊，因為通常沒有附件或網址可供檢查，而內容看起來也跟正常的電子郵件一樣。這些原因都讓BEC詐騙攻擊難以偵測。根據FBI的資料，平均每起事件所造成的損失達到13.2萬美元。

趨勢科技的Hosted Email Security包含了電子郵件認證標準（SPF、DKIM以及最新的DMARC）來防止偽造網域/寄件者，但這只解決了一部分的問題。這些標準可以防止你的網域/寄件者被偽造，但無法防止其他的郵件偽造技術，如“濫用免費郵件帳號”（使用免費但合法的電子郵件網域）和“濫用入侵郵件帳號”（使用內部被入侵的帳號）。這時就需要更進一步的防BEC詐騙技術來提供電子郵件使用者完善的保護。

趨勢科技如何利用人工智慧偵測BEC變臉詐騙? 繼續閱讀