分類: 重大資安事件

史上最狠毒勒索軟體 Crypto Locker SHOTODOR: 一開郵件電腦就淪陷,限時3天內交付「贖金」300美元,才能重新啟動檔案

趨勢科技 TrendMicro

在趨勢科技的2013年安全預測中,我們認為網路犯罪份子會專注於改進現有工具,而非創造新威脅。有兩起威脅顯示了改進之前的已知威脅的確是有效的。

勒索軟體

Crypto Locker:最新一波的勒索軟體

 

除了利用贈品、競賽或是偽裝成知名品牌之外,網路犯罪分子的社交工程( Social Engineering)百寶箱內還有其他同樣有效的誘餌。這甚至包括徹頭徹尾的恐嚇或嚇唬使用者去購買假產品,交出自己的資料或金錢。這類的戰術很顯然是用在假防毒軟體之類的威脅,還有現在的勒索軟體 Ransomware

之前的勒索軟體用一種新型態出現,就是警察木馬。這類惡意軟體通常會封鎖對系統的存取,並出現偽造的執法單位通知訊息給使用者。指控使用者在網路上做出違法的事情,並要求支付罰金。

但是最近的勒索軟體變種(稱為Cryptolocker)會加密檔案,而不只是鎖住系統。這是為了確保使用者在惡意軟體被刪除後還是會願意付錢。最近的Cryptolocker(偵測為TROJ_CRILOCK.AE)會出現警告通知桌布。這警告通知使用者,即使他們從系統內刪除惡意軟體,加密過的文件將仍然無法使用。

勒索軟體

如果使用者不花費300美元(或是300歐元)來購買私鑰的話,這把可以解密文件檔案的私鑰就會被刪除。除了這個行為,這惡意軟體還出現跟其他已知的 cryptolock 變種相同的行為。

如何保持低調SHOTODOR

另一種讓攻擊成功的方式就是讓使用者,甚或是防毒軟體都不會發現。趨勢科技發現了BKDR_SHOTODOR.A,它會使用垃圾程式碼和隨機檔案名稱來將混淆伎倆提升到另一個新水平。(請注意,這次攻擊的幕後黑手和之前的完全不同。) 繼續閱讀

紐約時報 、推特遭駭顯示 DNS 沒有被破壞,但網域註冊商可能會

趨勢科技 TrendMicro

作者:Ben April(資深威脅研究員)

最近針對紐約時報、Twitter和其他人的DNS相關攻擊,其實並不是因為DNS本身的漏洞所造成。而是因為網域註冊商基礎設施的漏洞而產生。與此事件相關的DNS組件只是做好所設計所該有的事情。

雖然惡意指令並沒有經過認證是事實,但它們是照著正確的管道。證據指向了敘利亞電子軍,不過調查仍在進行中。

追查源頭是因為一家墨爾本IT(網域註冊商)的憑證被入侵。(請告訴我他們的密碼並不是用未加料的 MD5 雜湊值儲存,拜託?)從那裡,攻擊者改變受害者網域的名稱伺服器設定到他們自己的惡意基礎設施。DNS 接著接手,當暫存開始過期,新的「假」資料開始在DNS回覆時更換正常的資料。

那麼,受害者可以做些什麼來防止或減少這類攻擊的影響?
讓我們來看看基本知識:

  • DNSSEC
    DNSSEC可以有幫助,如果被竊憑證不足以讓攻擊者改變目標網域的DNSSEC設定。不然攻擊者可以替換或刪除DNSSEC設定以進行攻擊。
  • Domain-Locking(網域鎖定)
    同樣地,這可以防止變更,如果被竊憑證不能禁用鎖定功能。事實上,twitter.com並未被影響,而是Twitter的部分功能性網域被影響,代表這可能是個方法。還應該注意的是,根據網域註冊商的不同,網域鎖定可能需要額外收費。
  • 網域監控
    對於知名網域來說是個很好的做法。像是名稱伺服器的設定應該會不常變更,所以足以用來觸發警報。有許多商業化的監控服務可供選擇,你也可以考慮利用簡單的腳本程式來做到。請注意,我並不知道這些受影響的公司是否有進行類似的監控。它不能阻止這類事件發生,但可以縮短復原時間。
  • 根據安全狀態來小心地選擇供應商
    這很難馬上做到。安全狀態差的廠商不會宣傳此一事實。安全狀態佳的廠商可能因為有著良好的運作安全而不願意分享他們基礎設施的細節,以免攻擊者獲得這些防禦的配置圖。

我們可以從這些攻擊裡所學到的一件事是,真正專注的攻擊會想辦法去搜尋我們的聯絡人、對口單位、供應商和客戶以找出最弱的一環,取得進入點。

 

@原文出處:NYT/Twitter Hacks Show DNS Is Not Broken, But Domain Registrars Might Be

< 病毒警訊 > 播放軟體 KMPlayer更新機制異常,原來是BKDR_PLUGX 後門程式在搞鬼

趨勢科技 TrendMicro

趨勢科技發佈病毒警訊通知:BKDR_PLUGX。
attack

國家資通安全會報 技術服務中心於日前發布”播放軟體 KMPlayer更新機制異常”的資安通報。趨勢科技確認此為 BKDR_PLUGX家族系列之變種惡意後門程式,已於2013年8月6日星期二釋出病毒碼保護趨勢科技產品使用者。BKDR_PLUGX 為常見的惡意程式家族系列,主要具備後門程式功能以利駭客執行遠端遙控受害者電腦的行為。

依據國家資通安全應變網站所發佈之攻擊活動預警通報內容,該批 PLUGX 惡意後門程式疑似藉由 KMPlayer 影音播放程式之更新機制散佈。相關資訊請參考下列網址:

https://www.icst.org.tw/NewInfoDetail.aspx?seq=1414&lang=zh
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018

趨勢科技已可偵測此波攻擊事件中之惡意程式。
病毒名稱:BKDR_PLUGX.ZZXX
相關惡意程式檔名:KMP_3.7.0.87.exe、ACLUI.DLL、ACLUI.DLL.UI。

病毒技術細節與惡意行為:
PLUGX 病毒家族在受感染系統中,不須經由使用者授權即可接受駭客命令進行惡意行為或竊取資料,例如:

  • 複製、新增、修改、開啟檔案;
  • 竊取使用者帳號密碼;
  • 重新啟動作業系統並以不同帳號登入;
  • 新增、修改、刪除機碼值;
  • 截取螢幕畫面或影片以蒐集使用者行為資料;
  • 連線至外部網站;
  • 終止作業程序。

PLUGX 並可讓駭客取得系統最高權限。

播放軟體 KMPlayer更新機制異常,原來是後門程式在搞鬼 繼續閱讀

< APT目標攻擊 >冒用健保局名義,攻擊中小企業案,使用惡名昭彰的Gh0st遠端存取木馬

趨勢科技 TrendMicro

作者:Maharlito Aquino(威脅研究員)

逮捕勒索軟體集團的首腦之一,到成功打下Rove Digital(請參考:趨勢科技協助 FBI 破獲史上最大殭屍網路始末),我們可以時常地看到執法單位和安全廠商間的合作行動,並且有著豐碩的成果。這一次,台灣刑事單位和趨勢科技合作偵破駭客假冒健保局,盜取萬筆中小企業個資案件,解決利用知名的Ghost遠端存取木馬家族所進行的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。執法單位也逮捕了一名對象。

趨勢科技 協助偵破駭客假冒健保局,盜取萬筆中小企業個資案件,獲得國外媒體報導

 

BKDR_GHOST(又名Gh0st遠端存取木馬或TROJ_GHOST),是有名的遠端存取木馬(RAT),常常被用在目標攻擊,也被資安威脅份子和網路犯罪分子廣泛的使用。

 

在這起目標攻擊內,攻擊者透過特製的魚叉式網路釣魚(Phishing)電子郵件將BKDR_GHOST派送給不知情的目標。上述郵件包含一個會去自動下載該惡意軟體的連結。而且它會偽裝成健保局的來信,好產生足夠的說服力來吸引目標點入並執行這惡意軟體。

 

為了避免被偵測,攻擊者將這些電子郵件設計成為包含一個連結,將使用者導到一特定網站,並自動下載看起來是官方檔案的RAR壓縮檔。此外,為了進一步讓使用者願意去打開壓縮檔內的檔案,攻擊者利用了一個舊卻有效的文件命名詭計,將多個空格加到文件副檔名(在這案例內是DOC)和可執行副檔名(在這案例內是EXE)之間。這方法還是很有效,多個空格會將真正的副檔名隱藏起來,因為壓縮檔視窗並不大。趨勢科技的威脅解決方案可以利用ATSE 9.740.1046來將利用這種伎倆的惡意軟體偵測為HEUR_NAMETRICK.A。

 

BKDR_GH0ST感染鏈

 

一旦使用者打開偽裝的惡意軟體,它實際上是個可執行壓縮檔,就會產生下列的檔案並執行:

 

  • %WINDIR%\addins\ACORPORATION.VBS(偵測為VBS_GHOST)– 執行Gh0st遠端存取木馬安裝腳本(AMICROSOFT.VBS)
  • %WINDIR%addins\AMICROSOFT.VBS(偵測為VBS_GHOST) – 解壓縮有密碼保護的Gh0st遠端存取木馬壓縮檔(f2o.zip)
  • %WINDIR%\addins\Atask.bat(偵測為BAT_GHOST) – 搜尋以下檔案並用解開的Gh0st遠端存取木馬組件來加以覆蓋:
    • AdobeARM.exe
    • jusched.exe
    • Reader_sl.exe
    • %WINDIR%\addins\f2o.zip – 包含兩個BKDR_GHOST變種,執行類似的惡意行為:
      • put.exe(偵測為BKDR_GHOST)
      • cd.exe(偵測為BKDR_GHOST)

 

一個較不被注意的行為是BKDR_GHOST會將最終檔案儲存在有密碼保護的壓縮檔(f2o.zip)內,它的密碼可以在安裝腳本AMICROSOFT.VBS內找到。一旦執行這些BKDR_GHOST惡意檔案,攻擊者就對這些受感染電腦有完全的控制能力,可以執行他們惡意的計畫,存取整個系統,並擷取珍貴的資料,像是個人檔案。

 

 

圖一:這次目標攻擊的流程

繼續閱讀

韓戰 63 周年, 南韓青瓦台官網遭駭 ,雲端儲存服務軟體成駭客工具

趨勢科技 TrendMicro

藉自動更新系統散佈惡意程式 建立殭屍大軍,企業及政府請盡快建置重要主機異動監控機制

20130626 台北訊】南韓最高政治中心青瓦台網站於昨日爆發網站遭受駭客攻擊,導致網頁被置換並關閉事件,引起全球矚目。根據趨勢科技全球病毒防治中心Trend Labs的最新研究發現,韓國雲端儲存服務軟體「SimDisk 」伺服器在此波攻擊中疑似遭駭客攻擊並置入檔名為「SimDiskup exe.」的惡意程式,其透過自動更新系統散佈至使用者端,試圖造成大量的感染,成為受駭客控制的網路「殭屍大軍」,進一步發動DDoS 攻擊試圖癱瘓政府網站。

南韓總統府網站在韓戰周年紀念日遭駭,寫著「偉大的統領金正恩將軍萬歲」。
南韓總統府網站在韓戰周年紀念日遭駭,寫著「偉大的統領金正恩將軍萬歲」。
南韓青瓦臺官網
韓國總統府青瓦台的官網於6月25日上午8時30分許遭到駭客攻擊後,有段時間然無法正常訪問,寫著“系統繁忙正在緊急維護”的字樣

根據趨勢科技Trend Labs最新分析發現,駭客攻擊韓國雲端儲存服務廠商「SimDisk」的伺服器並取得控制權後,即置換「SimDisk exe.」執行檔,並透過自動更新系統散佈一隻名為「SimDiskup exe.」的惡意程式至使用者端,一旦更新下載完成,此裝置將遭惡意程式感染,該惡意程式會連回特定網址接收指令,並下載另一隻名為DDOS_DIDKR.A的惡意程式,以培養網路「殭屍大軍」,並運用這些受感染裝置針對政府網站發動DDoS攻擊,癱瘓目標網站。

 

繼續閱讀