重大資安事件 - 資安趨勢部落格

【密碼管理】Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

2016 年 10 月 06 日2019 年 02 月 11 日趨勢科技 TrendMicro

英國每日鏡報（Mirror）報導，個資外流的雅虎帳號中，最常用的密碼分別是以下十個:
❶ 123456
❷ password
❸ welcome
❹ ninja
❺ abc123
❻ 123456789
❼ 12345678
❽ sunshine
❾ princess
❿ qwerty

(2016/11/11 更新)

如果你還待在地球上，應該已經知道Yahoo發生了大規模資料外洩事件。這家網路先驅最近承認5億筆帳號相關資料是兩年前竊自它的網路，只是最近才發現。這可能給了壞人很長一段時間來侵害你的資料，如果你是Yahoo使用者的話。在前一篇文章專家提醒大家光是變更密碼並不足夠保護帳號安全!,請檢查使用Yahoo帳號的iPhone郵件應用程式是否仍可存取,這一篇文章我們來複習保持密碼安全小技巧。

這是一連串網路巨擘出現資料外洩事件的最新一起，其他還包括了LinkedIn、tumblr、MySpace等等。但它是目前以來的最大咖，可能也是外洩最嚴重的一次。讓我們藉此機會來檢視一些最佳實作跟安全提示，可以幫助你保護使用密碼帳號的安全。

當心假冒 Yahoo官方發送的確認帳號網路釣魚信

根據Yahoo所說，國家等級的駭客侵入了它的網路，可能已經取走姓名、電子郵件地址、電話號碼、出生日期、密碼雜湊值，還在某些情況下的加密或未加密的安全問題和答案。這影響了整個Yahoo、Yahoo理財、Yahoo運動和Flickr使用者。

當此種網路攻擊發生時，不只是會讓該公司陷入麻煩，還包括其服務的使用者們。Yahoo指出使用者的支付資料和銀行帳號資料不會儲存在系統中，所以是安全的。但使用者在攻擊過後仍然面臨許多風險。

本落格曾報導過刑事局警告:假 Gmail異常登入通知,真騙密碼!駭客善於利用竊來的帳號資料來進行所謂的網路釣魚（Phishing）攻擊，偽裝成Yahoo或其他公司來寄送電子郵件給目標。詳細的資料可以用來讓電子郵件看起來更真實。他們可能會要求受害者點入連結來確認帳號或是類似的手法。這樣做的目的是為了得到更多使用者的敏感資訊，通常跟財務有關。或甚至利用資料竊取惡意軟體來加以感染。

萬萬不可一組密碼走天下

更甚之，許多Yahoo使用者可能會在不同網站使用相同的密碼，甚至是相同的使用者名稱/密碼組合。如果這樣，那麼擁有你詳細資料的網路犯罪份子就可以侵入其他網路帳號，造成更多的傷害和經濟損失。

刑事局曾破獲歹徒將生日、電話等個資，破解數百名Yahoo！等網站用戶密碼，再以同一帳號密碼登入其他網站。總之別和 Facebook 創辦人一樣用萬用密碼！五招讓帳密更安全

犯罪者會利用這些隨處使用同一組帳號密碼的使用者心理，將到手的帳號密碼組合使用，嘗試登入各種服務。因此，若隨處使用相同的帳號密碼，其他各種服務也會遭到非法登入，受害的範圍將會擴大。

LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼」，看看你中獎了嗎?

1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣繼續閱讀

【密碼管理】Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!

2016 年 10 月 05 日2019 年 02 月 11 日趨勢科技 TrendMicro

Yahoo坦承兩年前遭駭客入侵，至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫（ZDI）的Simon Zuckerbraun所指出，光是換新的密碼是不夠的。為什麼?

如果你有一個Yahoo帳號，那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導，超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們，來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議，也是好的第一步，零時差專案（ZDI）研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。

變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!

和許多人一樣，Simon收到帳號被列入外洩事件的通知。也和許多人一樣，Simon登錄自己的帳號並變更了密碼。然後，他開啟設定會使用Yahoo帳號的iPhone郵件應用程式，原本預計將會出現輸入新密碼的提示，但是有些驚訝的是，他發現並不需要。儘管他已經變更了Yahoo帳號的密碼，手機仍然可以存取。

根據調查，顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期，變更密碼也不會撤銷。換句話說，如果有人取得你的帳號並且設定在iOS郵件應用程式內，他們還是可以存取該帳號，即便是在變更密碼之後。更糟的是，你很可能不會發現有人仍然可以存取你的電子郵件。

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

繼續閱讀

勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

2016 年 07 月 08 日2020 年 03 月 09 日趨勢科技 TrendMicro

為何使用者會自己動手啟用內嵌在惡意附件文件內的巨集?
為何 CryptoWall 偏好早上5點到9點間發釣魚信； TorrentLocker喜歡在下午1點到7點間發信
為何勒索病毒發送的網路釣魚發信不用殭屍網路,而改用被駭郵件伺服器?
新聞網站,雲端服務如何成為勒索病毒散播溫床?
為何勒索病毒設定惡意網域存活期間僅一小時?

勒索病毒過去半年變種數量超過過去兩年

除了要瞭解勒索病毒加密以外的策略和技術外，了解它們如何進入環境也相同的重要。趨勢科技最近的分析顯示大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)家族可以在暴露層（exposure layer）加以阻止 – 網頁和電子郵件，事實上，從2016年1月到5月，趨勢科技已經封鎖66,00萬多次勒索病毒相關的垃圾郵件(SPAM)、惡意網址和威脅。

有越來越多網路犯罪分子利用勒索病毒作為武器，因為其有利可圖；僅在過去的六個月，就有超過50個新家族出現，而2014到2015年加起來也只有49個。在最近幾年，讓勒索病毒成功的一個重要因素是其勒索的技巧，主要是利用目標對失去自己電腦掌控的恐懼，網路犯罪分子不斷發展他們的技術 – 從簡單的鎖定使用者螢幕、假造聯邦執法單位警告，到實際去動到資料。

許多關於勒索病毒 Ransomware 討論集中在檔案部分，但往往忽略了散播機制，主要是因為沒有創新性，勒索病毒的幕後黑手只是利用萬無一失的電子郵件和網頁策略，雖然簡單，但這些策略大多會讓使用者不易察覺，且這樣的策略可以繞過傳統的安全解決方案。

在本篇文章中，我們會仔細檢視勒索病毒常用的攻擊媒介，以及我們如何在它們抵達之前減少其造成的風險。

*並不創新的垃圾郵件做法:社交工程***

讓我們來看看勒索病毒所用的垃圾郵件策略及它如何能夠躲過垃圾郵件過濾程式。在一般情況下，勒索病毒相關的垃圾郵件包含惡意附件檔，可能是巨集、JavaScript等形式，這些是下載真正勒索病毒的下載程式。一個例子是CryptoLocker，它有惡意附件檔（通常是UPATRE變種）會下載ZeuS / ZBOT，這個資料竊取惡意軟體接著會下載並在系統執行CryptoLocker。

但網路犯罪分子並非就此停住。有些加密勒索家族會加上另外一層 – 巨集，一種用來繞過沙箱技術的老策略，會要求使用者手動啟用內嵌在惡意附件文件內的巨集來感染系統，在這裡，社交工程social engineering誘餌和對人心的了解起了關鍵的作用。繼續閱讀

勒索病毒 RANSOM_Waltrix( CryptXXX) 爆大量災情！透過惡意廣告發動攻擊,電腦若沒更新修補程式,光瀏覽網頁就可能會中招!

2016 年 06 月 07 日2016 年 06 月 14 日趨勢科技 TrendMicro

近期 RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳，感染案件遽增的原因是駭客透過惡意廣告發動攻擊，此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及常在 Facebook 臉書上被分享的一些內容農場網站文章之後，開始出現感染勒索病毒的情況，建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。

勒索病毒簡介
勒索病毒 Ransomware (勒索軟體/綁架病毒)是一種特殊的惡意軟體，受害者會失去對自己系統或資料的控制權（例如無法使用作業系統或是檔案被加密），如果不付錢就無法取回控制權。目前流行的種類為加密型勒索病毒：將電腦裡的檔案加密，並且要求支付贖金。

感染勒索病毒後果
目前最流行的勒索病毒種類為加密型勒索病毒：將電腦裡的檔案加密後要求支付贖金。若駭客所使用的加密演算法夠完善的話，遭到加密的檔案幾乎沒有辦法解密。
近來的一種勒索病毒還會限制付款時間，隨著螢幕上的紅色倒數計時，時間過越久就刪除越多檔案，贖金金額也會跟著提高，增加受害的的心理負擔。（詳情可參考：奪魂鋸勒索軟體JIGSAW）

近期感染勒索病毒（RANSOM_Waltrix or CryptXXX）災情嚴重主因 :惡意廣告
近期RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳，感染案件遽增的原因是駭客透過惡意廣告發動攻擊，所謂惡意廣告是駭客偽裝成廣告主，將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒，尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞，若使用者電腦沒有更新修補程式，只是瀏覽一般網頁就可能會中勒索病毒。

此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的情況，建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。
此類攻擊模式未來只會更多不會更少，遭受攻擊的軟體種類必會愈來愈多防不勝防，因此趨勢科技提醒您，請保持作業系統及各種應用程式更新到最新以防堵各種資安漏洞。

這篇報導:網頁廣告成勒索軟體散播溫床，紐約時報、BBC、MSN 皆中招,文中指出”攻擊者透過廣告聯盟及軟體漏洞，透過大型網站如《紐約時報》、BBC 、MSN 等的廣告，藉此安裝勒索軟體 Ransomware。

惡意廣告並非新的產物；它是已經存在了十多年的犯罪手法。早在 2004年，就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情，它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間，許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。

使用者經常會看到一些眼花撩亂 (甚至令人討厭) 的廣告，尤其當您必須先關閉這些廣告才能看到您要的影片或文章時，更覺得困擾。但這些網路廣告卻不光只是惱人而已，網路犯罪集團會經由這類廣告來散布惡意程式，進而感染瀏覽器和電腦。這就是所謂的「惡意廣告」，它們專門利用軟體漏洞在系統暗中植入一些可竊取帳號密碼、銀行資訊和個人資料的惡意程式。

繼續閱讀

Hacking Team 資料外洩曝光的漏洞攻擊,仍影響 Android 用戶

2016 年 06 月 06 日2016 年 06 月 03 日趨勢科技 TrendMicro

專門提供駭客服務的Hacking Team自己也被駭了! 這是 2015 年備受矚目的資安事件。雖然，Hacking Team 資料外洩事件已經是好幾個月前的事了，但因漏洞攻擊程式碼的曝光而引發一連串的攻擊，至今仍持續影響著我們。

最近，趨勢科技發現了一批 Android 惡意程式很顯然是採用了 Hacking Team 事件當中的某項漏洞攻擊程式碼。這批在網路上發現的惡意應用程式一旦得逞，就能讓遠端駭客取得感染裝置的系統管理員 (root) 權限，所有 Android 4.4 (KitKat) 以及更早版本的行動裝置 (占了將近所有 Android 裝置的 57%)都受到此漏洞的影響。

攻擊細節

根據趨勢科技的分析，這批惡意應用程式含有一段稱為「reed」的漏洞攻擊程式碼，也就是 Hacking Team 的 kernel_waiter_exploit 漏洞攻擊程式碼，這段程式可藉由 TowelRoot 漏洞 (CVE-2014-3153) 在裝置上植入一個後門程式，TowelRoot 是 Linux 系統在 2014 年就已修補的一個舊漏洞。

有了這個後門程式，駭客就能到幕後操縱 (C&C) 伺服器 (hxxps://remote.ibtubt.com/phone/ )下載最新的惡意程式到裝置上，並以系統管理員權限執行程式。

圖 1：Hacking Team 事件所外洩的漏洞攻擊程式碼。

駭客將這段漏洞攻擊程式碼暗藏在多款遊戲和 Launcher (啟動器) 應用程式當中，並透過下列網站散布：hxxp://risechen.b0.upaiyun.com，例如：Maria’s Coffie Shop、酷酷斗地主、iLauncher、One Launcher 以及 Launcher IP Style 6s 等等。我們發現至少有 88 個應用程式含有這段漏洞攻擊程式碼，但目前我們尚未見到其任何一個惡意程式在第三方應用程式商店上架。

圖 2：含有漏洞攻擊程式碼的惡意遊戲範例。 繼續閱讀