分類: 重大資安事件

勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

趨勢科技 TrendMicro

CryptoLocker,最新的勒索軟體 Ransomware變種,它最有名的就是會加密某些文件檔案,接著再提供300美元的解密工具,試圖迫使使用者付錢。在這篇文章裡,我們會討論它是如何出現和如何跟其他惡意軟體相連結,最明顯的是ZBOT/ZeuS。

勒索軟體CryptoLocker

 趨勢科技之前報導過,CryptoLocker勒索軟體 Ransomware不僅會讓人無法使用受感染的系統,也會加密某些文件檔案來強迫使用者購買300美元的解密工具。最近,我們注意到一起垃圾郵件(SPAM)攻擊活動,確認與CryptoLocker有關。這垃圾郵件所附帶的惡意檔案屬於TROJ_UPATRE,這是個以檔案小且具備下載功能著稱的惡意軟體家族。

利用趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的資料,我們搜尋CryptoLocker勒索軟體跟此下載程式相關連的資訊,發現一個電子郵件包含了惡意附件(偵測為TROJ_UPATRE.VNA):

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖一、帶有惡意附件的垃圾郵件截圖

 

一旦這個附件被執行,它會下載另一個檔案並儲存為cjkienn.exe(偵測為TSPY_ZBOT.VNA)。這惡意軟體會去下載真正的 CryptoLocker惡意軟體(偵測為TROJ_CRILOCK.NS)。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖二、CryptoLocker感染途徑

 

有幾個原因讓這威脅特別麻煩。首先,ZeuS/ZBOT變種已知的行為是會竊取網路銀行憑證的相關資訊。攻擊者可以利用竊取來的資訊來進行未經授權的銀行交易。此外,因為這個CryptoLocker勒索軟體 Ransomware,所以使用者無法存取自己的個人或重要文件。

 

關於CryptoLocker加密的注意事項

雖然CryptoLocker的贖金說明裡是說用「RSA -2048」來加密,但是經過趨勢科技的分析顯示,這惡意軟體是使用AES + RSA加密。

RSA是非對稱金鑰加密,這代表它使用兩把金鑰。一把金鑰用來對資料進行加密,另一把用來對資料進行解密。(對外公開的金鑰稱為公鑰;另一把由使用者自己保存的稱為私鑰)。AES使用對稱金鑰(即使用相同的金鑰來加密和解密資訊)。

這惡意軟體使用AES金鑰加密檔案。用來解密的AES金鑰寫在被惡意軟體加密的檔案內。然而,這把金鑰被惡意軟體內建的RSA公鑰所加密,表示需要另一把私鑰來加以解密。不幸的是,沒有這把私鑰。

關於有哪些檔案被加密,使用者可以檢查自己系統內的自動啟動註冊表。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖三、加密檔案列表可以在系統註冊表內看到

 

趨勢科技關於CryptoLocker的解決方案

趨勢科技的網頁信譽評比服務會去偵測動態產生網址。如果惡意軟體無法連上這些網址,它就無法接收公鑰,就可以防止惡意軟體加密檔案。此外,趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為。如果設定得當,它可以防止惡意軟體被執行。

趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為 勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖四、趨勢科技偵測相關的惡意軟體

繼續閱讀

史上最狠毒勒索軟體 Crypto Locker SHOTODOR: 一開郵件電腦就淪陷,限時3天內交付「贖金」300美元,才能重新啟動檔案

趨勢科技 TrendMicro

在趨勢科技的2013年安全預測中,我們認為網路犯罪份子會專注於改進現有工具,而非創造新威脅。有兩起威脅顯示了改進之前的已知威脅的確是有效的。

勒索軟體

Crypto Locker:最新一波的勒索軟體

 

除了利用贈品、競賽或是偽裝成知名品牌之外,網路犯罪分子的社交工程( Social Engineering)百寶箱內還有其他同樣有效的誘餌。這甚至包括徹頭徹尾的恐嚇或嚇唬使用者去購買假產品,交出自己的資料或金錢。這類的戰術很顯然是用在假防毒軟體之類的威脅,還有現在的勒索軟體 Ransomware

之前的勒索軟體用一種新型態出現,就是警察木馬。這類惡意軟體通常會封鎖對系統的存取,並出現偽造的執法單位通知訊息給使用者。指控使用者在網路上做出違法的事情,並要求支付罰金。

但是最近的勒索軟體變種(稱為Cryptolocker)會加密檔案,而不只是鎖住系統。這是為了確保使用者在惡意軟體被刪除後還是會願意付錢。最近的Cryptolocker(偵測為TROJ_CRILOCK.AE)會出現警告通知桌布。這警告通知使用者,即使他們從系統內刪除惡意軟體,加密過的文件將仍然無法使用。

勒索軟體

如果使用者不花費300美元(或是300歐元)來購買私鑰的話,這把可以解密文件檔案的私鑰就會被刪除。除了這個行為,這惡意軟體還出現跟其他已知的 cryptolock 變種相同的行為。

如何保持低調SHOTODOR

另一種讓攻擊成功的方式就是讓使用者,甚或是防毒軟體都不會發現。趨勢科技發現了BKDR_SHOTODOR.A,它會使用垃圾程式碼和隨機檔案名稱來將混淆伎倆提升到另一個新水平。(請注意,這次攻擊的幕後黑手和之前的完全不同。) 繼續閱讀

紐約時報 、推特遭駭顯示 DNS 沒有被破壞,但網域註冊商可能會

趨勢科技 TrendMicro

作者:Ben April(資深威脅研究員)

最近針對紐約時報、Twitter和其他人的DNS相關攻擊,其實並不是因為DNS本身的漏洞所造成。而是因為網域註冊商基礎設施的漏洞而產生。與此事件相關的DNS組件只是做好所設計所該有的事情。

雖然惡意指令並沒有經過認證是事實,但它們是照著正確的管道。證據指向了敘利亞電子軍,不過調查仍在進行中。

追查源頭是因為一家墨爾本IT(網域註冊商)的憑證被入侵。(請告訴我他們的密碼並不是用未加料的 MD5 雜湊值儲存,拜託?)從那裡,攻擊者改變受害者網域的名稱伺服器設定到他們自己的惡意基礎設施。DNS 接著接手,當暫存開始過期,新的「假」資料開始在DNS回覆時更換正常的資料。

那麼,受害者可以做些什麼來防止或減少這類攻擊的影響?
讓我們來看看基本知識:

  • DNSSEC
    DNSSEC可以有幫助,如果被竊憑證不足以讓攻擊者改變目標網域的DNSSEC設定。不然攻擊者可以替換或刪除DNSSEC設定以進行攻擊。
  • Domain-Locking(網域鎖定)
    同樣地,這可以防止變更,如果被竊憑證不能禁用鎖定功能。事實上,twitter.com並未被影響,而是Twitter的部分功能性網域被影響,代表這可能是個方法。還應該注意的是,根據網域註冊商的不同,網域鎖定可能需要額外收費。
  • 網域監控
    對於知名網域來說是個很好的做法。像是名稱伺服器的設定應該會不常變更,所以足以用來觸發警報。有許多商業化的監控服務可供選擇,你也可以考慮利用簡單的腳本程式來做到。請注意,我並不知道這些受影響的公司是否有進行類似的監控。它不能阻止這類事件發生,但可以縮短復原時間。
  • 根據安全狀態來小心地選擇供應商
    這很難馬上做到。安全狀態差的廠商不會宣傳此一事實。安全狀態佳的廠商可能因為有著良好的運作安全而不願意分享他們基礎設施的細節,以免攻擊者獲得這些防禦的配置圖。

我們可以從這些攻擊裡所學到的一件事是,真正專注的攻擊會想辦法去搜尋我們的聯絡人、對口單位、供應商和客戶以找出最弱的一環,取得進入點。

 

@原文出處:NYT/Twitter Hacks Show DNS Is Not Broken, But Domain Registrars Might Be

< 病毒警訊 > 播放軟體 KMPlayer更新機制異常,原來是BKDR_PLUGX 後門程式在搞鬼

趨勢科技 TrendMicro

趨勢科技發佈病毒警訊通知:BKDR_PLUGX。
attack

國家資通安全會報 技術服務中心於日前發布”播放軟體 KMPlayer更新機制異常”的資安通報。趨勢科技確認此為 BKDR_PLUGX家族系列之變種惡意後門程式,已於2013年8月6日星期二釋出病毒碼保護趨勢科技產品使用者。BKDR_PLUGX 為常見的惡意程式家族系列,主要具備後門程式功能以利駭客執行遠端遙控受害者電腦的行為。

依據國家資通安全應變網站所發佈之攻擊活動預警通報內容,該批 PLUGX 惡意後門程式疑似藉由 KMPlayer 影音播放程式之更新機制散佈。相關資訊請參考下列網址:

https://www.icst.org.tw/NewInfoDetail.aspx?seq=1414&lang=zh
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018

趨勢科技已可偵測此波攻擊事件中之惡意程式。
病毒名稱:BKDR_PLUGX.ZZXX
相關惡意程式檔名:KMP_3.7.0.87.exe、ACLUI.DLL、ACLUI.DLL.UI。

病毒技術細節與惡意行為:
PLUGX 病毒家族在受感染系統中,不須經由使用者授權即可接受駭客命令進行惡意行為或竊取資料,例如:

  • 複製、新增、修改、開啟檔案;
  • 竊取使用者帳號密碼;
  • 重新啟動作業系統並以不同帳號登入;
  • 新增、修改、刪除機碼值;
  • 截取螢幕畫面或影片以蒐集使用者行為資料;
  • 連線至外部網站;
  • 終止作業程序。

PLUGX 並可讓駭客取得系統最高權限。

播放軟體 KMPlayer更新機制異常,原來是後門程式在搞鬼 繼續閱讀

< APT目標攻擊 >冒用健保局名義,攻擊中小企業案,使用惡名昭彰的Gh0st遠端存取木馬

趨勢科技 TrendMicro

作者:Maharlito Aquino(威脅研究員)

逮捕勒索軟體集團的首腦之一,到成功打下Rove Digital(請參考:趨勢科技協助 FBI 破獲史上最大殭屍網路始末),我們可以時常地看到執法單位和安全廠商間的合作行動,並且有著豐碩的成果。這一次,台灣刑事單位和趨勢科技合作偵破駭客假冒健保局,盜取萬筆中小企業個資案件,解決利用知名的Ghost遠端存取木馬家族所進行的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。執法單位也逮捕了一名對象。

趨勢科技 協助偵破駭客假冒健保局,盜取萬筆中小企業個資案件,獲得國外媒體報導

 

BKDR_GHOST(又名Gh0st遠端存取木馬或TROJ_GHOST),是有名的遠端存取木馬(RAT),常常被用在目標攻擊,也被資安威脅份子和網路犯罪分子廣泛的使用。

 

在這起目標攻擊內,攻擊者透過特製的魚叉式網路釣魚(Phishing)電子郵件將BKDR_GHOST派送給不知情的目標。上述郵件包含一個會去自動下載該惡意軟體的連結。而且它會偽裝成健保局的來信,好產生足夠的說服力來吸引目標點入並執行這惡意軟體。

 

為了避免被偵測,攻擊者將這些電子郵件設計成為包含一個連結,將使用者導到一特定網站,並自動下載看起來是官方檔案的RAR壓縮檔。此外,為了進一步讓使用者願意去打開壓縮檔內的檔案,攻擊者利用了一個舊卻有效的文件命名詭計,將多個空格加到文件副檔名(在這案例內是DOC)和可執行副檔名(在這案例內是EXE)之間。這方法還是很有效,多個空格會將真正的副檔名隱藏起來,因為壓縮檔視窗並不大。趨勢科技的威脅解決方案可以利用ATSE 9.740.1046來將利用這種伎倆的惡意軟體偵測為HEUR_NAMETRICK.A。

 

BKDR_GH0ST感染鏈

 

一旦使用者打開偽裝的惡意軟體,它實際上是個可執行壓縮檔,就會產生下列的檔案並執行:

 

  • %WINDIR%\addins\ACORPORATION.VBS(偵測為VBS_GHOST)– 執行Gh0st遠端存取木馬安裝腳本(AMICROSOFT.VBS)
  • %WINDIR%addins\AMICROSOFT.VBS(偵測為VBS_GHOST) – 解壓縮有密碼保護的Gh0st遠端存取木馬壓縮檔(f2o.zip)
  • %WINDIR%\addins\Atask.bat(偵測為BAT_GHOST) – 搜尋以下檔案並用解開的Gh0st遠端存取木馬組件來加以覆蓋:
    • AdobeARM.exe
    • jusched.exe
    • Reader_sl.exe
    • %WINDIR%\addins\f2o.zip – 包含兩個BKDR_GHOST變種,執行類似的惡意行為:
      • put.exe(偵測為BKDR_GHOST)
      • cd.exe(偵測為BKDR_GHOST)

 

一個較不被注意的行為是BKDR_GHOST會將最終檔案儲存在有密碼保護的壓縮檔(f2o.zip)內,它的密碼可以在安裝腳本AMICROSOFT.VBS內找到。一旦執行這些BKDR_GHOST惡意檔案,攻擊者就對這些受感染電腦有完全的控制能力,可以執行他們惡意的計畫,存取整個系統,並擷取珍貴的資料,像是個人檔案。

 

 

圖一:這次目標攻擊的流程

繼續閱讀