分類: 重大資安事件

新病毒警訊通知 – Flame火焰病毒

趨勢科技 TrendMicro

新病毒警訊通知火焰病毒

發布日期:2012/05/31(四)

趨勢科技於05/30發佈新病毒警訊通知:火焰病毒「Flame」。

趨勢科技SPN日前偵測到的Flame病毒名稱為TROJ_FLAMER.CFG與WORM_FLAMER.A。Flame病毒會盜取受害電腦上機密資訊或有高度價值的資訊,最早出現時間可追朔至2010年,和同年的Stuxnet系出同門,鎖定目標主要為伊朗及中東地區其他國家。。

Flame主要藉由行動儲存裝置散播,但也能自動感染同一個區域網路內的電腦。

Flame是組織駭客所設計的高度精密病毒,主要有下列行為:

  • 移除防毒軟體以癱瘓防毒能力
  • 在受感染電腦上自動幫螢幕截圖,以擷取重要資訊
  • 使用電腦的麥克風執行秘密錄音
  • 操作資料庫竊取資料
  • 記錄並回報其活動
  • 修改機碼使其在系統開機時能夠自動啟動

如需更詳細的技術細節,請參考病毒報告:
https://about-threats.trendmicro.com/Malware.aspx?language=us&name=TROJ_FLAMER.CFG
https://about-threats.trendmicro.com/Malware.aspx?language=us&name=WORM_FLAMER.A

免費下防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012即刻免費下載

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

趨勢科技 TrendMicro

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

作者:趨勢科技資深分析師Rik Ferguson

 

 經過允許使用bixentro的Flickr相片

 

提交給法院長達162頁的文件裡,微軟和金融服務與資訊服務分析中心(FS-ISAC) – 一個代表4400個金融機構的經貿團體,還有NACHA – 電子付款協會一起控告了ZeuS、SpyEye和Ice IX殭屍網路/傀儡網路 Botnet背後的犯罪份子。

 

ZeuS、Ice-IX和SpyEye程式在網路犯罪史上有著漫長而惡名昭著的一席之地,ZeuS從2006年開始出現(2007年被告到法院),它要為數百個殭屍網路/傀儡網路 Botnet以及從消費者和企業的銀行帳戶中被竊取的數百萬英鎊負責。SpyEye原本是ZeuS的競爭對手,甚至當它發現目標電腦上有ZeuS存在,還會去移除它。但最近這兩個程式碼已經被合併成一個單一犯罪軟體了。

  繼續閱讀

從 Koobface 看殭屍網路的百變戲法

趨勢科技 TrendMicro

俗話說得好,戲法人人會變,各有巧妙不同。在做資安事件調查時,也會用上許多不同的方式來進行,加上各種的專業知識。特別是在調查使用多個組件的惡意軟體加上難搞C&C網路的攻擊事件時。

 但即使分析方法會改變,可能透過反向工程或是殭屍網路/傀儡網路 Botnet分析,但最重要的還是要了解威脅本身。

 趨勢科技在監控KOOBFACE活動和技術分析上交出很棒的成績單。讓我們對這殭屍網路有密切的了解,也使我們可以快速反應,並且用適當的解決方案來保護我們的客戶。

 Koobface的高峰期

 在高峰期時,KOOBFACE最為人所知的就是(在當時)會透過急速成長的社群網路Facebook來傳播。但是當然,還不止於此。

 在2008到2009年間,Facebook剛剛成為社群網路的主導者,也正開始和其他同類型的社群網站拉開距離(像是MySpace、Twitter、Friendster和myyearbook等等)。

 我們Koobface的第一份研究報告提供了詳細的說明,KOOBFACE並不只是在Facebook上散播,在這段期間還會利用其他流行的社群網站。趨勢科技的報告還指出,一旦系統被KOOBFACE惡意軟體所感染,會被安裝另外的惡意軟體到系統內,然後利用受駭使用者的網路流量來賺錢,或是將這受駭電腦變成Koobface殭屍網路/傀儡網路 Botnet的一部分。

KOOBFACE並不只是在Facebook上散播,在這段期間還會利用其他流行的社群網站

 Koobface和它的CC網路

 趨勢科技的新發現讓我們發表了第二份研究報告,更深入的探討C&C網路和通訊過程。在這裡,我們發現了 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息,到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令。

KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息,到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令

  繼續閱讀

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

趨勢科技 TrendMicro 60 筆留言

趨勢科技最近看到有惡意軟體會從中毒使用者的電腦裡收集微軟WordExcel文件檔,然後上傳到網路硬碟sendspace.comSendspace是一個網路分享空間,提供了檔案代管功能,讓使用者可以「發送、接收、追蹤和分享你的大檔案。」

Sendspace最近曾被用來存放偷來的資料,但並不是透過惡意軟體自動完成。根據去年底的報告,駭客利用Sendspace來處理跟上傳偷來的資料。 

但這是第一次,趨勢科技看到有惡意軟體會將竊取的資料上傳到檔案代管與傳送網站。 

這次的惡意軟體攻擊是從一個被偵測為TROJ_DOFOIL.GE的檔案 – Fedex_Invoice.exe開始。

 為了要讓使用者受到感染,一個用社交工程陷阱偽裝成聯邦快遞貨運通知的電子郵件大量寄給目標的受害者。

 《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

 一旦執行了這個檔案,TROJ_DOFOIL.GE會下載並執行TSPY_SPCESEND.A。這個下載器同時也會在感染的電腦上安裝其他惡意程式,包括了從BestAV結盟網路來的假防毒軟體變種,和從Yamba網路來的FakeHDD變種。

 另外,這一個木馬下載器還跟TSPY_SPCESEND.A共用相同的C&C伺服器。這也強烈地顯示出,做出文件竊取sendspace木馬的犯罪份子,同時也涉及了按成交計費(Pay-Per-Sell,PPS)的地下經濟。

 TSPY_SPCESEND.A是一個「拿了就走(grab and go)」木馬程式,它會在中毒電腦的本機硬碟裡搜尋微軟Word Excel 文件檔。收集到的檔案會被壓縮起來存放到使用者的暫存資料夾裡,並且利用隨機產生的密碼加密。下圖是一個文件收集壓縮檔的範例:

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

產生壓縮檔之後,TSPY_SPCESEND.A會將它送到Sendspace.com

 

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

繼續閱讀

KOOBFACE靠網路廣告賺黑心錢的秘密:使用流量導向系統

趨勢科技 TrendMicro

KOOBFACE 殭屍網路/傀儡網路 Botnet會用安裝次數付費(Pay-Per-Install,PPI)和點擊次數付費(Pay-Per-Click,PPC)的商業模式來賺錢。僅僅在2009年,KOOBFACE這幫人就賺了約兩百萬美金。

 但這顯然還不夠,因為這網路黑幫剛剛升級了他們的殭屍網路/傀儡網路 Botnet網路架構,使用先進的流量導向系統(Traffic Direction System,TDS)來處理導向下游網站的流量。他們還推出新元件來增加導向他們TDS的網路流量,這也意味著會讓他們賺進更多的錢。

 KOOBFACE黑幫的TDS會將流量導往能賺仲介費的廣告網站或是其他幾個下游網站。要注意的是,這些付了仲介費的像是廣告網站或下游網站還是會透過增加的網路流量來賺回更多的錢。想更清楚地了解新TDS如何讓這集團賺更多,請看看下圖還有所列出的步驟:

 

  •   新增跟註冊Yahoo電子郵件地址:由於KOOBFACE殭屍網路/傀儡網路 Botnet不能再自動新增Google帳號為他們所用,他們就換成自動新增Yahoo電子郵件帳號。這讓他們可以建立他們所需要的Google帳號。
  •  建立社群網路帳號:KOOBFACE殭屍網路/傀儡網路 Botnet新增的電子郵件地址被用來登入社群網路,像是TwitterTumblr、FriendFeed、FC2、Livedoor、So-net和Blogger。有些也被新增到altervista.org。這些殭屍網路/傀儡網路 Botnet路所建立的部落格帳號網址內會包含像「news」或「2011」的字眼。
  • 部落格收集色情等圖檔KOOBFACE新推出的新元件會收集色情圖片;名人、婚禮、紋身和汽車照片;還有從Google圖片搜尋來的桌布圖檔。這些都會被用在網路黑幫新貼的部落格文章內。
      繼續閱讀