新 MacOS 後門程式,假冒民主獨立組織發活動邀請函

新 MacOS 後門程式,假冒民主獨立組織發活動邀請函趨勢科技發現了一個新的 MacOS 後門程式 (趨勢科技命名為:OSX_OCEANLOTUS.D) 應該是 OceanLotus(海蓮花) 駭客集團 (又名:APT 32、APT-C-00、SeaLotus 及 Cobalt Kitty) 曾經用過的某惡意程式最新版本。OceanLotus 據報曾攻擊人權組織、媒體機構、研究機關以及造船廠。OSX_OCEANLOTUS.D 專門攻擊裝有 Perl 程式設計語言的 MacOS 電腦。

此 MacOS 後門程式暗藏在一個惡意 Word 文件內,該文件應該是經由電子郵件散布,其檔名為「2018-PHIẾU  GHI  DANH  THAM  DỰ  TĨNH  HỘI HMDC 2018.doc」(越南文,大意為「2018 年 HMDC 大會報名表」)。這份文件似乎是假冒越南某提倡民主獨立的民間組織 HDMC 所舉辦活動的報名表。專門攻擊 Mac 電腦的惡意程式不如 PC 上那麼普遍,但這個最新 MacOS 後門程式提醒我們,不論是何種作業系統,都應培養對抗網路釣魚的良好習慣

新 MacOS 後門程式,假冒民主獨立組織發活動邀請函

圖 1:惡意文件所使用的圖片。

使用者在收到這份惡意文件時,會被提醒要啟用巨集才能開啟檔案。根據趨勢科技的分析,惡意文件的巨集已經過逐字加密編碼,使用的是十進位 ASCII 碼,如下圖所示: Continue reading “新 MacOS 後門程式,假冒民主獨立組織發活動邀請函”

如果駭客利用機器學習….網路釣魚攻擊得逞機率提高30%,繞過reCAPTCHA機率達98%

駭客在入侵組織前通常會先盡可能地收集目標相關資訊。其中包括公司相關人士的詳細資訊以作為之後的釣魚攻擊所需。隨著機器學習(Machine Learning)出現,駭客不必再手動進行這些研究工作,而是可以自動化並加速整個過程。

這樣子利用機器學習也代表利用公司高階主管甚至更低層員工個人資料來進行的針對性攻擊會飆升。此類網路釣魚攻擊方式可能將成功機會提高多達30%

許多網站和系統利用驗證碼(CAPTCHA)機制來區分真人與機器人。不過在機器學習時代,這些以往有效的作法也受到了影響。

這並非駭客第一次利用機器學習來破解驗證碼(CAPTCHA)機制 – 在2012年,研究人員證明可以利用機器學習繞過reCAPTCHA系統,成功率達到82%。而最近在2017年,研究人員利用機器學習繞過Google reCAPTCHA保護機制的成功率達到98%

如果駭客利用機器學習....網路釣魚攻擊得逞機率提高30%,繞過reCAPTCHA機率達98%

 

駭客如何利用機器學習(Machine Learning)?

精細的網路犯罪一直在尋找下一個大規模的攻擊手法,並且不會吝於嘗試新方法來攻破目標並入侵企業的IT資產和敏感資料。要阻止這類威脅的最好方法之一是提高人們的安全意識並增加對最新風險及如何防範的了解。

目前駭客的一個新興策略是使用機器學習(Machine Learning)。就跟許多先進創新的技術一樣,機器學習可以對企業有益,卻也能夠幫助惡意活動。

 

機器學習:入門

許多IT和開發團隊及技術機構都正在使用機器學習 ,正如SAS所解釋,機器學習是人工智慧的一個分支,它建立在構建自動化分析模型的基礎上。換句話說,機器學習讓系統能夠根據其持續使用和經驗來增加自己的知識並調整程序和活動。

“機器學習的迭代方面非常重要,因為隨著模型接觸到新資料,需要能夠獨立適應,”SAS表示。“它們從之前的計算中學習以產生可靠、可重複的決策和結果。這並不是一門新學科,但卻獲得了新動力。”

人們也可能在日常生活中碰過某種形式的機器學習演算法 – 如串流媒體服務和網路賣場的線上推薦,還有自動詐騙偵測等代表現實世界裡已經存在的機器學習用例。 Continue reading “如果駭客利用機器學習….網路釣魚攻擊得逞機率提高30%,繞過reCAPTCHA機率達98%”

< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統

 

雙重攻擊:當一起攻擊掩蓋另外一起攻擊

 

< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及

 

有時候雙重出現可能是件好事:像是你最喜歡的球隊連勝兩場比賽,或是販賣機一次掉出兩包零食等都是。不過當提到網路安全,雙重攻擊指的是面對一起威脅的影響時又遭受到另外一起攻擊。

在網路安全方面,許多組織都關注在解決單一弱點或是會遭受攻擊的漏洞,認為這樣就足夠阻止攻擊。雖然有時這是真的,但今日的駭客手法更加複雜,也比過去的網路犯罪份子更加執著。如果一條路走不通,駭客會繼續改變戰略直到能夠成功入侵系統。

 

在最近出現了一種新型態的攻擊,它利用了兩起獨立的惡意軟體攻擊。這做法是用一起攻擊來吸引注意力,好掩蓋另一起惡意軟體的活動,讓它不被注意到 – 提供另一條途徑來進行感染,或是竊取資料及其他知識產權。駭客通常會利用特別明顯的勒索病毒 Ransomware (勒索軟體/綁架病毒)作為第一起攻擊,這是雙重攻擊模式理想的吸引注意力工具。這種做法將會越來越頻繁,持續到2018年。

不過這種攻擊究竟看起來如何?當網路安全面臨這類雙重攻擊時,組織該如何保護自己?讓我們來看看當一個攻擊掩飾另一起攻擊時是什麼樣子:

 

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

最近用一起攻擊掩飾另一起更具破壞性駭客活動的例子用的是Bad Rabbit(壞兔

子)。這勒索病毒在2017年秋天首次出現,跟據Hacker News的報導,它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼,迅速地滲透受害者的網路並進行擴散。

其他最近知名的勒索病毒像NotPetya用的是EternalBlue。Bad Rabbit使用EternalRomance RCE來進行惡意活動。它所攻擊的是微軟Windows 伺服器訊息區塊(SMB)的漏洞,標識為CVE-2017-0145。這個漏洞會影響Windows端點間的資料傳輸,並且讓駭客可以繞過安全協定來進行遠端程式碼執行。

 

當攻擊出現時,研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載(drive-by download),利用假Flash播放程式來安裝惡意軟體。

不過研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒:這病毒還隱藏了一起強大的魚叉式網路釣魚活動

“當Bad Rabbit散播時,一些烏克蘭的機構也同時被網路釣魚攻擊所鎖定”KnowBe4的作者Stu Sjouwerman寫道。“這些攻擊活動的目標是金融資訊和其他敏感資料。”

 

Bad Rabbit(壞兔子)勒索病毒只是煙霧彈,它覬覦的是珍貴的商務機密 

這樣一來,最初的Bad Rabbit勒索病毒只是個煙霧彈,用來掩飾鎖定特定對象的針對性攻擊。

烏克蘭國家網路警察主管Serhiy·Demedyuk稱這為 “混合攻擊”,並指出第一波攻擊吸引了大部分的關注,讓第二次攻擊能夠成功取得“災難性的結果”。

Brown rabbit sitting in the grass.

不要被愚弄:Bad Rabbit一開始出現是利用Windows漏洞,但它實際上掩飾了一起強大的魚叉式網路釣魚攻擊。 Continue reading “< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及”

從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?

幾年前,金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號,在金融時報內部發送網路釣魚郵件,進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時,立刻透過郵件通知所有使用者,並附上一個連結讓使用者更改密碼。問題是,駭客也看到了 IT 人員的這封信,因此又重發了一次該信,但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼,不過最後,駭客覺得金融時報只是個小咖,因此轉而攻擊其他媒體機構。

案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

案例二:內部 Office 365 登入憑證網路釣魚,詐財匯款得逞

案例三:駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇

 從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?

今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚(Phishing)攻擊,也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一,駭客通常先讓使用者裝置感染惡意程式,以便掌控使用者的電子郵件信箱,或取得使用者的帳號密碼。接著,歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊,進而竊取企業資訊或從事勒索。除此之外,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁,因此收件者很容易不疑有詐。

案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

今年稍早遭到起訴的「Eye Pyramid」犯罪集團,多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件,他們會先入侵一位使用者的帳號,然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料,並將資料傳送給駭客,其中也包括電子郵件地址,因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為,但其實只是一位義大利核子工程師和他妹妹而已,兩人單純只是想靠竊取資料發財而已。

Continue reading “從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?”

<企業資安> 放長線釣大魚,鎖定目標攻擊六階段

企業在規劃網路防禦措施時,務必要將全面的威脅現況納入考量,包括持續進行中的威脅以及新興起的資安問題,如此便能建立更為全面的資料防護方針。

雖然近來並沒有躍上太多新聞頭條版面,但針對性攻擊/鎖定目標攻擊(Targeted attack)仍持續對當今的企業造成威脅,負責企業資安的人員務必牢記有這個潛在風險。

<企業資安> 放長線釣大魚,鎖定目標攻擊六階段

鎖定目標攻擊有何特殊之處?

網路威脅犯罪者現在所用的策略,複雜精密程度前所未見。這些駭客並不僅是亂槍打鳥,希望有機會釣上大魚;目標式攻擊是更先進網路犯罪手法的一環。

與其他類型的滲透入侵不同,目標式攻擊是犯罪者鎖定某個特定受害者作為目標,緊追不放,在保持匿名的狀態下入侵目標的基礎架構。這種方式讓駭客可以運用特定的惡意程序組合和順序來侵入目標的底層系統,找出珍貴的資料,並將這類資訊移至駭客控制之下的系統。

根據趨勢科技的研究報告「瞭解目標式攻擊:六大組成」,當出現下列情況時,便在目標式攻擊的範圍內:

  1. 涉及具體確定的目標,行事高調的個人或企業都包含在內。潛藏在威脅攻擊幕後的犯罪者會花費大量的時間、心力和資源,緊咬特定的目標不放。
  2. 滲透基礎架構,以竊取資訊資產和智慧財產。若將資料賣給黑市或用於詐騙,即可讓駭客賺上一筆。
  3. 駭客緊迫盯人持續攻擊目標。趨勢科技發現,發動此類滲透攻擊的網路攻擊者會耗費必要的時間心力來執行資料外洩的階段。

趨勢科技研究人員於報告中寫道:「駭客犯罪集團越來越會特意挑選目標,少量偷竊相當特定的智慧財產、收集交易秘密、挖掘珍貴的客戶資料。為達成目標,攻擊者不但會將心力專注於特定的產業,還會針對特定企業,包括駭客想要欺騙的特定個人,以協助他們入侵目標的網路。」

鎖定目標攻擊的六個階段

除了關係到持續鎖定特定目標的駭客之外,這類攻擊的定義也包含了駭客為確保得手而採用的特定階段流程。目標式攻擊的各個階段如下: Continue reading “< 業資安> 放長線釣大魚,鎖定目標攻擊六階段”

解析專攻擊日本的ChessMaster 網路間諜行動

解析專攻擊日本的ChessMaster 網路間諜行動蒐集情報、社交工程誘餌、攻擊系統漏洞、在企業網路內部橫向移動,駭客有各式各樣的針對性攻擊工具可以利用。而且這些工具就像西洋棋的棋子一樣,各有不同用途。

就以 ChessMaster (西洋棋大師) 攻擊行動為例,這是一個專門以日本學術機關、科技公司、媒體機構、託管式服務供應商以及政府機關為目標的網路間諜行動。它派出的小兵就是挾帶誘餌文件的魚叉式釣魚攻擊(SPEAR PHISHING)郵件。不過,趨勢科技也發現了一些蛛絲馬跡顯示,ChessMaster 跟 APT 10 有所關連 (後者亦稱為 menuPass、POTASSIUM、Stone Panda、Red Apollo 及 CVNX)。

ChessMaster 網路間諜行動的名稱取自其主要後門程式內部資源區段的名稱「ChChes」,趨勢科技將它命名為 「BKDR_CHCHES」。

此攻擊行動獨特之處在於其使用的工具和技巧:

  • 惡意的捷徑 (LNK) 檔案與 PowerShell 工具該捷徑檔會執行「命令提示字元」程式去下載一個 PowerShell 腳本,此腳本會直接在系統上植入或載入 ChChes,第二種方法也就是所謂無檔案式攻擊。
  • 自我解壓縮檔案 (SFX)。此壓縮檔會解出一個執行檔 (EXE)、一個動態連結程式庫 (DLL) 和一個二進位檔 (.BIN)。解開之後,惡意程式碼會被注入到一個正常的執行程序當中 (透過 DLL 挾持技巧)。ChessMaster 將此技巧進一步發揚光大,利用載入時期動態連結技巧來呼叫惡意 DLL 內的函式。
  • 執行時期包裝程式。在整個間諜行動當中,ChChes 使用了三個檔案包裝程式來將自己加密編碼以躲避偵測。第一個不具備加密功能,但含有各種載入程式碼。第二個具備 XOR 加密技巧 (用以反制模擬分析)。第三個在 XOR 之上又增加了 AES 加密。這些程式的組譯日期彼此重疊,可見 ChChes 的作者不斷地在改進並微調其惡意程式。
  • 第二階段惡意程式。歹徒會在系統上植入更多惡意程式,以便能持續躲藏在系統當中。這些其實都是 ChChes 的變種,其程式進入點皆相同,但加密和幕後操縱 (C&C) 通訊卻不盡相同。
  • 駭客工具。ChessMaster 會利用合法的電子郵件以及駭客專為其攻擊行動而修改而來的瀏覽器密碼復原擷取工具。這些工具能在使用者忘記密碼時救回密碼,因此也可讓駭客用來擷取密碼。有了這項資訊之後,就能從事橫向移動與進一步攻擊。
  • TinyX。這是 PlugX 的衍生版本,只不過少了增加新功能的能力。TinyX 是經由魚叉式網路釣魚郵件挾帶並散布。
  • RedLeaves。這是一個第二階段後門程式,其運作方式類似 Trochilus 這個開放原始碼無檔案式遠端遙控木馬程式 (RAT),後者賦予歹徒在已感染系統上進行橫向移動的能力。RedLeaves 的功能衍生自 PlugX。今年四月,一個名為「himawari (向日葵的日文)」的 RedLeaves 變種現身,在當時具備了躲避 YARA 偵測規則的能力。

 

ChessMaster 和 APT 10 其實同屬一個網路間諜行動。
APT 10/menuPass 是一個網路間諜集團,其攻擊行動名為「Operation Cloud Hopper」,專門攻擊鎖定目標的中介機構,也就是代管式服務供應商 (MSP)。其最知名的是非常會善用各種專門竊取資訊的後門程式與漏洞攻擊套件,再配合詭計多端的手法,從各種魚叉式網路釣魚郵件到各種攻擊與感染途徑。此外還會使用合法或開放原始碼的遠端遙控工具來竊取資訊。

這聽起來是否有點熟悉?這是因為 ChessMaster 和 APT 10 似乎同屬一個網路間諜行動。下圖進一步詳細說明兩者的攻擊流程:

解析專攻擊日本的ChessMaster 網路間諜行動
圖 1:ChessMaster 與 APT 10 的攻擊流程。

我們一開始是發現 ChChes 盯上了某個遭到 APT 10/menuPass 長期攻擊的目標。然而,當我們取得並分析了越來越多 ChChes 的樣本之後卻發現,兩者的攻擊模式幾乎如出一轍:專用的檔案包裝程式、相同的攻擊目標、共用的 C&C 基礎架構。

例如,ChChes 的檔案包裝程式與 menuPass 舊版的 PlugX 很像。此外,從 DNS 記錄也可看出,其某些 C&C 伺服器和網域對應到的 IP 位址根本是同一個,或者位於同一個子網路 (subnet) 之內。所以,他們背後到底是否為同一集團?從種種相似性來看的確如此。而這樣情況以前也發生過,例如 BlackTech 網路間諜行動就是一個例子。 Continue reading “解析專攻擊日本的ChessMaster 網路間諜行動”

企業資安: 一次搞懂 BPC、BEC及 Targeted attack

商業流程入侵(BPC)、商務電子郵件入侵(BEC)及目標式攻擊:有什麼差異?

2015 年,在攻擊者取得 SWIFT 金融網路的資金交易代碼之後,一家厄瓜多銀行損失 1,200 萬美元。隔年,另有一起牽涉 SWIFT 的網路洗劫案例,造成孟加拉中央銀行損失 8,100 萬美元。同樣在 2016 年,一家越南銀行成功防止一起類似的攻擊事件,阻止攻擊者移轉 113 萬美元到攻擊者帳戶中。

我們將這一系列新的攻擊分類為商業流程入侵 (BPC),主謀偷偷修改關鍵流程及系統,以進行看似正常卻未經授權的操作。那麼 BPC 是如何運作?BPC 的獨特之處在哪,與商務電子郵件入侵或稱為變臉詐騙 (BEC) 或目標式攻擊有何相似之處?企業又要如何找出 BPC?

企業資安: 一次搞懂 BPC、BEC及 Targeted attack

BEC變臉詐騙的五種類型

BPC 及 BEC 擁有同樣的最終目標 (即經濟利益),但兩者僅有這點相似。

BEC 是極度仰賴社交工程(social engineering )策略的詐欺手段,誘騙受害者移轉資金到詐欺犯名下帳戶。在 BEC 中,攻擊者通常假扮成與金融或電匯付款業務相關的執行長或任何高階主管。根據 FBI 指出,BEC 有下列五種類型:

  1. 偽造發票收據
  2. 執行長詐欺
  3. 帳戶入侵
  4. 偽裝律師
  5. 資料竊取

[請參閱:商務電子郵件入侵(變臉詐騙)是如何運作?]

BPC的三種類型

另一方面,BPC 則是更為複雜的攻擊,其中牽涉修改程序,產生與原先預期的不同結果。這往往能讓攻擊者獲得極高的經濟利益。根據趨勢科技所觀察到的案例,BPC 有下列三種類型:

  • 聲東擊西
  • 冒用身分
  • 五鬼搬運

 

[請參閱:商業流程入侵(BPC)的種類及個別案例]

鎖定目標攻擊及 BPC: 都能無限期留在網路中,而不被偵測到

針對性攻擊/鎖定目標攻擊(Targeted attack )及 BPC 間僅有一線之隔,兩者皆使用相同工具、技術及元件,且能在不受偵測的狀況下,滲透並留存於目標網路當中。兩者都能無限期留在網路中,而不被偵測到。然而,鎖定目標式攻擊的主要目的是滲透到公司中最重要的資產 (商業機密、智慧財產等),以進行商業間諜或破壞行為。另一方面,BPC 的詐欺犯主要是為取得不法利益。BPC 可能也會使用與鎖定目標式攻擊相同的手法,如情報收集、橫向移動,到維護和資料滲透等。

圖 1BPC、BEC 及目標式攻擊之間的差異與相似之處
圖 1BPC、BEC 及鎖定目標式攻擊之間的差異與相似之處

Continue reading “企業資安: 一次搞懂 BPC、BEC及 Targeted attack”

商業流程入侵 (BPC):進階目標式攻擊的下一個步驟

近幾年來,針對性攻擊/鎖定目標攻擊(Targeted attack )  已有長足發展,其會鎖定特定對象並採用越來越進階的技術來發動攻擊。一般來說,這類駭客會鎖定企業內的單一成員、竊取其憑證、登入帳戶,並冒用這個帳戶來尋找敏感資訊。變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)就是駭客將惡意活動推展到新境界的手法之一,其會運用密集研究與量身訂做的訊息來達到入侵目的。

商業流程入侵 (BPC):進階目標式攻擊的下一個步驟

不過,現在又有新的威脅曝光了:商業流程入侵 (BPC)。BPC 聽起來跟 BEC 很像,但卻是完全不同的概念。

BPC 的運作方式

從趨勢科技的這段影片可以看出,BPC 駭客並非鎖定受害組織中的特定成員,而是鎖定企業中的特定流程,這些流程是完成重要日常作業的關鍵環節。一旦侵入系統之後,駭客就會試圖透過活動、漏洞或整個系統進行滲透,並使用這項弱點作為攻擊主力。

這種攻擊模式的目的是要盡量取得組織的流程資訊,包括商業用的所有活動和系統。駭客可以從這裡查出相關流程和平台的漏洞,並進行巧妙的調整或操控。如此一來,從公司的角度來看,系統仍照常運作。但是,網路罪犯卻躲在背後竊取資料、詐取利潤,甚至盜取實際商品。

BPC 有成功過嗎?

Continue reading “商業流程入侵 (BPC):進階目標式攻擊的下一個步驟”

檢視義大利知名駭客事件惡意軟體EyePyramid

義大利當局(與美國聯邦調查局合作)逮捕了兩名義大利駭客,原因是他們竊取國家機密和非法網路入侵,造成數以萬計電子郵件被駭,嫌犯以「魚叉式網路釣魚(Spear Phishing)」夾帶EyePyramid惡意軟體,入侵政府官員、銀行家、律師、企業家等身居國家要位成員的電子郵箱。這惡意軟體得手超過87 GB的不法機敏資料,包括使用者名稱、密碼、瀏覽資訊跟檔案系統內容。

感染鏈: 從律師事務所開始

根據現有資訊和趨勢科技對樣本的初步分析來看,此魚叉式釣魚攻擊的目的是要入侵電子郵件帳號,特別是數家律師事務所的律師和合夥人。駭客誘使目標開啟惡意電子郵件附件檔。一旦打開,這惡意附件檔(也就是上面所提到的惡意軟體),會啟動其惡意行為並將自己用隨機名稱加上.exe副檔名複製到系統上。底下是我們所看到的一些已知名稱(其他版本的惡意軟體可能會加以改變):

檢視義大利知名駭客事件惡意軟體EyePyramid

圖1、所用的檔案名稱

 

初步樣本分析

該惡意軟體最初看起來是用.NET(> = 4.5.x)編寫的程式碼,深入研究則發現其他事情。在標準混淆(可以用現成工具來進行逆向工程),反組譯原始碼的敏感部分被進行混淆,這讓偵測和分析變得更加棘手。例如關於命令和控制伺服器的網址及MailBee的授權碼(據稱用攻擊者的名字購買)等資訊經過重度混淆,如下面的程式碼節錄所示:

檢視義大利知名駭客事件惡意軟體EyePyramid

圖2、混淆過程式碼範例

Continue reading “檢視義大利知名駭客事件惡意軟體EyePyramid”

攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅

攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅

自從在今年九月第一次寫到關於HDDCryptor的發現,趨勢科技就一直緊密追踪此一勒索病毒Ransomware(勒索軟體/綁架病毒)的演變。它在上個禮拜出現了一個新版本。根據分析,這新變種在最近被用來攻擊舊金山市交通局(SFMTA)。系統被入侵後,所有的電子售票機都出現了「停止服務」或是「捷運(地鐵)免費」的訊息。

⊙延伸閱讀: 勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

此次攻擊就跟我們在HDDCryptor的其他版本所看到的一樣,勒索病毒會植入一些工具來加密整個磁碟,同時會加密掛載的網路磁碟。趨勢科技認為此次攻擊並沒有用漏洞攻擊套件和自動安裝工具來入侵感染受害者。而是先透過針對性攻擊/鎖定目標攻擊(Targeted attack )或攻擊漏洞等作法取得對機器的存取能力,接著再手動執行惡意軟體。儘管我們沒有詳細資料去解釋這攻擊如何涵蓋SFMTA內的2000台機器,但很有可能是透過管理權限在所有設備上設定排程任務來達成。

Continue reading “攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅”