在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?自從執法單位在2013年將Slik Road地下市場關閉之後,深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失,這是駭客可以交流、分享惡意程式碼和攻擊手法的地方,並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊,深網(Deep Web)內含藏著驚人的資料量 – 7,500TB,與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動,網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析,發現了576,000筆不重復網址,收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂,但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料,讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始:什麼是深網(Deep Web)

在我們要進一步探討網路的這一塊可以教給我們什麼前,先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web),它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場,裡面充斥著洗錢和非法毒品。因為這些活動,Ulbricht被控販毒和電腦駭客等犯罪行為,被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注,許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下:探索深網(Deep Web)”所指出,深網(Deep Web)或有時也被稱為暗網(Dark Web),一開始的建立目的是提供使用者免於審查,可以自由發言的安全空間,它最終成為網路犯罪的避難所。

DARK web, deep web

“深網(Deep Web)擁有超過20萬個網站,5,500億筆文件。”

 

槍支僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼? Continue reading “在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?”

MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)

趨勢科技發現了一個新的 銷售櫃台系統 (PoS) 惡意程式品種:MajikPOS (趨勢科技命名為:TSPY_MAJIKPOS.A),和許多其他 PoS 惡意程式一樣是專為竊取資訊而設計,但其模組化的執行方式卻相當獨特。我們估計 MajikPOS 的第一個感染案例應該出現在 2017 年 1 月 28 日左右。

雖然其他的 PoS 惡意程式,如:FastPOS (新版)、Gorynych 及  ModPOS  也採用了元件化的設計來分擔各種不同功能 (如鍵盤側錄),但 MajikPOS 的模組化方式稍有不同。MajikPOS 只需再從伺服器下載另一個元件就有能力擷取系統記憶體 (RAM) 內的資料。

MajikPOS 是根據歹徒所使用的幕後操縱 (C&C) 面板而命名,該面板是用來發送指令並傳送竊取到的資料。MajikPOS 幕後的駭客在攻擊時結合了 PoS 惡意程式和遠端遙控木馬程式 (RAT),可造成嚴重的傷害。從 MajikPOS 可看出歹徒的手法越來越複雜,讓傳統的防禦顯得毫無招架之力。

入侵點與攻擊過程

趨勢科技Smart Protection Network™ 所得到的資料可以判斷出歹徒使用什麼方法從遠端存取受害者的端點,那就是:Virtual Network Computing (VNC) 和 Remote Desktop Protocol (RDP) 兩種遠端支援工具,不過歹徒還必須猜出受害者的遠端帳號密碼,然後再搭配先前安裝在系統上的 RAT 工具。 Continue reading “MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)”

法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」

有別於多數,法國地下市集的服務對象比較偏向小型隨身武器的買家、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

不信任感讓法國地下市場瀰漫著猜忌

圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。
圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。

現在我們知道法國網路犯罪集團絕大多數都在深層網路 (Deep Web) 活動,尤其是在所謂的「黑暗網路」(Dark Web)。不過每隔一陣子,網路犯罪集團就會浮上表層網路 (Surface Web) 刷一下存在感。例如,目前已經消失的網路犯罪市集「當駭客們互駭 – 在法國地下世界上演的戲碼」前一陣子就在 YouTube 上刊登廣告。而巴西北美的地下市集則是利用社群媒體平台來宣傳自己的非法業務。那麼法國有何獨特之處?

若要說法國地下市集有何獨特之處,那就是瀰漫著一股極端謹慎的氛圍。所有論壇/市集的經營者都對新進成員保持戒心。任何有興趣進入論壇/市集的人,都必須先繳交一筆蠻大的會費,甚至要接受一番調查。新進成員獲得的待遇有別於已獲同儕信任的成員。論壇的系統管理員只允許取得一定聲望值的人積極參與活動。會員所從事的網路犯罪交易越成功,其聲望值就越高。

這種瀰漫在市集間的不信任感,也助長了成員之間的猜忌。因此,第三方代管 (Escrow) 服務是確保交易順利進行的必要機制,如同俄羅斯和德國的市集一樣。挺諷刺的是,每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。
圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

Continue reading “法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」”

” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?

檢視資安指南:勒索病毒服務 (Ransomware as a Service)

根據趨勢科技威脅回應工程師 Pacag 指出,幾個星期前,有個叫做「Stampado」的最新勒索病毒 Ransomware (勒索軟體/綁架病毒)在深層網路 (Deep Web) 上只要 39 美元的價格便提供「終身授權」。這正是「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 的運作方式,現在,網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件,就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

勒索病毒在近幾個月來不斷登上媒體版面,因為這類病毒的效果真的是太強。一般來說,使用者可能經由下列管道感染勒索病毒:瀏覽網路、開啟垃圾郵件、或是單純只是仍在使用舊版軟體。

勒索病毒一旦在受害者的系統上執行,就會開始加密電腦或伺服器上的檔案,接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣),使用者若想救回被加密的檔案,就必須支付贖金。2015 年的 CryptoWall 只不過是數百個勒索病毒品種之一,但卻從受害者身上海撈了 3.25 億美元,而這些很可能都是淨賺的,因為這類網路犯罪攻擊行動的門檻極低。

一般的勒索病毒行動 (左) 和 RaaS (右) 的差異

這對企業的意義為何?一切端看企業需要保護的是什麼資料。雖然勒索病毒很難知道某個檔案對受害者的重要性,但藉由大量的加密:整個資料夾、整個磁碟、整台伺服器等等,網路犯罪分子就有足夠的籌碼可以向大批的受害者勒索任何贖金,而且就算只有少數受害者願意付錢,他們的獲利也相當可觀。 Continue reading “” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?”

這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

以神奇寶貝月精靈為名的 Umbreon Rootkit , 攻擊 x86 和 ARM 處理器的 Linux 系統

趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名),會攻擊 Intel 和 ARM 處理器的 Linux 系統,因此一些內嵌式裝置也可能遭殃。(註:此 Rootkit 還真符合這隻神奇寶貝的特性,因為月精靈喜歡躲在黑漆漆的夜裡,所以與 Rootkit 的特性吻合。)

我們已針對這個 Rootkit 進行了詳細分析,並且將樣本提供給業界來協助資安界攔截此威脅。

編按: Rootkit是一種技術,用途在修改系統核心以便隱藏特定的檔案或是處理程序,甚至是登錄值.也因此常常會被病毒拿來利用作為躲避追查的手法之一

Umbreon 的發展始於 2015 年初,但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法,Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。

Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後,駭客即可經由該程式來遙控受害裝置。

何謂 Ring 3 Rootkit?

Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外,它也可用來開啟一道後門,或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。

這類程式有幾種執行模式,分別具備不同的存取權限:

  • 使用者模式 (Ring 3)
  • 核心模式 (Ring 0)
  • 虛擬化監管程式 (Hypervisor) 模式 (Ring -1)
  • 系統管理模式 (SMM) (Ring -2)

此外,一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit,這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理,但這並不表示 Ring 3 的 Rootkit 就很容易清除。

Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件,但卻會攔截 (hook) 系統的核心函式庫,這些函式庫是一般程式呼叫系統重要功能的介面,例如:讀/寫檔案、產生執行程序、傳送網路封包。因此,就算是在使用者模式下執行,這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。

在 Linux 系統上,當某個程式呼叫 printf() 這個函式時,該函式會再呼叫同一函式庫內一連串的其他函式,如:_IO_printf() vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組),反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式,不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。

跨平台功能

Umbreon 可在三個不同平台上執行:x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高,因為它並未用到任何綁定平台的程式碼:這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外,純粹是以 C 語言撰寫。

趨勢科技判斷作者應該是刻意這麼做,好讓 Umbreon輕鬆支援前述三種平台。

後門認證機制

Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取,只需透過一個外掛的認證模組 (PAM) 即可。

該使用者帳號的群組識別碼 GID (group ID) 很特別,因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式,因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面:

圖 1:SSH 登入畫面。 Continue reading “這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!”

地下市場最搶手的個資:Netflix和Uber使用者帳號

根據報導,線上影音平台 Netflix(網飛)和透過手機 APP,提供載客車輛租賃的Ube r(優步)帳號是目前

深層網路(Deep Web)和地下市場最熱門的個人身份資料(PII),甚至比被竊信用卡帳號還搶手。這不難看出:只要1美元,有興趣的人就可以取得被竊信用卡帳號。而這兩種黑市最新商品,被竊 Netflix帳號值5美元,被駭Uber帳號可以賣到4美元。

隱私 個資外洩 FB

Netflix和Uber帳號在地下市場竟比信用卡帳號受歡迎

Netflix和Uber帳號變得比信用卡帳號更加受歡迎,甚至可能更有利可圖或許是供需法則所造成。在一方面,地下市場過剩的被竊信用卡帳號,加上銀行和金融機構落實安全措施以防止信用卡詐騙而使得需求下降。而另一方面,Netflix和 Uber 等服務的使用者數量在不斷增加,Netflix公司擁有7,500萬名會員,而 Uber在2014年12月時,光在舊金山就有約7萬名活躍用戶,而在深層網路(Deep Web)和各地下市場中也比較少人針對它們。因此,對這些需求的增加也推動了其價格上漲。

網路犯罪確實是一門生意。就跟任何一家公司一樣,網路犯罪活動會著眼在目前有哪些需求。雖然跟正當企業不同,他們不會想辦法提供自己所獨有的東西。相反地,他們利用那些正當產品/服務的創造者賺錢,透過提供更加便宜(駭來的)商品。

在2015年,我們了解到每個地下市場都有自己獨特的商品(參考全球網路犯罪地圖)。趨勢科技也將對網路犯罪市場的發現總結在「網路犯罪和深層網路(Deep Web)」中。了解更多網路犯罪,請參考深層網路(Deep Web)資訊站

 

 

@原文出處:Netflix and Uber Users: Cybercriminals’ Latest Favored Hacking Targets?