進行合法的大規模虛擬貨幣採礦往往要投資專用硬體及大量電力才能獲利。但這並沒有讓網路犯罪分子放棄:去年的惡意虛擬貨幣挖礦活動相當猖獗,是連接家用路由器的設備被偵測最多的網路事件。
通過我們對事件回應相關的監測,發現了可以關聯到之前使用JenkinsMiner惡意軟體來進行虛擬貨幣挖礦活動的入侵行為。不同的是:這波攻擊針對的是Linux伺服器。同時它也是重複使用漏洞的經典例子,因為它所攻擊的是相當舊的漏洞,修補程式已經推出近五年了。
根據趨勢科技Smart Protection Network的資料顯示出這是波相當積極的攻擊,主要針對的是日本、台灣、中國、美國和印度。
圖1、從虛擬貨幣挖礦活動所看到的網路入侵次數
(2017年12月到2018年3月中)
圖2、惡意虛擬貨幣挖礦活動的國家分佈 台灣列全球第二
報導指出一款名為「RottenSys」的惡意程式,透過植入廣告誘騙用戶點擊、牟取暴利,估計近 500萬台手機在上市前就被暗藏惡意軟體,包括華為、小米、OPPO 等中國廠牌手機都遭殃。本文深入解析RottenSys 。
安全研究人員發現一款被稱為 RottenSys 的廣告軟體(趨勢科技將其偵測為ANDROIDOS_ROTTENSYS),據報自2016年以來影響了近500萬台的Android設備。RottenSys是根據所分析的樣本命名,目前有316種變種,每種都根據攻擊活動,所針對廣告平台及散播管道來客製化。進一步對RottenSys進行研究後發現幕後操作者正在嘗試新一波的攻擊,會將受影響設備變成殭屍網路。
[TrendLabs研究:2017年的行動威脅環境]
RottenSys會偽裝成無線網路安全應用程式/服務並要求Android上的權限。在安裝之後,它會經過一段時間再去連接命令與控制(C&C)伺服器 – 這是RottenSys躲避偵測的手法之一。另一個作法是廣告軟體只包含一個不會執行惡意行為的植入程式(dropper)組件。以下是RottenSys的運作方式:
[來自TrendLabs安全情報:GhostTeam廣告軟體竊取Facebook帳密]
MarsDaemon會影響手機效能並且會顯著地消耗電力。但除了造成對手機的耗損之外,研究人員發現RottenSys的幕後操作者在10天內就可以已經賺得了超過115,000美元。 繼續閱讀
VPN (Virtual Private Network) 是指「虛擬私人網路」或「虛擬專用網路」,用來保護網際網路連線,你可以將 VPN 想像成一個架設在公共網路之上的虛擬加密資料通道-它會建立從電腦到網路的安全通訊”通道”。VPN 會加密你的連線並防止其他人窺伺你在傳輸的資料。如此一來可以確保你的資料不受各種間諜活動侵害 – 這包括在家使用有線網路時,不過更重要的是在出外使用公共無線網路的時候(如咖啡店、餐廳、機場和飯店等地)。它能夠確保沒有人可以竊取你的個人詳細資料、密碼或信用卡資訊。
連線過程當中,你的電腦會和遠端伺服器交換信任的金鑰。若你是企業員工,那麼 VPN 可讓你從遠端存取你公司的資料中心或網路資源,就好比連上公司的區域網路 (LAN) 一樣。
網際網路確實是個美好的發明,但眾所周知,網路上也可能隨處暗藏著風險。我們必須小心防範,避免遇到惡意程式或身分遭人盜用,也要避免被人追蹤以防廣告業者竊取我們的隱私資訊,同時還要確保兒童上網安全。因此,所謂的「虛擬私人網路」或「虛擬專用網路」(VPN) 正是避免上述問題的其中一種不錯方法。
若你希望在使用免費公共 Wi-Fi 時能獲得安全保障,VPN 是個值得信賴的選項。今日,市場上有許多相對便宜又信譽優良的 VPN 服務可供選擇,有些免費,但有些則須付費。但很重要的一點是,你應該尋找一套功能齊全、完整的 VPN,包括:支援的通訊協定、伺服器位置、行動應用程式,以及惡意程式防護與間諜程式防護等功能。
VPN 可提供相當程度的私密性與安全性,但是不同的 VPN 產品在功能上卻可能天差地遠。
例如,iOS 版趨勢科技行動安全防護當中「內容即時防護」(Content Shield) 功能隨附的本地端 VPN,主要是用來防範網站威脅和網站內容過濾。
以下是有關 VPN 的一些基本觀念。
🔻VPN 提供了安全加密的連線通道,歹徒無法竊聽你與網路銀行或其他敏感網站的連線
🔻哪些是 VPN「做不到」的事?
🔻VPN 與瀏覽器所提供的私密瀏覽或無痕模式相同嗎?
🔻ISP 和 VPN 業者可追查到些什麼?
🔻本地端 VPN 與雲端 VPN 的差異
絕大多數的 VPN 都提供匿名、安全的上網瀏覽。其作法是在你的電腦或行動裝置與 VPN 供應商的伺服器 (另一台電腦) 之間建立安全的連線通道。事實上,你是經由這台第三方電腦連上網際網路。換句話說,你所瀏覽的網站無法追蹤到你的 IP 位址,因為它們看到的是 VPN 伺服器的位址。
這對確保隱私方面是一大福音。但安全性呢?其實 VPN 原本就提供了安全加密的連線通道。因此,歹徒無法竊聽你與網路銀行或其他敏感網站的連線。這類攻擊尤其容易發生在公共的 Wi-Fi 熱點,駭客經常躲在這類場所等待不知情的 Wi-Fi 使用者登入自己的 Gmail 或網路銀行帳號。這就如同躲在你的背後偷看你輸入密碼一樣,你的帳號很可能因此被盜用。
有了 VPN,這所有的資訊都會受到加密通道的保護。某些 VPN 甚至宣稱還能防止你意外下載到惡意程式,例如:垃圾郵件附檔或手機應用程式。還有一些所謂的本地端 VPN (例如趨勢科技 iOS 版趨勢科技行動安全防護「內容即時防護」功能內建的 VPN) 則可以避免你連上網路釣魚網站或其他惡意網站。
你必須記住,並非所有 VPN 產品都一樣,因此很重要的一點就是先做點功課來仔細挑選,因為不同產品所提供的服務內容和品質可能差異很大,功能也不盡相同。例如,各家產品所支援的作業系統和手機平台、每一訂閱可提供的同時連線數量,甚至有些還提支援智慧型裝置。
突發事件會引發特定的網頁竄改(Web Defacement)攻擊;查理週刊總部槍擊案和對敘利亞阿勒坡的攻擊都引發一連串的網頁竄改活動。近 20年來網頁竄改的手法有何演進?
網頁竄改(Web Defacement)長久以來被攻擊者利用來駭入網站並進行破壞。這些攻擊者(被稱為Web Defacer)通常會將原本的網頁置換成自己的內容,大膽地去表達政治或社會訴求。這並不新,而是長期以來都有的現象。趨勢科技分析了近20年來的資料,可以看到進行網頁竄改的手法到目前都還在用。
之前的研究都專注在偵測這些攻擊,並沒有探討其背後的原因或動機。駭客主義者(Hacktivist)佔了其中一部分,他們利用網頁竄改來表達他們的訴求,不過Web Defacer可能有許多不同的動機。我們研究的重點在於會觸發網頁竄改的事件和攻擊者所用的方法。我們檢視來自世界各地多達1,300萬份的相關報告。利用機器學習收集、分析和關聯這些報告,以便更加深入了解網頁竄改的模式。
網頁竄改的原因
我們的研究顯示駭客進行網頁竄改往往是由於政治事件或衝突所造成,許多知名的網頁竄改活動都不是單一事件,而是有不同攻擊者發動和支持。
大部分的攻擊都跟近幾十年來的激烈政治衝突有關。突發事件會引發特定的網頁竄改攻擊;查理週刊總部槍擊案和對敘利亞阿勒坡的攻擊都引發一連串的網頁竄改活動。
在某些案例中,網頁竄改攻擊起因於邊界衝突或政治立場的對立。南海周邊的幾個國家現在正捲入領土爭議,Defacer也在網路上攻擊對方。被稱為“#OpIndia”的活動涉及印度與其鄰國孟加拉和巴基斯坦間的邊界糾紛,而“#OpIsrael”則是以色列和巴勒斯坦間爭議的現代表現方式,這爭議可追溯至四十年代。
網頁竄改的團體及其策略
進行網頁竄改的團體有很多種。通常都是本地駭客為了共同議題而進行,但有時候活動也可能變得國際化。這些團體利用社群媒體來相互溝通,取得支援、組織活動。他們也互相分享工具。有時候,他們會在進行網頁竄改時使用特定範本,這些都會傳送給支持者。
而且還不止於此。Defacer之間會分享駭客工具和教學影片,甚至是漏洞攻擊碼。他們的犯罪行為會趨於越來越升級。
Web Defacer的演進
目前多數的攻擊團體並不會從網頁竄改中獲利。不過隨著這些攻擊者不斷成功地攻擊網站,對任何駭客來說下一個階段都是為了可以從活動中獲利。這對獲得受駭網站存取能力的他們來說是很容易的。比方說他們可以被置換的網頁中進行惡意的重新導向或放置漏洞攻擊碼,以便在訪客電腦上安裝勒索病毒 Ransomware (勒索軟體/綁架病毒)。
進行網頁竄改的駭客很可能轉進到更為激烈,被利益驅動的活動。
請到這裡參考趨勢科技在這方面的研究。
@原文出處:Understanding Motivations and Methods of Web Defacement
趨勢科技2017年度資安總評報告 以獲利為主的駭客攻擊稱王
籲防範新型態網路犯罪 留意歐盟通用資料保護法(GDPR)詐騙
【2018年3月8日台北訊】全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天發表2017年資安總評報告「2017 年資安總評:弔詭的網路威脅」,指出2017年勒索病毒、加密虛擬貨幣挖礦程式,以及變臉詐騙(BEC)數量持續攀升,成為網路犯罪集團的主要攻擊手法。其中勒索病毒造成全球企業損失金額較2016年狂增4倍達50 億美元,而台灣受勒索病毒的攻擊全球排名更上升兩名,在2017年遭攻擊千萬次以上[1]。此外,全球變臉詐騙(BEC)損失也較2016年累積金額多出23億美元,顯見網路犯罪集團已不斷精進其針對性攻擊手法,創造更高獲利。趨勢科技警告這股趨勢將延續至2018年,且伴隨歐盟新的資料保護法即將在5月上路,需要遵守這項法規的企業恐將成為不法人士進行數位詐騙的目標。
趨勢科技在先前的2018年資安預測即指出,網路犯罪集團已開始逐漸拋棄使用漏洞攻擊套件亂槍打鳥的手法,轉而採用更有策略的針對性攻擊來提升投資報酬率。此份最新報告也再次提醒,駭客很可能開始鎖定一些需要遵守最新歐盟通用資料保護法(GDPR)的企業,先根據網路公開資訊計算出目標企業在發生資料外洩時可能面對的最高罰鍰,再入侵該企業並要求一筆低於該罰鍰的贖金,迫使目標企業只能乖乖付錢。
對此,趨勢科技全球威脅通訊總監Jon Clay表示:「2017年資安總評報告所揭露的威脅情勢就如同過去一樣詭譎多變,網路犯罪集團不斷開發提高其獲利的方法,不論是財物、資料或商譽,歹徒總是策略性地鎖定企業最有價值的資產發動攻擊。面對多樣化的威脅,企業需要一套跨世代的解決方案加上最新防禦技巧,才能協助企業有效降低風險。」 繼續閱讀