資安名詞/什麼是?/ 何謂? - 資安趨勢部落格

網路間諜集團以紐約恐攻事件當誘餌

2017 年 11 月 14 日2017 年 11 月 14 日趨勢科技 TrendMicro

Pawn Storm 攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面，資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件，並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出，駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange，簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值，就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格：REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗，或者執行惡意程式碼，不再仰賴巨集功能。雖然這並非什麼新的技巧，但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯 Necurs 殭屍網路最近也開始使用這項技巧。

[延伸閱讀：網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外，近期也出現了大量的網路間諜及網路宣傳活動。例如，美國外交關係協會 (Council on Foreign Relations，簡稱 CFR) 今年至目前為止就遭遇了 26 次不同的攻擊行動。事實上，光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢，其中包括：

Keyboy：同樣也是利用 DDE 在系統植入資訊竊取程式。
Sowbug：專門攻擊南美和東南亞的外交使節團與外交政策機構。
OceanLotus/APT32：曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
ChessMaster：曾開發出新的工具和技巧來讓其活動更加隱密。
BlackOasis：使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式，專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念：越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言，這些案例都突顯出邊界防禦的重要：從閘道、網路、伺服器到端點裝置，因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施：繼續閱讀

Daserf 間諜集團以「心肺復甦術」、「防災計畫」主旨信件及日文加圖像隱碼術,騙倒日本企業

2017 年 11 月 13 日2017 年 11 月 11 日趨勢科技 TrendMicro

網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構，包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF，亦稱為 Muirim 和 Nioupale)，主要具備四種功能：執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。

不過，根據趨勢科技最近的監控顯示，歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構，其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography)，也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中)，因此更不易被察覺。

如同許多網路間諜行動一樣，REDBALDKNIGHT 集團的攻擊雖然斷斷續續，卻持續很久。事實上，REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構，至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定，這一點從其社交工程（social engineering ）技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件，日文非常流利，而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。

圖 1：REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。

圖 2：REDBALDKNIGHT 所使用的誘餌文件樣本，歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。

以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌

REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊（SPEAR PHISHING）來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌，以便能夠在背後暗中執行惡意程式，他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。繼續閱讀

採礦程式商 Coinhive 遭駭 ! DNS 伺服器帳號因密碼強度不足遭入侵

2017 年 11 月 02 日2017 年 11 月 01 日趨勢科技 TrendMicro

Coinhive 採礦程式公司是一家相當積極的公司，專門為網站開拓另一種收入來源：不必在網頁上夾帶大量廣告，只要在網頁內嵌開採 Monero (門羅幣) 的 JavaScript 程式碼即可。這些程式碼會使用訪客裝置的運算資源來開採門羅幣。Coinhive 會從開採出來的門羅幣中收取一定比例的傭金，其餘則歸網站所有。

10 月 24 日，Coinhive 公司發出聲明表示該公司所使用的 DNS 服務帳號於 10 月 23 日遭到駭客入侵。駭客篡改了 Coinhive 的 DNS 記錄，將所有連上 coinhive.min.js 的流量指向另一台非該公司所有的伺服器。

Coinhive 在聲明中表示：「這台第三方伺服器上使用了一個修改過的 JavaScript 檔案，將網站金鑰寫死在檔案內。這基本上等於讓駭客可以竊取我們用戶開採出來的成果。」

該公司已經針對該事件出面道歉，而該事件據稱是因為密碼強度不足而引起，且此密碼是在 2014 年 Kickstarter群眾募資網站資料外洩事件當中早已外流。這當然並非第一次因為重複使用相同密碼所導致的問題。Coinhive 表示他們公司已實施了雙重認證 (2FA) 且並不重複使用相同密碼，只是該 DNS 的帳號存在已久，因而忘了更新密碼。

聲明中強調，沒有任何帳號資訊遭到外流，且該公司的網站和資料庫伺服器都沒有遭到入侵。該公司已提出用戶補償計畫，每位用戶將可獲得其網站每天 12 小時平均開採金額的補償。

帳號安全小祕訣

此事件再次突顯出網路帳號安全的重要性。使用複雜且非重複的密碼絕對有其必要，而且，企業應該妥善運用服務供應商所提供的所有安全措施。除此之外，我們也在此提供一些額外的小祕訣：

當您手上有多個網路帳號時，請務必主動勤勞更新帳戶的安全措施。因為服務供應商很可能會隨時新增一些可保護您帳號的功能或措施。
針對第三方服務，企業務必實施嚴格的管制政策，尤其是負責處理敏感資料或營運關鍵的系統。企業務必深入了解自己所採用的廠商，並且妥善控管資料的存取權限。

除此之外，採用一套有效而完整的資安解決方案，也能協助您確保網路服務的安全。趨勢科技 PC-cillin 2018 雲端版可協助您管理密碼，防止像這類最常見的網路威脅。

原文出處：Coinhive’s DNS Server Compromised Thanks to Weak Password

PC-cillin 2018雲端版防範勒索保護個資 ☑手機 ☑電腦 ☑平板，跨平台防護３到位

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

深入檢視北韓的網際網路

2017 年 10 月 25 日2017 年 10 月 23 日趨勢科技 TrendMicro

北韓常被認為是單向的網際網路：駭客對外攻擊，沒有東西可以進去。各種事件如2014年的 Sony影業被駭以及一連串的全球性銀行網路劫案都被報導是來自北韓駭客所為。一部分的公開證據是因為網路連線來自北韓IP地址。該國被認為嚴格地掌控網際網路，所以有人可能認為這樣的網路內系統不會被入侵。但外國犯罪集團用來發送垃圾郵件的殭屍網路怎麼能夠在北韓活躍一年多呢？北韓電腦是否也可能遭受一般的惡意軟體感染？分配給北韓的IP地址空間是否都被用在該國？這些問題的答案對於將攻擊歸因給北韓駭客有什麼影響？

本文會總結我們對進出北韓網路流量所進行研究的發現。它檢視了這包含1024個IP地址的網段。北韓也使用國外的基礎設施。我們同時發現註冊為北韓使用的一些IP地址實際是由虛擬專用網路（VPN）服務商所使用，顯然是想欺騙Geo IP服務將外國的網路基礎設施標記為北韓。

我們會介紹來自該國垃圾郵件殭屍網路的垃圾郵件活動，對北韓網站的DDoS攻擊和它們與真實世界事件的關連，以及北韓網站所經常出現的水坑攻擊。就像是我們之前關於北韓發動針對性攻擊的部落格文章，我們的目標是揭開常見迷思的真面貌。

北韓的網際網路

北韓網際網路空間是經由中國上游服務商連到網際網路的4組Class C IP範圍（總共1024個IP地址）。從2017年10月1日開始，一家俄羅斯公司提供相同IP範圍第二條路徑。因為某些歷史原因，北韓有額外使用一組分配給中國聯通的Class C IP地址（256個IP）。該國也可能透過衛星網路連到網際網路。許多電信商都有提供此服務，但我們不知道到底有誰被允許使用衛星網路。

有數個IP範圍看似由北韓使用，如果你相信Geo IP定位服務以及Whois註冊資料來的IP地址資料。

IP網段	IP數量	Whois註冊國家	GeoIP	真正國家	附註
175.45.176.0/22	1,024	北韓	北韓	北韓	分配給平壤的Star Joint Venture Co., Ltd.
210.52.109.0/24	256	中國	中國	中國	借自中國聯通
5.62.56.160/30	4	北韓	北韓	捷克	“PoP North Korea” – 由VPN服務商HMA使用
5.62.61.64/30	4	北韓	蒙古	捷克	“PoP North Korea” – 由VPN服務商HMA使用
45.42.151.0/24	256	北韓	北韓	N/A	Manpo ISP (Roya hosting)
46.36.203.81	1	北韓	北韓	荷蘭	VPN服務商 “IAPS Security Services”
46.36.203.82/30	4	北韓	北韓	荷蘭	VPN服務商 “IAPS Security Services”
57.73.224.0/19	8192	北韓	北韓	N/A	SITA-Orange
88.151.117.0/24	256	北韓	俄羅斯	俄羅斯	LLC “Golden Internet”
172.97.82.128/25	128	北韓	北韓	美國	“North Korea Cloud” – 由VPN服務商HMA使用
185.56.163.144/28	16	北韓	北韓	盧森堡	VPN服務

表1、與北韓有關的IP範圍

有些虛擬專用網路（VPN）服務商聲稱擁有在北韓的出口節點（如例1、例2）。這表示這些VPN服務的客戶可以選擇經由北韓出口節點瀏覽。這看起來是讓願意嚐鮮的使用者從北韓角度來體驗網際網路的奇特機會。但據我們所知，VPN服務商的說法並不正確。“北韓”出口節點實體位置是位於像盧森堡、捷克和美國的西方國家。該VPN服務商讓Geo IP服務相信他們有一台電腦伺服器在北韓，可能是將北韓國家代碼輸入到特定IP地址範圍的公共Whois資料。雖然VPN服務商可能會覺得這是個無傷大雅的行銷噱頭，但會讓依賴Geo IP服務的系統管理員在檢視系統上攻擊相關日誌檔時下了錯誤的結論。

圖1、HMA VPN服務表示它們有一個出口節點在北韓，但實際上這出口節點位在捷克。

繼續閱讀

勒索病毒成為一般商品!只要 50 美元，就能取得 WannaCry 勒索病毒的終生授權

2017 年 10 月 12 日2017 年 10 月 12 日趨勢科技 TrendMicro

任何人，據稱只要 50 美元，就能取得WannaCry(想哭)勒索病毒的終生授權，而且可以無限升級。今年 5 月 14 日，我們在阿拉伯文地下網站上看到這則廣告，就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅，搖身一變成了一般性商品，只要有心，任何人都能拿它來建立自己的網路犯罪事業。

WannaCry 勒索病毒在地下市場上販售

此外，WannaCry 的價格也相對低廉，這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯和北美地下市場上的犯罪分子大多以賺錢為主要目的，中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送，例如：遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且，這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。

圖 1：WannaCry 勒索病毒在中東與北非地下市場上的廣告。

該市場當然也販售著其他勒索病毒。事實上，我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是，同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。繼續閱讀