網路攻擊,不再是駭客獨自在黑漆漆的房間裡拼命敲著鍵盤…現代網路攻擊的實際樣貌
網路犯罪集團往往是跨國經營的財團,有能力執行深度的網路攻擊
資安軟體有時候會給你一種錯誤的安全感。根據《Information Age》的報導,金鑰與憑證管理解決方案廠商 Venafi 針對 500 名資訊長 (CIO) 做了一份調查,發現資訊長經常浪費數百萬美元在一些連合法與非法金鑰/憑證都無法分辨的網路資安解決方案。所以,才會有 90% 的受訪者表示他們的企業很可能遭到或已經遇到使用加密流量的網路攻擊。 繼續閱讀
分類: 資安名詞/什麼是?/ 何謂?
勒索病毒新把戲:盯上遊戲玩家、不再只鍾情比特幣、偽裝成「Helper」應用程式,,只要付錢還幫你加密別人電腦
在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹。回顧 3 月新增的三隻勒索病毒的新花招:
- 勒索病毒 Roza Locker 盯上遊戲玩家
- Kirk 使用數位貨幣門羅幣 Monero(XMR)付款而非一般的比特幣(Bitcoin)
- Karmen RaaS偽裝成「Helper」應用程式,一旦安裝就會執行典型的勒索病毒行 為
勒索病毒Roza Locker 盯上遊戲玩家
勒索病毒 Ransomware (勒索軟體/綁架病毒)持續用惡意軟體來攻擊特定網路社群:遊戲玩家。Roza Locker(被偵測為RANSOM_ROZALOCK.A)是一種新的勒索病毒,針對俄語系的遊戲愛好者,會偽裝成電腦遊戲的安裝程式。開啟檔案之後,勒索病毒會要求提升權限好開始加密檔案。 繼續閱讀
RATANKBA入侵攻擊目標經常瀏覽的合法網站,針對企業發動大規模水坑攻擊,台灣也受影響
在二月初,有多家金融機構通報出現惡意軟體感染,而且顯然來源是合法網站。這些攻擊以入侵受信任的網站來感染各產業內被鎖定企業的系統, 是大規模攻擊活動的一部分。這種策略通常被稱為「水坑(watering hole)」攻擊。
最近對波蘭銀行進行的連串惡意軟體攻擊,據報會在終端機跟伺服器上出現未知的惡意軟體,還有可疑、加密的程式/可執行檔,更加引人注意的是不尋常的網路活動。中毒系統會連到不尋常的位置,可能是要暗渡陳滄將入侵單位的機密資料送至該處。
趨勢科技發現備受關注的惡意軟體RATANKBA,不僅跟對波蘭銀行的惡意軟體攻擊有關,而且還涉及墨西哥、烏拉圭、英國和智利金融機構所發生的類似事件。它如何感染受害者?有沒有其他惡意軟體參與其中?這攻擊活動是否真的跟俄羅斯網路犯罪集團有關?不過根據我們在惡意軟體內所看到的俄文,我們認為這只是用來混淆攻擊者真面目的偽裝手法。
台灣也受到影響
銀行並不是唯一的目標;也有電信、管理諮詢、資訊技術、保險、航太、教育等企業受害。此外,攻擊活動並非僅局限於北美和歐洲,一些亞太地區,特別是台灣、香港和中國也受到影響。
在此提供進一步的分析和見解,可以補充其他關於此一威脅的研究。
圖1、關於RATANKBA的可能感染流程
揭開專門監視知名政治家和企業家的 「EyePyramid 」惡意程式神秘面紗
我們在這篇文章首次討論兩名被稱為「Occhionero兄弟」的義大利人被逮捕並指控利用惡意軟體和特製的魚叉式釣魚攻擊(SPEAR PHISHING)來監視知名政治家和企業家。這個案子被稱為「EyePyramid」,名稱來自研究過程所發現的網域名稱和目錄路徑。
義大利通訊社AGI在1月11日中午公開了法庭命令。本文提供更多關於此案例的詳細資訊以對此攻擊活動有更加完整和深入的了解。
分析範圍
趨勢科技已經分析了近250個不同的EyePryramid相關樣本。在我們進行初步分析後,大約有十幾個可疑樣本被上傳到VirusTotal並標記為「#eyepyramid」。我們認為這些樣本是「假標記」,因為這些樣本跟其他樣本不同,無法跟EyePyramid建立肯定的關聯。
被針對的電子郵件帳號
部分樣本顯示出攻擊者將目標放在許多網域的電子郵件帳號。帳號憑證和這些帳號的郵件都被竊取,以下是被鎖定電子郵件帳號的網域:
| 被鎖定的網域 | ||||
| @alice.it @aol.com @att.net @badoo.com @bellsouth.net @bluewin.ch @btinternet.com @comcast.net @cox.net @cyh.com.tr @earthlink.net @eim.ae @email.com @email.it @emirates.net.ae @excite.it @facebook.com @facebookmail.com @fastweb.it @fastwebmail.it @fastwebnet.it @free.fr |
@gmail.com @gmail.it @gmx.de @gmx.net @googlegroups.com @googlemail.com @groupama.it @groups.facebook.com @gvt.net.br @hanmail.net @hinet.net @hotmail.co.uk @hotmail.com @hotmail.fr @hotmail.it @infinito.it @interbusiness.it @interfree.it @inwind.it @iol.it @jazztel.es @jumpy.it |
@katamail.com @laposte.net @legalmail.it @libero.it @live.com @live.it @lycos.com @lycos.it @mac.com @mail.bakeca.it @mail.com @mail.ru @mail.vodafone.it @mail.wind.it @mclink.it @me.com @msn.com @mtnl.net.in @nate.com @netscape.net @netzero.com |
@orange.fr @otenet.gr @poczta.onet.pl @poste.it @proxad.net @rediffmail.com @rocketmail.com @runbox.com @saudi.net.sa @sbcglobal.net @skynet.be @supereva.it @sympatico.ca @t-online.de @tele2.it @verizon.net @virgilio.it @vodafone.com @vodafone.it @vsnl.net.in |
@wanadoo.fr @web.de @yahoo.ca @yahoo.co.in @yahoo.co.jp @yahoo.co.uk @yahoo.com @yahoo.com.ar @yahoo.com.br @yahoo.com.mx @yahoo.de @yahoo.es @yahoo.fr @yahoo.it @yahoogroups.com @ymail.com |
攻擊計畫
這波攻擊有著明顯的攻擊前準備,用意在製作有效的魚叉式釣魚攻擊(SPEAR PHISHING),取得目標的信任。攻擊者從一份電子郵件帳號列表開始 – 來自另外的入侵活動,或是來自用相同惡意軟體的其他案例。這些帳號屬於最終受害者所信任的組織或個人。
利用這些電子郵件帳號當作寄件者,將附加惡意軟體原本的副檔名(.exe)加以變更,攻擊者設法以直接或間接的方式感染重點受害者的電腦。
當在電腦上執行惡意軟體時,它會自動更新自己,竊取符合上述列表的電子郵件帳號相關資訊,並透過HTTP/HTTPS將收集的資訊傳送到資料取回電子郵件地址或C&C伺服器。同時將這些電子郵件帳號加到攻擊者所用的已入侵帳號列表,讓這些帳號可以用來將惡意軟體散播給其他受害者。
< BEC 變臉詐騙 > 男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕
曾有歹徒利用 Predator Pain 和 Limitless 這兩個鍵盤側錄程式,來從事變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) ,獲利高達約22億新台幣!其中Limitless作者在1月13日,一名大學生Zachary Shames向美國維吉尼亞州聯邦地方法院認罪,這個惡意鍵盤側錄程式被用來竊取數千份使用者敏感資訊(如密碼和銀行憑證)。在 2014年11月,趨勢科技的前瞻性威脅研究團隊(FTR)發表一份包含Limitless的研究報告,同時介紹它被如何用來竊取數千名受害者的資料。在此之前,我們將如何確認Shames為作者的詳細資料交給了美國聯邦調查局(FBI)。本文將詳細介紹我們如何建立連結,這是我們在已發表的報告中所沒有提及的。
根據東維吉尼亞的檢察官辦公室,維吉尼亞州詹姆斯麥迪遜大學的21歲資訊系學生被控協助和教唆電腦入侵。Shames承認開發和銷售超過3,000份的間諜軟體,用來感染超過16,000台電腦,這些行為違反了美國法典第18章第1030(a)(5)(A)和2條。
在2014年7月,FTR 團隊成員開始研究兩種商業化鍵盤側錄程式所進行的攻擊(Predator Pain 和Limitless Logger),這兩者都被用在多起入侵事件,其中不乏知名的受害者。
在研究過程,Limitless和其他工具一起被廣泛地用在針對性攻擊/鎖定目標攻擊(Targeted attack )活動。受害最深的國家是馬來西亞、印度、澳洲、丹麥和土耳其。
圖1、受 Predator Pain/Limitless影響的國家