資安名詞/什麼是?/ 何謂? - 資安趨勢部落格

孟加拉中央銀行網路洗劫案例給我們什麼啟示

2016 年 04 月 20 日2016 年 04 月 26 日趨勢科技 TrendMicro

孟加拉中央銀行在美國聯邦儲備銀行的帳戶遭網路駭客洗劫的事件，再次突顯網路攻擊對企業、民間機構、甚至是國家可能帶來什麼樣的衝擊。撇開此事件的損失金額、幕後黑手以及政治動機不談，基本上，此攻擊的手法及程序與任何其他網路犯罪攻擊沒什麼不同。

此案例可說是至今最大膽的網路竊盜案件之一。要不是歹徒的一個小小輸入錯誤，受害金額很可能高達 10 億美元以上。不過，歹徒還是匯走了 8 千萬美元以上，並且款項還透過菲律賓的多個賭場來洗錢。目前調查結果指向中央銀行的電腦系統可能遭人植入惡意程式來協助此次搶案。

編按:原本看似天衣無縫的作案手法卻因駭客拼錯字而露出馬腳,只因轉帳時將「foundation」（基金會）誤拼成「fandation」，促使通匯銀行德意志銀行（Deutsche Bank）向孟加拉央行要求驗證，進而阻止這筆交易。

如果真有惡意程式涉案，那麼：

駭客是如何取得交易的授權？他們是否掌握了某個擁有這項權限的帳號？如果是的話，他們是如何辦到的 (網路釣魚（Phishing）、鍵盤側錄程式或其他方式)？
是否應該有什麼安全措施或管控機制可以偵測到這筆異常交易 (例如：金額過高、交易量過大等等)？

繼續閱讀

目標式勒索:刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院

2016 年 04 月 08 日2018 年 10 月 23 日趨勢科技 TrendMicro

就在新的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種「Locky」據報攻擊了美國肯德基州一家醫院之後，醫療產業一個月內兩度遭勒索軟體攻擊,一個名為「SAMSAM」的最新勒索軟體家族襲擊。

根據 Cisco 旗下威脅情報中心 Talos 的發現，SAMSAM 進入系統的方式是藉由攻擊伺服器的漏洞，而非透過惡意廣告或惡意電子郵件社交工程（social engineering ）技巧之類的傳統方法。這個特殊的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種似乎是經由含有未修補漏洞的伺服器來散布，並且利用這些伺服器來入侵更多電腦系統，進而搜尋電腦上的重要資料並加以加密，其主要攻擊目標為醫療產業。

[延伸閱讀：Locky 勒索軟體變種攻擊基督教衛理公會醫院]

駭客利用 JexBoss 這套開放原始碼應用程式伺服器以及其他 Java 應用程式平台的漏洞來取得遠端命令列程式 (remote shell) 的存取權限並安裝 SAMSAM 到目標網站伺服器上。駭客接著利用被感染的伺服器在網路內橫向移動，並且散布勒索軟體用戶端程式至 Windows 電腦上。有趣的是，Cisco Talos 發現受害者可以透過一個對話方塊和駭客溝通並討論贖金的支付方式。在一些看到的樣本中，歹徒要求的贖金是每一台電腦1.5個比特幣（Bitcoin），或者是22個比特幣（Bitcoin）的代價清除所有受感染的電腦。

[延伸閱讀：勒索軟體如何運作]

FBI警告，SAMSAM 會「手動搜尋並刪除」備份檔案，逼迫受害企業就範

繼續閱讀

什麼是深層網路 (Deep Web) ?與黑暗網路(Dark Web) 的區別

2016 年 03 月 31 日2022 年 10 月 19 日趨勢科技 TrendMicro

想買毒品的人會在一般的瀏覽器上輸入關鍵字來搜尋嗎？
想避開政府監控的異議爆料者如何避免在網路留下證據？
他們會透過一些 IP 位址無法被追查的網路來做這件事。而毒販也不會想將他們的網站架設在可被執法單位透過 IP 位址逮人的地方。
除此之外,販賣護照及信用卡等非法犯罪服務，也需要這種能夠確保匿名性的網路。
如果說所有可搜尋的內容都位於地表的話，那麼地底下的部分就是所謂的深層網路：不見天日、不易進入、外表也看不出來。

黑暗網路是深層網路最深邃的部分，需要以特殊的工具或設備才能進入。它們位於地下網路深層的地方，比一般深層網路的內容更需要隱密性。

暗網 Dark web 30元就讓你銀行存款瞬間蒸發的地方 — 深層網路與黑暗網路卻不能畫上等號，因為黑暗網路(Dark Web) 只是深層網路的其中一環。

所謂的深層網路，就是像 Google 這類搜尋引擎基於某種因素無法建立或沒有建立索引、因而搜尋不到的網路內容。可歸納在此定義之下的內容包括：動態網頁、封鎖的網站 (如必須輸入頁面上動態產生的文字才能進入的網站)、未連結的網站、私密網站 (如有密碼保護的網站)、非 HTML內容、周邊輔助內容、程序碼 (script)，以及限制存取的網路。

所謂「限制存取的網路」是指一般標準網路組態下存取不到的資源及服務。歹徒可透過這類網路來暗中活動，讓執法機關很難或根本無法追查，例如一些在不受「網際網路名稱與號碼指配機構」(ICANN) 管轄的 DNS 頂層機構 (root) 下註冊的網域。它們經常使用非標準的頂層網域名稱 (TLD)，因此需透過特殊的 DNS 伺服器才能正確解析出位址。還有一些是完全註冊在另類 DNS 系統 (而非正統 DNS 系統) 的網域名稱，例如我們討論過的比特幣網域 (Bitcoin Domain)。另類網域不僅完全不受 ICANN 的規範，其非集中化而分散的特性，讓它們很難被圍捕 (必要的話)。

此外，架設在這些限制存取網路上的，通常都是黑暗網路 (Darknet) 或是一些需要特殊軟體 (如 TOR) 才能存取的網站。而一般大眾對深層網路的興趣，也大多圍繞在黑暗網路內的活動。

有別於深層網路上的其他內容，搜尋引擎在進行地毯式搜索時並不會涵蓋限制存取的網路，但原因並非技術上的限制，事實上，像 tor2web 這類閘道服務就提供了一個網域來讓使用者存取隱藏在這類網路上的服務。

繼續閱讀

Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業

2016 年 03 月 25 日2016 年 04 月 08 日趨勢科技 TrendMicro

美國肯德基州亨德生市 (Henderson) 的基督教衛理公會醫院 (Methodist Hospital)網站首頁上一個紅色跑馬燈公告其網路已不幸遭到網路駭客入侵，該醫院被迫進入「內部緊急狀況」。公告上表示：「基督教衛理公會醫院目前正因電腦病毒入侵的關係而進入內部緊急狀態，網站上許多電子服務都無法使用。我們正努力解決這項問題，在恢復之前，網站服務和電子通訊將受到影響」。

該事件起因是某個勒索軟體 Ransomware 入侵了該醫院的電腦系統，挾持了醫院的檔案 (將檔案加密使其無法使用)，並且向醫院勒索贖金。

[延伸閱讀：勒索軟體如何運作]

根據基督教衛理公會醫院資訊系統總監 Jamie Reid 的說法，該惡意程式屬於Locky 加密勒索軟體 Ransomware家族，此家族會將受感染系統上的重要檔案 (如文件和影像) 加密。受害者若想取回資料，就必須支付一筆贖金，不然就得看看未受感染的網路上是否有先前備份的資料。根據報導，駭客要求的贖金為 4 個比特幣（Bitcoin），相當於 1,600 美元。

今年二月下旬，研究人員曾發現 Locky 利用一個含有惡意巨集的 Word 檔案來入侵電腦系統。該勒索軟體 Ransomware是經由冒充寄送發票的電子郵件入侵受害者系統，郵件中挾帶一個含有惡意巨集的 Word 文件。基督教衛理公會醫院的案例正是如此，收件人也收到了惡意的電子郵件並開啟了惡意附件檔案。

[延伸閱讀：Locky：發現新型態加密勒索軟體]

醫院被迫所有作業流程都暫時改用紙本來處理

根據 Reid 的描述，此加密勒索軟體 Ransomware已從最初感染的電腦擴散至網路上的多部電腦。因此該醫院緊急將所有的桌上型電腦關機，並且逐一清查每部電腦是否遭到感染之後才讓電腦重新開機上線，在這套程序完成之前，所有作業流程都暫時改用紙本來處理。

該醫院的律師 David Park 表示：「我們幾年前就曾制定了一套周全的緊急應變體系，因此我們突然發現，當每個人都討論醫院的電腦出了狀況，或許我們應該將它當成風災來處理，因為我們基本上等於所有系統都已暫時關閉，然後再一部一部重新復原」。

然而這起事件之前不到一個月左右，另一家醫療機構才發生過類似的勒索軟體攻擊。2016 年 2 月，Hollywood Presbyterian Medical Center也曾經遭到同樣的手法攻擊，並造成了醫院營運癱瘓。該醫院最後支付了相當於 17,000 美元的比特幣當成贖金。

醫院員工的電子郵件帳號被駭客入侵，病患個資外洩

除此之外，駭客還有其他從醫療產業獲利的方法。根據報導，一家癌症治療機構21st Century Oncology Holdings前不久才發生資料外洩，共有約 200 萬名病患的資料外流。還有另一起獨立的案例是City of Hope研究醫療中心因遭到網路釣魚（Phishing）攻擊而導致某員工的電子郵件帳號被駭客入侵，竊取了一些病患姓名、病歷號碼、出生年月日、地址以及其他病患和醫療資訊。繼續閱讀

駭客變臉詐騙攻擊行動來襲，亞洲企業成為攻擊目標，單一企業損失金額可達 13 萬美金

2016 年 03 月 17 日2016 年 04 月 13 日趨勢科技 TrendMicro

新一波駭客變臉詐騙「Olympic Vision」攻擊行動來襲，已入侵亞洲及中東地區，台灣企業請提高警覺!

所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) 是網路犯罪集團透過入侵企業的商務電子郵件系統來進行牟利。常見的手法為入侵企業財務人員的電子郵件帳號來攔截預定好的轉帳交易，或者假借高階主管名義寄發郵件，指示執行新的轉帳交易將款項錢轉入駭客所掌控的銀行帳戶。FBI 預估遭受變臉詐騙攻擊形式的受駭企業平均損失金額為美金130,000，高達四百萬台幣 !

此波趨勢科技最新發現的「Olympic Vision」變臉詐騙攻擊行動係寄出主旨與財務相關的緊急事件的電子郵件給企業內部的財務人員，一旦財務人員開啟此郵件中所附的檔案，即被植入Olympic Vision鍵盤側錄後門程式，駭客將可輕易取得包含財務、營運的機密資料。在亞洲受攻擊的國家包含大陸、印度、印尼、馬來西亞及泰國，涵蓋房地產、製造、營造等多個產業。

趨勢科技資深技術顧問簡勝財表示，過去台灣企業遭受此類變臉詐騙攻擊手法的案例已有多起，雖然目前針對此波「Olympic Vision」變臉詐騙攻擊台灣尚未有重大災情傳出，但有為數眾多的台灣廠商於大陸有設置分公司或是業務往來，面對鎖定商務電子郵件的目標性攻擊，企業不可不防。並提醒企業內各部門人員都應該有資安意識，養成良好的郵件使用習慣，在開啟任何收到的電子郵件之前，特別是與重大業務相關的郵件，都請務必先確認一下，或是透過其他來源確定寄件人身分。

「Olympic Vision」變臉詐騙攻擊行動鎖定中東與亞太地區企業

根據美國 FBI 估計，平均每家企業因變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) 攻擊案件所造成的損失金額約為 130,000 美金。企業受害的原因，不外乎是員工不熟悉今日的社交工程技巧，以及企業網路架構不足以防止威脅進入網路。我們在「Olympic Vision」這項專門攻擊美國、中東與亞洲地區的 BEC 攻擊行動當中，很明顯地看到這樣的情況。

繼續閱讀