趨勢科技最近遇到了一個針對 UNIX 以及「類 UNIX」系統所開發的 BIFROSE 惡意程式變種。這是由 Shrouded Crossbow (暗弩) 攻擊行動背後的同一批駭客所為,這批駭客同時也開發了 KIVARS 和 KIVARS x64 等其他 BIFROSE 變種。以 UNIX 為基礎的作業系統一般都出現在伺服器及工作站,但也出現在行動裝置。由於這些伺服器及裝置通常含有相當機密的資料,因此 UNIX 版本的 BIFROSE 可說是一項嚴重威脅。
技術實力
Shrouded Crossbow 幕後的犯罪集團一直在持續更新 BIFROSE 惡意程式來配合其攻擊行動。有些受害者甚至同時感染了 Windows 和 UNIX 兩種版本的 BIFROSE。過去,Shrouded Crossbow 曾利用 BIFROSE 來攻擊民營企業、政府機關以及政府外包商,也曾攻擊消費性電子、電腦、醫療、金融等產業。 繼續閱讀
作者:Raimund Genes (趨勢科技技術長,CTO)
2015 年是網路安全情勢艱困的一年。許多大型企業發生了嚴重的資安事件,也登上了新聞版面。我們不禁要問,2016 年網路安全情勢是否會好轉?使用者和資安產業該如何做,才能讓 2016 年變得更好?
我們在 2016 年資安預測報告當中大膽提出了 2016 的發展趨勢。面對這些趨勢,我們可以坐以待斃,也可以事先做好防備。但請記住,網路的安全與否,取決於我們如何藉由預防來消彌駭客的攻擊力道。所以,每一個人都應積極參與。
面對勒索軟體,到底該不該支付贖金?
有件事是肯定的,資安產業必將面臨數量龐大的勒索軟體 Ransomware 。面對勒索軟體,大家經常會問,到底該不該支付贖金。其實,如果大家都有做好資料備份,這一點根本不是問題。所以,每個人都該學會如何妥善保管自己的個人資料。問題是,人們總是在出事之後才會真正學到教訓。
有多少聯網裝置真的令人放心?
此外,我們也預測,消費型智慧裝置的缺失,將帶來致命的嚴重後果。想像一下,有多少聯網裝置真的令人放心?當然,這對廠商來說是比較方便,但還有誰也因此受益?答案是:網路犯罪集團。大家應該切記,有些漏洞只有在發生事情之後才會浮上檯面。但不幸的是,到那時一切都已太晚。
我們已經有了 IT 部門,為何還要一位資料保護長? 繼續閱讀
DDoS攻擊的邏輯可以用一個比喻來解釋。比方說,使用者走到只有一個服務櫃台的銀行。當使用者接近櫃台時,另一人插入並且開始和行員閒聊,並沒有要想要進行任何銀行相關交易。即便身為銀行的合法使用者,使用者也無法存入他的支票,被迫等到「惡意」使用者完成他的談話。然而,當這惡意使用者離開後,其他人走到合法使用者前,再來一次地延遲合法使用者。這過程可能持續數小時,甚至數天,阻止這名使用者或任何合法使用者進行銀行交易。
超過十億使用者的網際網路已經成為企業和個人取得資訊、進行銀行業務、購物、與人交流,以及透過社群媒體平台來找到受眾的管道。這一切便利的背後是它面對破壞時很脆弱。網路犯罪分子有方法和能力來竊取資料或阻止正常系統運作,動機可能是產業間諜或金錢利益,甚至是駭客激進主義和政治目的。
過去幾年,分散式阻斷服務(DDoS)攻擊已經成為私人企業和公家單位日漸嚴重的安全問題。DDoS攻擊在規模上和影響上都在升級。同時也朝向更大高峰頻寬(Peak Bandwidth)和更長攻擊時間。DDoS攻擊不僅僅是激進駭客主義(Hacktivism)的工具,也被拿來進行敲詐勒索 。2013年到2015年間的DDoS攻擊相關事件和趨勢顯示平均高峰頻寬(Peak Bandwidth)增加了一倍。
在2014年底香港佔中事件發生後,CloudFlare執行長Matthew Prince指出該地的獨立媒體網站遭遇史上最大的DDoS攻擊。根據 Prince 陳述,這波攻擊比之前的紀錄保持者 – 2014年初在歐洲出現的每秒400GB的攻擊還要大。
*編按:2014年6月20日到6月29日,香港「佔領中環」行動發起電子公投。該手機投票系統的站點服務分別由亞馬遜(Amazon Web Services, AWS)、CloudFlare與通域存網(UDomain)三家網路服務供應商提供。
《延伸閱讀》
物聯網( IoT) | DNS服務商 Dyn遭遇的大規模DDoS攻擊,會是最後一次嗎?
Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的
Mirai 殭屍網路成為鎂光燈焦點後, IOT物聯網威脅將成為主流?
APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”
什麼是DDoS攻擊?
DDoS攻擊的目的是要中斷或關閉網路、服務或網站。DDoS攻擊就是攻擊者利用異地電腦組成的「Botnet傀儡殭屍網路」來灌爆另一系統的連線或處理程式,讓它無法提供服務給其他合法流量。成功DDoS攻擊的目標和結果會讓目標伺服器無法提供網站服務。 繼續閱讀
一位會計師收到一封來自公司執行長的電子郵件,要他等待來自合作夥伴的電話,警告不要將郵件分享給任何人看,因為擔心監管單位會反彈。該公司最終因為匯款詐騙而損失48萬美元。
BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚(Phishing)手法達成
對抗企業郵件受駭,該如何開始?
如果你公司的高階主管透過電子郵件要求你為業務支出匯款,你會怎麼做?
網路犯罪分子會奸詐地計畫社交工程(social engineering )和入侵電腦計畫來誘騙員工匯款,企業因為郵件詐騙而遭受嚴重的危險。此一新興的全球性威脅被稱為企業郵件受駭(business email compromise,BEC),光在2013年10月到2015年8月間就已經有79個國家的8,179家公司受害。
BEC 詐騙為網路犯罪分子帶來可觀的收入。美國聯邦調查局光是過去一年就因為這類型的電子郵件而發出多次警告。美國聯邦調查局指出其目標是會與外國供應商合作或會定期進行電匯付款的公司。在去年二月,回報的受害者總數達到2,126家,損失達2億1,500萬美元。到了八月,受害者人數已激增到8,179家,損失增加到近8億美元。
你要怎麼保護自己的公司不要成為上述數字的一部分?
導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。
【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】
這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。
我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。
根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務 Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。
大型烏克蘭礦業公司的相關惡意軟體
在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: 繼續閱讀