勒索軟體 Ransomware背後的惡意份子已經將目標放到消費者以外,將攻擊延伸到中小企業(SMB)。這區塊是勒索軟體 Ransomware很好的潛在目標,因為中小企業不太會有如大型企業那樣複雜的解決方案。同時中小企業主也通常有能力支付贖金。
此外,中小企業也不太可能具備如大型企業那樣全面的備份方案,增加支付贖金的可能性。想像一間擁有少於50名員工的公司。裡面的主管收到了一封內嵌看似正常網址的電子帳單郵件。他們點了連結而導致感染勒索軟體 Ransomware。不幸的是該公司並沒有備份資料。因此會讓他們傾向選擇支付贖金以換回檔案。但付錢取回檔案很可能會鼓勵網路犯罪分子在未來進行更多波攻擊。
這轉變中我們所看到最明顯的例子是TorrentLocker和CryptoWall,這是現今最持久也最大量的勒索軟體 Ransomware變種。
從2015年六到七月,趨勢科技觀察到多數點入CryptoWall相關電子郵件內惡意連結的使用者屬於中小企業用戶。
跟著英國國家打擊犯罪調查局(NCA)的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制(C&C)伺服器已經被美國聯邦調查局(FBI)關閉。
美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路,其被惡意軟體用來將竊得的資料發送給網路犯罪分子,並且下載包含目標銀行清單的設定檔案。此外,也已經起訴了Andrey Ghinkul(別名Andrey Ghincul和Smilex),「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。
破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作,各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制(C&C)網路是這團隊合作成功的最新例證。
什麼讓 DRIDEX與眾不同?
DRIDEX在這過去一年漸漸打響名號,一直被視為是 Gameover ZeuS(GoZ)惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P(點對點網路)架構及獨特的行為。
不同於其他惡意軟體,DRIDEX運用BaaS(殭屍網路即服務)商業模式。它運行數個「Botnet傀儡殭屍網路」,每個都以編號標識,並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲(特別是羅馬尼亞、法國和英國)。從過去三個月內趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的反饋資料顯示,美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。
DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習,DRIDEX開發者在其架構中在命令與控制(C&C)伺服器前多加了一層。
除此之外,DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似,它使用一種隱形持久性技術,會在系統關閉前寫入自動啟動註冊碼,並在系統啟動後刪除自動啟動註冊碼。然而,只有DRIDEX會清理儲存在註冊表中的設定,並改變惡意軟體副本的位置。
DRIDEX可以輕易地透過惡意電子郵件附件檔散播,通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉,但如果它在攻擊前就已經啟用,就可以直接進行攻擊。否則,攻擊者必須利用強大的社交工程(social engineering )來說服使用者啟用該功能。此外,我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。
作者:Raimund Genes (趨勢科技技術長,CTO)
前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。
APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。
不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。
這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。
然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。
「 針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧。 繼續閱讀
馬來西亞航空MH17失事報告10月13日出爐,證實班機遭俄製飛彈擊落,隔天(10月14日)俄國駭客嘗試入侵荷蘭安全委員會電腦系統,嘗試取得敏感的最終失事報告。趨勢科技的研究發現應該是由 Pawn Storm 幕後集團針對DSB (Dutch Safety Board,亦稱 Onderzoeksraad) 所發動的攻擊。
根據趨勢科技前瞻威脅研究 (FTR) 團隊所提供的報告,Pawn Storm 背後的駭客已攻擊了負責調查馬來西亞航空 MH 17 班機墜毀事件的荷蘭安全委員會 (Dutch Safety Board,簡稱 DSB,亦稱 Onderzoeksraad) 。
MH 17 班機於 2014 年 7 月 14 日墜毀在烏克蘭東部,機上 283 名乘客和 15 名機組人員全部罹難。
由於該班機是從荷蘭阿姆斯特丹起飛,因此由 DSB 負責調查這起事件。2015 年 10 月 13 日,DSB 發表了他們的最終調查報告。 繼續閱讀
網路犯罪集團並不是靠著突破網路封鎖就能賺錢,他們的真正目標是「企業內的寶藏」,因此他們會搜尋並竊取你網路內部的資料、智慧財產和敏感通聯記錄,然後想辦法加以變現。為了達到這個目的,他們會研究、設計、執行一些特殊的攻擊來突破傳統的安全控管,然後在受害企業內部網路當中橫向移動、四處搜尋。
打個比方,傳統的防禦就像將大門深鎖,然後找個警衛在門口管制誰可以進出,這樣的方法已經不再管用。為了確保企業的資料通訊和智慧財產不會外流,企業的資安策略必須與時俱進,並且強化邊境防禦,同時還要認知到就算是著名的「馬其諾防線」(Maginot Line) 也無法滴水不漏。
例如,在資料和智慧財產的誘惑下,駭客很可能會藉由竊取員工、客戶和其他第三方人士的帳號密碼來潛入企業網路。在今日「無疆界」的企業環境下,員工從家中、旅館或全球各地分行據點遠端連線作業的情況比比皆是。員工可能會使用一些企業內和/或雲端的應用程式和服務,並且透過各種不同大小的裝置來連上網路。在這麼多樣化企業外部地點及裝置組合的情況下,仰賴有如大門警衛的傳統資安方法,再也不切實際。
我們的客戶已經開始對他們所面臨的新式威脅及伴隨而來的資安挑戰感到憂心。在此我們看到了一項契機,可以將單一防線的邊境防禦變成可監控、偵測、防止針對性攻擊在企業和資料中心內部活動的利器。
趨勢科技併購 HP TippingPoint 且即將邁入一個新的世紀。在完成併購之後,我們將成為企業安全防護的領導廠商,從網路、資料中心、雲端、到端點裝置,全面防範針對性攻擊/鎖定目標攻擊(Targeted attack )與「進階持續性滲透攻擊」(Advanced Persistent Threat,APT攻擊)。在最新威脅情報方面,TippingPoint 的 Digital Vaccine (數位疫苗) 和 Zero Day Initiative (零時差計畫) 將進一步強化我們的 TrendLabs 研究中心和 Smart Protection Network 全球威脅情報網路,提供無可匹敵的專業技術和回應能力。
不僅如此,趨勢科技和 HP 早已達成一項策略性 OEM 協議,將某些新一代入侵防護系統 (NGIPS) 的元件納入 HP 的網路產品當中。
這項消息再次證明趨勢科技長期致力建構一個安全的資訊交換世界。隨著科技不斷演進,資安防護的技術也必須與時俱進。但請放心,我們將持續推動創新並開拓新知,確保我們的客戶及合作夥伴都能隨時擁有最佳防護。
進一步相關資訊:
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
