資安名詞/什麼是?/ 何謂? - 資安趨勢部落格

激進駭客主義（Hacktivism）基本課程：大事件簡史和時間表

2015 年 09 月 23 日2015 年 09 月 22 日趨勢科技 TrendMicro

2011年對激進駭客（hacktivist）來說是重要的一年，在那一年出現許多能夠留名歷史的激進駭客攻擊事件。正是在這那段時間，類似匿名組織（Anonymous）這樣的團體看似戰無不勝，它的成員也接著成立了LulzSec。這個小組因為成功駭入許多企業和警察單位伺服器、關閉政府安全網站、竊取敏感資料（信用卡詳細資訊）以及塗汙商業網站而惡名昭彰。

從2008年到2012年，匿名組織進行一連串的駭客攻擊，從無關緊要到產生嚴重影響的都有。最為人所知的一次是「突尼西亞攻擊行動（Operation Tunisia）」，在2010年招募一批突尼西亞駭客協助用DDoS（分散式阻斷服務攻擊）拿下八個政府網站以支持阿拉伯之春運動。

讓這些駭客活動和一般駭客不一樣的地方在於他們並不是為了錢而做，而是要表達對網路審查和控制的反對聲音。除此之外，駭客團體的目標是去質疑、挑釁和挑戰違背他們道德立場的各國政府、組織和企業。

什麼是激進駭客主義（Hacktivism）？

除了以錢為目的的駭客之外，有些駭客會侵入系統以指出安全漏洞，還有些是想要讓人們關注某些議題。而後者以虛擬政治激進分子的形式將自己表達不同聲音的方式轉到數位平台上，被稱為激進駭客主義（Hacktivism）。

繼續閱讀

Rocket Kitten駭客組織針對異議人士的攻擊行動

2015 年 09 月 21 日2015 年 09 月 14 日趨勢科技 TrendMicro

Rocket Kitten對伊朗講師及資安研究人員進行間諜活動

Rocket Kitten是個專門將攻擊目標放在中東特定知名人士的駭客組織, Thamar E. Gindin博士是位語言學和前伊斯蘭伊朗文化的專家,顯然因為說出政治聲明而激怒Rocket Kitten駭客組織的幕後人士。

在2015年中，Gindin博士收到了多封魚叉式網路釣魚（Phishing）郵件，其中一封包含惡意軟體，另外三封夾帶連到偽登錄網頁的連結。這僅僅只是個開始。大量來自未知寄件者的訊息突然出現在她的 Facebook 收件匣。駭客發動暴力攻擊並利用密碼取回選項來取得她的雲端服務帳號。在兩起不同事件中，攻擊者甚至透過電話來聯絡她，希望取得進一步的詳細資料,以便為未來更多的網路釣魚郵件鋪陳。

在2015年6月Gindin博士協助ClearSky的網路安全研究人員進行與Rocket Kitten活動有關的Thamar Reservoir報告。當時她意識到Rocket Kitten刻意地針對她，但攻擊仍在持續。即便在報告發表後，Gindin博士還是會收到Google的密碼重設通知，而她並未上鉤。

Rocket Kitten針對ClearSky研究人員

知道Gindin博士跟ClearSky有關可能讓Rocket Kitten將矛頭指向他們的其中一名研究人員。這些攻擊者可能藉由取得的電子郵件知道Gindin博士告知ClearSky研究人員，或是他們自己發現了這安全團隊在調查他們。也有可能是攻擊者存取了其他曾聯繫ClearSky的Rocket Kitten受害者郵件。無論是哪一種，攻擊者利用了此一情報並用來作為誘餌。

隨之而來的是一連串新的嘗試，我們在之前曾報告Rocket Kitten參與派送GHOLE惡意軟體和掩護Woolen-Goldfish攻擊活動。以下解析了他們所做的事情：

社群媒體：攻擊者先嘗試用一個假Facebook身分來接近一名ClearSky威脅研究人員。這沒有奏效。

假電子郵件：攻擊者接著用自己所建的假ClearSky郵件地址（clearsky[.]cybersec[.]group@gmail[.]com）來寄送郵件給一名ClearSky研究人員。不過後者打電話給聲稱的寄件者來確認該封電子郵件，發現這是假冒的郵件。

繼續閱讀

Pawn Storm 間諜行動曝光：政治人物,搖滾歌手,藝術家成為攻擊目標

2015 年 09 月 18 日2015 年 10 月 14 日趨勢科技 TrendMicro

Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團？的確，Pussy Riot (暴動小貓) 是個具爭議性的樂團，這個由女性主義者成立的樂團，其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣？她們和其他被攻擊的對象有何關聯？

今年年初，我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前，他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位，但根據趨勢科技的分析發現，實際上仍可有不少目標其實是位於該國境內。

俄羅斯境內的間諜活動

Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁，他們甚至也監控自己的人民。例如，針對俄羅斯國民的帳號登入資訊網路釣行動，就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。

圖 1：俄羅斯境內攻擊目標的產業/市場分布。

繼續閱讀

巨集威脅和勒索軟體的里程碑：檢視電子郵件威脅環境

2015 年 09 月 15 日2015 年 09 月 09 日趨勢科技 TrendMicro

對網路犯罪來說,電子郵件是門大生意。

在2014年，每天有1963億封電子郵件在收發。在這之中，有1087億封是商業郵件。每天電子郵件大發送的數量，吸引網路犯罪分子會利用電子郵件攻擊大型企業。而這些攻擊可能導致數百萬美元的損失跟資料竊盜。根據報導，Home Depot外洩事件造成該公司6200萬美元的損失，而Target資料外洩事件造成2億2900萬的損失。

但這並不代表企業是唯一容易遭受電子郵件攻擊的對象。根據趨勢科技在上半年度的觀察，電子郵件威脅在找尋受害對象時是一視同仁的。

今年上半年在垃圾郵件(SPAM)威脅環境有兩個趨勢。首先是巨集病毒相關垃圾郵件(SPAM)持續上升。第二是大量出現透過垃圾郵件寄送的勒索軟體 Ransomware攻擊。

舊玩意新花樣

在今年的前幾個月，趨勢科技注意到巨集垃圾郵件的威脅顯著地增加。這些垃圾郵件(SPAM)夾帶著.DOC、.DOCM、.XLS和.XLSM等Microsoft Office副檔名的附加檔案。在下圖一中整理出我們每月所見的惡意軟體相關垃圾郵件。雖然UPATRE（紅色）仍然是首要的垃圾郵件類型，我們可以看到巨集垃圾郵件（綠色）在許多月份都有所增加。

我們也看到一些包含PDF附件的電子郵件。這些附件實際上嵌入了.DOC文件。該.DOC文件包含執行後會下載惡意.EXE檔案的巨集。

繼續閱讀

針對性目標攻擊 (Targeted attack ):Shadow Force 挾持 DLL 程式庫攻擊南韓媒體

2015 年 09 月 08 日2015 年 10 月 13 日趨勢科技 TrendMicro

生意人怎麼會對新聞媒體會有興趣？這是我們最近在調查一樁南韓媒體遭到針對性目標攻擊(Targeted attack )攻擊的案例時心中的疑惑。

Shadow Force 是一個新的後門程式，它會取代某個 Windows 系統服務所呼叫的 DLL 程式庫。此後門程式一旦進入系統，駭客就能利用其他工具進一步製造更多安全漏洞或是造成損害。趨勢科技在今年五月份的一篇部落格文章當中已討論過這類後門程式攻擊。

攻擊開始時機

這項攻擊展開的時機是在 Windows 作業系統啟動 Microsoft Distributed Transaction Coordinator (Microsoft 分散式交易協調器，簡稱 MSDTC) 服務的時候，此服務在作業系統中負責協調橫跨多個資源管理程式 (如：資料庫、訊息佇列、檔案系統) 之間的作業。若目標電腦已加入網域，當 MSDTC 服務啟動時就會檢查系統登錄中是否有設定其相關程式庫 (DLL)。

圖 1：MSDTC 服務的外掛 DLL 程式庫。

更確切一點，MSDTC 服務當中的 MTxOCI 元件會透過系統登錄來找尋三個 DLL 程式庫：oci.dll、SQLLib80.dll 和 xa80.dll。一般來說，電腦上通常不會有 oci.dll，但此處駭客故意製作了一個後門程式並將它取名為「oci.dll」，然後放在系統資料夾「%SystemRoot%\system32\」當中。一旦將 oci.dll 放到適當位置之後，駭客就會利用一道遠端指令來終止 MSDTC 服務 (taskkill /im msdtc.exe /f)，讓 MSDTC 自行重新啟動。但這一次，當該服務啟動時，就會找到駭客所放置的 oci.dll。而當服務呼叫這個 DLL 時，就會啟動 Shadow Force。