Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團?的確,Pussy Riot (暴動小貓) 是個具爭議性的樂團,這個由女性主義者成立的樂團,其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣?她們和其他被攻擊的對象有何關聯?
今年年初,我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前,他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位,但根據趨勢科技的分析發現,實際上仍可有不少目標其實是位於該國境內。
俄羅斯境內的間諜活動
Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁,他們甚至也監控自己的人民。例如,針對俄羅斯國民的帳號登入資訊網路釣行動,就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。
圖 1:俄羅斯境內攻擊目標的產業/市場分布。
對網路犯罪來說,電子郵件是門大生意。
在2014年,每天有1963億封電子郵件在收發。在這之中,有1087億封是商業郵件。每天電子郵件大發送的數量,吸引網路犯罪分子會利用電子郵件攻擊大型企業。而這些攻擊可能導致數百萬美元的損失跟資料竊盜。根據報導,Home Depot外洩事件造成該公司6200萬美元的損失,而Target資料外洩事件造成2億2900萬的損失。
但這並不代表企業是唯一容易遭受電子郵件攻擊的對象。根據趨勢科技在上半年度的觀察,電子郵件威脅在找尋受害對象時是一視同仁的。
今年上半年在垃圾郵件(SPAM)威脅環境有兩個趨勢。首先是巨集病毒相關垃圾郵件(SPAM)持續上升。第二是大量出現透過垃圾郵件寄送的勒索軟體 Ransomware攻擊。
舊玩意新花樣
在今年的前幾個月,趨勢科技注意到巨集垃圾郵件的威脅顯著地增加。這些垃圾郵件(SPAM)夾帶著.DOC、.DOCM、.XLS和.XLSM等Microsoft Office副檔名的附加檔案。在下圖一中整理出我們每月所見的惡意軟體相關垃圾郵件。雖然UPATRE(紅色)仍然是首要的垃圾郵件類型,我們可以看到巨集垃圾郵件(綠色)在許多月份都有所增加。
我們也看到一些包含PDF附件的電子郵件。這些附件實際上嵌入了.DOC文件。該.DOC文件包含執行後會下載惡意.EXE檔案的巨集。
生意人怎麼會對新聞媒體會有興趣?這是我們最近在調查一樁南韓媒體遭到針對性目標攻擊(Targeted attack )攻擊的案例時心中的疑惑。
Shadow Force 是一個新的後門程式,它會取代某個 Windows 系統服務所呼叫的 DLL 程式庫。此後門程式一旦進入系統,駭客就能利用其他工具進一步製造更多安全漏洞或是造成損害。趨勢科技在今年五月份的一篇部落格文章當中已討論過這類後門程式攻擊。
攻擊開始時機
這項攻擊展開的時機是在 Windows 作業系統啟動 Microsoft Distributed Transaction Coordinator (Microsoft 分散式交易協調器,簡稱 MSDTC) 服務的時候,此服務在作業系統中負責協調橫跨多個資源管理程式 (如:資料庫、訊息佇列、檔案系統) 之間的作業。若目標電腦已加入網域,當 MSDTC 服務啟動時就會檢查系統登錄中是否有設定其相關程式庫 (DLL)。
圖 1:MSDTC 服務的外掛 DLL 程式庫。
更確切一點,MSDTC 服務當中的 MTxOCI 元件會透過系統登錄來找尋三個 DLL 程式庫:oci.dll、SQLLib80.dll 和 xa80.dll。一般來說,電腦上通常不會有 oci.dll,但此處駭客故意製作了一個後門程式並將它取名為「oci.dll」,然後放在系統資料夾「%SystemRoot%\system32\」當中。一旦將 oci.dll 放到適當位置之後,駭客就會利用一道遠端指令來終止 MSDTC 服務 (taskkill /im msdtc.exe /f),讓 MSDTC 自行重新啟動。但這一次,當該服務啟動時,就會找到駭客所放置的 oci.dll。而當服務呼叫這個 DLL 時,就會啟動 Shadow Force。
圖 2:用來終止 MSDTC 服務的指令,可造成該服務重新啟動。
這項簡單的技巧可輕易躲過一些鑑識分析工具的掃描,如:autorun.exe,因此變得更難即時偵測及矯正。 繼續閱讀
惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。
8 月發生了一件聯合網路犯罪攻擊,Yahoo 的廣告網路遭到襲擊,使得每月造訪該網站的 69 億人可能因而陷入危險。歹徒運用的是最新的威脅,例如:惡意廣告(malvertising)和漏洞攻擊套件。
惡意廣告(malvertising)是一些由網路犯罪者製作並刊登在網站上的廣告,只要是瀏覽了刊登這類廣告的網站,使用者就有可能遭殃,因此對整個廣告供應鏈帶來嚴重的影響。此次案例,網路犯罪集團利用了用戶數量龐大的 Microsoft Azure 服務網站來提高其潛在受害者數量。這樣的作法屢見不鮮,歹徒經常利用一些熱門的話題並滲透相關的網站。此外,歹徒也滲透了 Yahoo 這個全球最大的廣告網路之一,因此可能的感染數量相當可觀。而且,惡意廣告的運作模式是,使用者不須點選惡意廣告就可被感染。正因如此,一些不知情的使用者才會光是連上有問題的網頁就遭到感染。
【編按】由於網路犯罪集團越來越常利用惡意線上廣告來攻擊使用者,所以使用者經常會在購物網站、新聞網站、社群媒體以及遊戲網站看到這類廣告。
進一步了解惡意廣告感染使用者裝置方式,建議閱讀惡意廣告Malvertising:當廣告出現攻擊行為
網路犯罪使用漏洞攻擊套件的頻率越來越高,因為這類攻擊套件非常容易取得而且不貴。此次攻擊使用的是 Angler 漏洞攻擊套件來感染已入侵網站的訪客。漏洞攻擊套件的作者們非常積極地在第一時間搶先收錄最新曝光的漏洞。如下圖所示,許多今年才曝光的 Adobe Flash 漏洞都已收錄到 Angler 攻擊套件當中。
尤其,CVE-2015-0313 已在今年稍早一起非常類似的攻擊當中出現過。駭客利用這個漏洞攻擊套件在一些已遭入侵的網站上顯示惡意廣告。 繼續閱讀
當你聽到加密 ( Encryption) 這名詞時,首先浮上腦海的或許是這是技術人員或電腦狂才會了解或使用的東西。但實際上加密並不難懂。加密是種用來將資料加以編碼的數學演算法,只有預期的對象可以加以讀取。雖然聽起來簡單,但是數學及額外的步驟對初學者來說可能還是很繁瑣。不過在你決定關掉它並尋找其他方式來保護你的網路通訊前,有幾個例子可以讓你相信加密是保護隱私最好的方法之一,有些你甚至不知道它有發揮效用。
電話、電子郵件、網路購物、社群媒體和一般的網頁瀏覽都已經是我們日常生活不可缺少的線上活動。雖然我們一直在網路上尋找或分享資訊,但我們的資料基本上都儲存在某些地方。大多數人不知道「某些地方」是哪裡,這些資料只有給幫你建立對話的服務廠商。但傳送你網路封包的電信業者也可能看到,你所謂私人和安全的通訊可能會被攔截。有許多案例都證明使用者和公司資料越來越被駭客和網路犯罪份子所覬覦,造成資料外洩和針對性攻擊。光是這原因就該足以警示那些還沒有想要用加密來保護他們通訊的人。