臉書當萬用帳號,到處網購超方便?!幫好友回撥新門號,竟成網拍人頭戶 !….網拍購物安全小秘訣

“才剛交易完三天,就接到詐騙集團假冒發卡銀行人員打來的電話!",報案者抱怨連連指稱接獲詐騙集團電話說手機交易時銀行人員將刷卡付費金額多了一個零,要受害人趕緊到ATM操作更正。根據165反詐騙專線統計資料,在最近一年 ATM詐騙案單月最高超過一千五百件被害人報案,其中該拍賣網站的客戶占六成之多。提醒網友們遇到類似要你操作 ATM 的電話,請提高警覺,並撥打  165 反詐騙專線諮詢。

"手機交易刷卡多刷一個零?!" 、"幫好友回撥新門號,竟成網拍人頭戶 !"網拍購物安全小秘訣

以下提供幾個網拍防詐騙小秘訣:

1.不要幫"好友"撥打0809開頭新門號

另外也要提醒大家幫「好友」撥打新門號,小心成為網拍人頭賣家,刑事局指出,這類詐騙歹徒鎖定特定對象在網拍平台上冒用其手機門號申請新帳號,再假冒為「好友」請求受害民眾幫忙撥打新辦的手機門號0809031088(某拍賣的帳號申請認證門號),撥打後即成功為歹徒申請新的網拍帳號,歹徒藉此進行交易,收取貨款後即人間蒸發,而受害者即成為網拍人頭帳號,直到警察找上門,或買家打電話催貨才知道被「好友」騙了

2.網拍購物,勿用臉書當萬用帳號

網拍衍伸的另一個安全問題是,很多網拍帳號直接連動臉書, 一個萬用帳號通行無阻,但也有一旦遭入侵時所有資料全都露的危險 
✓ 建議使用不同帳號及不同密碼登錄
✓【PC-cillin雲端版】防止個人資訊外洩 免費下載,免費下載

pw 0822

3.遠離危險密碼:寵物名字,紀念日,生日,123456,password,英文菜市場名….

網路購物要無後顧之憂,帳號密碼設定是第一步!!

1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?(含12個保護密碼實用的祕訣)怎麼知道這些大人物用過這些密碼呢?當然是被駭客入侵後公布的。那改用中文諧音的521314(我愛你一生一世)總可以了吧?在大陸駭客的密碼破解字典中,除了甜滋滋的「5201314」還列入以下必備弱密碼,中國人最愛的「666666」和「888888」,請看密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案


根據「時代雜誌」(Time)網站報導,Google 訪問2000名民眾選擇帳號密碼的方式。發現"寵物名字"是最爛的密碼。

三大爛密碼

“大部分民眾依據手邊的資訊選擇密碼"研究結果凸顯了這項令人憂心的事實,駭客只要動動手指頭,使用搜尋引擎,查一下 facebook 個人資料,就能輕易找到寵物名字,紀念日,就讀學校等資料,進而能入侵多數帳號。

根據Google 分析,做常見的密碼如下:

1、寵物名字
2、大日子,如結婚紀念日
3、家人生日
4、孩子的名字
5、家庭成員名字
6、出生地
7、最愛的節日
8、最愛的運動團隊
9、重要人士的名字
10、直接用「password」當密碼

報告也顯示,48%民眾會讓別人知道自己的密碼,3%的人還會將密碼記在便利貼上。

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

以下我們分享更多駭客破解密碼統計:

106個黑莓機列入不得使用的蠢密碼(含 19 個男女英文名字)

name list

(如果太多密碼總是記不住,不妨來考慮使用PC-cillin 雲端版密碼管理e 指通功能)

《以上英文名字如有雷同,純屬巧合:D》延伸閱讀:駭客菜市場名入圍者: Robert

一向以安全性聞名的黑莓機,宣佈了 106 個無法在新一代黑莓機上設置的密碼,包含 19 個男女英文名字.

RIM (Research In Motion)黑莓手機母公司宣佈的 106 種密碼,其中包括了【Yahoo 遇駭,10大最駭密碼】和【LinkedIn被盜帳號的前30大常用密碼】都很受歡迎的「123456」之類的密碼,現在就來檢查一下,哪些是你以為天衣無縫,但是卻被黑莓機列為拒絕往來戶的傻瓜/危險密碼呢?請盡快更新吧.

Yahoo被駭前十大密碼
Yahoo被駭前十大密碼

Llinkedin前 30 大被駭密碼

Continue reading “臉書當萬用帳號,到處網購超方便?!幫好友回撥新門號,竟成網拍人頭戶 !….網拍購物安全小秘訣"

“無法區分詐騙信件"網路釣魚得逞關鍵-從 eBay外洩百萬個資談社交工程

 

國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。

隱私 DLP pivacy

如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。

根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。

 

社交工程在eBay入侵外洩事件中扮演重要角色 

如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ,這已經成為網路犯罪戰略的一部分:

  • 社交工程,也就是用欺騙的方式,現在網路犯罪分子著重於金錢更甚於出名,所以大量的加以使用。它可能會用各種的形式出現。趨勢科技TrendLabs的報告 – 「社交工程如何運作」強調了常用的招數,例如假的「必點」社群媒體文章,要求立即採取行動的可疑電子郵件,和賽季或節日相關的太過優惠促銷等。
  • 與此同時,員工並沒有接受足夠的安全意識培訓。一份來自Enterprise Management Associates在2014年的研究發現,有超過一半的工作者沒有接受任何的安全意識培訓(SAT)。該報告調查了各種規模企業的600人。沒有安全意識培訓,人們可能容易在不安全的地方輸入認證資料或點入惡意連結
  • 並不是只有一般網路犯罪份子會利用社交工程(social engineering 。國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。 

在eBay案例中,社交工程(social engineering 做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。

攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。

eBay外洩事件的長期影響:更多社交工程 

社交工程(social engineering 會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。

社交工程(social engineering 會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。

「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」

魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。

企業可以做些什麼來避免像eBay這樣的事件?

eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:

處理開放無線網路和公共熱點

開放的無線網路和公共熱點話題又再次地出現在新聞上,這有幾個原因。電子前線基金會(Electronic Frontier Foundation)發起了OpenWireless.org,一個開發路由器韌體的專案,提供開放無線網路給任何路由器範圍內的使用者。

安全 safty first

名義上,這除了可以提供網路給需要的人,也讓每個人更有網路隱私。因為任何人都可能使用開放無線網路上網,也就移除了個人身份和IP地址間的關聯。這將使得基於IP地址的監視和追蹤變得不可靠。

出發點可能是好的,但實際執行可能並不是個好主意。讓我們假設這它可以分開你的私人網路流量和開放無線網路流量。讓你自己的網路流量不會向外暴露,但這並不是唯一的風險。

讓什麼流向你的網路供應商是你的責任。你最後可能會陷入法律困境,如果有違法行為透過你的IP地址進行。被濫用的可能性非常高。「訪客」所造成的高頻寬使用率也可能吃掉你的傳輸量上限,導致月底被限速或造成高額連網費用

類似舉動也在其他國家嘗試過,像是RedLibre和Guifi專案(都在西班牙)。但採用者都相當有限。這些專案的實施方式可能有所不同,但最終,可能的風險都會讓使用者裹足不前,無論原本用意多麼良善。

另一個讓公共無線網路出現在新聞的故事是Comcast調整50,000名用戶的數據機成為住宅無線熱點。這熱點會獨立於任何使用者所建立的無線網路,提供給所有Comcast的用戶。在登入這公共熱點前,他們必須輸入他們的Comcast用戶名稱和密碼。

其他ISP也打算推出類似的公共無線熱點。這讓我的腦海浮現兩個問題。如果我是用戶,我應該選擇退出這個網路嗎?登入這些公共熱點安全嗎?讓我們先處理第一個問題。

理論上,這種情況帶給使用者的風險會遠小於純粹開放的無線網路。透過這熱點所消耗的資料量不會算在用戶的傳輸量上限。熱點被濫用將會是ISP的責任,而不是你。那就沒有危險了,對嗎?

並不盡然。從技術角度來看,最大的問題是分隔熱點和你自己的流量。不幸的是,當跟軟體漏洞有關時,無線路由器並沒有辦法很好的追蹤記錄。出現會向外暴露你網路的漏洞還是有可能的。

真正的風險是想使用這些熱點的人。上述有漏洞的韌體也會帶給潛在使用者風險:訪客的網路流量暴露給執行惡意路由器韌體的攻擊者是完全有可能的。這本來就是當你連到無法完全信任的網路時的風險。  Continue reading “處理開放無線網路和公共熱點"

針對 Word 和 Excel 檔案的病毒家族CRIGENT,利用Windows PowerShell執行惡意行為

利用Windows PowerShell感染 Word和 Excel檔案

惡意軟體已經針對 Word和 Excel檔案有好一段日子了,但趨勢科技最近看到一個新的惡意軟體家族 – CRIGENT(也被稱為「Power Worm」)帶來了一些新的技術。(趨勢科技將這些檔案偵測為W97M_CRIGENT.JERX97M_CRIGENT.A。)

最引人注意的並不是建立或包含可執行程式碼,而是 CRIGENT 利用Windows PowerShell來執行其程序。PowerShell是一個功能強大的互動式 shell/腳本工具,可用在Windows的所有現行版本上(而且從Windows 7開始內建);該惡意軟體會透過PowerShell腳本來進行所有行為。因為IT管理員通常會找的是惡意二進位檔而可能會忽略掉它,因為使用這種技術的惡意軟體並不常見。

到達及其他組件

這種威脅會透過一個受感染的Word或Excel文件到達,可能是由其他惡意軟體所植入,或是經由使用者下載/存取。一旦打開,它會馬上從兩個著名的網路匿名專案下載另外兩個組件:Tor 網路以及Polipo,一個個人網頁快取/代理伺服器。

攻擊者會去掩飾這兩個檔案(經由變更它們的檔名),並且隱藏DNS記錄來掩蓋這些檔案的來源。這些檔案放在正常的雲端檔案儲存服務上(在此案例中是Dropbox和OneDrive)。這些檔案的網址被隱藏在DNS記錄中。這是如何做到的?

他會存取兩個不同網域的DNS記錄,並且在每個網域內建立一個子網域。不過他沒有將子網域對應到任何特定的IP地址。相反地,他儲存文字在DNS記錄中,再特別去查詢TXT記錄。(為了逃避本地端的DNS攔截,他會直接查詢Google的公共DNS伺服器),Windows內執行的命令是:

  • nslookup -querytype=TXT {malicious domain} 8.8.8.8

每兩個查詢都會帶回字串,包含了指向正常雲端儲存供應商的網址。其中一個連結指向Dropbox,另外一個指向微軟OneDrive。對於檢查網路流量而沒有查看實際檔案的人來說,只會看到一對連向Google公共DNS伺服器的DNS查詢,並從兩個著名的雲端服務下載檔案。兩者都沒有什麼可疑之處。

命令與控制

利用已安裝的Tor和Polipo軟體,它會存取其命令和控制伺服器。它所用的網址包含兩個GUID,如下所示:

  • {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

 

奇怪的是,如果用缺少或不正確的GUID連上上述網站,C&C伺服器會出現下面這用德文所寫的輕微髒話:

 

圖一、C&C伺服器

Continue reading “針對 Word 和 Excel 檔案的病毒家族CRIGENT,利用Windows PowerShell執行惡意行為"

控制台元件(CPL)惡意軟體分析

在上個月,趨勢科技發表了一篇部落格文章,描述主控台惡意軟體正在經由惡意附件檔散播給巴西的使用者。我們持續地研究這些威脅,現在已經發表了一份標題為「控制台惡意軟體:惡意控制台元件」的研究報告,內容包括控制台元件(CPL)的結構和不法分子如何利用它來散播惡意軟體(主要出現在巴西)。

目前,此一特定威脅被普遍地用來在巴西散播銀行惡意軟體。通常這些使用者被寄送了一封包含惡意壓縮檔連結的金融相關郵件。當這檔案被解壓縮後,使用者會看到許多惡意CPL檔案。

圖一、典型CPL惡意軟體行為

在分析方面,研究CPL檔案基本上跟研究DLL檔案相同。不過和後者不同的是,它會在點兩下後自動執行。這就跟EXE檔案一樣,但沒有被教育過的使用者在不知情下比較容易會去執行CPL檔。大多數來自巴西的CPL惡意軟體是用Delphi所編寫,這是在該國相當普及的編程語言。

在巴西,用在銀行惡意軟體的CPL檔案幾乎和EXE檔案一樣常見,這兩種格式加起來,佔了2013年3月到11月在巴西所看到銀行惡意軟體的近90%。在過去兩年間(2012年和2013年),趨勢科技在該國偵測到近25萬的 CPL 惡意軟體。它已經成為巴西使用者和機構的一個顯著問題。

 

@原文出處:A Look Into CPL Malware作者:Fernando Mercês(資深威脅研究員)

網路威脅如何掩飾自己的流量

attack

  網路威脅已經進化到會嘗試去預先繞過分析和偵測。安全廠商每天所做出的進步,都會有網路犯罪份子加以反擊。拿Stuxnet做例子,為其他威脅開創使用LNK漏洞的方法。Conficker蠕蟲/DOWNAD讓網域生成演算法(DGA)變成流行。現在也被其他惡意軟體家族所使用,包括ZeroAccess和TDSS。 這些閃躲技術的目標很簡單:避免早期偵測和讓攻擊者可以建立目標電腦上的立足點。 在我們的報告 – 「網路偵測閃躲方法」裡,我們將討論威脅如何透過夾雜在正常網路流量中來阻礙偵測。包括連線到Google和微軟更新,還有流行即時通所產生的流量,像是Yahoo即時通。下面是一些我們所看到,會用這種方法來防止被偵測的遠端存取木馬(RAT):

  • FAKEM。這個遠端存取木馬通常出現在魚叉式網路釣魚郵件,被發現會將自己的網路通訊偽裝成Windows Live Messenger、Yahoo即時通和HTML等網路流量。
  • Mutator。或Rodecap,據稱和Stealrat殭屍網路有關。它會下載Stealrat模組或元件,並且在某些情況下,會假造自己的HTTP標頭,利用「google.com」來和正常流量混合在一起。

雖然名單並不是特別長,而且方法很簡單,這篇報告顯示出網路犯罪份子可以去適應並提升自己的技術能力。再次強調他們是如何不斷地改進自己的方法和策略,以繞過網路安全,企圖去接管系統,並且在安全研究人員前隱藏自己。想知道更多關於這些威脅的資訊,以及如何有效地偵測惡意網路流量,你可以參考完整的文章 – 「網路偵測閃躲方法:和正常流量混合」。

 

@原文出處:How Threats Disguise Their Network Traffic作者:Sabrina Sioting(威脅反應工程師)

偽裝成正常應用程式的Android廣告軟體越來越多

趨勢科技在八月的後幾週對幾個常見的Android應用程式商店的監測顯示,被偵測為ANDROIDOS_PLANKTON變種的應用程式數量在迅速地增加著。

ANDROIDOS_PLANKTON最初是由北卡羅萊納大學在兩個月前所發現的,因為它可以讓遠端使用者下載惡意檔案並執行指令而被注意著。這個發現也被稱為是「最大規模的Android惡意軟體爆發」,因為有數百萬應用程式含有類似PLANKTON的可疑程式碼。在我們的研究中,這類惡意程式的數量在8月19日至25日之間在Google Play上有所成長。

另一個從我們的監測中所看到值得注意的趨勢是,偽裝成正常應用程式的廣告軟體數量增加。廣告軟體會顯示多個廣告到被感染的設備上,好讓它的開發者獲取利潤。在這些網站上可以看到最多的廣告軟體是ANDROIDOS_ADWIZP,ANDROIDOS_AIRPUSH,ANDROIDOS_ADSWO,ANDROIDOS_LEADBOLT。

 

偽裝成正常應用程式的Android 廣告軟體越來越多

 

 

趨勢科技的客戶目前都已經受到保護, 趨勢科技行動安全防護for Android中文版會偵測這些惡意應用程式。可以防止這些惡意應用程式被安裝在行動設備上。

 

惡意軟體偽裝成Android應用程式在短時間內並不會消失。在這時候,使用者下載應用程式前要保持小心謹慎。注意應用程式和開發者的信譽評價對於保護行動裝置是有所幫助的。

想了解更多關於如何保護行動設備的資訊,可以參考底下的數位生活電子指南:

 

@原文出處:More Adware and PLANKTON Variants Seen in App Stores

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

@延伸:

164個仍在線上的Android廣告軟體,其中有專發送簡中的限制級廣告

以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能

熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大

Android – 更潮就更危險!六個Android 主要威脅與安全守則

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

假 Android 版本Skype,安裝後簡訊爆量,帳單暴增

了解Google Bouncer
Android裝置上的七種惡意軟體類型與排行
Android上的間諜軟體測試版會竊取簡訊
哪一種行動作業系統最合適企業?
[圖文解說]旅行中誰吸乾了你的智慧型手機電力?
安裝手機應用程式前要注意的三件事
2011下半年 Android 手機威脅月平均成長率高達 60%
惡意Android應用程式:看成人影片不付費,威脅公布個資
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu
智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

手機變成落湯"機"頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !

中國第三方應用商店提供下載的手機間諜軟體 想竊聽他人手機 當心被反竊聽
你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

惡意Android應用程式:看成人影片不付費,威脅公布個資

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

◎ 歡迎加入趨勢科技社群網站
   

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

作者:Jon Oliver(趨勢科技軟體架構總監)

 上禮拜的Java零時差漏洞已經被許多種漏洞攻擊包所用,包括大家所熟知的Blackhole漏洞攻擊包。

 在這篇文章中,我們會介紹在過去一週內所爆發的一些相關攻擊。趨勢科技主動式雲端截毒服務  Smart Protection Network中的自動化處理系統已經開始偵測這些攻擊,只要它們一出現就會加以封鎖。

 有許多種方法被用來將網路使用者導到藏有這些攻擊程式的網頁上,包括:

 

 

利用多種方式來將使用者導引到惡意網站,的確增加了攻擊成功的機會,也讓使用者所面臨的風險更大了。在垃圾郵件方面,我們看到四種被使用的社交工程陷阱( Social Engineering)誘餌: 

  1. 偽造的LinkedIn訊息
  2. 假防毒軟體通知
  3. 偽稱來自eFax的傳真
  4. 西聯匯款轉帳 Continue reading “Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌"

駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

作者:趨勢科技雲端安全副總裁Dave Asprey

 最近全世界的資安專家在議論紛紛的話題,就是有一百萬筆Apple設備的UDID被稱為AntiSec的組織給公布出來。(中文請參考:駭客入侵FBI探員電腦1200萬蘋果用戶個資外洩)駭客從保護不善的公司手上取得客戶資料已經不是新聞了,但如果是一個FBI探員的筆記型電腦被入侵,那就絕對是新聞。而且我們聽說它包含了超過一千兩百萬筆的設備ID,以及相關的個人資料。Antisec聲稱他們先刪除部分可供識別的資料後,將這一千兩百萬筆內的一百萬筆公布出來。不過也足以讓使用者確認自己是否在列表上。(編者注:請參考底下關於資料洩漏來源的更新資料。)

 以下根據AntiSec在pastebin的貼文: 

在2012年三月的第二個禮拜,FBI區域網路行動小組和紐約FBI辦公室證據反應小組的主管 – 特別探員Christopher K. Stangl所使用的Dell Vostro筆記型電腦被人利用Java內的AtomicReferenceArray漏洞給入侵了,透過shell session,從他的桌面資料夾下載了某些檔案,其中一個檔名為「NCFTA_iOS_devices_intel.csv」,結果是包含12367232筆Apple iOS設備的列表,包括唯一的設備識別碼(UDID)、使用者名稱、設備名稱、設備類型、Apple推播通知服務標記、郵遞區號、手機號碼和地址等,關於個人資料部分,許多欄位都是空的,讓整份列表看來並不完整,這資料夾中也沒有其他檔案有提到這份列表或它的目的。

你在名單上嗎?

 我的Apple i設備並不在這列表上,但不能保證FBI沒有我的設備ID,宣稱取得的一千兩百萬筆ID內,只有不到10%被公布出來。

 謝謝NextWeb,你可以輕鬆地檢查自己是否在這份設備列表中。

 

首先,取得你的UDID:

 第1步:將你的Apple i設備連接到你的電腦。

 第2步:在iTune內選擇你的設備。

 第3步:按一下「序號」,它會變成你的DiD

(或是看這裡的圖片教學)。

 然後,在Next Web免費工具上輸入你的UDID (不用全部):

 

駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中
駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

  Continue reading “駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中"

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

 替你的VMware環境解除「危機」

 在8月21日,有許多媒體報導一種會攻擊VMware虛擬機器的新病毒或惡意軟體。「Crisis」(又稱為Morcut)是在七月下旬就開始散播的新惡意軟體家族,曾經被許多防毒廠商所報導過,包括趨勢科技,主要是會感染Mac OSX機器。而安全研究人員最近發現,有些新的Crisis變種也會感染VMware虛擬機器和Windows Mobile系統。

 

下面是個實用的指南,能夠提供你在面對這類不明疑懼(FUD)事件時所該知道的資訊,以及在短期與長期階段所該做的事情。

 

先來複習一下,今日的虛擬化主要是透過兩種類型的虛擬主機管理程式(Hypervisor)佈署:

 

  • 第一類的虛擬主機管理程式部署 – 最明顯的例子是VMware ESX、Citrix XenSource等。可以將這類產品想成是替代一般主機作業系統(像Windows或Linux),直接在實體機器的硬體上執行。這種軟體就像是作業系統,可以直接控制硬體。管理程式再來同時執行多個虛擬機器。幾乎所有資料中心都是部署這類虛擬化產品。這類軟體並不會被這隻惡意軟體所攻擊。我也不知道實際上有那種在外流通的惡意軟體可以感染第一類虛擬主機管理程式。
  • 第二類的虛擬主機管理程式部署 – 例如VMware Workstation、VMware Player等,這類的虛擬主機管理程式是安裝在個標準的作業系統上(像Windows或Linux),再來執行多個虛擬機器。而這第二種類型是惡意軟體所會感染的。首先,主機作業系統先受到感染。可能是一次已知的Windows或Mac OS攻擊(所以要先偵測作業系統,然後安裝對應的可執行檔)。接著它會尋找VMDK檔案,並且利用虛擬主機工具(VMplayer)來感染虛擬機器。而這類型的感染是可以利用更新的防毒軟體來加以阻擋的。

 

即使這個受感染的虛擬機器被移動並執行在第一類虛擬主機管理程式(假設性的討論),它也會被限制在虛擬機器裡面,因為端點安全程式會防止虛擬機器間的網路流量以及I/O流量。

 

那麼,有什麼大不了的?

虛擬機器就跟實體機器一樣,沒有修補漏洞一樣會讓惡意軟體感染作業系統或是應用程式,或是會被針對使用者的社交工程攻擊成功。有兩件事讓「Crisis」顯得既新且獨特:

 

  • 首先,這惡意軟體會明確的尋找虛擬機器的存在,並試圖加以感染
  • 第二,它會透過底層基礎架構來感染虛擬機器,也就是透過修改vmdk檔案,而不是透過傳統手段,如遠端網路、網頁存取或檔案分享來進入虛擬機器。

 

除了這些有趣的特性之外,我們不認為這惡意軟體有立即性的威脅。在真實世界裡的發病率非常低(小於100個案例),所以它看來不會出現大規模的擴散,或有能力去迅速的散播。話雖如此,如果擔心的話,你還是應該採取一些預防措施:

 

  • 防護你的虛擬機器 – 你珍貴的應用程式和資料是所有攻擊的最終目標,「Crisis」只是讓目標更加明確。要確認在實體機器和虛擬主機上有防毒軟體或其他層次的保護以確保安全,例如趨勢科技Deep Security趨勢科技OfficeScan
  • 限制對VMDK檔案的存取 – 雖然「Crisis」只針對一般主機上的虛擬主機管理程式,而非資料中心。但根本的問題是,任何可存取vmdk檔案的人都可以對你的虛擬桌面或虛擬機器(包括vSphere或View)做出不好的事情。

 

 

@原文參考:Averting a ‘Crisis’ for your VMware environment作者:Warren Wu(資料中心事業群產品協理)

 

Morcut/Crisis(危機)病毒小檔案

Morcut/Crisis(危機)病毒會感染VMWare虛擬機器並且可以在多個系統平臺上運行傳播。Morcut/Crisis(危機)有以下兩點與普通病毒不同:

1、目標明確,它會搜索是否有虛擬機器存在並嘗試感染。

2、通過基礎架構對虛擬機器進行感染。例如通過修改.vmdk檔而不是通過傳統手段如遠端控制或檔共用的方法來入侵虛擬機器。

該病毒通過直接修改在HOST物理伺服器上的VMDK檔對虛擬機器進行感染。也就是說,如果某台HOST物理伺服器(Windows/MAC OS)感染了該病毒,且機器上安裝了VMWARE的工具(WORKSTATION、vSphere、View)等,則該機器有許可權訪問的虛擬機器,都有被感染的風險。感染病毒後,該虛擬機器會有資訊洩漏的風險同時被植入後門

該病毒對虛擬機器的傳播是依賴VMWARE提供的功能,不存在對漏洞的利用,所以一個被感染的VM並不會將病毒傳播到其他VM上。(但可能由於HOST物理伺服器感染,所以其他VM也會被感染)

該病毒的主要惡意行為為竊取資訊和後門,不管是在VM中還是在HOST物理伺服器中,病毒的行為都是一樣的。

 

惡意行為

最初,它是利用一個惡意的Java applet(被檢測為JAVA_MORCUT.A*)來抵達電腦。這個Java applet中包含的代碼會檢測目的電腦運行的是什麼作業系統。

在Mac系統上, Java applet會釋放並且運行OSX_MORCUT.A,該病毒的惡意行為與大多數Windows平臺上的後門程式類似。OSX_MORUCT.A具有最不尋常的行為是能夠打開系統麥克風,可能是為了進行資訊盜竊。

在Windows系統上,這個Java applet會釋放WORM_MORCUT.A。接著釋放其它若干檔,其中之一被檢測為WORM_MORCUT.A;另一些元件檔被檢測為RTKT_MORCUT.A**。它的主要功能是通過USB和虛擬機器進行傳播。它可以搜尋系統上的VMware虛擬磁片並且將自身的病毒副本釋放到虛擬機器中。Windows版本的MORCUT和Mac版本一樣,也能夠錄製音訊。

 

技術細節

被檢測為JAVA_MORCUT.A的JAVA applet會下載一個壓縮包,包含兩個檔:運行在MAC系統上的後門程式OSX_MORCUT.A和運行在Windows系統上的蠕蟲病毒(檢測為WORM_MORCUT.A)。接著,該檔會釋放以下組件檔:

 

Ÿ   IZsROY7X.-MP (32位DLL)定義為WORM_MORCUT.A

Ÿ   t2HBeaM5.OUk (64位DLL)定義為WORM_MORCUT.A

Ÿ   eiYNz1gd.Cfp

Ÿ   WeP1xpBU.wA (32位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   6EaqyFfo.zIK (64位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   lUnsA3Ci.Bz7 (32位DLL)非惡意文件

 

根據趨勢科技的初步分析,WORM_MORCUT.A具有透過USB設備和VMware虛擬磁片傳播的能力。它使用的驅動程式元件RTKT_MORCUT.A掛載到虛擬磁片上。雖然該病毒具有較強的傳播能力,但是我們沒有發現大量感染WORM_MORCUT.A和TROJ_MORCUT.A的情況。

 

注意

該病毒在感染過程中並不會利用漏洞。此外,只有VMWare的虛擬機器會受到該病毒的威脅,其他虛擬機器平臺不受影響。此外,幾乎所有的虛擬機器部署的資料中心不會受到影響。

 

解決方案

限制VMDK訪問 “危機”只針對主機的虛擬機器管理程式,而不是資料中心,它會使任何可以訪問.vmdk檔的程式在您的虛擬磁片或虛擬機器上執行惡意行為,其中包括vSphere或View。

保護您的虛擬機器 任何攻擊的最終目標是您有價值的應用程式和資料,“危機”的目標更為明確。確定是否安裝反病毒軟體和其他方面的安全產品來保護您伺服器和桌面的安全,如趨勢科技Deep Security趨勢科技OfficeScan

◎ 歡迎加入趨勢科技社群網站