控制台元件(CPL)惡意軟體分析

在上個月,趨勢科技發表了一篇部落格文章,描述主控台惡意軟體正在經由惡意附件檔散播給巴西的使用者。我們持續地研究這些威脅,現在已經發表了一份標題為「控制台惡意軟體:惡意控制台元件」的研究報告,內容包括控制台元件(CPL)的結構和不法分子如何利用它來散播惡意軟體(主要出現在巴西)。

目前,此一特定威脅被普遍地用來在巴西散播銀行惡意軟體。通常這些使用者被寄送了一封包含惡意壓縮檔連結的金融相關郵件。當這檔案被解壓縮後,使用者會看到許多惡意CPL檔案。

圖一、典型CPL惡意軟體行為

在分析方面,研究CPL檔案基本上跟研究DLL檔案相同。不過和後者不同的是,它會在點兩下後自動執行。這就跟EXE檔案一樣,但沒有被教育過的使用者在不知情下比較容易會去執行CPL檔。大多數來自巴西的CPL惡意軟體是用Delphi所編寫,這是在該國相當普及的編程語言。

在巴西,用在銀行惡意軟體的CPL檔案幾乎和EXE檔案一樣常見,這兩種格式加起來,佔了2013年3月到11月在巴西所看到銀行惡意軟體的近90%。在過去兩年間(2012年和2013年),趨勢科技在該國偵測到近25萬的 CPL 惡意軟體。它已經成為巴西使用者和機構的一個顯著問題。

 

@原文出處:A Look Into CPL Malware作者:Fernando Mercês(資深威脅研究員)

網路威脅如何掩飾自己的流量

attack

  網路威脅已經進化到會嘗試去預先繞過分析和偵測。安全廠商每天所做出的進步,都會有網路犯罪份子加以反擊。拿Stuxnet做例子,為其他威脅開創使用LNK漏洞的方法。Conficker蠕蟲/DOWNAD讓網域生成演算法(DGA)變成流行。現在也被其他惡意軟體家族所使用,包括ZeroAccess和TDSS。 這些閃躲技術的目標很簡單:避免早期偵測和讓攻擊者可以建立目標電腦上的立足點。 在我們的報告 – 「網路偵測閃躲方法」裡,我們將討論威脅如何透過夾雜在正常網路流量中來阻礙偵測。包括連線到Google和微軟更新,還有流行即時通所產生的流量,像是Yahoo即時通。下面是一些我們所看到,會用這種方法來防止被偵測的遠端存取木馬(RAT):

  • FAKEM。這個遠端存取木馬通常出現在魚叉式網路釣魚郵件,被發現會將自己的網路通訊偽裝成Windows Live Messenger、Yahoo即時通和HTML等網路流量。
  • Mutator。或Rodecap,據稱和Stealrat殭屍網路有關。它會下載Stealrat模組或元件,並且在某些情況下,會假造自己的HTTP標頭,利用「google.com」來和正常流量混合在一起。

雖然名單並不是特別長,而且方法很簡單,這篇報告顯示出網路犯罪份子可以去適應並提升自己的技術能力。再次強調他們是如何不斷地改進自己的方法和策略,以繞過網路安全,企圖去接管系統,並且在安全研究人員前隱藏自己。想知道更多關於這些威脅的資訊,以及如何有效地偵測惡意網路流量,你可以參考完整的文章 – 「網路偵測閃躲方法:和正常流量混合」。

 

@原文出處:How Threats Disguise Their Network Traffic作者:Sabrina Sioting(威脅反應工程師)

偽裝成正常應用程式的Android廣告軟體越來越多

趨勢科技在八月的後幾週對幾個常見的Android應用程式商店的監測顯示,被偵測為ANDROIDOS_PLANKTON變種的應用程式數量在迅速地增加著。

ANDROIDOS_PLANKTON最初是由北卡羅萊納大學在兩個月前所發現的,因為它可以讓遠端使用者下載惡意檔案並執行指令而被注意著。這個發現也被稱為是「最大規模的Android惡意軟體爆發」,因為有數百萬應用程式含有類似PLANKTON的可疑程式碼。在我們的研究中,這類惡意程式的數量在8月19日至25日之間在Google Play上有所成長。

另一個從我們的監測中所看到值得注意的趨勢是,偽裝成正常應用程式的廣告軟體數量增加。廣告軟體會顯示多個廣告到被感染的設備上,好讓它的開發者獲取利潤。在這些網站上可以看到最多的廣告軟體是ANDROIDOS_ADWIZP,ANDROIDOS_AIRPUSH,ANDROIDOS_ADSWO,ANDROIDOS_LEADBOLT。

 

偽裝成正常應用程式的Android 廣告軟體越來越多

 

 

趨勢科技的客戶目前都已經受到保護, 趨勢科技行動安全防護for Android中文版會偵測這些惡意應用程式。可以防止這些惡意應用程式被安裝在行動設備上。

 

惡意軟體偽裝成Android應用程式在短時間內並不會消失。在這時候,使用者下載應用程式前要保持小心謹慎。注意應用程式和開發者的信譽評價對於保護行動裝置是有所幫助的。

想了解更多關於如何保護行動設備的資訊,可以參考底下的數位生活電子指南:

 

@原文出處:More Adware and PLANKTON Variants Seen in App Stores

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

@延伸:

164個仍在線上的Android廣告軟體,其中有專發送簡中的限制級廣告

以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能

熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大

Android – 更潮就更危險!六個Android 主要威脅與安全守則

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

假 Android 版本Skype,安裝後簡訊爆量,帳單暴增

了解Google Bouncer
Android裝置上的七種惡意軟體類型與排行
Android上的間諜軟體測試版會竊取簡訊
哪一種行動作業系統最合適企業?
[圖文解說]旅行中誰吸乾了你的智慧型手機電力?
安裝手機應用程式前要注意的三件事
2011下半年 Android 手機威脅月平均成長率高達 60%
惡意Android應用程式:看成人影片不付費,威脅公布個資
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu
智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

手機變成落湯”機”頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !

中國第三方應用商店提供下載的手機間諜軟體 想竊聽他人手機 當心被反竊聽
你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

惡意Android應用程式:看成人影片不付費,威脅公布個資

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

◎ 歡迎加入趨勢科技社群網站
   

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

作者:Jon Oliver(趨勢科技軟體架構總監)

 上禮拜的Java零時差漏洞已經被許多種漏洞攻擊包所用,包括大家所熟知的Blackhole漏洞攻擊包。

 在這篇文章中,我們會介紹在過去一週內所爆發的一些相關攻擊。趨勢科技主動式雲端截毒服務  Smart Protection Network中的自動化處理系統已經開始偵測這些攻擊,只要它們一出現就會加以封鎖。

 有許多種方法被用來將網路使用者導到藏有這些攻擊程式的網頁上,包括:

 

 

利用多種方式來將使用者導引到惡意網站,的確增加了攻擊成功的機會,也讓使用者所面臨的風險更大了。在垃圾郵件方面,我們看到四種被使用的社交工程陷阱( Social Engineering)誘餌: 

  1. 偽造的LinkedIn訊息
  2. 假防毒軟體通知
  3. 偽稱來自eFax的傳真
  4. 西聯匯款轉帳 繼續閱讀

駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

作者:趨勢科技雲端安全副總裁Dave Asprey

 最近全世界的資安專家在議論紛紛的話題,就是有一百萬筆Apple設備的UDID被稱為AntiSec的組織給公布出來。(中文請參考:駭客入侵FBI探員電腦1200萬蘋果用戶個資外洩)駭客從保護不善的公司手上取得客戶資料已經不是新聞了,但如果是一個FBI探員的筆記型電腦被入侵,那就絕對是新聞。而且我們聽說它包含了超過一千兩百萬筆的設備ID,以及相關的個人資料。Antisec聲稱他們先刪除部分可供識別的資料後,將這一千兩百萬筆內的一百萬筆公布出來。不過也足以讓使用者確認自己是否在列表上。(編者注:請參考底下關於資料洩漏來源的更新資料。)

 以下根據AntiSec在pastebin的貼文: 

在2012年三月的第二個禮拜,FBI區域網路行動小組和紐約FBI辦公室證據反應小組的主管 – 特別探員Christopher K. Stangl所使用的Dell Vostro筆記型電腦被人利用Java內的AtomicReferenceArray漏洞給入侵了,透過shell session,從他的桌面資料夾下載了某些檔案,其中一個檔名為「NCFTA_iOS_devices_intel.csv」,結果是包含12367232筆Apple iOS設備的列表,包括唯一的設備識別碼(UDID)、使用者名稱、設備名稱、設備類型、Apple推播通知服務標記、郵遞區號、手機號碼和地址等,關於個人資料部分,許多欄位都是空的,讓整份列表看來並不完整,這資料夾中也沒有其他檔案有提到這份列表或它的目的。

你在名單上嗎?

 我的Apple i設備並不在這列表上,但不能保證FBI沒有我的設備ID,宣稱取得的一千兩百萬筆ID內,只有不到10%被公布出來。

 謝謝NextWeb,你可以輕鬆地檢查自己是否在這份設備列表中。

 

首先,取得你的UDID:

 第1步:將你的Apple i設備連接到你的電腦。

 第2步:在iTune內選擇你的設備。

 第3步:按一下「序號」,它會變成你的DiD

(或是看這裡的圖片教學)。

 然後,在Next Web免費工具上輸入你的UDID (不用全部):

 

駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中
駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

  繼續閱讀