重創網路犯罪集團,這件事比關閉駭客伺服器更重要!

趨勢科技檢視了三種不同規模的犯罪集團來了解它們與類似規模的合法企業在結構上有何差異。此外我們也說明了研究人員若對目標犯罪組織的規模和結構有所了解,將對其調查工作有何幫助。

解構現代三種網路犯罪組織


過去 20 年來,資安威脅情勢已有相當大的轉變,網路犯罪已經從以破壞為目的網路攻擊時代,演變出各種以獲利為目標的網路犯罪集團。

結果,企業現在面對的是一種全新類型的網路犯罪集團,他們彼此之間會激烈競爭,以便在利潤豐厚的市場中占有更大的一席之地。今日,駭客組織與合法企業在結構上已變得非常相似。根據我們的研究發現,隨著網路犯罪集團的營收和規模越來越大,他們的組織結構也變得更加複雜,因為在發展過程當中無可避免地會出現新的組織階層。

趨勢科技的研究報告「網路犯罪組織內部情況」(Inside the Halls of a Cybercrime Business,PDF 檔案請點我) 根據警方破獲的案例與內部知情人士的資訊,詳細研究了大、中、小型犯罪集團的內部結構。我們也將它們與傳統相似規模的企業對照,從中發掘有關這些犯罪組織的洞察。

此外,我們的報告也說明威脅研究人員與執法機關如何運用網路犯罪組織的內部結構資訊來協助他們進行調查工作。尤其,這樣的知識可引導他們發現一些對抗網路犯罪組織的關鍵資訊。

⭕️【資安大會 即將登場】,最不能錯過的超級品牌,立馬點選,一目瞭然
https://trend-tw.com/2Bm8a/趨勢科技主場議程

優先掌握 ➤ Trend Vision One 攻擊面風險管理,提高可視性,基於零信任架構,主動發掘威脅,搶先一步掌握防禦先機
https://trend-tw.com/OYK0U/安全團隊不再分身乏術

主題演講 ➤ 美國政府網路資安成熟度及實行零信任架構的實戰經驗
https://trend-tw.com/3Xxh4/台灣企業機構能學到什麼?

繼續閱讀

勒索病毒準備撈更大,新商業獲利模式,將讓企業更頭痛

勒索病毒集團及其商業模式未來勢必有別於今日的樣貌,本文摘要說明一些可能促使犯罪集團在短期之內做出小幅調整以及長期下去可能發生大幅變革的誘因。

勒索病毒商業模式:未來的發展和趨勢

現代化勒索病毒(勒索軟體,Ransomware) 攻擊已成為近年來企業可能面臨的最危險的網路資安事件之一,為此趨勢科技特別針對勒索病毒集團當前的現況及未來的可能發展方向進行一番研究。有鑑於除了勒索病毒之外,還有其他更賺錢的網路犯罪商業模式,而且影響此非法行業的地緣政治與經濟條件正在不斷變化,因此我們檢視了一些可能促使勒索病毒商業模式在設計和經營上發生變化的誘因。

本文摘要說明「勒索病毒商業模式的短期與長期未來」(The Near and Far Future of Ransomware Business Models) 報告當中詳述的一些促使勒索病毒服務 (RaaS) 集團對其當前營運方式進行小幅調整的可能誘因 (參閱「演變」一節)。此外,我們也檢視在更長遠的未來,當這些誘因及小幅演變逐漸累積之後,犯罪集團可能做出哪些更大的變革來追求其他潛在的長期目標 (參閱「變革」一節)。雖然該研究報告提出了五項關鍵因素,但本文只挑出其中三點來討論:

  • 當迫不得已,勒索病毒集團將改用其他犯罪商業模式 (不論線上或線下),例如:放空某股票然後散布假消息或其他型態的金融詐騙、變臉詐騙 (BEC)、虛擬加密貨幣竊盜等等,以便將突破防線的能力轉化成獲利。
  • 勒索病毒集團將進一步演化,並在攻擊過程當中導入更多自動化、改善營運安全 (OpSec)、開拓新的雲端與物聯網 (IoT) 攻擊目標。Linux 勒索病毒同樣也會繼續成長。
  • 虛擬加密貨幣犯罪將大幅成長,勒索病毒集團早晚會投入加密貨幣犯罪。
繼續閱讀

四種網路犯罪集團

本文探討當今最主要的四種網路犯罪集團:存取服務、勒索病毒服務、防彈主機代管,以及群眾外包,並提供一些協助您強化防禦策略的祕訣。

所謂「眾志成城」,同樣的道理也適用於網路犯罪集團。為了提高網路攻擊的成功率,專精不同領域的駭客集團已經開始聯合起來組成所謂的「網路犯罪服務」(Cybercrime as a Service,CaaS)。

我們看到駭客們正開始分工合作,各自負責整個攻擊程序的不同階段。這意味著,我們將看到駭客更少因為犯錯而被逮到,此外也預料,在一個受感染的網路當中,將出現多個犯罪集團同時存在的情況。

目前,CaaS 大致上可細分成四種:

若從事件回應團隊的角度來看,這意味著他們必須找出整起攻擊當中負責執行不同階段的不同駭客集團,這將使得攻擊的偵測及攔截變得更難。所以,如果能夠掌握駭客常用的手法、技巧與程序 (TTP),將有幫助於資安長 (CISO) 和資安領導人強化網路資安策略並降低風險。

繼續閱讀

駭客圈的《美國達人秀》,從懸賞到攻擊:有關網路犯罪競賽的一些觀察

從徵文到舉辦黑客松比賽,網路犯罪集團正透過群眾外包 (crowdsourcing) 方式來尋找更多攻擊系統的方式。這類競賽的優勝獎金正在節節攀升, 吸引了頂尖駭客,使得整個網路犯罪圈都變成了一個強大的研發團隊。本文提出我們的觀察並摘要說明這類競賽的成果。

網路犯罪集團已開始在論壇上舉辦各種競賽作為一種非正規的研發方法。
網路犯罪集團已開始在論壇上舉辦各種競賽作為一種非正規的研發方法。

網路犯罪集團已開始在論壇上舉辦各種競賽作為一種非正規的研發方法。本文提出我們對這類競賽的一些重要觀察。

這類競賽非常多元,從公開徵求介紹新技術的文章,到舉辦可強化其防禦的黑客松競賽,在我們的這篇文章當中都有詳細的說明。

以下是摘要列出該文章的重點:

  1. 📍網路犯罪經常將群眾外包當成一種研發方法,這種在網路犯罪論壇上舉辦的公開競賽,就好像是網路犯罪圈的《美國偶像》或《美國達人秀》節目一樣。
  2. 📍有別於傳統的XPRIZE競賽,網路犯罪圈不需要革命性的突破就能獲勝,只要能稍微領先今日的資安防禦,就能帶來龐大的中期效果。
  3. 📍長期下來,這類競賽就有可能衍生出某種革命性的突破。隨著競賽日益頻繁,就統計學上來看,競賽的優勝者必定會越來越有創意,總有一天會幫網路犯罪產業帶來突破性的進展,這就是所謂「黑天鵝」效應。
繼續閱讀

CopperStealer 散播惡意的 Chromium 瀏覽器擴充功能竊取加密貨幣

趨勢科技一直在持續追蹤 CopperStealer 駭客集團的最新發展,這次它利用一個惡意的 Chromium 瀏覽器擴充功能來竊取虛擬加密貨幣和使用者錢包的帳號資訊。

我們曾經發布一些有關 CopperStealer 駭客集團的分析,指出他們會透過瀏覽器資訊竊取器瀏覽器廣告擴充功能或是遠端桌面來散播惡意程式。最近我們在追蹤他們的最新動態時發現,該集團正利用一個可產生和竊取 API 金鑰的惡意瀏覽器擴充功能,在被感染的電腦上趁著使用者登入一些主流虛擬加密貨幣交易所網站時,竊取 API 金鑰。有了 API 金鑰,擴充功能就可以使用者的名義執行虛擬加密貨幣交易,將虛擬加密貨幣從使用者的錢包發送到駭客的錢包。

如同先前的作法,這個新的惡意元件同樣也是經由假盜版軟體網站散播。此元件散播時通常會包含一個植入器和一個瀏覽器資訊竊取器,並與其他不相干的惡意程式打包在一起,接著再壓縮成一個密碼保護的壓縮檔,從今年 7 月開始在網路上散播。

植入器/擴充功能安裝程式


此元件在第一階段使用了我們先前一篇貼文中提到的同一個加密器,接著在第二階段中,解密後的 DLL 使用了 Ultimate Packer Executables (UPX) 來壓縮。在經過解密和解壓縮之後,我們發現一個名為「CRX」的資源目錄,裡面含有一個 7-Zip 壓縮檔。這是惡意的 Chrome 瀏覽器擴充功能經常使用的包裝方式。

圖 1:名為 CRX 的擴充功能安裝程式內含一個 7-Zip 壓縮檔。


圖 1:名為 CRX 的擴充功能安裝程式內含一個 7-Zip 壓縮檔。

壓縮檔內含一個 JSON 格式的設定檔,以及另一個 7-Zip 壓縮檔,裡面是擴充功能安裝程式本身的程式碼。

圖 2:CRX 解壓縮後的內容。


擴充功能安裝程式首先會修改 Chromium 瀏覽器的「User Data」目錄下的「 Preferences」和「 Secure Preferences」兩個檔案。 Preferences 是一個 JSON 格式檔案,內含個別使用者設定。擴充功能安裝程式會關閉瀏覽器通知。

另外,Secure Preferences 也是一個 JSON 格式檔案,內含新安裝擴充功能的設定。由於是新安裝的擴充功能,所以「 crx.json」檔案的內容會被插入這個 Secure Preferences 設定檔中。此外,新安裝的擴充功能也會被加入系統登錄中的擴充功能安裝允許清單。

接著,「crx.7z 」壓縮檔會解開到擴充功能目錄「<User Data\Default\Extension>」之下。最後,瀏覽器會重新啟動,好讓新安裝的擴充功能啟用。根據我們的分析,此惡意元件會攻擊下列以 Chromium 為基礎所開發出來的瀏覽器:

  • Chrome
  • Chromium
  • Edge
  • Brave
  • Opera
  • Cốc Cốc
  • CentBrowser
  • Iridium
  • Vivaldi
  • Epic
  • Coowon
  • Avast Secure Browser
  • Orbitum
  • Comodo Dragon

同時,我們也發現安裝在受害者瀏覽器的惡意擴充功能包含兩個不同的擴充功能識別碼 (ID),但這兩個都沒列在官方的 Chrome Web Store 上:

  • cbnmkphohlaaeiknkhpacmmnlljnaedp
  • jikoemlnjnpmecljncdgigogcnhlbfkc

擴充功能分析


擴充功能安裝好後,我們將在 「 chrome://extensions/」看到以下這個新安裝的惡意擴充功能。


圖 3:新安裝的惡意擴充功能。

擴充功能的 manifest 文件定義了兩個 JavaScript 腳本。其中,背景腳本的檔名為「 background.js」,它會在擴充功能本身內部執行,而且只執行一份。另一個是內容腳本,檔名為「 content.js」,它會在 coinbase.com 環境 (context) 內執行,這一點從擴充功能的 manifest 文件中可以看到。


圖 4:擴充功能的 manifest 文件中有關內容腳本的設定。

腳本加密編碼

這兩個 JavaScript 腳本都經過多道加密編碼手續。第一道加密編碼會將所有的字串拆成較小的字串,並儲存成單一陣列,存取此陣列時要呼叫多個使用十六進位字元命名的函式,並輸入 5 個十六進位整數作為參數。

圖 5:第一道加密編碼。


第二道加密編碼會將所有字串、邏輯運算子 (+, -, *, /)、函式呼叫等等,插入一個物件陣列當中。每個物件含有一個隨機字串作為名稱,以及一個字串或函式作為數值。在我們分析的樣本中,「 _0x1f27e3[‘PFPYr’]」對應到字串「set」,而「 _0x1f27e3[‘LYLfc’](0,1) 」則對應到邏輯運算敘述「0!=1」。


圖 6:第二道加密編碼。

以上兩道加密編碼都能使用客製的自動化腳本來解開。


背景腳本分析


藉由分析這個腳本,我們就可以看出駭客如何竊取合法虛擬加密貨幣錢包使用者的帳戶資訊。當此擴充功能啟動時,背景腳本會發出兩個網路請求。第一個是 GET 請求,目標網址為「 http://<C&C server>/traffic/chrome」,這可能是作為統計用途。第二個是 POST 請求,目標網址為「 http:// <C&C server>/traffic/domain」,請求中的資料包含一份虛擬加密貨幣網站的網域清單 (根據受害電腦上的 cookie):

  • blockchain.com
  • coinbase.com
  • binance.com
  • ftx.com
  • okex.com
  • huobi.com
  • kraken.com
  • poloniex.com
  • crypto.com
  • bithumb.com
  • bitfinex.com
  • kucoin.com
  • gate.io
  • tokocrypto.com
  • tabtrader.com
  • mexc.com
  • lbank.info
  • hotbit.io
  • bit2me.com
  • etoro.com
  • nicehash.com
  • probit.com

接下來,擴充功能會定義一個陣列,裡面存放駭客的各種虛擬加密貨幣位址和 Token:

  • Tether (USDT,確切來說是 Ethereum ERC20 和 TRON TRC20)
  • Ethereum (ETH)
  • Bitcoin (BTC)
  • Litecoin (LTC)
  • Binance coin (BNB)
  • Ripple (XRP)
  • Solana (SOL)
  • Bitcoin Cash (BCH)
  • Zcash (ZEC)
  • Stellar Lumens (XLM)
  • Dogecoin (DOGE)
  • Tezos (XTZ)
  • Algorand (ALGO)
  • Dash (DASH)
  • Cosmos (ATOM)

針對 ETH (乙太幣) 位址,該腳本當中寫死了大約 170 個額外的 ERC20 Token。隨後,擴充功能啟動 onMessage 監聽器 (listener) 來監聽擴充功能處理程序或內容腳本所發送的訊息。此訊息使用的是 JSON 格式,其中一個數值的名稱為「method」(方法)。背景腳本會監聽以下方法:

  • homeStart」方法

這個方法會試圖從 Chrome 的本機儲存讀取 API 金鑰 (apiKey) 與 API 機密 (apiSecret),如果這些金鑰/機密之前曾經儲存在本機上的話。這些參數用於以下步驟:

  • 使用 API 來取得有關錢包、位址及餘額的資訊 (發送「/api/v2/accounts」請求)。回傳的結果會傳送給 C&C 伺服器:http://<C&C server>/traffic/step。
  • 如果請求成功,API 會傳送「okApi」訊息給內容腳本,並開始解讀錢包資訊。如果錢包內的餘額非零,就將其中 85% 的餘額發送至駭客的錢包。
圖 7:尋找餘額非零的錢包。


圖 8:竊取 85% 的帳戶餘額。


交易請求回傳的結果也會傳送給 C&C 伺服器:http://<C&C server>/traffic/step。

  • 如果交易不成功,API 會發送一個「errorApi」訊息給內容腳本。這個「errorApi」訊息內含一個來自 https://www.coinbase.com/settings/api 的 CSRF Token 作為其中一個參數以及一個給「產生新 API 金鑰」請求的回應。
  • createApi」方法

這個訊息是從內容腳本所收到,內容含有一個雙重認證 (2FA) 碼作為其中一個參數。此認證碼用來開啟一個新的對話視窗以產生 API 金鑰。通常,當您在 Coinbase API 設定中點選「+New API Key」(新增 API 金鑰) 時,您會看到一個雙重認證要求,如果您輸入的認證碼正確,就會出現這個對話視窗。

在產生新 API 金鑰的第二個步驟中,您必須選擇錢包及權限。惡意擴充功能會要求您提供所有可用帳戶的所有權限。

圖 9:選取所有的帳戶和權限。


接著,您必須再輸入一個認證碼,然後會出現一個表單顯示新產生的 API 金鑰。如果成功,背景腳本接著會從「API key details」表單擷取這兩個 API 金鑰 (API Key 和 API Secret),將它們儲存到 Chromium 瀏覽器的本機儲存以供後續使用,並傳送至幕後操縱伺服器: http://<C&C server>/traffic/step。如果 API 認證不成功,就會發送「retryApi」訊息給內容腳本。

內容腳本分析


我們進一步分析了內容腳本當中負責竊取受害者雙重認證密碼的程式碼。內容腳本當中含有一系列語言的訊息,包括下列語言: 

  • 英文 (en)
  • 德文 (de)
  • 西班牙文 (es)
  • 法文 (fr)
  • 日文 (jp)
  • 印尼文 (id)
  • 義大利文 (it)
  • 波蘭文 (pl)
  • 葡萄牙文 (pt)
  • 俄羅斯文 (ru)
  • 泰文 (th)
  • 土耳其文 (tr)

每個訊息都包含標題、說明以及針對手機和認證器的錯誤訊息。

舉例來說,以下是針對手機的英文訊息:

  • 標題:「Please enter the verification code from your phone.」(請輸入您手機收到的認證碼。)
  • 說明:「Enter the two-step verification code provided by SMS to your phone.」(請輸入發到您手機簡訊的兩步驟認證碼。)
  • 錯誤訊息:「That code was invalid.Please try again.」(認證碼無效,請再試一次。)

以下是針對認證器的英文訊息:

  • 標題:「Please enter the verification code from your authenticator.」(請輸入您認證器上顯示的認證碼。」
  •  說明:「Enter the 2-step verification code provided by your authentication app.」(請輸入您認證程式提供的兩步驟認證碼。)
  •  錯誤訊息:「That code was invalid.Please try again.」(認證碼無效,請再試一次。)

內容腳本一開始會先發送請求至「 /api/v3/brokerage/user_configuration」來看看使用者是否已經登入。接著,內容腳本會發送一個「homeStart」訊息給背景腳本,並開始利用 onMessage 來監聽含有「method」屬性的訊息,如同背景腳本的作法一樣。如果收到的訊息「method」屬性等於「okApi」,就會隱藏認證碼載入器並移除對話視窗。如果收到的訊息「method」屬性等於「errorApi」,就會建立一個對話視窗。

圖 10:要求輸入認證碼的對話視窗。


這個對話視窗上含有幾個輸入方塊,並且會監聽 oninput  事件。當每個輸入方塊都填入數字時,這些數字會拼湊在一起並寫入「tfa」變數 (雙重認證碼) 並當成「createApi」訊息的參數,發送至背景腳本。然後也會顯示認證碼載入器。

對話視窗有 6 個輸入方塊可輸入 6 位數,這是在使用認證器的情況。如果受害者使用的是手機簡訊認證,那麼認證碼會是 7 位數,此時對話視窗會出現 7 個輸入方塊。這部分的邏輯是寫在對話視窗的程式碼內。如果收到的訊息「method」屬性等於「retryApi」,那程式碼會刪除所有已輸入的數字,並以紅色顯示錯誤訊息。


圖 11:認證碼輸入之後出現錯誤訊息。

結論


CopperStealer 犯罪集團短期內似乎毫無收手的跡象,我們將持續監控他們的一舉一動,看看他們如何攻擊更多不知情的受害者。我們這次在分析惡意擴充功能的行為時,發現這個擴充功能與之前的 CopperStealer 惡意程式有許多相似之處,其中一個就是這個擴充功能與 CopperStealer 都是經由相同的植入器散播,同時也透過前面提到的相同管道。

另一個極為相似的地方是,這個惡意擴充功能的 C&C 伺服器網域與先前版本的 CopperStealer 所用的網域名稱擁有相同格式,應該都是由網域產生演算法 (DGA) 所產生,格式為 16 個十六進位字元組成的字串。不僅如此,兩者的 C&C 伺服器也都是使用一個名為「CodeIgniter」的 PHP 程式框架所建立。這些就是 CopperStealer 惡意程式與此擴充功能背後的開發及經營者可能有所關聯的線索。

企業和一般使用者應養成從官方平台下載軟體、應用程式及更新的習慣,就能防範 CopperStealer 這類惡意程式的威脅和風險。建議您的團隊最好讓資安解決方案隨時保持更新,以確保它們能妥善保護系統,偵測並防範各種可能的攻擊和感染。

入侵指標 (IoC)


如需完整的入侵指標 (IoC),請參閱 這份文件

原文出處: CopperStealer Distributes Malicious Chromium-based Browser Extension to Steal Cryptocurrencies 作者:Jaromir Horejsi 與 Joseph C Chen