從駭客角度看資安: 四個來自網路犯罪集團的令人訝異的發現 

今日企業對於網路資安絕對不能心存僥倖,因為只要被駭客找到一個小小破口,就可能危及企業存亡。不過在企業強化駭客防禦的同時,其實不妨從另一個角度看看駭客對資安防護有何看法。

澳洲資訊分析軟體公司 Nuix 在 2016 年拉斯維加斯舉行的 DEFCON 駭客大會上做了一份名為「 The Black Report」(黑色報告) 的調查。這份調查的對象不是企業決策者、IT 主管或資安系統管理員,而是駭客。

全新觀點

這份調查令資安界耳目一新,因為絕大多數的研究都是以 IT 人員為對象,當然這也很重要,但若能從駭客的角度來看待資安這件事,倒也是個不錯的觀點。

除了訪問網路駭客之外,The Black Report 還訪問了專門從事滲透測試工作的人員。根據其中一位測試人員表示,他們所做的事情,基本上與駭客無異,只不過他們的工作是合法的。這份問卷調查總共訪問了 70 位駭客與滲透測試人員 (後者亦稱為「白帽駭客」)。

以前曾經當過駭客、但目前擔任 Rhino Security Labs 評估總監的 Hector Monsegur 接受 TechTarget 的訪問時表示,這類調查絕對有其必要,因為這樣能夠發掘一些不論對個人或企業都有所幫助的資安細節

「駭客通常能在短短的 24 小時內強行入侵。」

Monsegur 向 TechTarget 表示:「能夠發掘 [駭客和滲透測試] 人員的想法以及他們突破資安防線的經驗,是不錯的第一步。縱然 DEFCON、Black Hat、HackInTheBox 等等的研討會提供了不錯的管道讓研究人員發表漏洞相關的資訊、方法與技巧,但事實上,絕大多數人根本不知如何取得這些內容,甚至不知道這些內容存在。」

四個來自網路犯罪集團的令人訝異的發現

這種另類研究還有一項好處是有機會看看駭客的想法與 IT 專業人士及其他企業受害者的想法有何落差。

Nuix 資安長 Chris Pogue 表示:「了解歹徒的想法和作法相當重要,防守的一方越能掌握狀況,就越能做好準備。」

我們發現某些觀點和大家以往對網路資安策略的想法互相牴觸,以下是一些令人訝異的研究發現:

  1. 入侵所需的時間越來越短:一項最令人訝異的數據是,今日駭客入侵目標系統所需的時間相當短。根據 Nuix 指出,企業大約要過了 250 至 300 天之後才會發覺自己發生資料外洩,但是駭客通常能在短短的 24 小時內強行入侵並偷走資料。事實上,這項調查還發現,大約有三分之一受害企業從未發現自己受到攻擊。Pogue 總結說:「企業必須從人員和技術雙重管道下手,來提升資料外洩的偵測和矯正能力。」
  2. 某些傳統的防護已經失效:這項調查也發現,儘管一般人都信賴像防火牆和防毒產品這類傳統的防護技術,但駭客表示這些防護幾乎不影響他們的攻擊速度。所幸,端點防護證實還能夠發揮阻礙駭客的效果。
  3. 駭客並非每次都使用相同的伎倆:一般人認為駭客一旦發現某項伎倆得逞,就會持續使用相同的攻擊方法,但其實不然。該調查發現,50% 以上的網路駭客在面對每個新的目標時都會更換手法。這表示駭客有可能使用我們從未見過的方法,因此那些針對過去攻擊手法的防護根本阻擋不了新式的攻擊。此外,這也會讓企業遭到零時差漏洞攻擊的機會增加。
  4. 漏洞攻擊套件並不如專家想像的那樣受到歡迎:同樣令研究人員訝異的一點是,漏洞攻擊套件並非歹徒用來策動攻擊的首選工具。事實上,多數的駭客 (72%) 都是利用社交工程技巧先蒐集情報再策動攻擊,僅有 3% 的攻擊會使用商用軟體工具和漏洞攻擊套件。絕大部分駭客偏愛開放原始碼工具 (60%) 或客製化工具 (21%)。

Continue reading “從駭客角度看資安: 四個來自網路犯罪集團的令人訝異的發現 “

駭客竟是養豬戶? 檢視 Winnti 駭客組織

趨勢科技之前的一篇文章中討論過中國駭客組織Winnti如何利用GitHub來散播惡意軟體,這種發展顯示出該集團已經進化,開始運用跟之前攻擊遊戲、製藥和電信公司時不同的戰術。透過本文,我們會仔細檢視跟Winnti集團有關的對象,希望提供一般使用者和企業對這些惡意分子所利用和運作工具(尤其是伺服器基礎設施)有更多的了解。

搜尋網域註冊來找線索

惡意分子通常會註冊和使用多個網域,以便將他們的惡意軟體分散到不同的命令和控制(C&C)伺服器。註冊網域都會需要某些識別資訊:實體或郵寄地址、電子郵件地址和電話號碼。在這之中,需要有效的電子郵件地址,因為註冊商需要寄信給新網域擁有者來確認購買,同時也是控制網域所需的資訊。

大多數詐騙分子會建立一次性電子郵件地址或使用偷來的電子郵件地址,這兩者都很容易建立或取得。但隨著時間久了,詐騙分子在註冊新網域時也會疲於改變資料,犯下重複使用電子郵件地址的錯誤。

仔細分析這惡意分子在2014年到2015年間的網域註冊可以識別出有一組身分被用來註冊多個網域,作為Winnti集團所使用特定惡意軟體的C&C伺服器。具體地說,我們收集到暱稱Hack520的詳細資料,認定他跟Winnti有關。

Winnti集團是誰?

Winnti惡意軟體背後的集團(我們就稱之為Winnti集團)起初是傳統的網路詐騙者,同時具備駭客技術能力來進行金融詐騙。根據他們所註冊網域的使用情況,這集團一開始是在2007年進行假(流氓)防毒產品的生意。在2009年,Winnti集團轉移目標到韓國的遊戲公司,使用自製的資料和檔案竊取惡意軟體。

這集團的主要動機是為了錢,特色是會用自主研發的特製工具來進行攻擊。他們曾經攻擊遊戲伺服器來非法取得遊戲內的金幣(「遊戲黃金」也具備現實世界的價值)和偷走網路遊戲專案的程式碼。這團體還會竊取數位憑證,用來簽署自己的惡意軟體以達到不被偵測的效果。這Winnti集團的目標很多元,包括製藥和電信等企業。這集團因為進行針對性攻擊/鎖定目標攻擊(Targeted attack )相關惡意活動而被關注,如部署魚叉式釣魚攻擊(SPEAR PHISHING)建立後門

在研究Winnti集團的過程中,趨勢科技發現沒被回報過的惡意軟體可以歸因到此團體,因為這惡意軟體所用的程式庫和攻擊用基礎設施所用的註冊網域。這些樣本還讓我們找出更多的C&C伺服器,得到比原本預計更多的資訊。

仔細檢視Hack520

對Hack520所註冊網域的初步調查顯示,有類似網域(如下)使用其他身分註冊。

  • hack520[.]co[.]kr
  • shaiya[.]kr
  • zhu[.]kr
  • shenqi[.]kr
  • zhuxian[.]kr

其中有數個網域都跟Winnti惡意分子所使用的惡意軟體有關聯。令人驚訝的是,不用花多長時間就可以取得關於Hack520的資訊:有人用這暱稱經營部落格,一個Twitter帳號(使用類似Hack520的暱稱)也直接連結到這部落格。

Hack520的Twitter帳號
圖1、Hack520的Twitter帳號

Continue reading “駭客竟是養豬戶? 檢視 Winnti 駭客組織”

號稱可入侵各種系統的駭客工具被公開 ,企業該注意什麼?

一個名叫「Shadow Brokers」的駭客團體在網路上公開了許多針對 Microsoft Windows 系統和伺服器的駭客工具和漏洞。其中有些工具據稱是專門針對全球金融機構。此駭客團體去年原本將這批偷來的惡意程式拿到網路上販賣,可能是銷售狀況不如預期,因此後來便開始逐批公開到網路上。

Shadow Brokers 最近一批公開的惡意程式可讓駭客入侵各種系統 (包括 Linux)、網路及防火牆。

哪些平台和系統受到影響?

根據趨勢科技初步分析,目前已知這批惡意程式當中包含了 35 個資料竊取木馬程式,同時也包含針對多種系統和伺服器的漏洞攻擊,還有一個可用來攻擊網路漏洞的套件叫做 Fuzzbunch (類似 Metasploit 滲透測試工具套件所扮演的角色)。

以下是這批工具攻擊的一些漏洞:

  • CVE-2008-4250 (代號「EclipsedWing」,Microsoft 在 2008 年 10 月的 MS08-67 安全性公告當中已經修補)。
  • CVE-2009-2526、CVE-2009-2532 和 CVE-2009-3103 (代號「EducatedScholar」,Microsoft 在 2009 年 10 月的 MS09–050 安全性公告當中已經修補)。
  • CVE-2010-2729 (代號「EmeraldThread」,Microsoft 在 2010 年 9 月的 MS10-061 安全性公告當中已經修補)。
  • CVE-2014-6324 (代號「EskimoRoll」,Microsoft 在 2014 年 11 月的 MS14-068 安全性公告當中已經修補)。
  • CVE-2017-7269 (一個 Microsoft Internet Information Services 6.0 的漏洞)。
  • CVE-2017-0146 和 CVE-2017-0147 (代號「EternalChampion」,Microsoft 在 2017 年 3 月的 MS17-010 安全性公告當中已經修補)。

Continue reading “號稱可入侵各種系統的駭客工具被公開 ,企業該注意什麼?”

這三隻勒索病毒居然要的不是錢,而是….

在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹,但有三隻勒索病毒特別與眾不同,它要的不是贖金。

最近全球各地網路犯罪集團持續利用以教學名義流傳到網路上的 Hidden Tear 開放原始碼勒索病毒來衍生新的變種。本週仍維持先前的發展趨勢,勒索病毒不僅從開放原始碼衍生出新的版本,更不斷朝多樣化與區域性變種發展。此外,有些勒索病毒也一改以往作風,它們居然要的不是錢….

 

RensenWare 勒索病毒 :玩指定遊戲,得分超過2億才能救回檔案

RensenWare 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARRENSEN.A)。這個從 Hidden Tear 衍生的變種會要求受害者去玩《東方星蓮船》(TH12: Undefined Fantastic Object) 這款遊戲,並且必須得分超過2億,才能救回檔案。我們不清楚歹徒背後的動機為何,但駭客似乎對這款遊戲情有獨鍾。

RensenWare 的勒索訊息含有一個遊戲角色圖片。
RensenWare 的勒索訊息含有一個遊戲角色圖片。

Kindest 勒索病毒:什麼都不要,只要受駭人看指定影片

Kindest 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARKINDEST.A),它也是Hidden Tear 的變種。系統一旦感染 Kindest 勒索病毒,受害者就必須前往某個連結來學習更多有關勒索病毒的知識,而不是支付一筆贖金。儘管這聽來有點詭異,但這也並非第一次出現以實際行動來教育使用者的勒索病毒。 Continue reading “這三隻勒索病毒居然要的不是錢,而是….”

2016臺灣企業受駭比例最高的惡意攻擊 RAMNIT 並未消失

2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為,其中榜首為Ramnit,該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。

RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序,讓自己隨時常駐在記憶體內,而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。

網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借慈善機構散發網路釣魚郵件

2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發,企業不僅必須提高警覺,還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。

 

今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借 Migrant Helpline 的名義散發網路釣魚郵件,Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下,下載到目前最頑強的惡意程式之一,也就是 2016 年東山再起的 RAMNIT 木馬程式。

趨勢科技「2016 年資訊安全總評」報告指出,銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示,2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種,而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異,因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時,感染 RAMNIT 的使用者大約在 320 萬左右。

根據當時破獲行動的規模來看,RAMNIT 的感染數量照理應當要大幅下降才對。但是,感染數量只有在 2015 年 2 月確實減少,但隔月幾乎就完全恢復,而且接下來的 2015 一整年,感染數量一直維持在 10,000 以上。根據媒體報導,此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發,這也解釋了為何後續幾個月的感染數量突然飆升。

圖 1:RAMNIT 感染數量 (2015 與 2016 年)。
圖 1:RAMNIT 感染數量 (2015 與 2016 年)。

 
Continue reading “2016臺灣企業受駭比例最高的惡意攻擊 RAMNIT 並未消失”

銀行惡意軟體 SpyEye作者被判九年有期徒刑

 

 

銀行惡意軟體 SpyEye 的作者Aleksandr Andreevich Panin因為製作及散布SpyEye而被判處九年半的有期徒刑。這是Panin在2013年被逮捕以來的最新發展。在2014年初,他已經對製作及散布SpyEye的控訴認罪。

那次逮捕行動是美國聯邦調查局與趨勢科技加上其他執法單位和產業夥伴所共同合作的結果。趨勢科技所提供的資訊(如網路暱稱及所用帳號)被用來找出惡意作者Panin及其同夥的真實身份。

 

SpyEye以竊取銀行及金融網站使用者資料而臭名昭著

SpyEye一開始是以「ZeuS殺手」的身分嶄露頭角。傳言是能夠在殭屍網路戰爭中與ZeuS/ZBOT較量的惡意軟體。跟ZBOT一樣,SpyEye以竊取銀行及金融網站使用者資料而臭名昭著。它還具備了rootkit能力,讓惡意軟體的程序和檔案不被受害者所察覺。

自從其出現開始,好幾個版本的惡意軟體出現肆虐。一個重大轉折發生在ZeuS作者(被稱為「Slavik」或「Monstr」)離開了網路犯罪世界,並將ZeuS原始碼交給了Panin(被稱為「Gribodemon」或「Harderman」)。

 

趨勢科技協助 FBI 成功起訴 SpyEye惡意軟體作者

趨勢科技一直參與對SpyEye的相關調查直到Panin被逮捕。在2011年,我們披露一次調查所得到的發現:一起網路犯罪(稱為「Soldier」)使用SpyEye在六個月內獲得超過320萬美元。這起攻擊主要是針對美國使用者,而某些大型企業和機構(如美國政府和軍方)也受到影響。

Panin遭受逮捕以及被判刑是對Panin及其同夥(Hamza Bendelladj,又被稱為「BX1」)動向調查所產生的結果。比方說,趨勢科技的研究人員滲透了Panin和Bendelladj都會去的地下論壇。他們的貼文會在不經意間透露其電子郵件地址、ICQ號碼或Jabber號碼等資訊 – 這些資訊都可能透露出他們的真實身份。 Continue reading “銀行惡意軟體 SpyEye作者被判九年有期徒刑”

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

一個值得慶祝的消息,俄羅斯特警隊在俄羅斯逮捕了八個人。Gary Warner(阿拉巴馬大學伯明罕分校)在他的部落格內針對這個逮捕事件有篇很棒的文章,所以我在這裡就不再重複細節了。

雖說如此,我還是想說這是另一個很好的例子,顯示民間企業研究單位和國際執法組織之間如何進行跨國合作。趨勢科技希望在未來我們可以看到更多像這樣的例子,讓那些可惡的網路犯罪分子不再以為他們躲在法律鞭長莫及的地方。

網路犯罪分子不該認為他們可以隱藏在任何特定國家或司法管轄區域,而且因為國際法律的差異而避免被起訴。這起事件,還有最近在東歐的逮捕事件,都顯示了執法單位的跨國行動還是可以逮到他們。

就像Warner教授的部落格中所提到,趨勢科技的威脅研究部門在幾年前就對CARBERP做了相當研究,特別是深入地去舉出被當做目標攻擊的受害者。趨勢科技看到了在政府單位、產業界、學術界都有被當成目標攻擊的受害者,而且有許多的受害者銀行帳戶在不知不覺中被竊取了金錢。

CARBERP是一個特別討厭的銀行木馬,可以在沒有管理員權限下安裝,也能有效地躲過Windows 7和Vista的使用者帳戶控制(UAC)功能。

 

雖然CARBERP的數量跟普及程度看起來還不及ZeuS和SpyEye,但自從CARBERP在2009年下半年出現開始,趨勢科技看到了數量一直在穩定的成長(見圖1)。

 

《目標攻擊》狡猾的銀行木馬CARBERP始作庸者遭跨國逮捕

 

此外,根據趨勢科技的記錄顯示,幾乎有四分之一的CARBERP病毒感染發生在德國(見圖2)。

Continue reading “《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕”

抓到駭客主義者是很棒 但不代表你的網路就安全了

作者:Paul Ferguson (資深分析師)

最近網路上的每個人看來都想對Lulzsec的被捕事件來談論幾句,我也想藉此機會來說說我的想法。

抓到駭客主義者是很棒  但不代表你的網路就安全了

雖然很高興能夠看到這些違法之徒被繩之以法,但我認為在這日漸成長的駭客主義者(Hacktivist)現象背後有更大的問題存在。

 

首先,我在這裡所看到的更重要訊息是,這些逮捕行動並不會改變駭客主義者攻擊的趨勢,入侵和攻擊事件還是會繼續。事實上,甚至可能會更加升級

 

為什麼?因為他們可以。

而問題就是,入侵網路不應該是如此容易的事,不管是對駭客主義者或是任何人來說都一樣。

這些駭客主義者(絕大多數)都不是真正的「職業罪犯」。真正的專業網路犯罪分子仍然生存著,在東歐和中國(還有其他地方),他們不會將偷來的資料貼到Pastebin,也不會在Twitter公開他們的行動。在大多數情況下,我很懷疑執法單位是否能夠正確地找到這些「職業罪犯」,更別說去加以逮捕、引渡和起訴他們了。 Continue reading “抓到駭客主義者是很棒 但不代表你的網路就安全了”

《駭客列傳》Anonymous不等於Sabu Sabu也絕對不等於Anonymous

作者:趨勢科技資深分析師Rik Ferguson

 

Anonymous不等於Sabu Sabu也絕對不等於Anonymous

是不是很諷刺?不覺得嗎?

 

FOX的新聞指出,LulzSec / Anonymous的指標人物Hector Xavier Monsegur (又名AnonymouSabu)已經被捕了,而且被指控了十二項策劃電腦入侵和其他的罪行。這件案子在去年夏天就開始了,而這些指控內容也都被當成是項犯罪資訊,看起來像是Monsegur一直和執法單位合作來進行對其他網路犯罪活動還有個人的調查。事實上,已經在其他無關的網路調查中確認Monsegur就是Sabu了,不過可以理解的被低調處理了。

 

根據聯邦調查局的聲明,詳細說明了對Ryan Ackroyd(又名kayla),Jake Davis(又名Toiary),Darren Martyn(又名pwnsauce)和Donncha O’Cearrbhail(又名palladium)等入侵FOX、PBS、Fine Gael、HBGary、索尼娛樂公司還有其他等公司的指控,跟Jeremy Hammond(又名anarchaos)入侵Stratfor的事件。O’Cearrrbhail還被指控盜錄和放出聯邦調查局的電話會議。

 

在同一份的聯邦調查局聲明也說得很清楚,這些指控都來自Monsegur認罪時所提供資訊的一部分。

 

這個新聞肯定對那些小團體像LulzSec,或許還有AntiSec等敲起喪鐘。可以想見的是,執法單位已經針對那些被起訴的人收集好所有的證據。Sabu肯定不是他們唯一的情報來源,但無疑是最重要的一個。

 

要記住的是,LulzSec和Anonymous從來就不是同一個組織。在某些案件中,像是最知名的的Stratfor入侵事件,Anonymouse曾經張貼聲明,嚴正的否認曾經參與入侵任何的媒體相關組織。

Continue reading “《駭客列傳》Anonymous不等於Sabu Sabu也絕對不等於Anonymous”