有一句老話說:「歷史不停重演」。對於相信會隨著時間而產生周期性模式的人來說,這句格言肯定是真的。
今天,我們將把這樣的思維應用到網路犯罪領域。在駭客的歷史裡出現過各種趨勢,包括精細的系統入侵攻擊以及圍繞特定業務目標發展的技術。
但有一點不變是 – 網路犯罪分子持續在演化,隨著他們攻擊策略的演進,企業防護也在不斷地發展。
最近,趨勢科技與美國特勤局聯手對網路犯罪演變進行了深入研究。這份報告探討了近二十年的駭客攻擊及惡意活動,不僅描繪了網路犯罪分子行為值得注意的情況,還可以協助IT管理員和決策者來制定未來的安全策略方向。
這份研究始於從2000年到2010年間所謂的「卡片時代」。在這十年間,一些最知名的網路犯罪活動都跟卡片資料的竊盜及地下販賣有關,背後則是俄羅斯的網路犯罪分子和卡片論壇。
在這些案例中,消費者信用卡和簽帳金融卡的詳細資料被竊,然後放到俄羅斯網站上出售,網路犯罪分子可以在這些網站上購買這些資料並用來作為網路釣魚(Phishing)
繼續閱讀2017 年 4 月 14 日,The Shadow Brokers (TSB) 駭客集團公開了一批名為「Lost in Translation」的駭客工具和資料。這批公開的資料當中包含了多個關於 Server Message Block (SMB) 和 Remote Desktop Protocol (RDP) 兩個通訊協定以及一些協同作業與網站伺服器軟體的零時差遠端程式碼執行漏洞。此外還有 EternalBlue、EternalChampion、EternalSynergy、EsteemAudit、EchoWrecker、ExplodingCan、EpicHero、EWorkFrenzy 等漏洞攻擊套件。
此外,這批資料還包含一些駭客在成功入侵之後可植入系統的惡意程式和工具,以便能夠:持續掌控被感染的系統、避開安全驗證、從事各種惡意活動,並與遠端伺服器建立幕後操縱 (C&C) 通訊等等。在這類植入系統的惡意程式當中,最值得注意的有五個:DoublePulsar、PeddleCheap、ExpandingPulley、KillSuit (KiSu) 和 DanderSpritz,它們各自擁有不同的能力、功能和用途。
除此之外,還有一個非常特別的惡意程式,那就是 ExpandingPulley (EP) 主要資料夾「\windows\Resources\Ep\」底下一個名為「clocksvc.exe」的獨立執行檔。這個惡意程式從未獲得公開關注,只曾經在一份 CYSINFO 的報告當中被提到它會連上某個 IP 位址。我們將這個惡意程式命名為 Tildeb (趨勢科技正式命名:Trojan.Win32.TILDEB.A),因為它會在系統上產生一個名為「~debl00l.tmp」的特殊暫存檔。 繼續閱讀
今日企業對於網路資安絕對不能心存僥倖,因為只要被駭客找到一個小小破口,就可能危及企業存亡。不過在企業強化駭客防禦的同時,其實不妨從另一個角度看看駭客對資安防護有何看法。
澳洲資訊分析軟體公司 Nuix 在 2016 年拉斯維加斯舉行的 DEFCON 駭客大會上做了一份名為「 The Black Report」(黑色報告) 的調查。這份調查的對象不是企業決策者、IT 主管或資安系統管理員,而是駭客。
這份調查令資安界耳目一新,因為絕大多數的研究都是以 IT 人員為對象,當然這也很重要,但若能從駭客的角度來看待資安這件事,倒也是個不錯的觀點。
除了訪問網路駭客之外,The Black Report 還訪問了專門從事滲透測試工作的人員。根據其中一位測試人員表示,他們所做的事情,基本上與駭客無異,只不過他們的工作是合法的。這份問卷調查總共訪問了 70 位駭客與滲透測試人員 (後者亦稱為「白帽駭客」)。
以前曾經當過駭客、但目前擔任 Rhino Security Labs 評估總監的 Hector Monsegur 接受 TechTarget 的訪問時表示,這類調查絕對有其必要,因為這樣能夠發掘一些不論對個人或企業都有所幫助的資安細節。
「駭客通常能在短短的 24 小時內強行入侵。」
Monsegur 向 TechTarget 表示:「能夠發掘 [駭客和滲透測試] 人員的想法以及他們突破資安防線的經驗,是不錯的第一步。縱然 DEFCON、Black Hat、HackInTheBox 等等的研討會提供了不錯的管道讓研究人員發表漏洞相關的資訊、方法與技巧,但事實上,絕大多數人根本不知如何取得這些內容,甚至不知道這些內容存在。」
這種另類研究還有一項好處是有機會看看駭客的想法與 IT 專業人士及其他企業受害者的想法有何落差。
Nuix 資安長 Chris Pogue 表示:「了解歹徒的想法和作法相當重要,防守的一方越能掌握狀況,就越能做好準備。」
我們發現某些觀點和大家以往對網路資安策略的想法互相牴觸,以下是一些令人訝異的研究發現:
趨勢科技在之前的一篇文章中討論過中國駭客組織Winnti如何利用GitHub來散播惡意軟體,這種發展顯示出該集團已經進化,開始運用跟之前攻擊遊戲、製藥和電信公司時不同的戰術。透過本文,我們會仔細檢視跟Winnti集團有關的對象,希望提供一般使用者和企業對這些惡意分子所利用和運作工具(尤其是伺服器基礎設施)有更多的了解。
搜尋網域註冊來找線索
惡意分子通常會註冊和使用多個網域,以便將他們的惡意軟體分散到不同的命令和控制(C&C)伺服器。註冊網域都會需要某些識別資訊:實體或郵寄地址、電子郵件地址和電話號碼。在這之中,需要有效的電子郵件地址,因為註冊商需要寄信給新網域擁有者來確認購買,同時也是控制網域所需的資訊。
大多數詐騙分子會建立一次性電子郵件地址或使用偷來的電子郵件地址,這兩者都很容易建立或取得。但隨著時間久了,詐騙分子在註冊新網域時也會疲於改變資料,犯下重複使用電子郵件地址的錯誤。
仔細分析這惡意分子在2014年到2015年間的網域註冊可以識別出有一組身分被用來註冊多個網域,作為Winnti集團所使用特定惡意軟體的C&C伺服器。具體地說,我們收集到暱稱Hack520的詳細資料,認定他跟Winnti有關。
Winnti集團是誰?
Winnti惡意軟體背後的集團(我們就稱之為Winnti集團)起初是傳統的網路詐騙者,同時具備駭客技術能力來進行金融詐騙。根據他們所註冊網域的使用情況,這集團一開始是在2007年進行假(流氓)防毒產品的生意。在2009年,Winnti集團轉移目標到韓國的遊戲公司,使用自製的資料和檔案竊取惡意軟體。
這集團的主要動機是為了錢,特色是會用自主研發的特製工具來進行攻擊。他們曾經攻擊遊戲伺服器來非法取得遊戲內的金幣(「遊戲黃金」也具備現實世界的價值)和偷走網路遊戲專案的程式碼。這團體還會竊取數位憑證,用來簽署自己的惡意軟體以達到不被偵測的效果。這Winnti集團的目標很多元,包括製藥和電信等企業。這集團因為進行針對性攻擊/鎖定目標攻擊(Targeted attack )相關惡意活動而被關注,如部署魚叉式釣魚攻擊(SPEAR PHISHING)和建立後門。
在研究Winnti集團的過程中,趨勢科技發現沒被回報過的惡意軟體可以歸因到此團體,因為這惡意軟體所用的程式庫和攻擊用基礎設施所用的註冊網域。這些樣本還讓我們找出更多的C&C伺服器,得到比原本預計更多的資訊。
仔細檢視Hack520
對Hack520所註冊網域的初步調查顯示,有類似網域(如下)使用其他身分註冊。
其中有數個網域都跟Winnti惡意分子所使用的惡意軟體有關聯。令人驚訝的是,不用花多長時間就可以取得關於Hack520的資訊:有人用這暱稱經營部落格,一個Twitter帳號(使用類似Hack520的暱稱)也直接連結到這部落格。
一個名叫「Shadow Brokers」的駭客團體在網路上公開了許多針對 Microsoft Windows 系統和伺服器的駭客工具和漏洞。其中有些工具據稱是專門針對全球金融機構。此駭客團體去年原本將這批偷來的惡意程式拿到網路上販賣,可能是銷售狀況不如預期,因此後來便開始逐批公開到網路上。
Shadow Brokers 最近一批公開的惡意程式可讓駭客入侵各種系統 (包括 Linux)、網路及防火牆。
根據趨勢科技初步分析,目前已知這批惡意程式當中包含了 35 個資料竊取木馬程式,同時也包含針對多種系統和伺服器的漏洞攻擊,還有一個可用來攻擊網路漏洞的套件叫做 Fuzzbunch (類似 Metasploit 滲透測試工具套件所扮演的角色)。
以下是這批工具攻擊的一些漏洞: