《虛擬貨幣 》以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站,用戶損失千萬台幣

著名的以太幣錢包網站 MyEtherWallet.com 在亞洲時間 2018/4/24晚間,遭受到 DNS Hijacking 攻擊。以太幣 (數位貨幣代號ETH) 的持有者在這段受攻擊時間,如果透過 MyEtherWallet.com 網站轉帳以太幣,就有可能誤入釣魚網站而把資產轉進駭客的錢包裡。

以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站,用戶損失千萬台幣
以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站,用戶損失千萬台幣

駭客透過 DNS Hijacking 手法搭配 MyEtherWallet.com 假網站,成功的騙到幾百位的受害者。一個月前也有駭客利用假冒的 Binance 數位貨幣交易所CEO 名義,在Twitter 上大方贈送以太幣,利用受害人貪小便宜的心理,同樣在極短的時間內騙到近千萬台幣。

《虛擬貨幣 》以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站,用戶損失千萬台幣

作者: Ieta Chi 紀孟宏 (趨勢科技 首席資安顧問)

虛擬貨幣 (Crypto Currency) 市場自2018年初以來因為各種不確定因素,總市值 (根據CoinMarketCap資料) 從一月初的最高點八千億美元,一路下跌到三月底的最低點二千四百億美元,總共下跌了70%。四月初開始大幅回升,一個月不到總市值己經上漲超過80%,光是以太幣的價格在過去一週時間就大漲 40%,熱騰騰的錢潮不僅僅吸引了大批的投資客,同時也吸引了駭客的注意力。

4/24晚間所發生的DNS Hijacking事件,讓使用者透過瀏灠器開啟MyEtherWallet.com 網站時,被導到一個偽造的釣魚網站,受害者如果沒有察覺這是個假網站而進行以太幣轉帳,轉出去的錢不是到想要轉幣的位址,而是進到駭客錢包的位址。在這次的資安事件裡 MyEtherWallet.com 網站本身並沒有被駭,而是在 Internet 上提供網域名解析工作的 DNS服務器被駭客下毒,在正常情況下當使用者連線到 MyEtherWallet.com 網站,DNS 服務器會解析出該網站的正確 IP 地址並回覆給使用者端,當 DNS服務器被駭客下毒,這時候所回覆的IP 地址就不是指向真正的 MyEtherWallet.com 網站,而是駭客用來欺騙受害者的偽裝電腦。

在發生 DNS Hijacking 事件期間,使用者開啓 MyEtherWallet.com 網站時,以 Chrome瀏灠器為例,會出現紅色的 HTTPS 不安全警告,HTTPS是一種資料傳輸安全協定,會透過加密的方式來確保整個傳輸過程的內容不會被任何第三者看到,在網路認證、線上交易等場合己經是必備的標準協定。出現紅色警告就表示準備要連線的遠端服務器的憑證有安全性問題,如果這是一個正式對外提供服務的網站,在真實案例中幾乎可以直接斷言是個釣魚網站。

使用者開啓 MyEtherWallet.com 網站時,以 Chrome瀏灠器為例,會出現紅色的 HTTPS 不安全警告,HTTPS是一種資料傳輸安全協定,會透過加密的方式來確保整個傳輸過程的內容不會被任何第三者看到,在網路認證、線上交易等場合己經是必備的標準協定。出現紅色警告
使用者開啓 MyEtherWallet.com 網站時,以 Chrome瀏灠器為例,會出現紅色的 HTTPS 不安全警告

Continue reading “《虛擬貨幣 》以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站,用戶損失千萬台幣”

五一勞動節,「礦工」不放假 , 挖礦劫持出沒,三種人請迴避!

放假時沒有特別的活動時,你通常有什麼安排呢?追劇、滑手機或是找一間可提供插座與 WiFi 又不限時間的咖啡廳打發時間呢?去年勒索病毒大流行時,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索病毒! 今年趨勢科技偵測到不少追劇或是成人網站上,出現挖礦程式,這類惡意程式跟勒索病毒不同的是,挖礦程式不需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現。

五一勞動節將至,提醒三種族群:追劇族 、手機血拚族 、咖啡館久坐族,當心挖礦程式出沒,免得不小心讓你的電腦或手機裝置成為幫別人賺外快的礦工。

挖礦程式不像勒索病毒,需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現。
挖礦程式不像勒索病毒,需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現。

你放假它加班 挖礦 24 小時不關機 礦工忙到「火大」了

挖礦惡意程式最早出現於 2011 年中期,相較於當時最流行的蠕蟲、後門程式等惡意程式來說,只能算是個配角,但目前已演變成甚至比網路間諜活動還要賺錢的途徑,一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

虛擬貨幣興起全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三。巨幅的價格波動也開始讓威脅情勢產生變化:只要是有錢賺的地方,歹徒就會蜂擁而至,引發電線短路的火警原因有多,但去年起台灣也出現因為挖礦而導致的火燒民房事件。

去年9月新北市三重一處公寓傳出火警,警消獲報到場後發現,屋內是「比特幣礦場」,至少有15台電腦的機房,疑因二十四小時不斷電挖礦,意外導致延長線不堪負荷走火。這起為挖比特幣24小時不關機的火警事件,當天三重出現兩起,都是24小時不關機、隱身民宅的挖礦機房。

挖礦劫持出沒,三族群,請迴避!

提醒以下在假日經常從事的三種網路活動的朋友,要嚴加小心挖礦程式出沒:

  1. 【 追劇族:在家追劇,電腦有可能為駭客做牛做馬挖礦賺外快?

    Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
    挖礦程式偏好嵌入在使用者可能會停留大量時間的地方,比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。想趁五一勞動節,追劇朋友請當心: Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
    前陣子有用戶反應在看 Youtube 的時候,電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時,你的電腦或手機也默默的成為了不法駭客的「礦工」,幫他挖礦賺外快!據AdGuard研究人員所發表的報告,有近十億串流媒體網站的訪客被秘密地用在虛擬貨幣挖礦活動,這種做法被稱為“挖礦劫持(cryptojacking)”。今年初趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量突然翻了三倍。我們發現,這些出現在高流量網站上的惡意廣告,利用 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。受影響的國家包括台灣。YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間,有更多時間挖掘加密虛擬貨幣。

  2. 【手機血拚族】:滑手機閒逛,購物網站有夠好康,手機會成挖礦機?

    新的Android挖礦程式又來了,這回要榨乾你的手機電力宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN),遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客,使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。
    根據 Alexa 指出,這些惡意廣告所在網站皆名列全球 15,000 大網站,意味著這些惡意網站不乏使用者造訪。

    另外還要當心新的Android挖礦程式,榨乾你的手機電力!一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。

 

  1. 【 不限時 WIFI 咖啡館久坐族】:到咖啡館上網,可能被偷偷加料挖礦劫持(Cryptojacking?
    跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過,透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣,連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。
    詳請請看:挖礦劫持(Cryptojacking)幫星巴克加料,顧客上網筆電竟成挖礦機

電腦愈來愈慢 手機發燙? 懷疑挖礦程式找上門,立刻檢測

虛擬貨幣挖礦不像勒索病毒需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現,發現電腦處理速度變慢時,請這麼做:

電腦主機風扇突然變大聲,很吵嗎? 簡單四招降低噪音檢查電腦的 CPU 使用率 ,若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常
電腦主機風扇突然變大聲,很吵嗎? 簡單四招降低噪音免費下載 PC-cillin雲端版檢測確認➔立即下載

 

PC-cillin 雲端版即時封鎖含有挖礦程式的網站
PC-cillin 雲端版即時封鎖含有挖礦程式的成人網站

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

 

機器學習如何偵測虛擬貨幣挖礦病毒?

隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。

機器學習如何偵測虛擬貨幣挖礦病毒?

TLSH可以幫助我們將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”,用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。

集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼,用來主動識別更多相似檔案。這是因為自動化系統(或是逆向工程師)可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時,會去檢視是否具備惡意軟體群組呈現的元素,並確認新檔案是否屬於惡意軟體群組的範圍。

除此之外,TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。 Continue reading “機器學習如何偵測虛擬貨幣挖礦病毒?”

上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式

資安研究人員指出,全球約有 25 萬商家採用的 Magento開放原始碼電子商務內容管理系統 (CMS) 平台,日前傳出至少有上千個採用該平台架設的網站遭駭客使用暴力破解方式入侵,不僅竊取了信用卡資料,更在系統上安裝虛擬貨幣挖礦惡意程式。然而,駭客在這些攻擊當中並未用到任何漏洞。

上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式
上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式

 

[延伸閱讀:KimcilWare 勒索病毒攻擊 Magento 網站]

駭客使用常見、已知、或預設的帳號密碼來登入系統

此事件當中的 Magento 網站是遭駭客使用一些常見、已知、或預設的帳號密碼來登入系統。經驗老道的駭客會利用腳本來將其攻擊自動化 (也就是所謂的「字典式攻擊」)。駭客一旦入侵了網站,就會在其核心檔案 (也就是應用程式記憶體內容的時點快照) 當中注入惡意程式碼,進而存取處理付款/信用卡資料的網頁。他們會攔截並竊取網站伺服器所收到和處理的敏感資料。 Continue reading “上千個採用 Magento 架設網站遭入侵,竊取信用卡資料並安裝挖礦程式”

手機又沒電的8個原因,遇到榨乾電力的挖礦程式最難察覺

明明早上才充飽電,一到下午就開始為手機的電量爭鬥,想盡辦法讓它可以”活著回家”? 趨勢 3C 好麻吉為大家整理了手機耗電量大的 8 個原因,提供給大家檢查一下,是不是平常不知不覺的使用一些不必要的功能增加手機耗電量? (不過,第 8 點榨乾電力的原因跟使用習慣沒有太大關連 >[]<)

手機又沒電的8個原因,遇到榨乾電力的挖礦程式最難察覺

  1. app偷吃電?

    既然要省電就必須對症下藥,首先,到手機的設定去找尋看看app消耗的電量,如果有些app你很少用卻耗了很多電,趕緊考慮解除安裝它們吧。

  2. 螢幕亮度太高?

    智慧型手機裡消耗電量最大的地方幾乎都是用在螢幕上,所以使用「自動調整螢幕亮度」這個設定,讓手機系統對不同的環境都能夠自動最佳的調整螢幕亮度,就能夠降低耗電的狀況。 Continue reading “手機又沒電的8個原因,遇到榨乾電力的挖礦程式最難察覺”

虛擬貨幣挖礦程式利用PHP Weathermap漏洞入侵 Linux伺服器 ,台灣為攻擊目標之一

進行合法的大規模虛擬貨幣採礦往往要投資專用硬體及大量電力才能獲利。但這並沒有讓網路犯罪分子放棄:去年的惡意虛擬貨幣挖礦活動相當猖獗,是連接家用路由器的設備被偵測最多的網路事件

通過我們對事件回應相關的監測,發現了可以關聯到之前使用JenkinsMiner惡意軟體來進行虛擬貨幣挖礦活動的入侵行為。不同的是:這波攻擊針對的是Linux伺服器。同時它也是重複使用漏洞的經典例子,因為它所攻擊的是相當舊的漏洞,修補程式已經推出近五年了。

根據趨勢科技Smart Protection Network的資料顯示出這是波相當積極的攻擊,主要針對的是日本、台灣、中國、美國和印度。

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖1、從虛擬貨幣挖礦活動所看到的網路入侵次數

(2017年12月到2018年3月中)

Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

圖2、惡意虛擬貨幣挖礦活動的國家分佈 台灣列全球第二

Continue reading “虛擬貨幣挖礦程式利用PHP Weathermap漏洞入侵 Linux伺服器 ,台灣為攻擊目標之一”

網路犯罪集團正嘗試利用家用裝置來挖礦

不肖的挖礦作業並不只暗藏在瀏覽器, 網路犯罪集團正在嘗試利用家用裝置來挖礦….
路由器是家中所有連網裝置的對外門戶,因此可能招來各種不同的網路威脅,讓使用者的資訊和安全陷入危險。本文將帶您回顧 2017 年當中最值得注意的一些家庭網路活動。

網路犯罪集團正嘗試利用家用裝置來挖礦

談到家中遭歹徒入侵,人們直覺會聯想到歹徒闖入民宅。然而隨著家庭連網裝置的大量普及,今日已出現了另一種型態的入侵者,那就是家用網路駭客,其目標是家中的連網裝置。光是全球數量龐大的入侵目標就足以吸引歹徒的覬覦,駭客不是利用勒索病毒將裝置鎖死,就是將裝置變成殭屍網路的成員,替歹徒發動 分散式阻斷服務 (DDoS) 攻擊。其中最知名的案例就是 Mirai、Persirai 及 Reaper 等殭屍網路,這些案例證明了缺乏防護的連網裝置多麼 具有破壞潛力。殭屍網路會收編一些含有漏洞的裝置 (例如:IP 攝影機和路由器),然後利用這些裝置來癱瘓知名企業機構的網路,嚴重影響其網路服務。近年來,越來越多相關事件浮上檯面,例如:駭客入侵嬰兒監視器和 智慧型電視,然後從遠端竊取個人資料或直接操控裝置。

缺乏防護的家用路由器將遭遇什麼威脅?

網路犯罪集團正嘗試利用家用裝置來挖礦

除了一般使用者會用到的電腦、智慧型手機、平板之外,一些連網的設備也開始快速進入家庭、工作場所,甚至工廠。這股無可阻擋的連網趨勢,使得我們的環境一旦缺乏適當防護,很容易就會遭到網路駭客攻擊,而這一切防護的起點就是路由器。

路由器一旦缺乏防護,將使得整個智慧家庭暴露於危險當中。因此,保護家用路由器,就等於保護家中所有的連網裝置。路由器可說是 所有連網裝置的交通樞紐,使用者可透過路由器即時掌握所有家庭網路流量的狀況,並且讓各種裝置獲得防護。然而根據我們 2017 年的觀察,如果路由器連基本的安全設定都沒做好,例如:網路設定錯誤、密碼過於簡單、韌體從未更新等等,那可能將成為引來智慧家庭威脅的禍首。

針對連網設備的對內攻擊,以及利用連網設備的對外攻擊

家用網路相關的攻擊基本上分「對內」和「對外」兩種。所謂對內的攻擊,是指駭客從外部對家用網路內部的裝置發動攻擊,例如:桌上型電腦、平板、智慧型電視、電玩主機等等 (也就是從網際網路攻擊家用網路)。所謂對外的攻擊,是指駭客先利用對內攻擊來入侵某個家用裝置,然後在裝置上執行惡意程式,藉此蒐集資訊、攔截通訊,或者對外部網路上的目標發動攻擊 (也就是從家用網路攻擊網際網路)。

對內的攻擊 活動數量
MS17-010 SMB 漏洞攻擊 2,441,996
暴力破解 RDP 登入密碼 1,464,012
可疑的 HTML Iframe 標籤 926,065
暴力破解 Microsoft SQL 系統管理員密碼 431,630
暴力破解 POP3 登入密碼 373,782
暴力破解 SMTP 登入密碼 289,746
利用指令列腳本 (Shell Script) 執行遠端指令 241,498
CoinHive 挖礦作業 194,665
利用 Apache Struts 動態方法呼叫從遠端執行程式碼 175,019
Netcore 路由器後門漏洞攻擊 142,902

表 1:十大對內攻擊 (2017 年)。

註:根據我們監控資料顯示,在所有家用裝置當中,出現這些攻擊活動的主要是桌上型/筆記型電腦。

趨勢科技 2017 年觀察到的家用網路流量,對外與對內攻擊的數量比例大約是 3:1,這表示家用裝置被用於攻擊網際網路的情況較多。有趣的一點是,MS17-010 SMB 漏洞攻擊是最常見的攻擊活動 (不論是對內或對外),其目標是桌上型和筆記型電腦的 Windows Server Message Block (SMB) 檔案分享通訊協定漏洞。這可追溯至 2017 年 5 月爆發的 WannaCry 勒索病毒,該病毒在後續一整年當中仍不斷影響各種產業。由於 WannaCry 具備蠕蟲的自我複製能力,因此它不但能加密資料,還可感染醫院工廠內的連網裝置和設備。 Continue reading “網路犯罪集團正嘗試利用家用裝置來挖礦”

虛擬貨幣全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三

虛擬貨幣全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三

虛擬貨幣全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三

虛擬貨幣挖礦惡意程式會不會成為下一個勒索病毒?隨著加密虛擬貨幣在真實世界逐漸流行且漸形重要,這類貨幣在網路犯罪領域也開始受到重視,而且似乎有和勒索病毒 Ransomware (勒索軟體/綁架病毒)並駕齊驅的態勢。其實,加密虛擬貨幣挖礦活動是 2017 年家用路由器連接的裝置最常偵測到的網路事件。

 

 

加密虛擬貨幣挖礦惡意程式:2018 年最新威脅?

2017 年,加密虛擬貨幣挖礦活動是家用路由器連接的裝置最常偵測到的網路事件 (根據趨勢科技 Smart Home Network 智慧家庭網路產品回報資料)。
圖1:2017 年,加密虛擬貨幣挖礦活動是家用路由器連接的裝置最常偵測到的網路事件 (根據趨勢科技 Smart Home Network 智慧家庭網路產品回報資料)。

挖礦惡意程式最早出現於 2011 年中期,相較於當時最流行的蠕蟲、後門程式等惡意程式來說,只能算是個配角,但目前已演變成甚至比網路間諜活動還要賺錢的途徑,一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

就以 比特幣(Bitcoin)  為例,2017 年 1 月每一比特幣的價格還在 1,000 美元左右,但今日已超過 11,000 美元,甚至曾經一度升破 20,000 美元大關。門羅幣 (XMR) 的情況也是類似,從 2017 年 1 月的 13 美元暴漲至 2018 年 2 月的 325 美元。而巨幅的價格波動也開始讓威脅情勢產生變化:只要是有錢賺的地方,歹徒就會蜂擁而至。

最令人矚目的是,加密虛擬貨幣挖礦惡意程式幾乎呈爆炸性成長。如下圖所示,加密虛擬貨幣挖礦惡意程式數量在 2017 年一直持續有所成長,但卻在 10 月突然飆高 (116,361),接著在 11、12 月稍減之後維持穩定。加密虛擬貨幣挖礦惡意程式偵測數量最多的是:日本、印度、台灣、美國和澳洲。

加密虛擬貨幣挖礦惡意程式偵測數量 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。
圖 2:加密虛擬貨幣挖礦惡意程式偵測數量 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。
加密虛擬貨幣挖礦惡意程式分布國家 台灣名第三 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。
圖 3:加密虛擬貨幣挖礦惡意程式分布國家 台灣名第三 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。

 

除此之外,網路犯罪集團開採加密虛擬貨幣的手法也開始有些改變,包括:濫用合法工具或灰色工具 (如 Coinhive)、特別偏好門羅幣以及採用無檔案式加密虛擬貨幣挖礦程式。

從比特幣至門羅幣

Coinhive 提供了一種讓一般使用者和企業藉由在網站內嵌 JavaScript 程式碼的方式來開拓另一種財源,其原理就是藉由這套程式碼來使用網站瀏覽者的 CPU 資源來開採門羅幣。不過這套方便又能客製化的賺錢方法也逃不過網路犯罪集團的魔掌。事實上,根據報導,從 Coinhive 衍生出來的挖礦惡意程式已成為全球第六大熱門惡意程式,甚至連美、英兩國政府機關的網站都是受害者,此外還有一些知名企業的雲端伺服器,甚至透過惡意廣告來散布。

 

《延伸閱讀》

特斯拉 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機!避免「伺服器變挖礦機」四守則 

Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

 

門羅幣和 Coinhive 會受到網路犯罪集團青睞其實不令人意外。由於開採門羅幣的演算法「CryptoNight」在設計上不適合在特殊應用晶片 (ASIC) 上執行。因此,比較適合利用消費性電腦 CPU 來挖礦。

這一點有別於比特幣,比特幣雖然也可以用一般的電腦 CPU 和顯示卡的 GPU (或兩者結合) 來挖礦,但效果已比不上採用專用的特殊應用晶片和雲端挖礦伺服器。目前,一台挖礦機可能 7 天 24 小時跑一整年還挖不到 1 個比特幣。

此外,門羅幣的隱私性也優於比特幣。由於它採用環狀簽名 (ring signature) 來保護隱私,因此其區塊鏈交易的位址、金額、來源、目的地、發送者、接收者等等更不易追查。

無檔案式加密數位貨幣挖礦惡意程式

如同勒索病毒一樣,隨著挖礦程式越來越成熟,趨勢科技也開始看到一些利用知名漏洞或其他方法以無檔案方式在系統植入挖礦程式的手法。例如根據 Coinhive 指出,一個網站只要有 10 至 20 個活躍中的挖礦程式,每個月就有 0.3 門羅幣的收入 (根據 2018 年 2 月 22 日匯率約合 97 美元)。所以只要建立一個龐大的「Botnet傀儡殭屍網路」,就能獲得可觀的不法獲利。

一個例子就是去年我們發現的一個加密虛擬貨幣挖礦惡意程式會使用 EternalBlue 漏洞攻擊技巧來散布,並利用 Windows Management Instrumentation (WMI) 來長期潛伏在系統中。事實上,專門開採門羅幣的 Adylkuzz 惡意程式據稱甚至比WannaCry(想哭)勒索蠕蟲勒索病毒還更早使用 EternalBlue。只要系統與網路一天不修補,就有機會再度受到感染。

《延伸閱讀》無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

 

典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程如下圖所示,基本上就是直接將惡意程式碼載入系統記憶體當中。惡意程式唯一留下的感染痕跡只有:一個惡意的批次執行檔、一個安裝到系統上的 WMI 服務,以及一個 PowerShell 執行檔。至於散布的方式,有些惡意程式使用 EternalBlue 漏洞攻擊技巧,有些則使用 Mimikatz 來蒐集使用者的登入憑證,然後再登入系統,但不論何種方式,最後都會將電腦變成其中一個挖礦節點。

漏洞的確是加密虛擬貨幣挖礦惡意程式進入系統的主要管道之一。這一點從最近 Apache CouchDB 資料庫管理系統遭駭客試圖入侵即可證明。此外,遠端存取木馬程式 JenkinsMiner 也會散布門羅幣挖礦程式,並且專門攻擊 Jenkins 伺服器,其幕後集團據稱已開採到價值超過 300 萬美元的門羅幣。

典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程。
圖 4:典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程。

如何防範加密虛擬貨幣挖礦惡意程式?

並非所有國家都禁止加密虛擬貨幣流通,至少某些國家已經開放。這些貨幣儘管採用分散式架構,但仍有一些監管機制可以監督其交易的合法性,不過,藉由不法方式來開採這些貨幣則是另一回事。

雖然加密虛擬貨幣挖礦惡意程式的衝擊或許不像勒索病毒那麼容易直接感受,嚴重程度也較輕,但仍是一項威脅。去年 12 月,專門開採門羅幣的 Android 惡意程式 Loapi 即證明這類程確實有可能直接損壞行動裝置。

然而網路犯罪集團看上加密虛擬貨幣所帶來的影響,並非只有裝置的耗損或電力的消耗。這同時也意味著隨著科技日新月異,網路犯罪威脅也會隨之演變。就如同勒索病毒一樣,我們預料,隨著加密虛擬貨幣挖礦惡意程式的逐漸普及,它們也將朝多元化發展並經由各式各樣的手法來感染系統,甚至將受害者變成共犯結構之一。這正突顯出縱深防禦的重要性,此外,最佳實務原則以及養成良好資安習慣不僅對企業和一般使用者來說非常重要,對於裝置的設計、製造商來說也同樣重要。

趨勢科技解決方案能主動防範無檔案式加密虛擬貨幣挖礦惡意程式。
圖 5:趨勢科技解決方案能主動防範無檔案式加密虛擬貨幣挖礦惡意程式。

趨勢科技的 XGen安全防護融合了跨世代的威脅防禦技巧,能防止系統感染加密虛擬貨幣挖礦惡意程式。它藉由高準度的機器學習來保護閘道端點,並保護實體、虛擬及雲端工作負載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或執行不肖的挖礦程式。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

原文出處:Cryptocurrency-Mining Malware: 2018’s New Menace? 作者:Menard Osena (資深產品經理)

 

《延伸閱讀 》

< 虛擬貨幣攻擊 > 偽裝獵人頭公司的釣魚郵件,鎖定銀行高階主管

“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
虛擬貨幣全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三

“ bịnạnce.com ” 兩個小點以假亂真,發動大規模搶劫虛擬貨幣交易所 !還有假 CEO 趁火打劫

趨勢科技發現為數不少的網路釣魚(Phishing)利用類似網址的分身詐騙事件,比如 Paypal 被改成Paypa1 ;Google 被改成 Goog1e,詐騙者把英文字母l 和 O 魚目混珠成數字 1 和 0 是常見的手法,這些雷同 URL ,很容易矇騙臉友點擊。「ɢoogle.com」乍看之下似乎看不出來什麼端倪。把它和正宮「Google.com」擺在一起再看仔細,有發現哪裡不對勁嗎?看出來了吧,就是「ɢ」、「G」的差別。事實上,這個「ɢ」其實是一個拉丁字母,而不是我們平常常見的「G」。

「就是「ɢ」、「G」的差別」的圖片搜尋結果

 

趨勢科技發現為數不少的網路釣魚(Phishing)利用類似網址的分身詐騙事件,比如 Paypal 被改成Paypa1 ;Google 被改成 Goog1e,詐騙者把英文字母l 和 O 魚目混珠成數字 1 和 0 是常見的手法
趨勢科技發現為數不少的網路釣魚(Phishing)利用類似網址的分身詐騙事件,比如 Paypal 被改成Paypa1 ;Google 被改成 Goog1e,詐騙者把英文字母l 和 O 魚目混珠成數字 1 和 0 是常見的手法

點開一封網路釣魚信件的代價有多高?
日本知名加密貨幣交易所Coincheck,今年初因內部員工誤開了網路釣魚郵件,讓駭客入侵竊取了價值新臺幣154億元的加密貨幣。雲林某女網友上網看了色情網站影片連結,一不小心按了讚之後,沒想到卻中毒,臉書帳號遭盜後被用來轉貼了暗示性交易相關訊息,因而觸犯「妨害風化案及兒童及少年性剝削防制條例」被函送法辦!警方表示,有犯罪集團利用工具軟體,將色情圖片與木馬程式結合,一旦點選相關連結,就會被導向臉書網路釣魚登錄假頁面,導致帳號被盜。

點開一封網路釣魚信件的機率有多高?
網路釣魚陷阱何其多,在2012年的 Black Hat USA安全大會上所做的調查顯示,69%的人表示每週都會有網路釣魚(Phishing)郵件進入到使用者的信箱。超過25%的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。

現在網路釣客也把歪腦筋動在目前最夯的虛擬貨幣交易上….

最近出現許多跟加密虛擬貨幣相關的駭客或詐騙報導。首先是偽裝成獵人頭公司發送內嵌Dropbox連結的釣魚郵件。該連結包含一份銀行高階主管的職務描述文件,文件帶有 Visual Basic巨集會掃描系統上是否有比特幣活動的跡象。然後再植入第二個為了長期資料採集和持久性而設計的病毒。

偽裝成獵人頭公司發送內嵌Dropbox連結的釣魚郵件。該連結包含一份香港銀行高階主管的職務描述文件,文件帶有Visual Basic巨集會掃描系統上是否有比特幣活動的跡象。然後再植入第二個為了長期資料採集和持久性而設計的病毒。

3月上旬虛擬貨幣交易所Binance發現,駭客使用相似的假網域“bịnạnce.com”進行網路釣魚(Phishing)攻擊,以取得 Binance使用者的帳號密碼。由於假網域“ bịnạnce.com”。“i”和“a”下面的兩個小點幾乎不會被發現,許多人因此上當。該事件雖然觸發了虛擬貨幣交易所 Binance 的內部警報系統。

編按:加密貨幣交易平台 coinbase.com也曾被仿冒,駭客所註冊的網址為 coinḃase.com,不仔細看難發現後者的字母b上多了一個點。這就是所謂的同形異義(homograph)攻擊,主要透過註冊類似網域名稱來仿冒成另一個網站,偽造網站網址字符看起來像英文字,但其實它們並不是。

Binance CEO 在 Twitter 帳號發表的官方聲明,但動作快的駭客,就在幾個小時內創建了仿冒Binance CEO 的假帳號,並用假帳號回覆真正 CEO 的推文,表示將送出 5000 個以太幣 ETH做為 Binance客戶的免費補償,光3月8日當天,就有 151 個用戶 (不同的錢包位址) 把錢轉給駭客,這151個用戶總共轉了353 個 ETH。以3月8日的均價來看 (1ETH = USD780),駭客在1天內就獲利 28 萬美金 (相當於820 萬台幣),相當驚人的詐騙獲利。

事件始末

Continue reading ““ bịnạnce.com ” 兩個小點以假亂真,發動大規模搶劫虛擬貨幣交易所 !還有假 CEO 趁火打劫”

新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器

資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動,利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。

新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器

RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構,根據研究,全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令,將加密虛擬貨幣挖礦惡意程式下載至伺服器上。

[資安基礎觀念:加密虛擬貨幣挖礦惡意程式的負面影響]

此外,在追查這項攻擊行動的過程當中,研究人員還發現一個指令列腳本 (shell script),該腳本用來:

  • 下載加密虛擬貨幣挖礦惡意程式。
  • 利用 Linux 上的 crontab 工作排程器來讓自己在系統上不斷執行。
  • 在感染的系統上建立一個新的 Secure Shell (SSH) 金鑰以便從遠端連線。

Continue reading “新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器”