趨勢專家談趨勢 - 資安趨勢部落格

趨勢科技協助 FBI 定罪 SyEye 銀行木馬駭客背後的故事

2014 年 02 月 10 日2014 年 02 月 17 日趨勢科技 TrendMicro

loveme、kissme、抓我、試試看

圖片來自dprotz，透過創用授權使用

最近美國聯邦調查局(FBI)發表一份新聞稿關於對Aleksandr Andreevich Panin（一名俄國人，更為人所知的名稱是「Gribodemon」或「Harderman」，在網路上跟惡名昭彰的SyEye銀行木馬連結在一起）和Hamza Bendelladj（一名突尼西亞人，網路綽號為「Bx1」）所進行的法律行動。Panin已經為進行線上銀行詐騙的指控認罪，而針對Bendelladj的控訴還在進行中。美國聯邦調查局的新聞稿裡也感謝趨勢科技的前瞻性威脅研究（FTR）團隊協助此次調查。

Bendelladj被指稱經營至少一個 SpyEye 的命令和控制伺服器，雖然我們的TrendLabs部落格和我們的調查已經明確指出他的參與還要更為深入。他在2013年1月5日在曼谷機場被逮捕，而Panin是在去年7月1日飛經亞特蘭大時被捕。

趨勢科技的前瞻性威脅研究團大概在四年前就開始對SpyEye的幕後黑手進行調查。在這段調查期間，我們描繪出支援該惡意軟體的基礎設施，確認該基礎設施的弱點，並找到若干重要線索指出這惡意銀行木馬背後的個人身份。當我們覺得已經有足夠的資訊時，我們和執法單位合作以達到今日你所見到的圓滿結果。

我們進行中的研究有著相當豐富的資料，許多因為法律行動還在進行中而不適合分享出來，但你可能會有興趣知道這些被告最常使用的密碼包括了「loveme」、「kissme」和「Danny000」。我讓你自己去想想有關安全實作的結論。

去年的逮捕行動和最近的認罪再次證明了趨勢科技針對網路犯罪幕後黑手繼續閱讀

什麼能真正推動雲端運算大規模的成長？

2014 年 01 月 28 日2014 年 01 月 23 日趨勢科技 TrendMicro

作者：Dave Asprey（趨勢科技雲端安全副總）

當大多數IT專家談論到雲端運算，他們會想到基礎設施即服務（IaaS）或平台即服務（PaaS）。不太容易去想到的是，有很大比例的IaaS是用來推動軟體即服務（SaaS）產品，而SaaS本身占了雲端運算市場的最大部分。

Ｄavid Linthicum在InfoWorld上引用了一篇Capgemini的報告，顯示雲端運算市場規模從2009年的174億增長到2013年的442億。而有趣的是，SaaS的市佔率也從69 ％降低到58％，歸因是由於IaaS的成長。

我並不同意。現在越來越難去將一個應用程式歸類到一個特定類別。如果它依賴其他幾種雲端技術，那它是軟體即服務，還會變成混合雲？如果它被銷售為基礎設施即服務產品，但管理是靠軟體即服務呢？你的內容傳遞網路（CDN）是基礎設施即服務產品或軟體即服務產品？我也不知道。

而我馬上浮現到腦海裡的是趨勢科技的Deep Security產品。它非常的具有彈性，讓你能夠從自己的私有雲、公共雲或趨勢科技所代管的服務上來執行管理主控台。它可以管理橫跨實體伺服器、虛擬機器、私有雲和公共雲上的安全性。你可以基於使用量（即SaaS）來計費，或是實行企業合約。

你告訴我 – 這是SaaS產品？或是IaaS？不管是什麼，它都有一定的規模，而且越來越成長，而且它並不是簡單的SaaS/PaaS/IaaS，這我們在2006年所發明的層次架構，用來解釋我們自從代管和應用服務供應商（ASP）在1997年崛起後所做的事情。

你雲端策略所該做的是不要太關心某個東西是否在這三個類別之中。相反地，要注意你該如何進行管理，以及你要如何付費。這將會讓你從戰術決定前進到戰略規劃和實施。

＠原文出處：What is really driving the massive growth of cloud computing?

450萬名Snapchat用戶的使用者名稱和電話號碼被曝光

2014 年 01 月 14 日2014 年 01 月 10 日趨勢科技 TrendMicro

趨勢科技全球安全研究副總裁 Rik Ferguson

在舊時代，一切都還是黑白分明的時候，如果有陌生人在街上接近你，跟你要通訊錄副本的話，你肯定覺得他瘋了。如果有店員堅持要你用100名朋友的資料來換取優惠券也會是一樣奇怪的要求。不知什麼時候，資料本身數位化了，而且傳輸過程無形且無痛，讓這些成為完全可以接受的行為。與其繼續讓隱私被侵蝕，這類服務的使用者最好將手機用在其長期被忽略的原本目的上，或許打電話給那些朋友們，甚至安排見個面（！）好親自聊聊你所發現很棒的新應用程式，而不是一股腦地將你的朋友賣掉。

超過450萬名Snapchat用戶的使用者名稱和電話號碼被發佈在名為SnapchatDB.info的網站上。根據TechCrunch，SnapchatDB表示攻擊者是利用一個在2013年12月23日所披露的漏洞。

「我們這次發佈背後的動機是為了提高公眾意識在解決該問題上，也將公眾壓力帶給Snapchat，好讓此漏洞獲得修復。高科技初創公司的資源有限是可以理解的，但安全和隱私不該是次要目標。安全的重要性就跟使用者體驗一樣」

當然，這並非第一次在 Snapchat 服務或應用程式上發現漏洞。在最近幾個月內，各種偷偷儲存照片或恢復已刪除照片的方法已經成為好幾次的頭條，這些都是應用程式本身的漏洞，在使用者設備上攻擊漏洞。最新的這次攻擊是利用Snapchat自己伺服器上API的弱點，該API用來讓 Snapchat伺服器和 Snapchat客戶端進行通訊。

這些弱點可以讓自動化系統在短時間內對 Snapchat伺服器進行大量的查詢，發掘特定號碼是否存在 Snapchat 的資料庫內，並檢索與該號碼相關聯的其它資料，當然這號碼就是行動電話號碼。這次攻擊，再加上進一步的資料採礦（像透過社群媒體），可以輕易地建立出非常巨大的個人資料庫，用在各種進一步的攻擊或用來轉售。雖然Snapchat在幾個月前就意識到這些漏洞，GibsonSec – 概念證明漏洞攻擊碼的公布者聲稱他們仍然可以輕易地加以攻擊，而Snapchat DB證明了這一點。繼續閱讀

物聯網（IOT或萬物聯網IOE）會遭受攻擊嗎？

2014 年 01 月 13 日2016 年 01 月 25 日趨勢科技 TrendMicro

物聯網（IOT或萬物聯網IOE）是2013年最盛行的科技流行語之一，從Google搜尋趨勢就可以看得出來。這名詞指的是日常物品數位化的增加 – 任何新科技產品在設計時都會考慮到連接性，不管是智慧型電視、或是智慧型烤麵包機。隨著越來越多設備連上網路，防護這些設備也成為資安的下一個大挑戰。

遊戲玩家和擴增實境

在2014年，有一大列有趣的技術正在排隊等待出發。玩家也相當的期待：不僅最新一代的主機大戰開始，Valve也利用Steam主機帶出Linux遊戲，Oculus Rift可能會讓互動遊戲產生革命性的變化。遊戲已經成為不法份子有利可圖的目標，遊戲帳號經常在地下論壇進行交易。如果Steam主機可以普及，Linux惡意軟體的增加也成為可能。

2014也可能是擴增實境（AR）的一年，開始在日常生活中變得常見。現在在智慧型手機上已經有許多你可以玩的AR應用程式，但手機並不太適合AR。你需要把它從口袋裡拿出來、解鎖、打開一個應用程式、瞄準你感興趣的對象 – 更別提你用的是4或5吋的較小螢幕。

充分沈浸才能讓AR有最好的效果 – 而這也正是Google眼鏡或SpaceGlasses等穿戴式技術發揮的地方。有許多有趣的技術，甚或是心理攻擊可以攻擊這類的裝置。比方說，這些設備的使用者（白話地說）在頭上連著攝影機走來走去。不法份子去特製銀行惡意程式來擷取銀行密碼並不是件很難的事情。

火線下的SCADA（資料採集和監控系統）

自從Stuxnet蠕蟲出現，ICS/SCADA社群受到資安產業的嚴格審查。大多數安全大會現在都至少會有一個主題談論SCADA系統的安全性。趨勢科技的前瞻性威脅研究團隊在2013年發表了一系列相關主題的報告，並且證明了SCADA系統攻擊並不只是個理論，而是正在發生的現實。

這在2014年肯定會繼續下去，特別是目標攻擊、或是勒索性攻擊。對於安全研究人員和駭客來說，這真的是一個開始熱起來的領域 – 關於無線電通訊的整個領域。因為無線電沒有線而在空中進行傳輸，所以很多人認為（錯誤地）它是安全的。

在今年，趨勢科技秀出用於船舶追蹤的AIS標準有許多問題 – 其他研究人員也發現類似的問題出現在ADS-B（用於航空）上。我們預期在2014年會看到更多此類研究的發表。有更多技術在設計時並沒有考慮到安全性，或可以輕易地從遠端存取 – 突然就連到網路上，讓它們的安全漏洞顯現給大家看。繼續閱讀

你聽到我所聽到的東西嗎？

2014 年 01 月 08 日2014 年 01 月 02 日趨勢科技 TrendMicro

這一篇最近被發表在通訊雜誌上的文章，替 BadBIOS 這把大火又添了些新柴。在 BadBIOS 的案例裡，已經指出各項設備是透過一般電腦的音效裝置來進行無線的溝通。這份報告明確地說明了這樣溝通的可行作法。即使這最終和BadBIOS沒有關係，它也有很好的潛力來作為一種資料外洩的方法。

首先，我要明確指出，這僅僅是一個通訊管道，並不是像某些文章可能會讓你聯想到能夠作為感染載體。在現在這時間點，沒有已公開的技術可以僅僅依靠聲音來超越距離的感染系統（你可能會想從現在起開始對Siri多尊重一點）。

這方法的工作原理跟一種用來進行水底通訊的舊系統一樣，利用接近人耳聽覺的音頻上限。人類聽覺所能接收到的頻率範圍通常是從20Hz到20KHz。為了做個比較，狗可以聽到高達60KHz的範圍。我們聽到高頻的能力會隨著年齡增加而變差。也因為如此，一般電腦硬體的設計規格（例如20Hz到20KHz）跟大多數使用者可以聽到的範圍（比方說此篇討論所設定的17KHz）之間就會自然地出現一個空間來。

經過一些初步的測試，我們發現，在我們20人的樣本裡，約有兩個可以聽到17.5KHz的鈴聲。到目前為止，我們的測試裡沒有人聽到18.5KHz。任何可以使用音效硬體的應用程式都能夠用這種方式交談。注意到，Mac和Linux系統可能需要不同的軟體做法。所有使用的硬體都是現成而且未改過。還有一點很有用，在我們的測試中，18.5KHz的音頻沒有辦法透過電話或視訊會議傳輸。

Hack-a-day用GNU Radio做出一段關於此作法很棒的示範。雖然可能很難將GNU Radio運行在它不屬於的系統上。在我們接下來的測試裡，我們要專注在範圍、可靠性和使用一般軟體的可能性。我們可以用一個簡單的Perl腳本將文字訊息轉換成18.5KHz的摩斯密碼音頻。在一個沒有特別準備過的環境下（例如有風扇聲、機器噪音、音樂等），我們可以很輕易地在超過6公尺或20英尺外，利用些簡單的頻譜分析軟體來進行解碼。

圖一、這個訊息是「This is a test（這是個測試）」，加上相同系統在同時所播放的音樂繼續閱讀