電腦病毒/惡意程式 - 資安趨勢部落格

病毒提前過情人節?看到「Love you 」附件別亂點! 垃圾信夾帶惡意JavaScript,散播勒索病毒挖礦程式,台灣列全球第五大感染區

2019 年 01 月 22 日2019 年 01 月 23 日趨勢科技 TrendMicro

使用垃圾郵件來挾帶 JavaScript 惡意程式早已不是新聞，但對使用者來說卻仍是一項重大威脅，因為這類手法已不再需要仰賴執行檔或使用者的操作就能發動。只要惡意程式碼儲存在硬碟上，就能經由使用 JavaScript 的網頁指定 JavaScript 程式庫讓 Windows 預設執行。
這些惡意程式不僅可能存取、蒐集、竊取機密資料與系統資訊，更可能提供其他不法功能，例如讓駭客從遠端操控系統。
目前看到許多標題不外乎「Wrote the fantasy about us down 」
「 Felt in love with you 」 ,且許多Zip 附件檔名都含有「Love you 」字樣 ,情人節將至,大家請提高警覺,點選情人節相關郵件時,請提高警覺。

趨勢科技從 2018 年 12 月 31 日至今已在 72,000 多封電子郵件當中發現大量 JavaScript 惡意程式，且數量突然暴增。這些惡意程式會散布至少 8 種其他類型的惡意程式，如：GandCrab 勒索病毒及挖礦程式。根據趨勢科技的資料顯示，偵測數量最多的國家依序為：日本、印度、美國、德國、台灣、菲律賓及加拿大，且大多數來自教育、政府、製造和銀行產業。在本文撰稿時，其下載來源 IP 位址已遭到封鎖。趨勢科技的機器學習和行為偵測技術已能主動偵測並攔截這些惡意的 JavaScript。

圖 1：根據趨勢科技 Smart Protection Network™ 的資料顯示 2019 年一開始網路上即出現大量惡意程式，尤其是 1 月 3 日的數量最高。

圖 2：偵測數量最多的國家:台灣名列第五。

繼續閱讀

18 歲了!分析 Shadow Brokers 駭客集團外流的長青惡意程式Tildeb

2019 年 01 月 16 日2019 年 01 月 05 日趨勢科技 TrendMicro

2017 年 4 月 14 日，The Shadow Brokers (TSB) 駭客集團公開了一批名為「Lost in Translation」的駭客工具和資料。這批公開的資料當中包含了多個關於 Server Message Block (SMB) 和 Remote Desktop Protocol (RDP) 兩個通訊協定以及一些協同作業與網站伺服器軟體的零時差遠端程式碼執行漏洞。此外還有 EternalBlue、EternalChampion、EternalSynergy、EsteemAudit、EchoWrecker、ExplodingCan、EpicHero、EWorkFrenzy 等漏洞攻擊套件。

此外，這批資料還包含一些駭客在成功入侵之後可植入系統的惡意程式和工具，以便能夠：持續掌控被感染的系統、避開安全驗證、從事各種惡意活動，並與遠端伺服器建立幕後操縱 (C&C) 通訊等等。在這類植入系統的惡意程式當中，最值得注意的有五個：DoublePulsar、PeddleCheap、ExpandingPulley、KillSuit (KiSu) 和 DanderSpritz，它們各自擁有不同的能力、功能和用途。

除此之外，還有一個非常特別的惡意程式，那就是 ExpandingPulley (EP) 主要資料夾「\windows\Resources\Ep\」底下一個名為「clocksvc.exe」的獨立執行檔。這個惡意程式從未獲得公開關注，只曾經在一份 CYSINFO 的報告當中被提到它會連上某個 IP 位址。我們將這個惡意程式命名為 Tildeb (趨勢科技正式命名：Trojan.Win32.TILDEB.A)，因為它會在系統上產生一個名為「~debl00l.tmp」的特殊暫存檔。繼續閱讀

駭客利用 Twitter 發送 Meme迷因梗圖,藉圖像隱碼術( Steganography )躲避偵測

2018 年 12 月 19 日2018 年 12 月 19 日趨勢科技 TrendMicro

圖像隱碼術(Steganography) – 將惡意檔案藏在圖片中來躲避偵測的方法，一直以來都被駭客用來散播惡意軟體或進行其他惡意攻擊。趨勢科技最近發現有駭客在「MEME」迷因圖(梗圖)上使用了這種技術。在10月25日和26日，攻擊者透過一個在2017年建立的 Twitter 帳號發表了兩條包含惡意Meme迷因圖的推文。圖內嵌了命令，讓惡意軟體從惡意 Twitter 帳號下載到受害者電腦後加以解析。變成電腦內惡意軟體的C&C服務。但要注意的是，惡意軟體並非從 Twitter下載，我們也沒有觀察到惡意軟體是用哪種機制散播給受害者。

編按:「Meme」指在網路上快速傳播擴散的爆紅內容,也有用發音/miːm/直譯為「迷因」, Meme圖通常指具有某種梗的圖片。

這個新威脅（偵測為TROJAN.MSIL.BERBOMTHUM.AA）值得注意的地方在於，惡意軟體透過合法服務（也是熱門的社群網路平台）接收命令，使用看似正常實為惡意的Meme迷因圖，而且除非關閉惡意Twitter帳號，不然無法中斷此威脅。Twitter在2018年12月13日已經關閉了該帳號。

隱藏在所提到圖片中的命令是「/print」，指示惡意軟體擷取受感染電腦的螢幕截圖。螢幕截圖會被送到駭客控制的C&C伺服器（利用pastebin.com來取得網址）。

截取受感染電腦螢幕截圖回傳給駭客

趨勢科技發現，一旦惡意軟體在受感染電腦上執行，就會將從Twitter帳戶下載惡意Meme迷因圖到受害者電腦上。接著會取出圖內所藏的命令，在此次案例中是「print」命令，讓惡意軟體截取受感染電腦的螢幕截圖。接著惡意軟體會從Pastebin取得C&C伺服器資訊。再將所收集的資訊或命令輸出上傳到指定網址，傳送給攻擊者。

圖1、顯示Pastebin網址的惡意軟體程式碼

在分析過程中，我們看到Pastebin取得的網址指向內部或私有IP地址，這可能只是攻擊者臨時的設定。

圖2、Pastebin取得的網址指向私有IP地址

繼續閱讀

【資安】曾攻擊全球最大石油公司Shamoon/Disttrack 磁碟清除病毒,出現了新變種：你需要知道什麼

2018 年 12 月 19 日2018 年 12 月 24 日趨勢科技 TrendMicro

2012年全球最大石油公司遭駭 75%電腦受感染, 資安專家分析，造成3萬部電腦受影響的就是Shamoon病毒。2016年媒體報導沙烏地阿拉伯遭到「國家級」駭客攻擊 ,Shamoon 惡意程式出現升級版，攻擊沙國數個政府機關。近日趨勢科技看到了惡名昭彰的磁碟清除病毒Shamoon（又稱Disttrack）出現更新版本的報導。同時也發現了好幾個此版本Shamoon 的樣本（趨勢科技偵測為Trojan.Win32.DISTTRACK.AA和 Trojan.Win64.DISTTRACK.AA）。雖然無法確認此版本的病毒是否真的有在外面散播，但我們正在分析此病毒來確認其功能，因為它所可能帶來的破壞性影響。

趨勢科技的趨勢科技XGen™ 防護透過主動式技術（如行為分析和高保真機器學習）能夠保護使用者和企業不會遭受此磁碟清除病毒影響。以下是使用者和企業關於最新的Shamoon病毒所需要知道的資訊：

什麼是Shamoon/Disttrack？

Shamoon（或稱Disttrack）蠕蟲是種磁碟清除病毒。它會覆蓋掉受感染電腦內的檔案，同時會感染主開機紀錄（MBR）。它的第一代會覆蓋掉文件、圖像、影片和音樂檔，清除MBR並換成燃燒旗幟的圖檔。第二代使用的是張有名的難民照片。

新版本的Shamoon似乎具備相同的MBR清除功能。而據報跟之前刪除替換檔案的版本不同的是，這次有不可逆轉的加密檔案功能。它似乎也缺少一些元件，例如用於網路橫向移動及命令和控制（C&C）通訊的預設憑證。我們還在進行分析中，一旦有更新資訊就能夠加以確認。

這新版本的Shamoon/Disttrack有實際在外散播嗎？

根據報導，一個包含最新版 Shamoon的檔案從義大利上傳到VirusTotal。我們並沒有發現任何跡象顯示此版本的Shamoon有在外擴散。

繼續閱讀

【資安】AutoIt 蠕蟲透過可移除磁碟,散播無檔案後門程式BLADABINDI/njRAT

2018 年 12 月 14 日2018 年 12 月 22 日趨勢科技 TrendMicro

BLADABINDI（也被稱為njRAT/Njw0rm）是一種遠端存取工具（RAT），具備了鍵盤側錄、執行分散式阻斷服務攻擊” (DDoS)攻擊等眾多後門功能，一再地被重複運用在各種網路間諜活動中。事實上，BLADABINDI的可客製性及可從網路地下世界取得讓它成為一種常見的惡意威脅。趨勢科技前幾日就發現了一隻蠕蟲病毒Worm.Win32.BLADABINDI.AA，它會透過行動碟來散播並安裝無檔案版本的BLADABINDI後門程式。

雖然仍無法確切知道惡意檔案如何進入受感染系統，但其散播行為顯示出它會透過行動碟來進入系統。AutoIt除了是一種靈活且易於使用的腳本語言外，BLADABINDI如何去濫用它也很令人關心。它利用AutoIt（FileInstall命令）來將後門程式和主腳本編譯成單一的執行檔，讓後門程式難以被偵測到。