FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

 

跟著英國國家打擊犯罪調查局(NCA)的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制(C&C)伺服器已經被美國聯邦調查局(FBI)關閉。

美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路,其被惡意軟體用來將竊得的資料發送給網路犯罪分子,並且下載包含目標銀行清單的設定檔案。此外,也已經起訴了Andrey Ghinkul(別名Andrey Ghincul和Smilex),「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。

破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作,各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制(C&C)網路是這團隊合作成功的最新例證。

 

什麼讓 DRIDEX與眾不同?

DRIDEX在這過去一年漸漸打響名號,一直被視為是 Gameover ZeuS(GoZ)惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P(點對點網路)架構及獨特的行為。

不同於其他惡意軟體,DRIDEX運用BaaS(殭屍網路即服務)商業模式。它運行數個「Botnet傀儡殭屍網路」,每個都以編號標識,並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲(特別是羅馬尼亞、法國和英國)。從過去三個月內趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的反饋資料顯示,美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。

 

圖1、分析受影響的國家,資料來自2015年7月到10月1日

 

DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習,DRIDEX開發者在其架構中在命令與控制(C&C)伺服器前多加了一層。

除此之外,DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似,它使用一種隱形持久性技術,會在系統關閉前寫入自動啟動註冊碼,並在系統啟動後刪除自動啟動註冊碼。然而,只有DRIDEX會清理儲存在註冊表中的設定,並改變惡意軟體副本的位置。

DRIDEX可以輕易地透過惡意電子郵件附件檔散播,通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉,但如果它在攻擊前就已經啟用,就可以直接進行攻擊。否則,攻擊者必須利用強大的社交工程(social engineering )來說服使用者啟用該功能。此外,我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。

Continue reading “FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺”

不著痕跡:無檔案惡意軟體出現了

檔案掃描程式的加強讓惡意軟體作者選擇跳脫原本傳統惡意軟體的安裝行為。惡意軟體將自己複製到惡意程式碼內所指定的位置,再利用持續性策略(像是加入自動啟動功能以確保自己持續運作)的做法已經不再足夠。檔案掃描程式可以輕易地封鎖和偵測這些威脅。

Fileless Malware  無檔案惡意軟體

趨勢科技注意到的一個手法是利用無檔案惡意軟體。跟大多數惡意軟體不同,無檔案惡意軟體將自己隱藏在難以掃描或偵測的位置。無檔案惡意軟體只存在於記憶體中,並直接寫入記憶體而非目標電腦的硬碟上。POWELIKS是一個無檔案惡意軟體的例子,它可以將惡意程式碼隱藏在Windows註冊表中。利用一個傳統惡意軟體將惡意程式碼加入註冊表內。

在2014年8月,POWELIKS 的閃躲技術及使用Windows PowerShell 讓它被視為可能出現在未來攻擊的危險工具。

無檔案感染技術的成功(可以從2014年後期出現的POWELIKS感染高峰看出)讓其他惡意軟體作者也想要跟著仿效。在本文中,我們將討論另一個知名的惡意軟體也具備無檔案感染行為。

 

Phasebot,源自Solarbot

另一個無檔案惡意軟體的例子是「Phasebot」,趨勢科技發現它出現在販賣惡意軟體和其他惡意線上工具的網站上,被自稱是惡意軟體的創造者加以兜售。我們將 Phasebot偵測為TROJ_PHASE.A。Phasebot 同時具備 rootkit和無檔案執行能力。

趨勢科技注意到這個惡意軟體和Solarbot有著相同的功能,這個舊「Botnet傀儡殭屍網路」程式第一次出現是在2013年底左右。當我們比較販賣這兩個惡意軟體的網站後就可以看得更加清楚。

 

圖1、比較Solarbot(上)和Phasebot(下)網站

Continue reading “不著痕跡:無檔案惡意軟體出現了”

南韓渡輪沉沒事件,遭殭屍網路利用,會讓你的電腦進入休眠狀態

一艘名為「歲月號」(Sewol) 的渡輪在南韓南方海域翻覆儘管全球都還在關注此次悲劇的最新發展,網路犯罪者卻早已開始蠢動。

ferry

就在事件傳遍全球的數小時後,我們已見到多個利用這項新聞的垃圾郵件。在趨勢科技所蒐集到的樣本中,歹徒並未使用這次的新聞為誘餌,而是將新聞附在訊息當中。

圖 1:垃圾郵件訊息

注意,垃圾郵件的主要部分並未提到任何有關船難事件的支字片語。反而是將船難事件的消息附在郵件內容的下方。這種在郵件當中隨機夾帶當下熱門事件或新聞快報的作法,是垃圾郵件散發者躲避垃圾郵件過濾的一種手法。

郵件一旦躲過垃圾郵件過濾,您就只剩垃圾郵件防護軟體與您自身的判斷來保護您。請注意,上圖當中的垃圾郵件附了一個法院出庭通知的附件檔案。一旦您不小心開啟了這個附件,您的電腦就會感染後門程式。因為我們在進一步分析這個樣本之後發現其附件檔案是一個後門程式,也就是趨勢科技偵測到的 BKDR_KULUOZ.SMAL。此後門程式可讓歹徒從遠端下達一些指令,例如更新惡意程式版本、下載並執行檔案、讓電腦進入閒置或睡眠。

KULUOZ 目前已知是經由 Asprox 殭屍網路散布。KULUOZ 會下載其他的惡意程式,如假防毒軟體 FAKEAV 與 ZACCESS,也會在您的電腦上安裝 Asprox「Botnet傀儡殭屍網路」的元件,將您的電腦變成垃圾郵件散播來源。經過深入的分析顯示,這個 KULUOZ 變種是 Asprox 殭屍網路的一環。

諸如此類的事件,儘管不幸,卻是讓垃圾郵件散發者與網路犯罪者更加茁壯的養分。網路犯罪者經常利用剛發生即時事件,因為他們知道民眾有知的需求。在這樣的情況下,人們更容易急著開啟電子郵件或點選任意連結。

儘管趨勢科技的產品隨時都會攔截這類電子郵件,並且防止惡意附件檔案執行,但最安全的防護還是您自己的判斷力。您可以仔細觀察郵件的寄件人、標題和訊息內容來判斷是否為垃圾郵件。絕大部分的垃圾郵件都會使用假的電子郵件地址,並運用一些誘人的標題和/或內容。仔細分辨垃圾郵件能為您省下許多時間和煩惱,同時也維護電腦和資料的安全。

@原文來源:南韓渡輪沉沒事件變成垃圾郵件的利用工具 (News of South Korea Ferry Used for Spam Evasion) | 作者:Maria Manly (垃圾郵件防護研究工程師)

 

免費下載 防毒軟體 PC-cillin 試用版下載

趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

◎ 歡迎加入趨勢科技社群網站

   

 

Asprox殭屍網路重生

作者:Nart Villeneuve(資深威脅研究員)

雖然垃圾郵件 殭屍網路是以發送不受歡迎的廣告郵件著稱,尤其是那些賣假藥的公司,但他們同時也是散播惡意軟體不可或缺的一部分。除了發送自己的惡意軟體好提高自己殭屍網路的規模,安裝其他的惡意軟體也讓這些幕後黑手們可以通過按次付費安裝模式來賺錢。

趨勢科技已經研究過惡名昭彰的Asprox垃圾郵件殭屍網路的運作模式。Asprox以發送偽裝成來自快遞公司(像是FedEx、DHL和美國郵局)的垃圾郵件(SPAM)而著稱。雖然Asprox殭屍網路只在過去幾年間被偶爾的提到,但其他類似手法的攻擊活動,還有利用知名航空公司的假機票詐騙(像是達美航空和美國航空)都受到相當的關注。

這些攻擊活動很少跟Asprox殭屍網路相連結。甚至更少看到關於這殭屍網路運作的分析報告。這怎麼可能呢?Asprox進行了一些修改讓自己變得更有效果:

  • 它使用成套的垃圾郵件(SPAM)範本,透過多種主題和語言去誘騙使用者打開惡意附件檔或點入惡意連結。
  • 它採用模組化的框架(利用KULUOZ惡意軟體),所以殭屍網路營運商可以在有需要時輕易地添加新功能。同時還用RC4加密以對抗網路層偵測技術。
  • 它擁有多個垃圾郵件(SPAM)郵件模組,其中一個會利用被入侵的合法電子郵件帳號來對抗使用信譽評比技術的反垃圾郵件系統。
  • 它會部署掃瞄模組,命令受感染電腦掃描網站漏洞。這是為了要透過被入侵淪陷網站來散播惡意軟體,以避免被網頁過濾和信譽評比技術偵測。
  • 它會散播資料竊取模組,讓它能夠取得受害者的FTP、網站和電子郵件帳號登錄資訊。

Continue reading “Asprox殭屍網路重生”

什麼是「Botnet傀儡殭屍網路」?

什麼是「Botnet傀儡網路」?跟「殭屍網路」是一樣的嗎?

Botnet傀儡網路另一個說法是殭屍網路,顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式,即會像傀儡一般任人擺佈執行各種惡意行為,當一部電腦成為傀儡網路 Botnet的一部份時,意味著Bot操縱者可將募集到的龐大網路軍團當作機器人來遠端遙控,從事各種非法入侵近年來尤以藉著「網頁掛馬」(入侵合法網頁植入惡意連結)進行資料竊取危害甚遽。瀏覽網頁者在無法察覺的情況下,連線到殭屍網路背景植入間諜軟體等載惡意程式,並從此成為殭屍網路的一員,繼續壯大殭屍網路軍團。

電腦被遠端遙控會有什麼後果呢?請參考這個案例 烏龍派出所!駭客網路預告殺人 日本警方抓錯人日本警方根據網路IP位置,陸續逮捕一名43歲動漫表演家及大阪府津市的一位28歲無業男子。不過,就在大阪府檢方將表演家起訴之後,9月中旬與三重縣警方開始交換辦案資訊時,發現兩人的電腦遭到新型病毒感染,遭人從遠端遙控,留下這些帶有犯罪內容的訊息。

Bot 殭屍網路網路犯罪者最常使用來從事詐欺與竊盜的主要管道,除此之外,Bot 網路還可用於針對商業網站發動聯合攻擊,讓這些網站無法使用。由於感染殭屍病毒多數沒有徵兆,一般受害者通常並不知道電腦已經遭受遠端控制。

Botnet傀儡網路/殭屍網路」的起源?

 

1988年時,Jarkko Oikarinen在芬蘭的歐蘆大學(University of Oulu)設計出一套線上聊天系統,稱之為Internet relay chat (IRC),隔年Greg LindahlIRC架構上撰寫了GM (Game Manager for the Hunt the Wumpus game),這是第一個IRC bot,當初的bot只是一個方便管理系統的工具,並未有任何惡意的行為,然而現今的bot已經成為網路安全的一大隱患,也成為駭客賺錢的有利工具。

Continue reading “什麼是「Botnet傀儡殭屍網路」?”