在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

自從執法單位在2013年將Slik Road地下市場關閉之後,深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失,這是駭客可以交流、分享惡意程式碼和攻擊手法的地方,並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊,深網(Deep Web)內含藏著驚人的資料量 – 7,500TB,與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動,網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析,發現了576,000筆不重復網址,收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂,但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料,讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始:什麼是深網(Deep Web)

在我們要進一步探討網路的這一塊可以教給我們什麼前,先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web),它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場,裡面充斥著洗錢和非法毒品。因為這些活動,Ulbricht被控販毒和電腦駭客等犯罪行為,被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注,許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下:探索深網(Deep Web)”所指出,深網(Deep Web)或有時也被稱為暗網(Dark Web),一開始的建立目的是提供使用者免於審查,可以自由發言的安全空間,它最終成為網路犯罪的避難所。

DARK web, deep web

“深網(Deep Web)擁有超過20萬個網站,5,500億筆文件。”

 

槍支僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼? Continue reading “在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?”

黑吃黑:黑暗網路(Dark Web)內的駭客攻擊活動

黑暗網路上那些鮮為人知的網站,經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站,充斥著各式各樣的地下市集販賣著琳瑯滿目的商品,包括:網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告,比如「 表面之下:探索深層網路 (Deep Web)」。

然而關於「黑暗網路」(Dark Web) 內部的駭客攻擊活動,卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊?黑暗網路內部的攻擊規模和性質又是如何?出乎我們意料,我們發現這些攻擊在黑暗網路當中還算相當頻繁,而且駭客經常是手動進行這類攻擊,其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。

趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作,發表了一篇名為「黑暗網路對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem),並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近,我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。

架設誘捕陷阱來吸引網路犯罪分子

趨勢科技的研究目的是希望深入了解黑暗網路內部的駭客犯罪手法,並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其,我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。

為了達成研究目的,趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後,我們會自動蒐集所有記錄檔,並且將環境復原至乾淨的狀態。

我們的誘捕陷阱包含以下幾種:

  1. 一個僅供受邀會員交易的封閉黑市。
  2. 一個專門為黑暗網路提供客製化服務和解決方案的部落格。
  3. 一個僅供註冊會員登入的地下論壇,此外,要成為會員還需要保證人。
  4. 一個存放敏感文件的私人檔案伺服器,提供 FTP 和 SSH 連線。

圖 1:我們架設的假地下論壇 (誘捕陷阱 #3)。 Continue reading “黑吃黑:黑暗網路(Dark Web)內的駭客攻擊活動”

被偷的帳密,身分證明,就醫.金融資料,信用卡…到哪裡去了?

駭客偷取你的個人資料做什麼?

目前網路犯罪集團最賺錢的手段之一就是冒用他人身分來從事犯罪,其獲利甚至在 2016 年創下歷史新高,該年詐騙和身分冒用所造成的損失高達 160 億美元。然而,被偷的資料到底被用來做些什麼?目前網路犯罪集團最賺錢的手段之一就是冒用他人身分來從事犯罪,其獲利甚至 在 2016 年創下歷史新高,該年詐騙和身分冒用所造成的損失高達  160 億美元 。經歷了近幾年的一些大型資料外洩事件 (如  2016 下半年的 Yahoo 事件),現在大多數人都已經知道資料竊盜是無可避免的現實。身分冒用的問題固然令人擔憂,但真正災難卻在後頭,也就是當這些資料被駭客用於不法用途時。

此時,受害者可能遭遇一些嚴重的後果,尤其若歹徒的目標是受害者的保險、銀行和信用卡資料。事實上,許多使用者都不曉得自己的資料早已被駭客掌握,只有在身分被冒用之後才驚覺事態嚴重。

但到底這些失竊的資料最後的去向如何?是被賣到地下市場?還是連同一些其他偷來的資料一起賣給合法的企業?或者被用來盜刷?在我們深入探討失竊資料的流向之前,我們先來看看資料是如何外洩的。

資料如何外洩?

看到一些大型資料外洩事件,或許一般大眾會以為資料外洩都是駭客所引起,但根據趨勢科技的研究報告「 跟著資料循線追查:解構資料外洩事件及破除迷思 」(Follow the Data: Dissecting Data Breaches and Debunking the Myths) 顯示,從 2005 至 2015 年,裝置遺失或失竊才是資料外洩的主因。不過,若以普遍性來看,駭客攻擊和惡意程式的比例也不遑多讓。此外,意外洩漏和內賊所造成的比例也逐漸攀升。

下圖為資料外洩的原因:2005 年 1 月至 2015 年 4 月間各種資料外洩原因所占的比例。

 

41% 裝置遺失或失竊
41% 裝置遺失或失竊

 

 25% 為駭客攻擊或惡意程式
25% 為駭客攻擊或惡意程式

 

17.38% 意外洩漏
17.38% 意外洩漏

Continue reading “被偷的帳密,身分證明,就醫.金融資料,信用卡…到哪裡去了?”

假新聞與網路宣傳如何運用及操弄社群媒體?

研究報告顯示假新聞已發展成一種新的營利模式,網路犯罪者善用此手法作為服務項目 FNaaS(Fake News as a Service),在全球包含俄羅斯、中國、中東及英語國家的地下市場販售,所提供的服務不止是散播假新聞,通常還包括產製這些新聞故事,並把它們行銷給目標族群,手法類似於內容行銷服務與社群媒體行銷運作,甚至透過點擊詐騙殭屍大軍(Botnet)為貼文或影片的觸及率灌水,讓特定內容更具權威性及可信度,間接操控輿論風向,例如:中國「寫作幫」販賣產製內容,每篇只需100至200人民幣(約400-800台幣)不等,甚至也利用社群媒體引發口碑效應,讓新聞文章被特定留言讚爆。相同手法也同樣能影響股價及金融市場,任何有心人士都能利用此服務散佈不實訊息來達到特定目的,其中以政治及商業目的最為常見,可能對全世界政治、金融局勢和整個媒體產業產生巨大影響。

談到「假新聞」三個字,人們大概會直接聯想到社群網站上一些超神奇、超誇張的故事。不過,儘管假新聞與社群網站有很大關聯,但社群網站上的假新聞卻並非只是標題誇張而已。

假新聞與網路宣傳

假新聞看似是一項今日才有的新問題,但其實這只是它的散布平台較為新穎而已。然而「鼓吹宣傳」這件事其實早已存在數百年,只是網際網路最近才成為人們散布謊言與不實資訊的管道。

火的燃燒有三項要素:氧氣、熱度和燃料。同樣地,假新聞要炒得起來,也需要三要素:工具與服務、社群網路、動機 (如下圖所示),而且只要缺乏其中一項,假新聞就無法散布或到達目標。

圖 1:假新聞的三項要素。

首先是在社群媒體上操弄和散布新聞的「工具與服務」,這些工具大多可透過全球各種網路社群取得,而且種類繁多。有些服務相當單純,例如付費購買「按讚數」和「追隨數」等等,有些則稍微複雜,例如在網路調查中灌水,或者迫使某網站管理員撤下某篇文章。無論如何,這些操弄社群媒體的工具和服務唾手可得,而且不一定要到地下市集才能取得。

其次,這些工具要發揮作用,首先得要有社群網站這個宣傳平台。而隨著人們經由這類網站吸收資訊和新聞的情況越來越普遍,其重要性實在不容小覷。不過,單純地將宣傳訊息 PO 上網,離訊息真正觸及目標對象還有一段距離。我們在報告中說明了歹徒利用何種技巧來引誘讀者閱讀其訊息。

此次針對社群媒體的研究,也讓我們也了解到 Twitter 網站上的內容機器人與讀者之間的關係,描繪出這類操弄性輿論的規模和組織。

最後,所有的宣傳背後必定有其「動機」。我們也探討了這些假新聞背後的動機,其中有些只是單純為了賺取廣告費,但有些則懷有犯罪或政治意圖。不論其動機為何,任何宣傳是否成功,最終還是要看它對真實世界有多大影響。

個案研究

報告中,我們舉出幾種不同的個案來說明這些宣傳的成效,以及歹徒如何利用假新聞來達到各種目的,如以下三圖所示:

假新聞的各種用途

Continue reading “假新聞與網路宣傳如何運用及操弄社群媒體?”

網路假新聞氾濫 小心被帶風向! 趨勢科技揭露不肖新營利模式 提醒分辨可疑假新聞五大要點

【2017年6月21日台北訊】假新聞議題持續受到全球高度關注,近期卡達遭中東各國斷交風波,傳背後導火線正是假新聞,一日之內引發中東七國與卡達宣布斷交,甚至間接影響油價價格,可見假新聞影響層面之廣泛不容忽視。全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)日前發布「The Fake News Machine-How Propagandists Abuse the Internet and Manipulate the Public」研究報告,揭露假新聞背後的運作機制,深入研究假新聞是如何被產製、傳播及販賣,更提供使用者假新聞的基本判別原則。

研究報告顯示假新聞已發展成一種新的營利模式,網路犯罪者善用此手法作為服務項目FNaaS(Fake News as a Service),在全球包含俄羅斯、中國、中東及英語國家的地下市場販售,所提供的服務不止是散播假新聞,通常還包括產製這些新聞故事,並把它們行銷給目標族群,手法類似於內容行銷服務與社群媒體行銷運作,甚至透過點擊詐騙殭屍大軍(Botnet)為貼文或影片的觸及率灌水,讓特定內容更具權威性及可信度,間接操控輿論風向,例如:中國「寫作幫」販賣產製內容,每篇只需100至200人民幣(約400-800台幣)不等,甚至也利用社群媒體引發口碑效應,讓新聞文章被特定留言讚爆。相同手法也同樣能影響股價及金融市場,任何有心人士都能利用此服務散佈不實訊息來達到特定目的,其中以政治及商業目的最為常見,可能對全世界政治、金融局勢和整個媒體產業產生巨大影響。 Continue reading “網路假新聞氾濫 小心被帶風向! 趨勢科技揭露不肖新營利模式 提醒分辨可疑假新聞五大要點”

假新聞製造機來了! 你分得出真假嗎?

正如我們在 2016 年所預測,網路宣傳已成為網路犯罪的一個主要成長領域。我們預測:「網際網路滲透率的提升,為有意透過網路網路這個免費工具來影響大眾輿論風向的人開啟了新的契機。」而這正是目前「維基解密」(Wikileaks) 和一些假新聞網站所讓我們學到的。

名譽是一切 

在今日的世界裡,名譽是一家企業也是一個人的命脈。不幸的是,資訊真實與否似乎已不重要。重要的是,資訊一旦公開,社會大眾的觀點就已形成。這也讓假新聞在政治和商業領域擁有重大影響力,因為新聞的目標 (團體或企業) 必定會受到嚴重打擊。這一點我們已親眼見到:在 2016 和 2017 年全球各地大選期間,網路宣傳活動皆試圖左右大眾輿論,此外亦曾試圖破壞世界反禁藥組織 (WADA) 和其他機構的公信力。

如何防範

趨勢科技的最新報告:「假新聞製造機」(The Fake News Machine) 深入剖析了這類活動如何運作,以及網路犯罪集團在這領域如何持續擴大。我們的研究人員:Lion Gu、Vladimir Kropotov 和 Fyodor Yarochkin 翻遍了表層與深層網路市集,試圖尋找網路宣傳活動的獲利模式。今日的假新聞之所以能夠成功散播並發揮效果,主要仰賴三項因素:社群網路、工具與服務、動機。

目前政府和社群媒體網站正積極防範假新聞的散布,然而,一般個人也可以採取一些步驟來避免受到假新聞的影響,以下列出一些有助於使用者辨別假新聞的跡象:

  • 誇張聳動、讓人忍不住想點閱的標題,可能為惡意「點擊誘餌」
  • 可疑的網站地址,可能冒充真實的新聞網站
  • 內容出現拼字錯誤或網站版面不正常
  • 明顯經過刻意修圖的照片或圖片
  • 沒有附註發佈日期
  • 未註明作者、消息來源或相關資料

 

如欲進一步認識假新聞以及它們如何成為網路犯罪日益成長的領域,請看這裡。 作者:Ed Cabrera

 

⊙ 原文來源:Can YOU spot the fake?

延伸閱讀:假新聞與網路宣傳如何運用及操弄社群媒體?

「假新聞製造機:鼓吹者如何利用網際網路來操縱大眾」(The Fake News Machine: How Propagandists Abuse the Internet and Manipulate the Public)

 

勒索病毒WannaCry 敲響的警鐘:經由資料外洩來賺黑心錢的模式已不流行

傳統經由資料外洩來賺黑心錢的模式已不流行,勒索病毒 WannaCry以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統,在短短 48 小時內就已喚醒了大家的意識,是時後面對日益壯大的網路犯罪地下市場及網路犯罪分子了….

 

勒索病毒WannaCry 與美國行政命令

 

作者:Ed Cabrera (趨勢科技網路安全長)

上週,美國白宮發表了一份行政命令,標題為「強化聯邦網路與重大基礎建設的網路資安」(Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)。諷刺的是,同一週,全球遭到了有史以來最大規模的單一勒索病毒攻擊(WannaCry(想哭)勒索病毒/勒索蠕蟲),據估計,全球已有 150 多國 20 多萬名受害者。本文的用意在於提醒大家注意星期五的行政命令,因為其中有一些不錯的規定,也順便點出其中不足之處,尤其是面對日益壯大的網路犯罪地下市場及網路犯罪分子。相信關於這一點,此次攻擊在短短 48 小時內就已喚醒了大家的意識,而且效果遠超過上千篇的部落格文章。

正當 Pawn Storm 的網路間諜與網路宣傳活動引起眾議之際,一波新的勒索病毒攻擊讓大家真正見識到當前全球最大的網路安全威脅,也就是:跨國網路犯罪。傳統經由資料外洩來賺黑心錢的模式已不流行,現在,網路勒索更有賺頭。勒索病毒攻擊基本上就是「快又狠」。網路犯罪集團幾小時或幾天之內就能海撈一票。這波攻擊利用了一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統仍在使用當中。儘管資安產業大多專注在感染症狀、漏洞管理的重要性、良好的網路使用習慣,以及國家級的駭客攻擊等等,但真正迫切的毒瘤是全球虛擬與實體犯罪天堂數量龐大的跨國網路犯罪人口。

看看美國的這份行政命令,再對照此次的攻擊,其有些規定確實能幫助聯邦政府適當評估其部門和機構的網路攻擊風險。而更重要的是,管理這些風險的責任和預算將交由部長級與局長級的人員來負責。在聯邦政府資安長 (CISO) 們的努力下,聯邦政府的資安情況已經獲得改善,但這項轉變若要持續下去,他們就必須獲得所需的資源。所以問題是:聯邦政府的資安長們 (或權責單位) 是否將掌握充分的資源來面對不斷變化的威脅情勢。這又回到我對這份行政命令的最大質疑:該命令只是治標而不治本。它並未充分發揮團隊合作的力量。俄羅斯地下市場的網路犯罪分子在這波攻擊當中展現了相當程度彼此信賴。過去 17 年來,他們創造了一個讓各技術層次的網路犯罪分子都能共同策劃、發動攻擊並共享利潤的機制,其受害者遍及各國的公家機關和民間企業。反觀我們,目前就連達成自我防衛的最基本互信都還做不到。

不過好消息是,經過了這次的事件,事情開始有所轉變,全球各地的資訊分享分析中心 (Information Sharing Analysis Center,簡稱 ISAC) 與資訊分享分析機構 (Information Sharing Analysis Organization,簡稱 ISAO) 以及其會員和資安產業合作夥伴們,一直不眠不休地提供一些可採取行動的情報。我要特別恭喜 HITRUST 成功地將訊息傳達給美國的醫療機構來協助發掘並分享一些偵測指標與災情評估。此次的合作讓我們不僅能保護我們自己的客戶,更對整體產業的防禦能力帶來正面影響。

在我們建立一套全面的機制來解決跨國網路犯罪問題、讓歹徒無法來去自如、無利可圖之前,同樣的情況還會繼續發生。目前我們可以做的就是:繼續保持合作,透過一次一次像這樣的事件來建立彼此的信任,最終就能提升我們全體的防禦能力。

[編輯備註:如需最新的 WannaCry 資訊與相關的趨勢科技產品訊息,請參閱。] 

 

 

MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)

趨勢科技發現了一個新的 銷售櫃台系統 (PoS) 惡意程式品種:MajikPOS (趨勢科技命名為:TSPY_MAJIKPOS.A),和許多其他 PoS 惡意程式一樣是專為竊取資訊而設計,但其模組化的執行方式卻相當獨特。我們估計 MajikPOS 的第一個感染案例應該出現在 2017 年 1 月 28 日左右。

雖然其他的 PoS 惡意程式,如:FastPOS (新版)、Gorynych 及  ModPOS  也採用了元件化的設計來分擔各種不同功能 (如鍵盤側錄),但 MajikPOS 的模組化方式稍有不同。MajikPOS 只需再從伺服器下載另一個元件就有能力擷取系統記憶體 (RAM) 內的資料。

MajikPOS 是根據歹徒所使用的幕後操縱 (C&C) 面板而命名,該面板是用來發送指令並傳送竊取到的資料。MajikPOS 幕後的駭客在攻擊時結合了 PoS 惡意程式和遠端遙控木馬程式 (RAT),可造成嚴重的傷害。從 MajikPOS 可看出歹徒的手法越來越複雜,讓傳統的防禦顯得毫無招架之力。

入侵點與攻擊過程

趨勢科技Smart Protection Network™ 所得到的資料可以判斷出歹徒使用什麼方法從遠端存取受害者的端點,那就是:Virtual Network Computing (VNC) 和 Remote Desktop Protocol (RDP) 兩種遠端支援工具,不過歹徒還必須猜出受害者的遠端帳號密碼,然後再搭配先前安裝在系統上的 RAT 工具。 Continue reading “MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)”

駭客勒索蘋果:不給錢,就刪除數億 iCloud 帳戶

網路犯罪是一門生意。職業的網路罪犯會改進流程、衡量績效並定期評估其投資回報。每一步都有戰略意義。我們從勒索病毒攻擊和整個地下市場活動一次又一次地看到證明。

這就是為什麼看到駭客企圖敲詐 Apple支付10萬元來「回復」數億筆 iCloud帳號時會令人難以置信的原因。

媒體即武器

駭客給出4月7日的最後期限,如果Apple公司不回應,那犯罪分子威脅會重設帳號並抹除連結的設備。可能是想藉由媒體報導來產生公眾壓力迫使Apple讓步。這其實極不可能,主要原因是Apple有足夠多的資源不去屈服外部壓力。如果他們不會還給我們耳機孔HDMI端口,蘋果也不會付錢給罪犯。

對於iCloud帳號,Apple掌握最終的安全控制,他們控制帳號背後的基礎設施。這消弭了罪犯可以動作的大多數施力點。 Continue reading “駭客勒索蘋果:不給錢,就刪除數億 iCloud 帳戶”

醫療產業地下市場:待價而沽的電子健康記錄

在 2016 年,美國有 91%的人口具備健康保險,這意味著只要發生醫療資料外洩,任何人都會受到影響。它對個人的影響層面可能各有不同,但對受到影響的人和醫療機構來說都不會是件小事。趨勢科技的最新研究報告 – 「醫療產業所面臨的網路犯罪和其他威脅」中檢視了醫療產業資料外洩的另一面,並追蹤了電子健康記錄(EHR)被竊後會發生的事情。

 

電子健康記錄在深層網路 (Deep Web) 上被多次使用

EHR是給醫生使用的資料集合,包含了個人識別資訊(PII)、財務資訊(如保險資料)、付款資訊及個人健康相關資訊(如醫療處方、病歷、約診時間和其他醫療相關資料)。每個資料集合對網路犯罪分子來說都非常具有價值。財務資訊和個人識別資訊(PII)經常出現在資料外洩事件中,並且會放到地下市場販賣。哪麼醫療保健相關資訊呢?網路犯罪分子對醫生的約診時間或受害者所服用的藥物感興趣嗎?

圖1、在地下市場販賣的醫療保健文件

Continue reading “醫療產業地下市場:待價而沽的電子健康記錄”