醫療產業地下市場:待價而沽的電子健康記錄

在 2016 年,美國有 91%的人口具備健康保險,這意味著只要發生醫療資料外洩,任何人都會受到影響。它對個人的影響層面可能各有不同,但對受到影響的人和醫療機構來說都不會是件小事。趨勢科技的最新研究報告 – 「醫療產業所面臨的網路犯罪和其他威脅」中檢視了醫療產業資料外洩的另一面,並追蹤了電子健康記錄(EHR)被竊後會發生的事情。

 

電子健康記錄在深層網路 (Deep Web) 上被多次使用

EHR是給醫生使用的資料集合,包含了個人識別資訊(PII)、財務資訊(如保險資料)、付款資訊及個人健康相關資訊(如醫療處方、病歷、約診時間和其他醫療相關資料)。每個資料集合對網路犯罪分子來說都非常具有價值。財務資訊和個人識別資訊(PII)經常出現在資料外洩事件中,並且會放到地下市場販賣。哪麼醫療保健相關資訊呢?網路犯罪分子對醫生的約診時間或受害者所服用的藥物感興趣嗎?

圖1、在地下市場販賣的醫療保健文件

Continue reading “醫療產業地下市場:待價而沽的電子健康記錄"

竊取高達 87GB敏感資料的 EyePyramid,是國家級駭客? 只是一對想發財的兄妹檔!

歹徒的目標有時是可拿到地下市場販賣的金融資訊,或是公司的商業機密。就連已遭入侵的網路帳號密碼,對網路犯罪者來說也是一項商品。因此,針對攻擊來源進行一番仔細的研究,有助於事件回應和資安矯正。

此外,追查幕後的駭客有助於了解其技術的純熟度,並且掌握駭客資源與技巧的多寡,以及資安人員有多少應變時間。但是,研究人員不該因為事件的重大而譁眾取寵,或者隨著主流媒體對資安事件的炒作與恐慌而起舞。

EyePyramid 事件印證了一件事:重大的資安攻擊並非只有國家級駭客才能辦到。從保護企業邊境的觀點來看,了解未來該如何防範並取得必要的工具和專業知識來面對這些威脅,反倒更為重要。

今年初EyePyramid 資訊竊盜程式成了各大媒體的焦點,因為它從一些政府機關、私人企業和公家機構竊取了高達 87GB 的敏感資料,共有 100 多個電子郵件網域和 18,000 多個電子郵件帳號受害,包括義大利、美國、日本和歐洲的一些知名機構在內。

很多人或許會認為 EyePyramid 應該是由國家級駭客所進行的一項網路間諜行動。但事實並非如此,該行動的「幕後集團」最後被發現只是一對想要利用惡意程式賺錢的兄妹檔。

追根溯源相當困難

若我們可以從 EyePyramid 的案例學到什麼教訓的話,那就是:追根溯源相當困難。追溯幕後的源頭是網路犯罪偵查當中最複雜的工作,部分原因是網際網路的設計讓歹徒有很多方式可以隱藏行蹤。

就算真的追查到網路攻擊的源頭,大多數資安機構和資安人員也都會盡可能避免點名特定的個人、團體或國家,因為這麼做很冒險。例如,資安界經常引用惡意程式碼當中的一些特徵來當成佐證。但不幸的是,惡意程式碼的作者經常不是實際犯案的歹徒,因為這些程式很可能是從地下市場買來的。除此之外,從惡意程式也看不出幕後運籌帷幄的歹徒,因為他們有許多躲藏和造假的工具和技巧。甚至連受害者、犯案動機或惡意程式所參與的行動都很難斷定。 Continue reading “竊取高達 87GB敏感資料的 EyePyramid,是國家級駭客? 只是一對想發財的兄妹檔!"

勒索病毒成犯罪新手金雞母,竟是有現成工具!

假使勒索病毒一直能為歹徒帶來高達十億美元 的獲利,那他們有何理由收手?

十億美元!這就是為何歹徒一直積極投入這類犯罪,而且這類犯罪的成本還在持續降低,因為地下市場上充斥了各種必要的犯罪工具供歹徒購買或租用。

有了這些現成的工具,就算沒有技術背景的人也能發動這類攻擊。無需特殊技能、低風險、高報酬:這根本就是歹徒夢寐以求的"夢幻組合"。

勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來讓其他入門新手或是想要從事網路犯罪的人加入這場掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 。這項服務給那些無須擁有進階技術、知識或經驗的"客戶",讓他們可以根據自己的需求來進行設定。

勒索病毒一旦在受害者的系統上執行,就會開始加密電腦或伺服器上的檔案,接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣),使用者若想救回被加密的檔案,就必須支付贖金。 Encryptor RaaS對它的”事業夥伴喊話:”只要會設定比特幣錢包ID,不需技術能力

勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

有個叫做「Stampado」的勒索病毒 Ransomware在深層網路 (Deep Web) 上主打只要 39 美元的價格便提供「終身授權」。網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件,就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略,包括利用雲端平台Windows腳本,還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣(「勒索病毒即服務」(Ransomware as a Service,簡稱 RaaS))。

追劇變悲劇! Cerber 把檔案當肉票

趨勢科技發現某些 Cerber 變種會在受害者點擊播放影片後,跳出視窗導到漏洞攻擊套件的伺服器,然後下載 Cerber勒索病毒。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀…."

這並不是個案,無獨有偶的是也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索病毒。

 

論壇傳出「勒索病毒」大量災情。(圖擷取自PTT)

 


PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 


勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是2016年7月就賺進近20萬美元。

Continue reading “勒索病毒成犯罪新手金雞母,竟是有現成工具!"

趨勢科技與司法單位合作建立一個更安全的數位資訊交換世界

網路犯罪 警察 逮捕

12 月 1 日,歐洲刑警組織 (Europol)、美國聯邦調查局 (FBI)、德國警方以及一些其他單位,聯合採取了一項跨國執法行動,破獲一個叫做「Avalanche」(雪崩) 的國際網路犯罪基礎平台。Avalanche 是一個專門為「Bullet Proof」(防彈) 殭屍網路提供服務的內容派送管理平台,有多達 20 幾個不同的惡意程式家族都運用到這個平台,受害對象遍及 30 多國。因此這項行動已成為近年來最成功、也最具成效的網路犯罪打擊行動。

趨勢科技有幸參與了這項行動,並且提供受害者所需的惡意程式清除工具。我們在此要恭喜所有投入這項長期偵查行動的單位,感謝他們的努力才能有今日的成果。

趨勢科技一直在積極協助執法機關降低網路犯罪對使用者所帶來的日常風險,因此,這只是其中的一個案例。趨勢科技為了達成企業使命,一直與國際刑警組織 (Interpol) 進行長期合作,並且和英國國家犯罪局 (National Crime Agency,簡稱 NCA) 簽訂了合作備忘錄,同時也是歐洲刑警組織 (Europol) 諮詢委員會的長期代表,更與世界許多其他國家執法單位有直接的聯繫。

多年來,我們已參與過多起成功的逮捕行動,包括逮捕惡名昭彰的 SpyEye 惡意程式作者、DNS Changer 殭屍網路犯罪集團、 Refud.me 和 Cryptex Reborn 地下網路服務幕後集團,以及奈及利亞境內一個重要的垃圾郵件散發集團,還有許許多多目前正在追查中的案件。

延伸閱讀:

趨勢科技 協助偵破駭客假冒健保局,盜取萬筆中小企業個資案件

趨勢科技助刑事警察局及時遏止300萬台幣落入駭客口袋,成功為企業把關駭客變臉詐騙威脅

Continue reading “趨勢科技與司法單位合作建立一個更安全的數位資訊交換世界"

駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者

網路上已出現許多販賣線上遊戲幣的網站,而這類熱門的遊戲包括:《FIFA》、《魔獸世界》、《流亡黯道》等等,更有些人提供代練《寶可夢》帳號的服務。網路犯罪集團藉由經營線上遊戲幣業務充實資金,進一步拓展網路犯罪活動,攻擊更多企業機構,甚至遊戲伺服器。趨勢科技已見過多起駭客集團所發動的攻擊。

這些網站都有自己的廣告、促銷活動,甚至提供加密的付款機制。事實上,它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制,更有 7 天 24 小時全天候線上即時通訊技術支援。

————————————————————————————-

網路犯罪集團藉由經營線上遊戲幣業務充實資金,進一步拓展網路犯罪活動,攻擊更多企業機構,甚至遊戲伺服器

 

線上遊戲產業長久以來都是網路犯罪的一大目標。這些年,我們看到玩家遭到各種網路釣魚攻擊,不然就是遊戲帳號被盜。至於遊戲公司,則是遭到分散式阻斷服務 (DDoS) 之類的攻擊。但這些威脅都跟遊戲本身無關,不過,我們最近發現了一種與玩家切身相關且影響廣泛的威脅。

根據趨勢科技最新的研究「網路犯罪集團販賣線上遊戲幣」(The Cybercriminal Roots of Selling Online Gaming Currency) 指出,網路犯罪集團現在會藉由販賣線上遊戲幣的方式來賺錢以資助其犯罪行動。

利用玩家之間相互比較的心理

這類手法專門針對那些會用真錢購買遊戲幣的玩家 (尤其是大型多人線上角色扮演遊戲,簡稱 MMORPG)。MMORPG 是一種讓全球玩家在網路虛擬世界當中共同探險的奇幻冒險遊戲。在這類遊戲當中,玩家很容易產生互相比較的心理,因此那些擁有大量遊戲幣可購買稀有寶物或是意外獲得稀有寶物的玩家,通常都是人人稱羨的對象。

然而,有些玩家會向人購買遊戲幣來節省練功賺遊戲幣的時間和精力,以便在短期之內迅速累積大量遊戲幣。當然,這樣的行為讓遊戲開發人員和廠商不齒,因為這簡直就是作弊,是一種可能被「封帳號」的違規行為。

當然,在線上遊戲當中作弊並不犯法,就像買賣線上遊戲代幣也不犯法。網路犯罪集團深知這點,也藉此發展出一套賺錢秘方。網路上已出現許多販賣線上遊戲幣的網站,而這類熱門的遊戲包括:《FIFA》、《魔獸世界》、《流亡黯道》等等,更有些人提供代練《寶可夢》帳號的服務。這些網站都有自己的廣告、促銷活動,甚至提供加密的付款機制。事實上,它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制,更有 7 天 24 小時全天候線上即時通訊技術支援。

企業連帶成了受害者

網路犯罪集團藉由經營線上遊戲幣業務來充實資金,進一步拓展網路犯罪活動,攻擊更多企業機構,甚至遊戲伺服器。我們已見過多起由 Lizard Squad、Team Poison 和 Armada Collective 等駭客集團所發動的攻擊。 Continue reading “駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者"

你具備法文讀寫能力嗎?歡迎來到網路犯罪地下世界,如果你不介意用贓物作為酬勞的話!

你具備法文讀寫能力嗎?你可以敏銳的分辨出錯誤和正確的法文拼寫及文法嗎?你或許能夠在法國網路犯罪世界工作—-如果你不介意用贓物作為酬勞的話。

根據趨勢科技最近在法國地下網路的發現,我們看見了有趣的發展 – 地下網路在徵求一位「清理人(Cleaner)」,並且將職務說明貼到論壇上來徵求合適人選。根據職務說明,「清理人(Cleaner)」的工作是要檢查拼寫錯誤及文章可讀性並且來清理內容。

這是我們第一次看到徵人廣告直接貼在地下網路。這樣的廣告在一般的網站可能看起來相當正常。但這廣告的四周都是販賣惡意軟體或網路犯罪即服務等廣告,而且這份工作聽起來有點太過容易。話又說回來,這工作也可能相當具有挑戰性,因為法文有陰陽性名詞以及各種不同的詞性變化規則。

以下是我們所看到的徵人廣告截圖:

 

圖1、清理人(Cleaner)的廣告

Continue reading “你具備法文讀寫能力嗎?歡迎來到網路犯罪地下世界,如果你不介意用贓物作為酬勞的話!"

法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」

有別於多數,法國地下市集的服務對象比較偏向小型隨身武器的買家、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

不信任感讓法國地下市場瀰漫著猜忌

圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。
圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。

現在我們知道法國網路犯罪集團絕大多數都在深層網路 (Deep Web) 活動,尤其是在所謂的「黑暗網路」(Dark Web)。不過每隔一陣子,網路犯罪集團就會浮上表層網路 (Surface Web) 刷一下存在感。例如,目前已經消失的網路犯罪市集「當駭客們互駭 – 在法國地下世界上演的戲碼」前一陣子就在 YouTube 上刊登廣告。而巴西北美的地下市集則是利用社群媒體平台來宣傳自己的非法業務。那麼法國有何獨特之處?

若要說法國地下市集有何獨特之處,那就是瀰漫著一股極端謹慎的氛圍。所有論壇/市集的經營者都對新進成員保持戒心。任何有興趣進入論壇/市集的人,都必須先繳交一筆蠻大的會費,甚至要接受一番調查。新進成員獲得的待遇有別於已獲同儕信任的成員。論壇的系統管理員只允許取得一定聲望值的人積極參與活動。會員所從事的網路犯罪交易越成功,其聲望值就越高。

這種瀰漫在市集間的不信任感,也助長了成員之間的猜忌。因此,第三方代管 (Escrow) 服務是確保交易順利進行的必要機制,如同俄羅斯和德國的市集一樣。挺諷刺的是,每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。
圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

Continue reading “法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」"

" 只要 39 美元便提供「終身授權」" —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?

檢視資安指南:勒索病毒服務 (Ransomware as a Service)

根據趨勢科技威脅回應工程師 Pacag 指出,幾個星期前,有個叫做「Stampado」的最新勒索病毒 Ransomware (勒索軟體/綁架病毒)在深層網路 (Deep Web) 上只要 39 美元的價格便提供「終身授權」。這正是「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 的運作方式,現在,網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件,就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

勒索病毒在近幾個月來不斷登上媒體版面,因為這類病毒的效果真的是太強。一般來說,使用者可能經由下列管道感染勒索病毒:瀏覽網路、開啟垃圾郵件、或是單純只是仍在使用舊版軟體。

勒索病毒一旦在受害者的系統上執行,就會開始加密電腦或伺服器上的檔案,接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣),使用者若想救回被加密的檔案,就必須支付贖金。2015 年的 CryptoWall 只不過是數百個勒索病毒品種之一,但卻從受害者身上海撈了 3.25 億美元,而這些很可能都是淨賺的,因為這類網路犯罪攻擊行動的門檻極低。

一般的勒索病毒行動 (左) 和 RaaS (右) 的差異

這對企業的意義為何?一切端看企業需要保護的是什麼資料。雖然勒索病毒很難知道某個檔案對受害者的重要性,但藉由大量的加密:整個資料夾、整個磁碟、整台伺服器等等,網路犯罪分子就有足夠的籌碼可以向大批的受害者勒索任何贖金,而且就算只有少數受害者願意付錢,他們的獲利也相當可觀。 Continue reading “" 只要 39 美元便提供「終身授權」" —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?"

當駭客們互駭 – 在法國地下世界上演的戲碼

趨勢科技曾發表了一篇新非法賭博系統的文章-「法國黑暗投注站(FDB)」。FDB運行在法國最大的地下市場 – 法國黑暗網路(FDN)。這個投注系統完全使用比特幣(Bitcoin,BTC)運作,讓網路犯罪份子可以輕易地透過這平台注資或籌資。

這之後的幾個禮拜發生一連串的事件引起我們的注意:FDN和FDB在幾天內關閉又開啟,宣稱自己受到駭客入侵,錢也都被偷走了。在被駭之後,FDN回復上線還變動了部分功能。

縱觀這些事件,我們發現不對勁的地方,不禁令人懷疑到底發生了什麼事,這所謂的駭客事件到底是不是起自導自演的戲碼,好讓某些人賺飽自己的口袋。我們就來看看在法國地下世界發生的事件,以及法國網路犯罪社群內有出現什麼動靜和線索。

比特幣系統如何在FDN/FDB運作?

FDN/FDB市場和投注系統具備獨立處理金融交易的功能。這表示許多金錢來源直接注入FDN。

  • 客戶的資金到供應商:
    要在FDN上買東西,比特幣必須存進FDN比特幣錢包。一旦轉入金額,系統讓買方可以用來向供應商買商品。供應商直接從FDN比特幣錢包得到等值於該商品的比特幣。基本上,FDN系統就類似賣買雙方間的仲介商。
  • 下注的錢:
    要賭些什麼時,賭徒先存入比特幣到FDN比特幣錢包。如果他贏得賭注,獲取的金額會從FDN錢包轉到賭徒的比特幣錢包。
  • 禮品及贈與:
    FDN接受禮品/贈與。
  • 籌資:
    聽起來很不可思議,但FDB提出幫助有需要的人或組織(對抗癌症等)的想法,並允許利用它們的比特幣錢包籌資。

 

駭客事件

FDN管理員大力地推銷新的FDB系統,在YouTube上張貼影片來吸引更多平常不會去黑暗網路(dark web)的客戶。在影片推出後,我們注意到FDN在2016年7月13日離線了幾個小時。它在7月14日回復,聲稱受到駭客入侵。他們還在這平台推出一些變動。

被駭的公告十分簡短,而且FDN幾乎沒有提出任何解釋。他們告知FDN論壇自己遭受駭客入侵,不過FDN/FDB資料庫還是安全的,沒有被駭客入侵。

只有FDN比特幣錢包遭受駭客攻擊,導致FDN/FDB客戶所有的錢都不見了。每當發生這類駭客事件,論壇管理員大多會表達出自己的憤恨,並提供相關的技術細節來支持自己的說詞 – 一些能夠說服社群相信的重要資訊。但是這起案例並沒有披露任何駭客事件相關細節。

被稱為Zulu的主要管理者在之後提供了後續資訊:

圖1、FDN管理員貼在論壇的發文

 

總結其內容,FDN基本上是整個打掉重練,所有交易都被取消,所有比特幣都消失了。FDN還實施了新規則,變成了私人論壇和市場。

FDN被駭之後發生什麼事?

在FDN網站回復後不久,FDN決定限制FDN論壇的使用。 Continue reading “當駭客們互駭 – 在法國地下世界上演的戲碼"

這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

以神奇寶貝月精靈為名的 Umbreon Rootkit , 攻擊 x86 和 ARM 處理器的 Linux 系統

趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名),會攻擊 Intel 和 ARM 處理器的 Linux 系統,因此一些內嵌式裝置也可能遭殃。(註:此 Rootkit 還真符合這隻神奇寶貝的特性,因為月精靈喜歡躲在黑漆漆的夜裡,所以與 Rootkit 的特性吻合。)

我們已針對這個 Rootkit 進行了詳細分析,並且將樣本提供給業界來協助資安界攔截此威脅。

編按: Rootkit是一種技術,用途在修改系統核心以便隱藏特定的檔案或是處理程序,甚至是登錄值.也因此常常會被病毒拿來利用作為躲避追查的手法之一

Umbreon 的發展始於 2015 年初,但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法,Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。

Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後,駭客即可經由該程式來遙控受害裝置。

何謂 Ring 3 Rootkit?

Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外,它也可用來開啟一道後門,或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。

這類程式有幾種執行模式,分別具備不同的存取權限:

  • 使用者模式 (Ring 3)
  • 核心模式 (Ring 0)
  • 虛擬化監管程式 (Hypervisor) 模式 (Ring -1)
  • 系統管理模式 (SMM) (Ring -2)

此外,一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit,這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理,但這並不表示 Ring 3 的 Rootkit 就很容易清除。

Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件,但卻會攔截 (hook) 系統的核心函式庫,這些函式庫是一般程式呼叫系統重要功能的介面,例如:讀/寫檔案、產生執行程序、傳送網路封包。因此,就算是在使用者模式下執行,這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。

在 Linux 系統上,當某個程式呼叫 printf() 這個函式時,該函式會再呼叫同一函式庫內一連串的其他函式,如:_IO_printf() vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組),反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式,不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。

跨平台功能

Umbreon 可在三個不同平台上執行:x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高,因為它並未用到任何綁定平台的程式碼:這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外,純粹是以 C 語言撰寫。

趨勢科技判斷作者應該是刻意這麼做,好讓 Umbreon輕鬆支援前述三種平台。

後門認證機制

Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取,只需透過一個外掛的認證模組 (PAM) 即可。

該使用者帳號的群組識別碼 GID (group ID) 很特別,因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式,因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面:

圖 1:SSH 登入畫面。 Continue reading “這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!"