資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

《APT 攻擊》退信和讀取回條自動回覆的風險

2012 年 12 月 13 日2012 年 12 月 06 日趨勢科技 TrendMicro

不在辦公室通知可能洩漏目標的組織架構、聯絡方式等有用資訊。讀取回條可以顯示哪起攻擊成功了，以及如何有效地繼續進行攻擊。總之，這些自動回覆可以被用在精心策劃和執行的目標攻擊上，尤其是對那些位在極其敏感位置APT進階持續性威脅 (Advanced Persistent Threat, APT)鎖定的對象。

本部落格之前有討論到四個使用Outlook的郵件自動回覆功能的注意事項，就是它們會洩漏資訊給攻擊者，以用來進行攻擊。

不過，自動回覆的危險並不止於不在辦公室通知而已。其他兩種類型的自動回覆也會造成危險：退信和讀取回條。這裡就讓我們一併討論。

退信，正式的名稱應該是未送達報告（NDR），長久以來都已知會造成垃圾郵件(SPAM)問題。然而，它也可能成為資料外洩的來源：設定不正確的郵件伺服器可以洩露像它們的主機名稱、IP地址和軟體設定等詳細資料。一個熟練的攻擊者可以利用這些資訊在不同地方，無論是技術（即攻擊伺服器）或非技術（建立組織結構圖）方面。

然而，退信的主要用途是即時確認電子郵件地址的有效性。雖然在網路上找到的電子郵件地址可能有用，但是透過退信可以更有效、更準確的來確認電子郵件地址。

讀取回條的問題甚至更多。對攻擊者來說，可以告訴他們攻擊是否「成功」：也就是說對方讀了電子郵件（同時也讓攻擊者知道這電子郵件地址的確存在。）這是攻擊者所想得到最有價值的資訊，他可以利用這資訊來評估受害者讀了哪封電子郵件。加上網路漏洞，攻擊者甚至會知道受害者所用的軟體。

對使用者來說，是否要發送讀取回條是完全可以控制的。但也可能設定電子郵件軟體去自動發送讀取回條，而不需要使用者確認。讀取回條對於企圖強烈的攻擊者來說會透漏非常有價值的線索；所以自動發送給他們的風險也就更大了。（取消自動發送讀取回條會讓這風險變得可以掌控。只要使用者自己小心，不要把發送給不認識的人）。

讓我們來看看可能發生最壞的狀況，這些自動回覆的有著不安全的設定，而且會洩漏資訊。退信可以和網路搜尋一起使用來確認電子郵件地址是否存在。不在辦公室通知可能洩漏目標的組織架構、聯絡方式等有用資訊。讀取回條可以顯示哪起攻擊成功了，以及如何有效地繼續進行攻擊。總之，這些自動回覆可以被用在精心策劃和執行的目標攻擊目標攻擊/進階APT 攻擊(進階持續性滲透攻擊Advanced Persistent Threat, APT)上，尤其是對那些位在極其敏感位置的對象。

＠原文出處：Other Risks from Automatic Replies作者：Jonathan Leopando

◎延伸閱讀

休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)？

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

尋找序號產生器,當心木馬入侵~PASSTEAL透過檔案分享網站偷偷潛入使用者的電腦

2012 年 12 月 11 日2012 年 12 月 06 日趨勢科技 TrendMicro

這裡是另一件值得檔案分享網站使用者警惕的事情 – 上面放有PASSTEAL病毒變種。你可能還記得PASSTEAL，這是一個會用檔案回復工具來竊取儲存在Internet瀏覽器內資訊的惡意軟體，和以前會從受感染電腦記錄鍵盤輸入以收集資料的資料竊取軟體不同。

從趨勢科技主動式雲端截毒服務 Smart Protection Network所收集的資料中，我們發現許多PASSTEAL惡意軟體利用社交工程陷阱( Social Engineering)手法，像是偽裝成付費應用程式的序號產生器或是和修改過的付費應用程式安裝檔結合在一起，如下圖所示：

PASSTEAL惡意軟體利用社交工程陷阱( Social Engineering)手法，像是偽裝成付費應用程式的序號產生器或是和修改過的付費應用程式

這顯示了病毒作者的目標是那些常會利用BitTorrent或檔案分享網站來取得盜版軟體的檔案分享者和下載者。還有些其他的PASSTEAL變種會偽裝成青少年間流行的電子版小說。

趨勢科技發現了另一個被偵測為TSPY_PASSTEAL.B的變種，它使用密碼回復工具「WebBrowserPassView」而非「PasswordFox」，去偷儲存在各主要瀏覽器內的認證資訊，像是Internet Explorer 4.0到8.0，Mozilla Firefox 1.x到4.x，Google Chrome和Apple Safari。所以有特定PASSTEAL變種會使用其他密碼回復工具來針對並擷取特定網頁應用程式內的使用者認證資訊並非不可能。

很不幸地，惡意軟體出現在檔案分享網站並不是個新聞。以前也有特定ZACCESS變體被發現偽裝成序號產生器、遊戲安裝檔和電影檔。ZACCESS是以ROOTKIT技術聞名的惡意軟體家族，讓它很難從受感染電腦中移除。它同時也是2012年第三季感染數量最多的惡意軟體。

很有可能網路犯罪份子是要利用這些流行的小說和電影（更別說下載盜版的吸引力）來攻擊盡可能多的使用者。因此，建議使用者從任何網站（如檔案分享網站）下載檔案時要格外小心。

大多數使用者在建立自己網路帳號的密碼時，都有「一體適用」的心態。雖然每個網站都用一樣的密碼可以幫助使用者記住密碼，不過這也增加了資料被竊的風險。為了更好的安全性，使用者必須為他們的帳號建立不同的登錄憑證，並建立強固而又容易記住的密碼。

有些瀏覽器提供的功能可以幫助使用者保護他們的資料。像是Mozilla Firefox提供一個主密碼功能，可以加密儲存在瀏覽器內的帳號資料，以避免被回復工具輕易地存取。

還有一些其他服務可以幫助使用者保護和管理他們的密碼。PC-cillin 2013雲端版的密碼管理 e 指通功能可以管理多個網路服務的密碼，並有效封鎖惡意軟體竊取資料的動作，像是PASSTEAL所做的行為。趨勢科技透過主動式雲端截毒服務 Smart Protection Network來保護使用者，從使用者的系統上偵測並移除PASSTEAL變種。

＠原文出處：PASSTEAL Sneaks into Users Systems via File Sharing Sites作者：Alvin John Nieto（威脅反應工程師）

◎延伸閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

假Windows 8金鑰產生器現身

PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

假Windows 8金鑰產生器現身

2012 年 12 月 10 日2012 年 12 月 06 日趨勢科技 TrendMicro

因為承諾了對功能和安全性的改進，Windows 8自然在科技產業和熱切Windows使用者間掀起風潮。不幸的是，我們也都清楚地知道高人氣的副作用，尤其是在涉及到網路安全時。所以網路犯罪份子利用Windows 8的受歡迎也只是時間問題而已。

趨勢科技拿到兩個偽裝成Windows 8金鑰產生器的樣本，出現在https://{BLOCKED}en2eqqh2.cloudfront.net。金鑰產生器是用來產生序號的，通常用來啟動付費軟體的盜版拷貝。根據趨勢科技的分析，我們所發現的應用程式是惡意的。趨勢科技將其偵測為TROJ_DLOADR.AAD和TROJ_ARCHSMS.B。

一旦執行，TROJ_DLOADR.AAD會顯示出假訊息通知使用者點下「OK」去透過網頁瀏覽器下載Windows 8。而JOKE_ARCHSMS則偽裝成可以啟動Windows 8。跟TROJ_DLOADR.AAD類似，JOKE_ARCHSMS也會顯示圖片來誘騙使用者，以為只要發送簡訊到特定號碼就可以啟動Windows。它也會連到下列點擊詐騙網址：

https://{BLOCKED}rchant.net/api/open.php?aid=2102499&v
https://{BLOCKED}rchant.net/50qjpr21e2bd/2102499/

經過翻譯，第一個視窗的內容是：

選擇安裝路徑：

要開始安裝「Windows 8啟動器2011」，按下「安裝」

安裝

第二個視窗是：

安裝成功

產生個人金鑰，獲得免費啟動！

（自動啟動保護）

國家：

電信商：

簡訊文字：

號碼：

輸入你的啟動碼：

這些惡意程式背後的黑手就是想利用Windows 8的知名度和使用者想嘗鮮的心理。到目前為止，利用新程式、軟體或應用程式來作為社交工程陷阱( Social Engineering)的誘餌，對攻擊者來說是非常有效的。還記得惡意Instagram應用程式就是因為Facebook收購消息的傳出而跟著爆發嗎？同樣的，惡意版本的壞蛋豬和憤怒鳥上太空也都是緊跟著這些應用程式的發布。

繼續閱讀

Facebook 隱私聲明,稱上傳內容屬於臉書?!假的

2012 年 12 月 06 日2012 年 12 月 10 日趨勢科技 TrendMicro

上禮拜，有許多人在Facebook上貼了這樣類似的留言：

網路還流傳說「如果未至少發表聲明一次，你等於默許臉書使用你的照片以及個人資料更新含有的資訊」。
後經臉書發言人表示：臉書上張貼照片等內容，並不會使facebook擁有它們,臉書只可以按照隱私權設定條件，使用、分流、分享用戶張貼的內容。其實在臉書的「熱門問題」早有聲明用戶保有個人資訊的著作權。

雖然很快地，這就被揭穿並不完全是事實，但有幾百萬人貼出相同的留言也清楚地說明了他們對Facebook隱私問題的在意。

Facebook最近剛剛結束對新資料使用政策和權責聲明的意見徵求，不過看來是沒有幫助。隱私保護團體（特別是在美國） – 電子隱私資訊中心（EPIC）和數字民主中心（CDD）都反對新的變化。

繼續閱讀

認識電腦病毒:什麼是木馬（Trojan）?遠端存取木馬（RAT）?

2012 年 12 月 05 日2020 年 05 月 21 日趨勢科技 TrendMicro

為什麼到處都是木馬，我要如何阻止他們？

想要在網路上保持安全、不受傷害可能是個艱難的任務。網絡上有許多很棒的東西，不過同樣地，對初學者來說也可能是個地雷區，充斥著網路釣魚（Phishing）詐騙、垃圾郵件(SPAM)和惡意軟體。

在資訊安全產業中，我們可能難以避免地去使用一些難懂的術語。你可能已經在一些新聞報導裡聽過木馬程式，如果他們詳細的介紹網路攻擊。因此，讓我們用白話來介紹，來看看最常見的威脅之一：木馬（Trojan）。

所以它跟蠕蟲（Worm）一樣嗎？或病毒（Virus）？嗯，不完全是

他們都是惡意軟體的一種，或說是惡意程式。但是和病毒或蠕蟲不同，木馬並不進行自我複製。簡單的說，它們是偽裝成無害軟體的惡意程式，這個詞源自於經典的特洛伊戰爭故事，一群希臘士兵藏在一個巨大的木馬以進入特洛伊城，然後跳出來大肆攻擊敵人。

而在電腦世界裡，木馬是種惡意軟體，透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後，惡意軟體就可以做各種壞事了。

什麼是遠端存取木馬（RAT）？

有些木馬程式被稱為遠端存取木馬（RAT），設計用來遠端操縱使用者的電腦，讓駭客可以完全控制。有些則可能有不同的目的，像是竊取個人資料，側錄鍵盤，甚至將受害者電腦作為殭屍網路/傀儡網路 Botnet的一部分。

P2P和社群媒體攻擊

不幸的是，木馬攻擊已經變得越來越普遍。在網路上就可以買到工具包，像是黑洞漏洞攻擊包（Blackhole Exploit Kit），讓壞蛋們只需要具備有限的技術能力，就可以幫他們把製造和發動惡意軟體最難的部份做掉。通常木馬會偽裝成看似正常的檔案夾帶在不請自來的電子郵件中，不然就是被隱藏在被入侵的一般網站上，或偽裝成一般檔案放在P2P網站，甚至潛伏在社群網站上的連結裡。

繼續閱讀