《電腦病毒30演變史》你放假它加班 挖礦 24 小時不關機 礦工忙到「火大」了-2018年衝擊最大資安威脅:虛擬貨幣挖礦

手機速度越來越慢或是電池常常發燙,小心3C裝置已經成為幫助駭客賺取虛擬貨幣挖礦工!相較於勒索病毒在第一時間嚷著你的檔案已經被加密,挖礦病毒算是悶不作聲發黑心財,更勝一籌的駭客搖錢樹。

1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史
本篇來到 2018 年,介紹還正火紅的資安威脅::虛擬貨幣挖礦

2017年9月新北市三重一處公寓傳出火警,警消獲報到場後發現,屋內是「比特幣礦場」,至少有15台電腦的機房,疑因二十四小時不斷電挖礦,意外導致延長線不堪負荷走火。這起為挖比特幣24小時不關機的火警事件,當天三重出現兩起,都是24小時不關機、隱身民宅的挖礦機房。

最近有則誇張的新聞,中國山西一名男子竊取鐵路電力挖礦被捕,他在電線杆上偷接電力,提供50台比特幣「挖礦機」和三台用來散熱的電風扇24小時的電力。男子被判處3年半有期徒刑,並處以罰金10萬元人民幣,4個月挖得3.2枚比特幣、全部依法沒收。

挖礦惡意程式最早出現於 2011 年中期,相較於當時最流行的蠕蟲、後門程式等惡意程式來說,只能算是個配角,但目前已演變成甚至比網路間諜活動還要賺錢的途徑,一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

虛擬貨幣興起全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三。巨幅的價格波動也開始讓威脅情勢產生變化:只要是有錢賺的地方,歹徒就會蜂擁而至,引發電線短路的火警原因有多,但去年起台灣也出現因為挖礦而導致的火燒民房事件。

什麼是加密虛擬貨幣(Cryptocurrency)?

先來認識加密虛擬貨幣,加密虛擬貨幣是代表一種貨幣單位的加密資料串。它經由點對點網路所監控和管理,也稱為區塊鍊,作為交易(如購買、出售、轉讓)的安全帳簿。跟實體貨幣不同,加密虛擬貨幣去中央化,這代表它們並不由政府或其他金融機構發行。

加密虛擬貨幣透過加密演算法來產生,經由稱為挖礦的程序來維護和確認,由一群電腦或特製硬體(如特殊應用積體電路,ASIC)來處理和驗證交易。這個過程會用加密虛擬貨幣來回報給礦工。

 

2018 上半年虛擬貨幣挖礦活動的偵測量比 2017 年成長 96%

趨勢科技發佈的 2018 上半年的安全總評報告,發現加密貨幣挖礦和挖礦綁架已經成為主要的網路犯罪威脅。這種威脅已經成為犯罪者的常見行為,也有許多如何進行這種犯罪的討論。雖然這種威脅的破壞性沒有勒索病毒這麼強,卻可以破壞系統作業,因為大多數虛擬貨幣的目標,都是盡可能使用最多系統資源來挖礦。

「2018 上半年資安總評」報告,指出網路犯罪集團正逐漸捨棄容易引人關注的勒索病毒攻擊,轉而採用鴨子划水的方式暗中進行攻擊,以達到竊取錢財和珍貴運算資源的目標。

趨勢科技發現,光是2018 上半年加密貨幣挖礦活動的偵測數量就比 2017 年一整年的數量成長 96%,若與 2017 上半年相比,更是成長 956%,顯示網路犯罪集團正逐漸捨棄能讓他們快速致富的勒索病毒,轉而暗中竊取運算資源來開採虛擬貨幣。

隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。

 

挖礦劫持出沒,三族群,請迴避!

放假時沒有特別的活動時,你通常有什麼安排呢?追劇、滑手機或是找一間可提供插座與 WiFi 又不限時間的咖啡廳打發時間呢?去年勒索病毒大流行時,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索病毒! 今年趨勢科技偵測到不少追劇或是成人網站上,出現挖礦程式,這類惡意程式跟勒索病毒不同的是,挖礦程式不需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現。

三種族群:追劇族 、手機血拚族 、咖啡館久坐族,當心挖礦程式出沒,免得不小心讓你的電腦或手機裝置成為幫別人賺外快的礦工。

挖礦程式不像勒索病毒,需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現。

從事的三種網路活動的朋友,要嚴加小心挖礦程式出沒:

  1. 追劇族】:在家追劇,電腦有可能為駭客做牛做馬挖礦賺外快?Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!挖礦程式偏好嵌入在使用者可能會停留大量時間的地方,比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。
    喜歡追劇朋友請當心: Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
    有用戶反應在看 Youtube 的時候,電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時,你的電腦或手機也默默的成為了不法駭客的「礦工」,幫他挖礦賺外快!據AdGuard研究人員所發表的報告,有近十億串流媒體網站的訪客被秘密地用在虛擬貨幣挖礦活動,這種做法被稱為“挖礦劫持(cryptojacking)”。
    2017年初趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量突然翻了三倍。這些出現在高流量網站上的惡意廣告,利用 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。受影響的國家包括台灣。YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間,有更多時間挖掘加密虛擬貨幣。
  2. .【手機血拚族】:滑手機閒逛,購物網站有夠好康,手機會成挖礦機?

新的Android挖礦程式又來了,這回要榨乾你的手機電力
宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN),遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客,使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出,這些惡意廣告所在網站皆名列全球 15,000 大網站,意味著這些惡意網站不乏使用者造訪。另外還要當心新的Android挖礦程式,榨乾你的手機電力!一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。

3.【 不限時 WIFI 咖啡館久坐族】:到咖啡館上網,可能被偷偷加料挖礦劫持(Cryptojacking?
跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過,透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣,連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。

詳請請看:挖礦劫持(Cryptojacking)幫星巴克加料,顧客上網筆電竟成挖礦機

趨勢科技如何使用機器學習偵測虛擬貨幣挖礦病毒?

隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。

TLSH可以幫助趨勢科技將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”,用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。

集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼,用來主動識別更多相似檔案。這是因為自動化系統(或是逆向工程師)可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時,會去檢視是否具備惡意軟體群組呈現的元素,並確認新檔案是否屬於惡意軟體群組的範圍。除此之外,TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。
看完整文章

電腦愈來愈慢 手機發燙? 懷疑挖礦程式找上門,立刻檢測

虛擬貨幣挖礦不像勒索病毒需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現,發現電腦處理速度變慢時,請這麼做:

檢查電腦的 CPU 使用率 ,若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常
免費下載 PC-cillin雲端版檢測確認➔立即下載

 

 

PC-cillin 雲端版封鎖含有挖礦程式的追劇和成人網站

 

 

「花錢洗白負評」「中斷供應鏈」,數位勒索不只有勒索病毒

現在有許多企業高層都對數位勒索相當的熟悉了,特別是談到勒索病毒Ransomware (勒索軟體/綁架病毒)。這種加密檔案的攻擊會讓使用者無法使用自己珍貴的重要資料、應用程式或作業系統。攻擊者要求用無法追踪的虛擬貨幣來支付贖金以取得解密金鑰 – 這並不能保證在付款後真的會拿到。

勒索病毒攻擊在這幾年來一直對企業造成威脅。但這並非今日唯一的數位勒索手法。而就跟其他攻擊一樣,駭客在準備工夫和惡意軟體的功能方面也變得越來越進步。

隨著數位勒索攻擊的持續增加,IT領導者和高階主管必須確保自己了解這些威脅種類及其對整體公司信譽與合作夥伴和客戶關係可能造成的影響。

數位勒索說穿了,就是可以替網路犯罪分子帶來利潤

數位勒索崛起(且資安專家預測這些攻擊會在不久的將來大量出現)的一個主要原因是因為它們對駭客來說非常有利可圖。

勒索病毒及其他種類的數位勒索(我們將在後面深入探討)都有一個共同點:對網路犯罪分子來說可以帶來高利潤。當企業和個人使用者無法使用自己最重要的檔案和資料 – 特別是當這些關鍵資料沒有異地備份時,受害者被迫付錢給攻擊者來解密以重新取回檔案。

不幸的是,過去的勒索病毒攻擊已經證明了付錢給駭客並不代表攻擊就會結束。在某些案例(包括大規模WannaCry想哭勒索病毒攻擊期間)裡,受害者支付了贖金卻沒有拿到解密金鑰(甚至沒有收到任何回應)。還有一些案例在付了贖金後,駭客繼續要求更高的贖金才要回復檔案。

基於這種種原因,數位勒索已經成為企業所面對特別危險且具破壞性的威脅。

「數位勒索是網路犯罪分子在今日的威脅形勢中最有辦法賺錢的方法之一」,趨勢科技安全研究人員指出。「許多人都成為了這類邪惡計畫的犧牲品,並且損失了不少錢 – 從一般使用者到大企業都有。」

 

過去的數位勒索:DoS攻擊鋪平了道路

雖然目前對數位勒索攻擊的認識大多都跟勒索病毒有關,但這樣的獲利方式也被用在另一種熟悉的攻擊方法 – 阻斷服務攻擊。正如趨勢科技的「數位勒索:前瞻觀點」報告所指出,這種勒索手法已經被網路犯罪分子用了十多年,駭客已經相當駕輕就熟了。

早安我們希望你已經嘗到超過100Gbps分散式阻斷服務攻擊 (DDoS)滋味。如果想讓它停止,請支付30比特幣給以下錢包…」這是報告內提到的一個例子。

就跟勒索病毒攻擊一樣,關鍵是讓其無法使用並強迫受害者付款。使用大量的網路流量轟炸關鍵系統(通常是面向消費者或客戶的平台)來讓其無法連線。

雖然不再是第一首選,但還是有駭客會利用DoS攻擊來進行勒索,迫使受害者付錢。畢竟如果一個品牌網站無法被連上,就算只停擺了幾個小時也可能會讓企業失去跟潛在客戶建立業務的大好機會。

駭客通常會寄送這樣的勒贖通知給企業和消費者。

你注意到了你的連鎖飯店最近得到許多負面評價嗎?如果你希望此問題消失,請按照下列指示假網路評論, 對商業信譽的影響 繼續閱讀

企業資安面臨的三個挑戰,如何採用託管式偵測及回應 ( MDR ) 服務來防堵網路資安缺口?

託管式偵測及回應 (Managed Detection and Response,簡稱 MDR) 服務可提供主動能力來偵測及徹底分析威脅,同時又能迅速回應資安事件。今日的網路威脅,不論是網路間諜或網路犯罪,其規模和複雜度都相當令人擔憂。研究機構指出,全球網路資安支出越來越高,其原因不外乎法規遵循要求以及企業希望提升偵測和回應威脅的能力。本文探討企業在強化其網路資安策略時所面臨的一些挑戰,以及託管式偵測及回應服務如何協助企業解決這些挑戰。

以下讓我們來仔細探討一下企業強化其網路資安策略時所面臨的三個挑戰:

挑戰一:傳統資安防禦無法有效應付今日威脅情勢

傳統的資安解決方案在面對威脅時大多採取被動回應的作法,而且通常只能監控單一途徑上的威脅,所以無法有效應付今日廣泛多樣的威脅情勢。2018 上半年,趨勢科技就攔截了 204 億次以上的威脅。其中,光虛擬加密貨幣挖礦惡意程式就成長了 141%。此外,一些近期的威脅也顯示,駭客會結合各種功能與躲避技巧,再配合一些惡意程式工具來提升其長期潛伏能力,例如:在銀行木馬程式與挖礦( coinmining )程式當中加入檔案加密功能、長期潛伏於企業內或者利用一些其他裝置 (路由器印表機、掃描器或其他萬物聯網(IoT ,Internet of Thing裝置) 來入侵企業系統或伺服器。

根據 SANS Institute 的報告指出,主動追蹤威脅 (也就是持續偵測及分析威脅和入侵跡象),可有效提升資訊安全以及事件應變的速度與準度,至少對大型企業來說是如此。

然而,許多企業機構或許並無主動追蹤威脅的資源或能力。要成立一個所謂的「資安營運中心」(SOC) 或是妥善運用「端點偵測及回應」(EDR) 工具,還是需要一些專業能力

即使大型企業或許具備成立 SOC或採購相關工具的財力和能力,但也無法保證能夠有效提升其資訊安全與風險管理。

MDR 如何解決這項挑戰?

MDR 提供了企業所需的能力來揪出隱藏在企業內部的威脅並發掘其相關活動,例如:幕後操縱 (C&C) 通訊、企業內橫向移動,以及一些能夠避開標準資安防禦的躲避技巧。

MDR 可提供全企業威脅追蹤服務,掃瞄駭客入侵或攻擊跡象,進而提升防範類似威脅的能力。此外,MDR 還能讓企業善用資安廠商的深度研究和威脅情報,取得特定威脅的相關資訊與可採取行動的分析,讓企業迅速發掘並回應威脅。 繼續閱讀