資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

惡名昭彰 Emotet 銀行木馬,偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊

2019 年 10 月 03 日2019 年 10 月 03 日趨勢科技 TrendMicro

Emotet銀行木馬（趨勢科技偵測為TrojanSpy.Win32.EMOTET.THIBEAI）最近又再次浮出水面，而且還利用了前美國中央情報局職員愛德華·史諾登（Edward Snowden, 前美國中央情報局職員，美國國家安全局外包技術員）的熱門回憶錄來快速地擴大戰線。

這波攻擊背後的惡意份子會寄送與該回憶錄同名的 Word 附件「Permanent Record ( 永久檔案）」，誘騙受害者打開夾帶Emotet病毒的惡意文件。

根據安全研究人員的說法，一旦受害者開啟文件，就會跳出假訊息來要求啟用Microsoft Word。點擊啟用按鈕後，惡意巨集就會在背景執行。接著它會觸發一個PowerShell命令來連上一個被入侵的WordPress網站。再將Emotet及其他惡意軟體（如Trickbot）下載到受害者的電腦上，同時連到命令與控制（C&C）伺服器。

Emotet銀行惡意軟體，會監聽網路活動竊取資料

在2014年，趨勢科技發現Emotet是種銀行惡意軟體，它會監聽網路活動來竊取資料。它已經演進了好幾年。Emotet會利用自己的垃圾郵件模組來散播到全世界不同的產業和地區，並且還會利用沙箱及分析躲避技術。

繼續閱讀

賭博應用程式以偽裝術,躲過iOS App Store和Google Play審查,爬上前百排名

2019 年 10 月 02 日2019 年 09 月 30 日趨勢科技 TrendMicro

賭博應用程式在某些國家/地區可能被視為非法，並被iOS App Store和Google Play拒絕上架。
一批偽裝成普通應用程式來通過應用程式審核流程的賭博app，甚至出現在App Store的前100名。有些應用程式會還出現彈跳式頁面來誘騙使用者安裝不受App Store管理的企業應用程式。
這些假應用程式一開始看來很正常，有著各類功能（如天氣預報或娛樂用途），但某些應用程式具備切換功能，惡意份子可以用來設定應用程式顯示或隱藏真正的應用程式內容。開發者可以在應用程式被審查前切換成“關”，就可以啟動外觀正常的應用程式。應用程式就可以通過審查，因為已經把賭博的部分隱藏起來。
應用程式通過審查後可以被公開下載。接著惡意份子會切換成“開”來讓應用程式出現真正的內容。
惡意份子可能還使用了SEO搜尋優化技術來讓該應用程式更容易出現在搜尋引擎結果。儘管這些應用程式是假冒的，但仍然比其假冒的對象排名更高。
例如在中國的iOS App Store，似乎已經出現了許多這類假應用程式並躋身於前100名。這些應用程式已經被多次下載，其中之一甚至獲得了440,000筆評分。
趨勢科技行動安全防護可封鎖此類惡意應用程式。➔ 免費下載試用

隱藏在應用程式商店的假應用程式，誘騙不知情的使用者下載賭博應用程式

Google Play和iOS App Store上出現假應用程式並不是件新奇的事情，它們會誘騙使用者下載廣告或惡意軟體化的版本。我們之前曾報告過Google Play上出現的假Android語音應用程式，這些應用程式會偽裝成語音訊息平台的應用程式。而最近趨勢科技發現了隱藏在應用程式商店的假應用程式。這些假應用程式會偽裝成類似的應用程式，誘騙不知情的使用者下載賭博應用程式。

我們在iOS App Store和Google Play上發現了數百套假應用程式，其功能描述與真正的內容並不一致。儘管這些應用程式的功能描述各不相同，但都有相同的可疑行為：能夠轉變成會因違反當地政府法規或應用程式商店政策而被禁止的賭博應用程式。

有些應用程式甚至出現在App Store的前100名，而且可能已被下載了無數次。有些甚至被評分超過100,000次。我們已經將此發現通報了Apple和Google。

圖1. 應用程式螢幕截圖：看似普通的應用程式（左）會出現完全不同的外觀（右）

注意：上半部是iOS應用程式而下半部是Android應用程式

繼續閱讀

Windows Server 2008 即將終止支援：您準備好了嗎？

2019 年 10 月 01 日2019 年 09 月 27 日趨勢科技 TrendMicro

2015 年 7 月 14 日，全球企業普遍採用的 Microsoft Windows Server 2003 在服役了將近 12 年之後，終於功成身退。對於數以百萬計的企業伺服器來說，這表示未來將不再有安全更新可用，進而陷入嚴重的資安風險當中。現在，我們又快要面臨另一個伺服器作業系統即將功成身退的局面，那就是：Windows Server 2008 與 Server 2008 R2，這兩個版本很快就會在 2020 年 1 月 14 日終止支援。

儘管如此，許多企業的日常營運仍非常仰賴 Windows Server 2008 來運作，例如：目錄伺服器、檔案伺服器、DNS 伺服器，以及電子郵件伺服器，這些都是企業關鍵應用程式所可能用到的內部服務，包括：Active Directory、檔案分享、內部網站等等。

對您有何影響？

繼續閱讀

Checkm8 利用無法修補的漏洞,讓 iPhone永久越獄可能性大增

2019 年 09 月 30 日2019 年 10 月 14 日趨勢科技 TrendMicro

安全研究人員axi0mX發現了 checkm8可以利用漏洞讓數百萬支iOS裝置進行越獄。所利用的漏洞位在開機記憶體（bootrom），一個唯獨記憶體晶片。這使得漏洞無法被修補，讓手機可永久越獄。

利用此漏洞能夠讓程式碼在受影響iPhone和iPad上以bootrom層級執行。Bootrom越獄手法在iPhone 3G和iPhone 4時很常見，但最近的越獄作法都是在作業系統層級進行。利用bootrom層級的漏洞很獨特，因為它位在手機內的晶片裡，無法被更改或更新。基本上，此漏洞會永遠存在。

這次越獄適用於11個世代的iPhone，從4S到iPhone X。這代表了數以億計的裝置，不管其iOS版本為何，不過最新的iPhone並不受影響。根據報導，Axi0mX可以用此方法成功越獄安裝最新iOS 13.1.1版本的iPhoneX。

繼續閱讀

如何在Twitter上收集資安威脅情報,保護組織對抗威脅?

2019 年 09 月 30 日2019 年 10 月 03 日趨勢科技 TrendMicro

資安專家和安全團隊如何利用社群媒體收集可用來保護其組織的威脅情報？

本文重點:

使用社群媒體情報（SOCMINT）

透過Twitter收集威脅情報

好的一面：社群媒體作為威脅情報的可行來源

壞的一面：濫用社群媒體來散播假新聞

醜陋的一面：惡意利用Twitter來進行網路犯罪和詐騙

社群媒體情報（SOCMINT）有價值嗎

使用社群媒體情報（SOCMINT）

社群媒體平台可以讓使用者和組織進行通訊和分享資訊。而對資安專家來說，它可能不僅僅是個網路工具。還是個能夠提供從漏洞、漏洞攻擊碼和惡意軟體到惡意份子及異常網路活動等有價值資訊的來源。事實上，有44%的受訪組織提到社群媒體情報（SOCMINT）對其數位風險保護解決方案的重要性。

我們開發了用來檢查 Twitter上資料和案例研究的工具，以了解如何利用社群媒體來收集可供行動的威脅情報。好的一面：社群媒體可以成為另一個資訊來源，只要經過驗證就可以用來保護組織對抗威脅。壞的一面：社群媒體可能被利用來破壞公眾人物或組織的聲譽。

我們的研究還揭示了一些警告。社群媒體情報（SOCMINT）可以進一步為研究人員提供脈絡資訊，或讓企業的資安團隊有更多資料可以用來保護線上資產。但這需要脈絡資訊、準確性和可靠性才能真正有用。使用社群媒體情報（SOCMINT）的資安專家必須在將資料整合進企業的網路安全解決方案和策略前先加以審查。

透過Twitter收集威脅情報

處理社群媒體資料

從社群媒體管道收集威脅情報需要可被處理、分析、驗證和能夠提供脈絡的資料。

有多種方法可以取得原始資料。有開放原始碼的情報工具（如TWINT）能夠抓取資料，或用公開的Twitter串流API來收集樣本資料進行分析。另一種作法是對現有資料集進行更深入的研究，例如被美國政治數據分析網站FiveThirtyEight用來分析酸民推文的資料集。而我們的研究使用了Twitter公開API，因為它符合Twitter的服務條款和使用政策。我們還將本研究所有得到的入侵指標（IoC）回報給Twitter。

繼續閱讀