從聖誕節到年底的這一週,詐騙集團仍不手軟,依舊是知名網購賣場蟬聯冠軍寶座,高達61件的被害案件,再次提醒大家,只要是有關要求你至ATM操作的話術,八九不離十都是詐騙集團的招數!
以下為「趨勢科技」與「刑事警察局」合作,透過統計民眾通報案例,整理以下高風險賣場:
在臉書上販售手機的假網拍也是騙很大,務必再三確認這些不知名賣家的資訊,以免當了冤大頭。
熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!
熱門的糖果遊戲為何需要存取你的通訊錄?
你知道有些應用程式可以用麥克風收音卻沒讓你知道嗎?
能夠控制相機的應用程式在使用相機時必須很明顯(像是在螢幕上顯示鏡頭看到什麼),不過在技術上並不總是如此。
它們的目的是什麼?
App的自動提醒功能超方便,卻會讓人知道你的位置和行程安排。如果你覺得不妥,那該怎麼辦?
手機安裝導航應用程式很實用,可以在你出門時告訴你需要在30分鐘內開車到行事曆中位於市區另一邊22分鐘車程的地方。為了做到這點,應用程式必須存取你的GPS位置和你的行事曆,可能還要隨時都監控著這些資訊。你或許並不想要分享這些。但這實用的自動提醒,卻會讓人知道你的位置和行程安排。如果你覺得不妥,那該怎麼辦?
手機應用程式融入我們的日常生活,有件事情是你該去思考衡量的:“隱私VS方便”。
Android作業系統有提供選項來處理這類情況,讓使用者自行設定應用程式所擁有的權限。打開Android設定,然後找到類似“應用程式管理員”或搜尋“權限”(這會依你所用的Android版本而異)。
Google Pixel XL的設定選單,作業系統是Android Oreo。
你可以在這管理應用程式所能使用的服務,如:相機、地理位置、聯絡人等等。也有些相當重要的選項,像是在其他應用程式之上顯示內容或是鎖定和抹除設備上的所有內容。花些時間來好好設定,讓你能夠更加清楚應用程式在背後會做些什麼。 繼續閱讀
高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP
Android的2017年12月安全更新修補了一個嚴重漏洞,這個漏洞會讓攻擊者在不影響簽章的情況下修改已安裝的應用程式。讓攻擊者能夠存取受影響的設備(間接地)。研究人員在去年 7月首次發現這個漏洞(被指定為CVE-2017-13156,也被稱為Janus漏洞),受到影響的Android版本包括5.1.1到8.0;約有74%的Android設備安裝這些版本。
趨勢科技發現至少有一個應用程式使用了這技術。這特定應用程式利用此漏洞讓自己更難被行動安全軟體偵測。之後也可能用來侵害其他應用程式並存取使用者資料。
漏洞分析
Android應用程式的安裝套件(.APK檔案)其實是.ZIP壓縮檔。.ZIP檔案格式有幾個特點讓這種攻擊發生。看看底下的基本.ZIP檔案結構:
圖1、.ZIP檔案結構
檔案結構由三部分組成:檔案實體(File Entry)、核心目錄(Central Directory)和核心目錄結束(EOCD)。核心目錄包含壓縮檔內每個檔案的資料;應用程式使用此目錄來找出記憶體位置以存取所需的檔案。
不過每個檔案實體並不需要相鄰。甚至可以將任意資料放入.ZIP檔案的這部分,如下所示:
圖2、ZIP檔案結構(紅色為任意資料)
攻擊者可以在APK檔案開頭放進一個惡意DEX檔案(如下所示)。有漏洞的Android版本仍會將其識別為有效的APK檔案並且執行。 繼續閱讀
資安攻擊為何一再發生? 剖析四個”過於暴露”的案例
趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上?為什麼新漏洞出現時沒有發表深入地探討?”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。
我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱,因為“我們一直在用它們,什麼事都沒有發生,所以我們一定是安全的”
如果我們不花時間來建立良好的網路習慣,不管是組織或個人,就會讓攻擊可以很容易的一再發生。
作者:Natasha Hellberg(趨勢科技資深威脅研究員)
我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼,它們進入了更新的技術,然後包含在其他的技術中,我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱,因為“我們一直在用它們,什麼事都沒有發生,所以我們一定是安全的”。
聽起來有點熟?我們總是拿到新東西就直接安裝,完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限,就會有越多這樣的事情發生。
大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運,這些設備有加以防護,可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是,根據趨勢科技FTR團隊所做的研究,有幾十萬放在網際網路上的設備帶有漏洞(就是說可以被入侵)或完全沒有任何安全防護。
現在讓我們來進一步談談以下四個例子:
- 勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
- 資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
- 設備/網頁竄改(defacement) – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
- DDoS殭屍網路和攻擊激增工具(Booter) – 系統和設備漏洞成為攻擊他人的跳板
2017年常被惡意濫用的系統管理工具和協定
系統管理工具和正常使用協定可以讓管理員、資安專家和開發人員更加具備靈活度和效率。但如果被攻擊者、網路犯罪分子和其他惡意份子利用,就會讓惡意軟體融入正常的網路流量來躲避傳統的安全機制,留下更少的足跡。正如2017年知名的威脅所顯示的那樣,讓它們被暴露或未加防護,甚至無意間被加以利用都可能產生嚴重的後果。
以下是2017年一些常被濫用的工具和協定,以及企業能夠用來對付利用這些工具進行攻擊的最佳實作:
PowerShell
它是什麼:Windows PowerShell是包含腳本語言和命令列shell的管理框架。它讓系統管理員可以自動化任務和管理流程。包括:啟動命令列、終止程序、找到資料夾和檔案、設定命令在背景排程執行、存取應用程式介面(API)以及管理系統和伺服器設定。
它如何被濫用:PowerShell是許多惡意軟體的主要部分,特別是無檔案威脅。像是Cerber和PowerWare等勒索軟體,像FAREIT這樣的資料竊取程式,像VAWTRAK這樣的銀行木馬以及將惡意PowerShell腳本嵌入可執行檔或巨集病毒文件的後門程式。這些腳本被用來取得和啟動/執行惡意軟體。因為PowerShell的性質,它常會被加入白名單;攻擊者利用它來躲避防毒(AV)偵測。
最佳實作:限制其使用,或將可能被濫用的指令加入黑名單 – 這可以提高安全性,但也可能影響其他系統功能。管理員也可以利用PowerShell本身,使用觸發器來偵測常被用於惡意PowerShell腳本的指令或參數。PowerShell還具備日誌功能,可以用來分析系統內的可疑行為。微軟也提供如何安全使用PowerShell的最佳實作建議。
PSEXEC
它是什麼:PsExec是可以讓使用者遠端啟動程序及執行命令或可執行檔的命令列工具。它使用登入到系統的使用者權限執行。PsExec有多種用途,它可以讓管理員重新導向系統間的控制台輸入和輸出。PsExec也可以用來派送修補程式。
它如何被濫用:Petya/NotPetya勒索病毒會利用PsExec的修改過版本來存取和感染遠端機器。磁碟加密HDDCryptor也用類似的方式使用它。無檔案加密惡意軟體SOREBREC利用PsExec來加強其程式碼注入能力。PsExec的靈活性也讓它被用來劫持端點成為殭屍網路的一部分,並且安裝端點銷售(PoS)惡意軟體。據報PsExec也被用在Target資料外洩事件中。 繼續閱讀