資安趨勢部落格 – 第 801 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

趨勢科技協助FBI(美國聯邦調查局),將惡名昭彰 SpyEye 銀行木馬駭客繩之於法

2014 年 02 月 06 日2014 年 02 月 05 日趨勢科技 TrendMicro

前幾日美國司法部宣布惡名昭彰的SpyEye銀行惡意軟體作者 – Aleksandr Andreevich Panin（又名Gribodemon或Harderman）已經為製造和散佈SpyEye而認罪。趨勢科技在這次的調查中扮演關鍵角色，和美國聯邦調查局合作這個案子很長一段時間。各團體都花費相當大的力氣來讓此次調查活動可以圓滿結束。

我們的調查

Panin的共犯之一是Hamza Bendelladj,，他的暱稱是bx1。Panin和Bendelladj都參與建立和設置各SpyEye網域和伺服器，這也是趨勢科技獲得這對犯罪伙伴資訊的來源。雖然SpyEye的建立僅僅有很少的文件公開，我們還是仍然能夠拿到這些文件並取得文件中的資訊，其中包括（比方說）伺服器控制者的電子郵件地址。

我們將這些設定檔所取得資料和我們在其他地方所收集到的資料進行關聯。例如我們潛入各個已知Panin和Bendelladj會訪問的地下論壇。只要閱讀他們所貼出來的文章，他們會在不經意間透露像電子郵件地址、ICQ號碼或Jabber號碼等資訊，這些都是可能揭露他們真實身份的資料。

例如，我們發現了C＆C伺服器lloydstsb.bz也和SpyEye程式和設定檔有關。解密過的設定檔包含了代碼bx1。該伺服器上的設定檔也包含了電子郵件地址。第二個設定檔（也用了bx1）被發現含有virtest的登錄憑證，這是網路犯罪份子所使用的偵測測試服務。所有的資料都被趨勢科技用來幫助美國聯邦調查局找出他的真實身份。

圖一、設定檔

接下來在地下論壇的貼文顯示Bendelladj和SpyEye的關連比他所公開宣稱的還要更深入：

圖二、地下論壇貼文

下圖顯示出各種不同網站、電子郵件地址和Bendelladj所使用惡意軟體間的關聯：

圖三、此圖顯示各網站、電子郵件地址和惡意軟體間的關係

繼續閱讀

關於美國零售業業者 Target 資料外洩常見問題集

2014 年 02 月 05 日2014 年 02 月 11 日趨勢科技 TrendMicro

2014年1月10日星期五，Target宣布，在他們2013年12月19日所披露的外洩事件裡，有更多的資料被外洩。而在那一天，也有報導指出Neiman Marcus有部分店內客戶的信用卡和借記卡(Debit Card)資料被盜。

這些新訊息可能讓整個局面更加混亂。為了幫你更清楚地瞭解發生了什麼事，對你來說代表了什麼，以及你該做些什麼，我們整理出了一份常見問題（FAQ）列表來舉出這些狀況並加以解釋。

除了這份常見問題列表，你也該去看看Target的官方常見問題列表。Target也將所有關於這次事件的資料和資源整合在集中的資訊站。

有關Target資料外洩的最新狀況？

在2014年1月10日星期五，Target宣布有高達7000萬份個人資料在最初於2013年12月19日所宣布的資料外洩事件中丟失。

這是新的資料外洩事件？

不是。根據Target所表示，這並不是新一起的資料外洩事件。Target表示這些資料被竊是屬於他們最初在2013年12月所公布資料外洩事件的一部份。

但Target是說新的資料外洩，對不對？

不錯。雖然他們說並沒有出現新的事件，但他們表示現在知道有比以前所認為更多的資料在12月的事件裡丟失。用一般的例子做比喻，竊賊在十二月只闖進他們的房子一次。但是除了原本Target所知道被偷的電視外，他們又發現了竊賊還拿了一台筆記型電腦。

Target原本在2013年12月的公告裡聲稱外洩了哪些資料？

Target在12月宣稱，有高達4000萬名在2013年11月27日到2013年12月15日間在美國店面購物過的人們信用卡和借記卡資料被竊。

這新外洩的資料和Target在12月所宣布的有何不同？

在這最新的公告裡，Target聲稱有高達7000萬名客戶的個人資料被外洩。這次外洩並不相同，因為資料類型不同：這是個人資料，而非信用卡和借記卡資料。而且是不同的受害族群：它有7000萬人，而非4000萬人。

這兩個Target外洩的資料間關係為何？如果我是2013年12月所公佈資料外洩受害的4000萬人之一，我也會受到這一個的影響嗎？

可能會。但是我們無法肯定。

Target並沒有說這兩個外洩的資料間有任何關係，只是它們都屬於同一起資料外洩事件的一部份。有報導表示它們有部分重疊，意味著有些客戶可能會同時受到兩個外洩資料的影響。但報導也顯示有超過一億的客戶被這兩個事件影響。華盛頓郵報指出，這代表有三分之一的美國住戶可能被這情況所影響。

Target在2014年1月公告的資料外洩事件中丟失哪些資料？

根據Target所說，這外洩的資料包括客戶的姓名、郵寄地址、電話號碼或電子郵件地址。

兩個Target外洩的資料之間還有其他不同嗎？

是的。Target公司在回應2013年12月的資料外洩時表示，他們將提供免費的信用監控給在他們商店購物的所有顧客，而不僅僅是4000萬名信用卡和借記卡資料被竊的客戶。不過到目前為止，Target沒有表示會提供信用監控給任何受2014年1月資料外洩影響的客戶。

別人可以利用這些資料作什麼？各外洩的資料有多嚴重？我該關心什麼？我該怎麼做？

2013年12月外洩的資料有信用卡和借記卡資料。這些資料可能會被拿來做詐騙性購物。事實上，這已經發生了好幾個星期。如果你受到這資料外洩事件影響，這是非常嚴重的，你應該要非常關心。你必須定期查看你的帳單，出現任何詐騙性費用時要立即回報。既然Target提供信用監控給所有在他們店裡購物的客戶，如果你還沒有監控你的信用狀況，應該要馬上登記。

2014年1月外洩的是個人資料，但不包括像社會安全號碼這樣的重要資料。Target還說明在某些狀況下，資料是部分的，代表可能只有姓名和電子郵件地址而已。可能並沒有足夠的資料來做身份竊盜。但它可以結合其他資料來進行身份竊盜。該資料還可以用來建立高品質的垃圾郵件或釣魚郵件。要特別小心垃圾郵件和網路釣魚，特別是那些偽裝成來自Target的電子郵件。

繼續閱讀

拿到新電腦或手機，該怎樣處理舊機器？安全刪除資料指南

2014 年 01 月 29 日2015 年 10 月 13 日趨勢科技 TrendMicro

拿到新電腦或智慧型手機總是很讓人興奮，但你知道該怎樣處理舊機器嗎？

事實是，並不只是將它們丟掉或賣掉那麼簡單。

你要記住，這些東西包含了你不希望陌生人或壞人看到的個人檔案和資料。壞人可以回復儲存在你舊設備裡的資料，用它們來為自己謀利。當你放手舊玩意前，確保你用以下步驟來完全刪除你的資料。

找到然後選擇

在你開始刪除檔案前，確保你知道所有重要檔案的位置。確保不會遺漏任何備份給陌生人看到。例如，你所有工作相關的檔案是否都儲存在特定磁碟，或是否有備份在隨身碟裡？最好將這些地方的檔案都刪除。

將包含個人或敏感資訊的資料分出優先順序。這可能包括任何「官方」文件、交易收據及其他金融相關檔案、個人照片、軟體授權、工作相關文件和其他有姓名、聯絡方式或密碼的文件。

這裡的秘訣是要搜尋可能會危及你安全或聲譽的檔案。一旦你刪除了這些，就可以開始刪除不那麼重要的檔案（比方說你十年前的書面報告副本）。

選擇你的作法

你的銷毀作法取決於你打算如何處理舊設備。如果你打算出售或送人，資料抹除是你最好的選擇。如果你打算出售你的設備，最好是不要破壞磁碟或設備。

人們常以為格式化就跟資料抹除一樣，已經足夠刪除你的檔案。但格式化並非永久性的作法，有專門工具可以讓你或其他人在格式化後重新回復資料。但另一方面，資料抹除會多次地覆蓋資料，讓其無法再被救回。當涉及到資料銷毀，資料抹除是首選作法。

清理你的硬碟

你有三個選擇可以刪除硬碟上的檔案。

資料抹除 – 資料抹除會多次重複寫入硬碟磁區以刪除你在硬碟的資料。建議的重複資料寫入次數可能各不相同，但你可以從你所用程式的預設值開始。趨勢科技PC-cillin雲端版提供了檔案強制刪除工具，讓你可以徹底地刪除你的電腦資料。►立即免費下載試用

消磁 – 消磁就是讓你的硬碟消除磁性而無法使用。消磁用機器要價昂貴，但也有公司以較實惠的價格提供這類服務。

破壞硬碟 – 破壞硬碟可能是確保你資料刪除最有效的作法。雖然有不同方式可以破壞你的硬碟（砸壞或鑽孔等），你要始終記得佩戴安全護目鏡等防護裝備。

銷毀CD、DVD和隨身碟

銷毀CD或DVD可以用合適的工具來完成。你可以用特製剪刀，或是碎紙機也可以處理CD。你也可以用砂紙去掉上層金屬層來「刮」掉資料，不過這需要很長的時間，不大有效率。

不管是用什麼作法，重要的是要記得使用防護裝備。安全護目鏡和手套可以保護你處理這些鋒利的碎片。在一個大袋子裡摧毀CD和DVD可以防止碎屑到處亂飛。

就跟你的硬碟一樣，你可以抹除你的隨身碟來刪除資料。不過銷毀隨身碟仍然是永久刪除檔案所有痕跡的最安全作法。

保護雲端帳號

刪除儲存在雲端服務的資料是棘手的，因為你不能確定你的資料已經被完全地刪除（相對於砸掉硬碟）。

考慮到這一點，最好限制你儲存或分享在網路上敏感資料的數量。你還可以詳讀隱私政策或直接聯繫雲端服務以了解他們處理資料刪除的政策。

當你的資料儲存在雲端時加以保護也是非常的重要。透過強密碼來保護你的帳號。你甚至可以用趨勢科技PC-cillin雲端版內建的密碼管理通來幫你建立一個。避免跟人分享你的帳號。

如果可以的話，加密所有的資料。加密會用數學公式來編碼你所有的資料，以確保你是唯一可以讀取或存取的人，也是防禦的最後一道防線，以防有人還是能夠存取你的帳號。可以使用加密軟體，但你也可以選擇內建加密的雲端服務。

刪除手機資料

人們常常忘記行動設備可能會包含敏感資料。幸運的是，有許多工具和應用程式可以幫你刪除檔案。

也建議在刪除檔案之後重置，確保刪除結果。即使重置回出廠預設值也要再次確認。曾經有報導指出，某些資料在經過重置過程後仍保留在設備上。

由於很多使用者在手機上使用SD卡，也建議將SD卡抹除乾淨或銷毀。

繼續閱讀

什麼能真正推動雲端運算大規模的成長？

2014 年 01 月 28 日2014 年 01 月 23 日趨勢科技 TrendMicro

作者：Dave Asprey（趨勢科技雲端安全副總）

當大多數IT專家談論到雲端運算，他們會想到基礎設施即服務（IaaS）或平台即服務（PaaS）。不太容易去想到的是，有很大比例的IaaS是用來推動軟體即服務（SaaS）產品，而SaaS本身占了雲端運算市場的最大部分。

Ｄavid Linthicum在InfoWorld上引用了一篇Capgemini的報告，顯示雲端運算市場規模從2009年的174億增長到2013年的442億。而有趣的是，SaaS的市佔率也從69 ％降低到58％，歸因是由於IaaS的成長。

我並不同意。現在越來越難去將一個應用程式歸類到一個特定類別。如果它依賴其他幾種雲端技術，那它是軟體即服務，還會變成混合雲？如果它被銷售為基礎設施即服務產品，但管理是靠軟體即服務呢？你的內容傳遞網路（CDN）是基礎設施即服務產品或軟體即服務產品？我也不知道。

而我馬上浮現到腦海裡的是趨勢科技的Deep Security產品。它非常的具有彈性，讓你能夠從自己的私有雲、公共雲或趨勢科技所代管的服務上來執行管理主控台。它可以管理橫跨實體伺服器、虛擬機器、私有雲和公共雲上的安全性。你可以基於使用量（即SaaS）來計費，或是實行企業合約。

你告訴我 – 這是SaaS產品？或是IaaS？不管是什麼，它都有一定的規模，而且越來越成長，而且它並不是簡單的SaaS/PaaS/IaaS，這我們在2006年所發明的層次架構，用來解釋我們自從代管和應用服務供應商（ASP）在1997年崛起後所做的事情。

你雲端策略所該做的是不要太關心某個東西是否在這三個類別之中。相反地，要注意你該如何進行管理，以及你要如何付費。這將會讓你從戰術決定前進到戰略規劃和實施。

＠原文出處：What is really driving the massive growth of cloud computing?

使用竊取憑證簽章的假防毒軟體在增加

2014 年 01 月 27 日2014 年 01 月 21 日趨勢科技 TrendMicro

惡意軟體通常會偽裝成別的東西來穿透IT的防衛 – 可能是用電子郵件送出的緊急帳款通知，或能夠免費解決一切問題的防毒軟體。儘管安全社群發出了警告，許多使用者還是輕易地落入這些陷阱裡，攻擊者也每天都在找新方法來包裝惡意軟體。

一個比較進階的做法是讓惡意軟體看起來像合法的防毒軟體，加上一個數位簽章。比方說，2010年的Stuxnet蠕蟲就採取了這做法，利用兩個安全廠商的憑證來散播檔案。從那時算起，使用竊取憑證的惡意軟體並不多見，但事情可能有所變化。

雖然有些惡意軟體會使用舊憑證，但更進步的變種會竊取建立只有幾天的憑證，減少會被視為無效的機會。Antivirus Security Pro這惡意軟體，自2009年以來就已經用過許多不同的名字出現，而且可能使用超過一打的竊取或偽造憑證來騙過軟體開發者和感染其系統。

CA憑證已經漸漸地成為惡意軟體作者和情報單位針對的目標，他們可能會建立假憑證來進行監視或中間人攻擊。連網頁瀏覽器（如Mozilla Firefox）都出現可能會被惡意憑證製作和安裝所攻擊的漏洞。

有鑑於這些狀況，為了保護使用者資料和維護商業信譽，現在確保簽章用金鑰比以往任何時候都更加重要。廠商還應該更加經常檢查憑證撤銷，讓無效憑證無法被用來穿透安全防護。

網路犯罪份子如何和爲什麼要針對數位憑證

數位憑證是由認證機構所簽發，就像是一個印章，用來表明這特定軟體沒有被篡改過。使用者可以檢查憑證加密來驗證應用程式確實來自其聲稱的開發商。

因此，如果一個不法團體取得一個合法的CA憑證，它就能夠簽署惡意軟體，讓程式看起來合法。簽章惡意軟體的作者通常會支付相關單位憑證的費用，因為CA可能不知道憑證會被用在惡意目的。

但與其透過標準管道，有許多網路犯罪分子會去竊取憑證用在自己的應用程式。微軟最近報導一個稱為Winwebsec或是Antivirus Security Pro的威脅演變，它採用了世界各地單位所簽發的憑證。這些憑證來自一些知名的CA，簽發給荷蘭、美國、英國、加拿大、德國和俄羅斯的開發者。

一旦安裝，Antivirus Security Pro的行為介於防毒掃描程式和勒索軟體 Ransomware之間。它會持續地用發現「惡意程式和病毒」的假通知來干擾使用者，要擺脫這些通知的唯一方法就是付錢來「註冊」軟體。它還可能會利用微軟標誌來讓自己看起來合法，而且還會下載其它惡意軟體，或封鎖連向某些網站的流量。

想拿到CA憑證一直被認為是困難而有風險的作法，因為需要攻擊者去攻入使用合法憑證的組織，或直接駭入簽發憑證的CA。不過，部分安全專家警告憑證竊取會變得更加普遍，因為攻擊者想要能夠繞過64位版本Windows 7和Vista驅動程式強制簽章的方法。

在Stuxnet蠕蟲之後，惡意軟體作者會製造帶有竊取憑證所保護Rootkit驅動程式的後門。雖然針對這漏洞去撤銷憑證並不是個很難的過程，問題是，許多作業系統並不是那麼常去檢查憑證撤銷列表，如果他們有檢查的話。結果就是，簽章過的惡意軟體有足夠的時間來破壞受感染的系統。

安裝程式和模組也是已簽章惡意軟體的目標。有些合法防毒軟體不會去掃描這些簽章過的檔案，因為會預設這些檔案是安全的。

「簽章過的模組更有可能會被加入白名單，它們被充分分析的機率較低，所以它們會有一段長時間不被發現」：安全研究員Costin Raiu在InfoWorld上說明。

Winwebsec、Fareit和其他對安全憑證的威脅

Winwebsec/Antivirus Security Pro並不是最近唯一簽章過的惡意軟體。它和其他幾個變種關係緊密，這些變種可能被下載或交動，以深入挖掘受感染的系統。

Antiviurs Security Pro可能會下載Ursnif，一個用來監測網路流量和竊取密碼的工具。類似的Fariet惡意軟體具備Ursnif所移除的早期版本功能，可以從FTP客戶端竊取密碼和下載Antivirus Security Pro副本，建立一個已簽章惡意軟體複雜、自給自足的網路。

除了Antirvirus Security，還有其他幾個威脅是應該要知道的。一名安全研究人員最近發現一個Firefox漏洞，會允許流氓擴充程式來變更網路代理程式設定，並且在Windows安裝假CA憑證。

上個月，Google回報有一個法國當局認證機構下的中級CA發出假SSL憑證給它的網域。這些憑證可能已經被用來檢查加密網頁流量、假造內容或執行中間人攻擊。

如何安全地管理程式碼簽章憑證

隨著憑證被放在鎂光燈下，開發者和組織必須確保他們保持私鑰的安全。他們可以將金鑰儲存在安全模組、隨身碟或是智慧卡。任何儲存憑證的系統都必須要安裝定期更新的防毒軟體，也不能用來做一般網頁瀏覽。

「就跟保護你房子和車子鑰匙安全是一樣的重要，保護你程式碼簽章私鑰是很基本的事情，」Microsoft在一篇談到Winwebsec的部落格文章裡這樣提到。「置換憑證不只是不方便，而且往往代價昂貴，它也可能導致你公司的聲譽受損，如果被用來簽章惡意軟體。」