想更新瀏覽器嗎?要先確認是從合法管道下載,不要下載到偽裝成瀏覽器更新程式的惡意軟體到電腦上。
趨勢科技最近看到一篇報導指出,有許多網站提供瀏覽器更新程式,像是Firefox、Chrome和Internet Explorer,還有其他更多版本。使用者點到惡意廣告就有可能進入這些網頁。
這惡意威脅的幕後黑手想盡辦法讓這陷阱看起來像是真的。這些網頁就如下圖所示,看來就像是瀏覽器的官方網站。為了進一步引誘使用者下載假更新程式,這網站甚至還提供了整合的防毒保護:
只是使用者下載的並不是更新程式,而是被偵測為JS_DLOADR.AET的惡意程式,它會改變下載的二進位檔案而有不同的惡意行為。
接下來,惡意JavaScript會下載TROJ_STARTPA.AET,並儲存成瀏覽器下載目錄內的 INSTALL.EXE。根據趨勢科技的初步分析,這木馬程式會修改使用者的IE瀏覽器首頁為https://{BLOCKED}rtpage.com,這是一個可能含有其他惡意程式的網站,好進一步感染使用者的電腦。 繼續閱讀
APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”
BKDR_ADDNEW 惡意程式 (也就是地下網路上所稱的「DaRK DDoSseR」) 是一個可從事 DDOS 分散式阻斷服務攻擊的工具,同時又具備了密碼竊取能力、瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。該工具的售價大約 30 美元,已經出現好幾年了。
某些感染 BKDR_ADDNEW 程式的電腦後來也感染了 Gh0st RAT 惡意程式。儘管 Gh0st RAT 曾經出現在許多鎖定目標攻擊,但此工具及其多個變種一直為 APT攻擊/進階持續性威脅 (Advanced Persistent Threat, APT)者與網路犯罪者所廣泛採用。
在執行時,BKDR_ADDNEW 會連線至一個 TCP 連接埠來接收遠端犯罪者的指令 (我們分析過一些使用連接埠443, 3176 和 3085 的樣本,但其預設連接埠為 3175)。
可能接收到的一些指令包括:下載檔案、竊取 Mozilla Firefox 密碼、顯示 DNS 資訊以及傳送應用程式權限等等。此外,它還能發動阻斷服務 (DOS) 攻擊。
作者:趨勢科技雲端安全副總裁Dave Asprey
幾個月前,我寫了一篇關於虛擬化桌面架構(VDI)如何越過推動臨界點的文章,都要歸功於寬頻的普及和新雲端技術突破性的發展,所以讓性能可以有顯著的進步。工作場所裡大量的使用平板電腦和智慧型手機也助長了這火勢。尤其是我提到了虛擬化桌面架構可以解決自帶設備的問題。VMware在舊金山舉行的VMworld大會中就包含了這些解決方案,也是VMware行動安全桌面提議(Mobile Secure Desktop initiative)的一部分。
現在,趨勢科技將再次在巴塞隆納加入VMware,我們看到一樣的虛擬化桌面架構解決方案被應用到其他地方:遠端和地區辦公室。像是零售業、銀行和醫療保健等行業,他們的業務模式在很大程度上依賴於遠端辦公室,需要有可靠、安全和最佳化的方式來存取系統和應用程式。
在其中一個討論虛擬化桌面架構技術的會議中,VMware的資深架構工程師談到無代理安全的價值,和傳統防毒會浪費掉30%的資源比起來,無代理防毒技術可以讓使用者用到99%的資源 – 避免安全風暴、提供更高密度、最佳化資源和更強的安全性。
為了確保高品質、穩定和安全,以及統一的使用者體驗,Apple在iOS(iPhone作業系統)上置入了許多的控制,這限制了應用程式在iPhone和其他iOS上要如何運作以及可以做些什麼。
這篇文章,詳細介紹了這些iOS上的控制,但這裡提供一個iOS安全模型關鍵的快速總結。
越獄(Jailbreaking)和為什麼不該這麼做
讓iPhone越獄是指去除iOS控制和執行限制的程序,讓未經Apple授權的應用程式可以在iPhone上執行。當你將iPhone越獄,基本上就等於是拆了iOS所提供的安全牆。
Android 裝置的權限機制設計,是為了讓未事先宣告並取得權限的 App 程式無法做出任何可能傷害裝置的行為。但真的是如此嗎?
Android 權限機制的運作方式
在深入探討進一步細節之前,讓我們先來看看 Android 的權限機制如何運作。
Android 的 App 程式對系統資源的存取是受到管制的。要存取一些敏感的應用程式介面 (API),App 程式首先必須在 AndroidManiflest.XML 檔案當中宣告它所需要的權限。這些所謂敏感的 API 包括了相機功能、GPS 定位資訊、藍牙與電話功能、SMS/MMS 簡訊功能,以及網路/資料連線功能。
在安裝 Ap 程式時,程式安裝器 (App Installer) 會將這些程式宣告的權限顯示給使用者看,由使用者決定是否要接受並安裝該程式。
若使用者決定接受,那這些權限就永久授予給該程式,直到它解除安裝為止。執行時,系統不會再通知使用者這些程式正在使用一些敏感的 API。反之,若使用者決定不接受,那應用程式就無法安裝。
假使有某個 App 程式嘗試使用這些受保護的功能卻未事先宣告,系統在執行該應用程式時就會出現安全性錯誤,並終止應用程式。
在這樣的設計下,要避開權限機制似乎不太可能。但不幸的是,一些聰明的程式設計人員就是有辦法開發出一些能避開這些權限機制的 App 程式,方法就是濫用某些功能。
濫用預設瀏覽器來上傳資訊
在 Android 系統中,一個 App 程式可以呼叫另一個 App 程式的元件,然後透過一個名為「Intent」的抽象資料結構來描述其所要執行的作業。每一個 Intent 資料結構當中都包含了要執行的動作,以及執行該動作需要的資料。當一個 App 發出一個 Intent 時,行動裝置作業系統會選擇一個適合的應用程式來處理該資料。
例如,一個內含「Intent.ACTION_VIEW 」這個檢視動作的 Intent,再配上「Uri.parse(“https://www.google.com”)」這串資料,就代表該 App 程式希望檢視 Google 首頁。當此資料結構傳出來時,作業系統會決定該啟動哪個瀏覽器。
在這樣的設計之下,意圖不良的程式開發人員,就能在自己的 App 程式當中透過一個 Intent 資料結構來開啟一個瀏覽器並將竊取到的資料上傳至遠端的某個伺服器。譬如,惡意 App 程式想要將裝置的識別碼 (Device ID) 傳送至位於 https://example.com 的伺服器,其 Intent 內容將如下所示:
由於是透過瀏覽器來開啟這個網址,因此,惡意 App 程式自己根本不需宣告 android.permission.INTERNET 網際網路使用權限,因為瀏覽器已具備這個權限。
