資安趨勢部落格 – 第 748 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

詳解網路銀行木馬DYRE，第一部

2014 年 11 月 10 日2014 年 11 月 10 日趨勢科技 TrendMicro

假日季節正在接近了，你們有些人或許已經提早進行假日採購了–檢查錢包來趕上購物熱潮。假日季節也帶來了每年都會在這段時候出現的網路犯罪活動：

我們已經看到大量偽造的銀行電子郵件。我們也看到其他類型的垃圾郵件威脅，包括KELIHOS，VAWTRACK，甚至某些形式的419騙局。
我們也目睹了銀行惡意軟體的增加。這個惡意軟體家族變種試圖竊取敏感資訊，如銀行認證資訊和電子郵件帳號詳細資料。它們會利用資訊竊取技術，通常會偽造跟銀行網站一模一樣的釣魚網頁，用來擷取使用者的銀行資訊，如使用者名稱、密碼或卡號。再將竊來的資訊發送到一個預先設定的電子郵件地址，代管伺服器的暫存區或透過HTTP post發送到一網址去。

此一系列的文章著重於一特定銀行惡意軟體，被偵測為TSPY_BANKER.DYR。在深入瞭解惡意軟體本身後，我們會將這惡意軟體威脅放入整個生態系，加上其連結的的垃圾郵件，甚至包裹騾子詐騙（指將包裹寄送到別的地方的人，就跟「驢子」一樣）。這些人很容易落入騙局，因為打著「容易致富」的名號。

關於DYR的一切

這被偵測的惡意軟體跟DYRE（也被稱為DYREZA，DYRANGES或BATTDIL）有關。TSPY_BANKER.DYR跟DYRE變種有許多相似之處，可以從其行為看出：

可以透過瀏覽器注入來進行中間人攻擊。此外也可以進行瀏覽器截圖，竊取個人認證資訊，並竊取如瀏覽器版本等資訊。
它竊取銀行認證資訊和監視對特定銀行進行線上交易時的連線。
它會植入一個設定檔（透過C&C更新），裡面包含了目標銀行列表和bot ID（由電腦名稱、作業系統版本和一組32個字元識別碼所組成）。目標銀行包括了國際、美國和歐洲銀行。
它利用NAT會話傳輸應用程式（STUN），一種位在NAT網路內之終端主機找出其公開IP地址的方法。它常被即時語音、視訊和其他訊息服務應用程式用來找出公開IP位址或是可被網際網路所見之IP地址。犯罪分子使用這種方法來知道其惡意軟體的確切位置（並可能知道誰試著去加以執行）。

繼續閱讀

Shellshock 新式攻擊針對SMTP伺服器，台灣為存取惡意網站最多的國家

2014 年 11 月 06 日2014 年 11 月 04 日趨勢科技 TrendMicro

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功，就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己，這很有可能是潛伏在雷達之下而不被偵測的方法。

下圖描述了攻擊的週期。

圖一、SMTP攻擊圖解

攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時，內嵌的Shellshock惡意程式碼就會被執行，然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動，如發動垃圾郵件攻擊活動。

可能有漏洞的郵件伺服器

趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。

qmail郵件傳輸代理程式（MTA）

.qmail是控制電子郵件傳輸的UNIX設定檔，也負責去執行Bash shell指令。可以設定它去啟動程式，一旦它呼叫了Bash，攻擊就算成功了。（這攻擊需要qmail MTA上有效收件者具備.qmail檔，而且.qmail檔包含任意派遞程式）。

第四版前的exim MTA

從第四版的exim開始，pipe_transport不會呼叫Shell來擴展變數和組合指令。

使用procmail的Postfix：Postfix MTA會調用procmail，一個郵件傳遞代理程式（MDA）。MDA被用來排序和過濾寄入的郵件。

Postfix沒有明顯的Shellshock漏洞。然而procmail（一種郵件傳遞代理程式）本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式，導致了可被攻擊的Shellshock漏洞。

注：Debian/Ubuntu的Postfix預設將procmail設在main.cf的mailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。

攻擊分析

根據趨勢科技的分析，如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行，攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式：

hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案，只是名稱不同。

圖2、「JST Perl IrcBot」下載的程式原始碼

「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制（C&C）IRC伺服器。殭屍程式會執行以下行為，危害受影響系統的安全：

從網址下載檔案
發送郵件
掃描端口
執行分散式拒斷服務（DDoS）攻擊
執行Unix指令

這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。

圖3、存取惡意軟體網站最多的國家

繼續閱讀

新版本手機作業系統加強安全性

2014 年 11 月 05 日2014 年 11 月 03 日趨勢科技 TrendMicro

行動作業系統的競爭正在升溫，Apple的 iOS 8和 Google的 Android Lollipop在激烈的競爭中，大眾會發現這些作業系統的特色和可以為自己做些什麼。而且有顯著的變化和重大的改進出現在這些版本中，特別是在其預設設定。

預設加密似乎是兩個作業系統的主要賣點。因為資料保護和消費者對於自己的設備要有更好隱私和安全的要求意識在日益高漲，兩個主要的手機作業系統在行銷其安全功能時，處在勢均力敵的競爭中。

Apple：TouchID和加密

Apple 現在允許第三方應用程式開發人員使用Touch ID，給予他們更多權力來驗證他們的使用者。iPhone 使用者還可以看到應用程式如何追蹤位置的重大改變。在較舊的iOS版本中，定位選項僅限於「總是開啟/總是關閉」。現在「取用位置設定」中加入了新選項 – 「使用App期間」，提供使用者更多自由度和控制度讓應用程式追蹤他們的行蹤。

甜蜜焦點

而 Google 在另一方面，Android L會自動加密行動裝置上的資料，而非手動設定（像是之前的Android版本）。任何運行Android L的智慧型手機內資料將必須有使用者的密碼才能解開，跟 Apple 的 iOS 8 非常類似。

可以遠端定位遺失或被竊的智慧型手機並將其重置為出廠設定。提供了額外的安全防護給不想讓陌生人利用任何他們所儲存在其設備中資料的消費者；使用者還可以讓電話變得幾乎毫無用處，因為運行 Android L 的手機如果沒有註冊所有者的密碼就不能再被重置為出廠設定，防止它被變賣。

還有許多比表面上所能看到的更多功能針對現在的行動威脅情勢。iOS 8內多層次的安全功能以及 Android L 更棒的改進。想知道更多行動作業系統內防護措施的詳細資訊，請參考我們的每月行動報告 – 「iOS 8和Android Lollipop新的安全功能」。”

趨勢科技透過安全達人來保護使用者免於行動威脅，能夠提供給iPhone、iPod Touch和iPad使用者以及Android智慧型手機和平板電腦的使用者。Android使用者可以到這裡下載此安全應用程式，而Apple使用者可以到這裡下載。

@原文出處：New Mobile OS Versions Improve Security作者：Sheila Ong（趨勢科技技術交流）

現代 ”迪林傑黑幫”-銀行大盜的四個攻擊面向

2014 年 11 月 04 日2014 年 11 月 04 日趨勢科技 TrendMicro

約翰迪林傑因為在經濟大蕭條時搶劫了二三十家銀行而惡名昭彰。他和他的同黨因著三種策略而成功：他們會研究下手機構並了解他們的安全措施和做法；他們有著優勢火力；以及他們有著更快的車子，所以他們可以跨州逃亡。現代的迪林傑黑幫出現在前蘇聯集團中。這些網路黑幫從全球金融機構竊取了數十億美金。我們從他們先進的策略中學到很重要的事情。在2014年，針對金融機構的有組織網路攻擊出現重要的轉折。優秀的「保險箱破解專家」現在從四個面向侵入：

網頁應用程式攻擊：網頁應用程式的零時差漏洞被廣泛地用來攻擊金融機構。一個重要的歐洲金融機構在7月 24日遇上一次，就如同部分美國機構一樣。

水坑攻擊：在水坑攻擊中，威脅分子會入侵金融機構網站內的特定網頁，插入會導致惡意軟體感染的漏洞攻擊碼；這類攻擊有25%位在美國。這是因為缺乏對OWASP前十大漏洞的網站安全防護和測試。

認證資訊攻擊：從Emmental攻擊活動（由趨勢科技所發現）可見一斑，駭客開發自製的惡意軟體來繞過雙因子身份認證，並從註冊表刪除其足跡以避免被偵測。

跳島和二次感染：針對金融機構的「虛擬供應鏈」進行針對性攻擊的例子到處都是。除了這交易對手風險的新動力，還會廣泛利用之前安裝在受信任系統的後門程式來進行二次感染。後門程式 – 讓電腦可被遠端存取的應用程式 – 在針對性攻擊中發揮了至關重要的作用。後門程式通常會被用在針對性攻擊過程的第二（進入點）或第三（指揮和控制 [C&C]）階段，好讓威脅份子可以取得對目標網路的指揮和控制能力。入侵外洩偵測系統是挫敗這類攻擊的關鍵。

2008年和 2009年的金融危機讓數以千計的銀行和金融專業人士失去工作。其中有一小部分將其金融專才和策略性知識借給地下影子經濟。有證據顯示網路犯罪分子現在將金融詐騙計畫融入網路攻擊。這些貨幣化的輔助計畫也預示了將會出現前所未見的犯罪浪潮。注：這些情境被詳細說明和預示在 2005年5月的世界銀行報告 – 「資本市場和電子詐騙」中。想知道這些騙局的說明，

請參閱：https://elibrary.worldbank.org/doi/book/10.1596/1813-9450-3586

由於網路犯罪人員組織程度和複雜度的增加，和執法單位合作已經是勢在必行。趨勢科技在過去25年來一直和國內及國際的執法單位合作。我們與國際刑警組織的合作關係以及最近協助歐洲刑警組織處理Gameover Zeus都說明了這一點。一個可以說明我們的合作的確有所必要的獨特案例是SpyEye。趨勢科技研究人員揭露了早在2011年1月就開始的SpyEye相關網路犯罪攻擊行動。這攻擊行動是由位於俄羅斯的「Soldier」（網路犯罪分子的代號）所策劃。趨勢科技研究人員自2011年3月開始就一直在監視Soldier和他的活動。根據調查，這波攻擊主要針對美國的使用者，受影響的包括一些大型企業和像美國政府和軍事機構等單位。事實上，有97%的受影響公司都位在美國。美國聯邦調查局成功起訴了在俄羅斯特維爾的「Gribodemon」Aleksandr Panin，因為他2014年1月在多明尼加度假。

只有透過全球合作才可以讓我們防禦企業來面對網路攻擊。現代的迪林傑黑幫不再會是「所向無敵」。

更多資源：

DTCC 最近發表了關於網路威脅和系統性風險狀態的簡報，也發表了一份白皮書來強調一些解決未來網路威脅的建議。你可以到這裡下載白皮書。

＠原文出處：Modern Day Dillinger Gangs作者：Tom Kellermann（趨勢科技網路安全長）

假 Outlook Web Access 登入頁面為餌,鎖定美國國防產業

2014 年 11 月 04 日2014 年 11 月 05 日趨勢科技 TrendMicro

在趨勢科技最近所發表的報告：「Operation Pawn Storm行動」裡，我們提到這個攻擊行動用了三種攻擊手法。在本文中，我們會探討第三種：網路釣魚（Phishing）郵件將受害者導到假的Outlook Web Access登入網頁。

很顯而易見的是，這種做法簡單而有效，並且重複使用。透過一行簡單的 Javascript 程式碼，數百萬的Outlook Web Access（OWA）使用者就可能會成為狡詐但簡單的網路釣魚（Phishing）攻擊受害者。這裡並沒有用到漏洞來進行攻擊。只有使用JavaScript的功能、微軟 OWA 的預覽窗格和兩個錯誤的近似網域。我們已經看到這網路釣魚攻擊被用來針對美國國防產業像 Academi（過去稱為 Blackwater）、SAIC 和 OSCE 等公司。

它如何運作

為了要針對國防產業公司 Academi，攻擊者註冊了兩個近似正常網域的網域名稱：