在2011年的第三季,在資安威脅方面,趨勢科技看到出現了很大的變化,而網路犯罪份子也是繼續的活躍著。在過去這一個季中,所看到的攻擊主要是利用軟體漏洞和不同的威脅入侵途徑。這也標示著網路犯罪策略所可能產生的變化。
首先就是Google取代微軟成為這一季被報告漏洞最多的軟體供應商 – 82個。這是因為隨著Chrome使用數量的成長和普及,也被發現出越來越多的漏洞。第二位是甲骨文,被發現了63個漏洞。而微軟則下跌到第三位,被發現了58個漏洞。
另外,一直被列在發送垃圾郵件(SPAM)國家名單首位的美國也跌出了前十名,被印度和韓國給取代了。韓國在稍早之前表達了要採取對策的態度,從國家層級去封鎖連接埠25以減少垃圾郵件在自己國家的活動。
作者:趨勢科技資深分析師Rik Ferguson
一年一度的英國Get Safe Online week(線上安全週)起跑了。這個活動,主旨是提高一般使用者和小型企業對於網路犯罪威脅的認識。該活動重點是手機惡意軟體,我被邀請去介紹並展示這樣的威脅是怎麼發生的。我和BBC一起合作的短片示範了簡訊詐騙惡意軟體是如何的難以察覺卻又具有破壞性,還有它會對受害者造成的金錢損失。
請參考: Smartphone malware danger warning from experts (智慧型手機詐騙:使用者要小心惡意應用程式)
手機病毒的歷史可以回溯到2004年時出現的Cabir,它是後來許多變種的始祖。Cabir病毒感染的是Symbian的系統,它剛開始出現只是用來證明手機病毒的概念。但是很快的,就被有不良企圖的人拿來濫用。Cabir會透過中毒手機來發送加值服務簡訊賺錢。而也意味了這的確是種有效的賺錢方式。到了2009年,簡訊詐騙木馬成了手機惡意軟體的大宗。而且這樣的趨勢還在繼續下去並且更加成長,因為智慧型手機也變得更加普及了。 繼續閱讀
在2011年11月8日,美國聯邦調查局 FBI和愛沙尼亞警方在趨勢科技和其他夥伴的合作下攻破了一個歷史悠久,控制了超過四百萬台電腦的「Botnet傀儡殭屍網路」,在這次的行動,被美國聯邦調查局稱為「Operation Ghost Click」,有兩個位在紐約和芝加哥的資料中心被搜索,一個由100多台伺服器所組成的命令與控制(C&C)基礎網路被斷線。在這同時,愛沙尼亞警方也在塔爾圖逮捕了數名成員。而這裡是聯邦調查局的新聞稿。
這個「Botnet傀儡殭屍網路」,由中毒電腦所組成,這些電腦的DNS設定都被改成國外的IP位址。DNS伺服器能將易讀好記的網域名稱解析成IP位址。大部分網路使用者都會自動使用網路服務業者的DNS伺服器。
而DNS變更木馬會偷偷地修改電腦設定,去使用國外的DNS伺服器。這些 DNS伺服器是由惡意人士所設立,用來將特定的網域解析成惡意網站的IP位址。因此,受害者會在不自覺的情況下被導到惡意網站。
犯罪集團可以透過很多方法來利用這個DNS Changer「Botnet傀儡殭屍網路」,賺錢,包括更換受害者所訪問的網站廣告,劫持搜尋結果或是植入其他惡意軟體等。
趨勢科技在2006年就發現了誰最有可能是這DNS Changer「Botnet傀儡殭屍網路」,的背後主腦。我們決定先保留這些資料而不公開,以便讓執法機構可以對這背後的犯罪集團採取法律行動。
現在主事者已經被逮捕,「Botnet傀儡殭屍網路」,也被移除了。我們可以分享一些過去5年來所收集的詳細情報。
Rove Digital
這個網路犯罪集團控制了每一個環節,從植入木馬到透過中毒的「Botnet傀儡殭屍網路」電腦來賺錢。它是一間愛沙尼亞的公司,稱為Rove Digital。Rove Digital是許多其他公司(像是Esthost、Estdomains、Cernel,UkrTelegroup和許多較無人知的空殼公司)的母公司。
Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。
Esthost,一家提供網站代管服務的經銷商,曾經在2008年的秋天上過新聞。當時它在舊金山的供應商 – Atrivo被迫關閉,而它也因此而斷線。大約也在同一時間,Rove Digital的一家網域註冊公司 – Estdomains也被ICANN取消了許可權,因為它的所有人 – Vladimir Tsastsin在他的家鄉愛沙尼亞因為信用卡詐欺而被定罪。
「Botnet傀儡殭屍網路」,集團Rove Digital的 CEO
趨勢科技和美國聯邦調查局 宣布破獲了一個史上最大殭屍網路/傀儡網路 Botnet犯罪集團,被美國聯邦調查局稱為「Operation Ghost Click」。按這裡可參考聯邦調查局的新聞稿,(請參考–趨勢科技協助 FBI 破獲史上最大的網路犯罪始末)。
這次的聯合行動針對一個根深蒂固的犯罪集團,成效是非常顯著的,也代表了史上最大的網路犯罪破獲行動。經由趨勢科技和其他夥伴所提供的可靠情報,加上跨國執法單位的合作,成功的逮捕了六個人,將位在一百多個國家的超過四百萬名受害者從殭屍網路/傀儡網路 Botnet的危害中拯救出來,關閉了超過一百台用在犯罪活動的伺服器,而且也將對無辜受害者的影響降到最低。
如果你擔心自己可能是這犯罪活動的受害者,FBI聯邦調查局提供了一個線上工具,讓你可以檢查自己的DNS伺服器設定是否曾經被篡改。
首先,你需要看看自己目前的DNS伺服器設定:
如果使用Windows,點選「開始」按鈕或是螢幕左下角的Windows圖示來打開選單,在搜尋框中輸入「cmd」然後按Enter(或是點選「開始」,然後點選「執行」),應該會出現一個有白色文字的黑色視窗。在這視窗中輸入「ipconfig /all」然後按Enter。找到有「DNS Servers」的那一行,將它顯示的IP位址抄下來。
