資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

個人自備裝置(BYOD)最大安全威脅：行動惡意程式

2014 年 06 月 27 日2014 年 06 月 26 日趨勢科技 TrendMicro

最近一項產業研究報告顯示每日約可發現2,000 個新的 Android 惡意程式樣本。此外，PC Tech 也指出，研究人員已發現從 2011 年至 2013 年，Android Google Play 商店上的行動惡意程式成長了 388%。

69% 的員工會在工作中使用個人行動裝置，然而 IT 部門卻只意識到其中的 34%。一旦 IT 人員無法掌握有多少人連上企業網路，就很難確保裝置不受感染。

今日企業似乎都急著搭上個人自備裝置 (BYOD) 潮流的順風車。毫無疑問，提升企業員工的行動力可帶來一定的效益，例如提升員工之間的協同合作，進而提升整體生產力。然而，當企業打算制定一套 BYOD 政策時，有幾項重要因素必須列入考量，那就是資料安全相關問題。

BYOD 計劃的成功與否，取決於決策者是否想到行動裝置需要的額外防護。假使系統管理員允許員工使用智慧型手機、平板和筆記型電腦來存取任何敏感的企業資訊，這些資料就很可能遭駭客暗中窺探或竊取。只要事先防範到這類威脅，企業就更能防止資安事件發生，避免企業受害。

首先要考量的一項特殊風險就是行動惡意程式。隨著人們逐漸利用個人裝置來執行業務並存取企業敏感資訊，行動裝置平台已成為網路犯罪者的資訊竊取目標。因此，企業領導者若能認知此一威脅，進而加以防範，將是企業的一大福音。

導致行動裝置感染惡意程式的因素有哪些？
防範行動惡意程式最主要的方法之一，就是了解什麼樣的活動和使用方式會導致裝置遭到感染。根據趨勢科技最近一項研究顯示，有許多因素會帶來安全風險，導致裝置感染行動惡意程式，其中之一就是缺乏意識。最近一項調查發現，69% 的員工會在工作中使用個人行動裝置，然而 IT 部門卻只意識到其中的 34%。一旦 IT 人員無法掌握有多少人連上企業網路，就很難確保裝置不受感染。

另一個可能造成裝置感染行動惡意程式的原因是未採用正式的 BYOD 程序，這通常和缺乏意識是一體兩面。

趨勢科技白皮書指出：「在某些情況下，企業可能為了討好員工而非正式地鼓勵員工使用自備裝置。但企業並未明文規定一些使用原則或建立良好的使用習慣。」

缺乏明文政策規定工作上可使用哪些裝置和應用程式，以及員工在使用行動裝置時應承擔什麼安全責任，行動裝置的感染風險就會大幅提高。在允許員工使用智慧型手機、平板或其他裝置連上企業網路之前，系統管理員必須先建立一套 BYOD 政策，明定允許和不允許的裝置使用方式，確保企業敏感資料和文件受到完整保護。

行動惡意程式發展趨勢：樣本類型與 Android 感染
除了了解可能導致行動裝置感染惡意程式的因素及使用方式之外，認識今日攻擊威脅的發展趨勢也很重要。根據趨勢科技白皮書指出，一些惡意程式最常見的手法包括木馬化 App 程式與惡意連結，都會試圖引誘使用者在裝置上安裝有害的程式碼。繼續閱讀

< 線上信譽 >在網路上留給人家探聽!16個讓老師和雇主為你加分的方法

2014 年 06 月 26 日2014 年 12 月 17 日趨勢科技 TrendMicro

打造你專屬的數位品牌:線上信譽

在英國百分之四十的雇主在徵人之前會先在社群媒體上篩選過。而80％的大學錄取決策者會參考Facebook。他們都會看你的數位朋友。

一項由網路安全公司 Proofpoint 在2009年完成的研究估計，有8％的公司解僱員工的理由是「濫用」社群媒體。

根據英國商業社交網路公司Viadeo曾經公布的一份研究報告指出幾個有趣的數據：

1. 五位受訪雇主中就有一位會上網查詢應徵者的資料

2. 約有6成雇主會因為這些資料影響雇用意願

3. 有四分之一的面試主管會根據查詢到的應試者的部落格、上傳影片，或Facebook等相關資料,刷掉某些應徵者。

4. 好消息是有13%的人力資源主管根據線上查詢結果而決定雇用應試者

快速瀏覽一下16個讓老師和雇主為你加分的方法:

1.    透過全功能的網路安全防護來保護你的網路隱私。

2.    橫跨社群平台和應用程式來更新你的隱私設定。

3. 讓你的社群網路小一點 – 小小小一點

4.    Google你的名字。

5.    當你在網路上發現什麼時，進行信譽審核。

6.    無法修復的話就停用帳號。

7.    刪除跟性有關、攻擊性和非法的照片和影片。

8.    刪除有褻瀆字眼的文章。

9.    更正文法、拼寫和標點符號錯誤。

10. 刪除你或別人留下的負面評論。

11. 不要用看起來愚蠢或令人反感的暱稱。

12. 上傳突顯成就、興趣和建設性關係的照片。

13. 將孩子氣的個人資料照片換成成熟的一張。

14. 分享描述志工生活的影片。

15. 加入你所認同的支持非營利組織的網路團體。

16. 建立LinkedIn個人資料。

你的網路信譽可能會變成可怕的怪獸，如果沒有加以好好照料的話。它會成長或下跌同樣地也取決於你的文章、人際網路大小和裡面的人，以及這些人如何回應你的文章。

雖然我們通常會建議在網路上的分享要集中跟最少化，我們瞭解到兒童和青少年有時會用更寬鬆的方式來提升他們的數位品牌。

這裡有一張16步驟的檢查清單讓你可以和孩子分享，或作為指南讓你幫他馴服野獸，並取回被野放的網路信譽。

首先第一件事：注重網路隱私

你數位品牌的健康狀況和你如何小心保護個人資料緊密地聯繫在一起。

1. 透過全功能的網路安全防護來保護你的網路隱私。

最好的網路隱私保護包括了可以捕捉間諜軟體、網路釣魚（Phishing）和資料攻擊的防毒軟體，避免它們去損害你的信譽。

附加價值：全功能的網路安全防護也會檢查你的Facebook、Twitter和Google+帳號，確保你有利用它們的客製化隱私設定來保護自己。

2. 橫跨社群平台和應用程式來更新你的隱私設定。

社群網路的隱私設定經常改變，所以需要不斷地加以關心。繼續閱讀

具備時間炸彈的PlugX遠端存取工具,利用Dropbox更新指揮與控制設定

2014 年 06 月 25 日2015 年 01 月 07 日趨勢科技 TrendMicro

監視網路流量是IT管理員用來判斷網路內是否有進行中之APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的方法之一。遠端存取工具（或稱RAT）常見於針對性攻擊活動，用來建立指揮與控制（C&C）通訊。儘管這些遠端存取工具（如Gh0st、PoisonIvy、Hupigon和PlugX等等）都有已知的網路特徵且可被偵測，惡意份子還是能夠有效地將這些工具用在針對性攻擊中。

趨勢科技在五月發現攻擊台灣政府機構的APT攻擊。在此波攻擊中，惡意份子所用的PlugX遠端存取工具會利用Dropbox來下載C&C設定。Dropbox被濫用就非新聞，之前就有攻擊利用此一平台來放置惡意軟體。然而，在我們所分析過的APT攻擊裡，還是第一次看到利用Dropbox來更新C&C設定。

在過去幾周內，趨勢科技報導過其他威脅（像是Cryptolocker和UPATRE）會利用此公共儲存平台以擴散惡意活動。我們所取得的樣品由趨勢科技偵測為BKDR_PLUGX.ZTBF-A和TROJ_PLUGX.ZTBF-A。

當BKDR_PLUGX.ZTBF-A被執行，它會執行各種來自遠端使用者的指令，包括記錄按鍵、進行端口映射、遠端Shell等，進而導致後續的攻擊階段。在一般情況下，遠端shell讓攻擊者可以在受感染系統上執行任何指令以破壞安全防護。

這後門程式也會連到特定網址以取得其C&C設定。使用Dropbox有助於在網路中掩蓋其惡意流量，因為這是個用來儲存檔案和文件的正常網站。我們也發現這惡意軟體有個觸發日期為2014年5月5日，代表它從該日開始運行。可能這樣做也可以讓使用者不會馬上懷疑其系統上有任何惡意活動。

這是個第二型的PlugX變種，具備第一型之後的新功能和修改。其中一個改變是使用「XV」作為標頭，而非之前的MZ/PE標頭。這可能是種反鑑識技術，因為它一開始載入「XV」所以二進位檔不會運行，除非XV換成MZ/PE。此外，它還具備來自攻擊者的認證碼，在此案例中是20140513。不過，PlugX的一個共同特點是用普通應用程式載入惡意DLL的預載技術。這惡意DLL接著會載入包含主要行為的加密組件。此外，它會攻擊某些防毒產品。繼續閱讀

“48小時內支付贖金，否則你手機上的所有資料將永久被破壞！”又一手機勒索軟體現身

2014 年 06 月 25 日2014 年 06 月 23 日趨勢科技 TrendMicro

Android勒索軟體利用Tor隱藏C＆C通訊

不久前我們介紹過不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶,最近出現在行動威脅環境的勒索軟體現在有了新發展：利用TOR（The Onion Router）匿名服務來隱藏C＆C通訊。

根據趨勢科技偵測為AndroidOS_Locker.HBT的樣本分析，我們發現這惡意軟體會出現畫面通知使用者設備已經被鎖住，需要支付1000盧布的贖金來解鎖。該畫面還指出，不支付將會導致在行動設備上的所有資料被破壞。

我們所看到會出現這些行為的應用程式樣本出現第三方應用程式商店，盜用名稱像是Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本應用程式可以從各種不同應用程式商店下載。

底下是顯示給使用者的警告訊息，使用的是俄文：

圖一、給使用者的警告訊息（點擊放大）

下面是警告訊息的粗略翻譯：

因為下載和安裝軟體nelitsenzionnnogo，你的手機已經依照俄羅斯聯邦軍事準則民法第1252條加以鎖住。

要解鎖你的手機需支付1000盧布。

你有48小時的時間支付，否則你手機上的所有資料將永久被破壞！

1.      找到最近的QIWI終端支付系統

2.      使用該終端機器，並選擇補充QIWI VISA WALLET

3.      輸入號碼79660624806，然後按下一步

4.      會出現留言視窗 – 輸入你的號碼去掉7ki

5.      將錢放入終端機，然後按支付

6.      收到付款後的24小時內，你的手機將會被解鎖。

7.      你可以透過行動商店和Messenger Euronetwork支付

注意：試圖自己解開手機會導致手機完全被鎖住，所有消失的資料沒有機會回復。

繼續閱讀

Google Play更新改變了權限模式，變得更令人駭怕

2014 年 06 月 24 日2014 年 06 月 24 日趨勢科技 TrendMicro

Google Play更新改變了權限模式，但不是變得更好

以前，如果一個應用程式更新需要新的權限，使用者必須明確地審查權限和加以允許，就彷彿是安裝新的應用程式一樣。但現在已不再是如此。現在，如果所要求的權限是使用者已經授予存取的同一群組，就不再需要另外批准。如果應用程式自動更新開啟，該應用程式可以在背景更新，而使用者不會意識到權限變更。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶 — Google Play更新改變了權限模式，變得更令人駭怕

手機作業系統（如iOS和Android）比桌面系統更加安全的原因之一是它們對應用程式權限有著非常強大的控制。每個應用程式向使用者和作業系統所要求的權限，理論上來說，僅限於它們所需的部分。

不過並非總是這樣。應用程式開發人員往往會要求比所需還要更多的權限；使用者不會總是加以注意，而且也幾乎會允許任何要求。儘管如此，權限系統雖不完美但可以接受，對於會特別注意應用程式權限的使用者來說，它還是個有用的工具來做些事情。

然而不幸的是，Google已經用很根本的方式來改變其Android的權限模型，顯著地降低使用者的可見性和易用性。它讓惡意應用程式開發人員有更多空間來更新他們的應用程式，將具備潛在風險的權限加到他們的應用程式。

這是如何做的？在各個Android論壇的開發者發現Google Play的更新（在五月中旬推出）也改變了對權限和應用程式更新的處理，而且不是用很好的方式。

以前，如果一個應用程式更新需要新的權限，使用者必須明確地審查權限和加以允許，就彷彿是安裝新的應用程式一樣。但現在已不再是如此。現在，如果所要求的權限是使用者已經授予存取的同一群組，就不再需要另外批准。如果應用程式自動更新開啟，該應用程式可以在背景更新，而使用者不會意識到權限變更。

這些權限群組都記錄在Android開發者網站。群組和功能種類有關；比方說，所有處理地理位置服務的權限都在同一群組。桌布相關的權限都在另一群組；處理儲存的權限又在另一群組。根據開發者文件的定義有31個群組，有13個在Google討論此一問題的常見問答中被明確地提出來。

原意是好的，它簡化了權限程序，讓它對使用者來說更加簡單。然而，它也可能非常地有問題。現在很容易就可以建立一個應用程式，一開始用明顯「無害」的權限，然後再整合潛在惡意行為所必需的權限。比方說，使用閃光燈和錄製聲音/影片是在同一群組。也就是說，一個手電筒應用程式可以很容易地更新成為一個錄音/監控的應用程式，而使用者不會注意到其改變。其他屬於同一群組的權限包括：

讀取外部儲存裝置的內容
修改或刪除外部儲存裝置的內容
格式化外部儲存裝置
載入或卸載外部儲存裝置繼續閱讀