Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

在過去幾天裡,趨勢科技一直在觀察一家總部位在法國的著名甜點公司網站 – Laduree.fr。雖然它看來不像是網路犯罪份子的目標,但是Ladurée的網站被入侵以用來讓使用者感染勒索軟體(Ransomware)。這個被偵測為TROJ_RANSOM.BOV勒索軟體Ransomware會偽裝成來自國家憲兵隊的通知(法語:Gendarmerie nationale),俗稱法國警隊。它會出現一個涵蓋了整個桌面的視窗,並要求付錢,也就是它綁架系統的贖金。

 

 

 

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

 了感染連上Ladurée網站的法國使用者外,日本也有出現感染的狀況。事實證明了Ladurée點心也在日本很流行。實際上,Ladurée網站就只有法語、英語和日語三種版本。

 利用一家甜點公司的網站,可以看出網路犯罪分子的確可以很有彈性地挑選攻擊目標,並且找出潛在的受害者。

 相關攻擊

 在這起攻擊中,攻擊者利用黑洞漏洞攻擊包(Blackhole Exploit Kit)來將惡意軟體植入系統內。這也跟過去假冒其他執法單位的攻擊時,所用惡意軟體是同個家族,像是假冒德國的聯邦警察。這惡意軟體除了具備勒索軟體組件外,也會竊取跟一長串程式和網站相關的身分認證,包括了在地的電子郵件帳號、瀏覽器密碼、社群網站、撲克網站、FTP密碼和遠端桌面程式。 繼續閱讀

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 每當有名人的訊息,像是惠尼休斯頓的死訊出現在新聞上,我們就會看到Black SEO黑帽搜尋引擎優化(BlackHat SEO)攻擊或其他網路犯罪活動利用這些消息來散佈惡意軟體。但最近有個目標攻擊吸引了我們的注意。這次被用來當做誘餌的是林書豪,NBA的明星,他在紐約尼克隊的出色表現引起了國際的關注。他最近出現在時代雜誌的封面上,標題就是簡單的「Linsanity(林來瘋)」。

 一個被趨勢科技偵測為TROJ_ARTIEF.LN,檔名為「The incredible story of Jeremy Lin the NBA new superstar.doc(NBA超級新星林書豪令人難以相信的故事)」的惡意文件開始蔓延。它利用微軟Office的一個漏洞(CVE-2010-3333)將惡意軟體放入目標的電腦上。這個惡意軟體被趨勢科技偵測為BKDR_MECIV.LN。一旦弱點攻擊成功,就會打開一份乾淨的文件,好讓目標不去懷疑有任何惡意行為的發生。趨勢科技表示近年APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)越來越頻繁。當目標收到一封電子郵件,誘導受害目標打開附加檔案。這個攻擊者所附加的檔案包含了惡意程式碼,可以去攻擊常用軟體的漏洞。攻擊者在惡意軟體裡嵌入了一個獨特的識別特徵以供監視,這樣就可以讓攻擊者獲得電腦的控制權,並且取得資料。攻擊者可能會接著去入侵目標所處的整個網路,而且通常可以保持長時間的控制受害者的電腦。最終,攻擊者會找到並且取得受害者所處的網路內部的敏感資料。

 

 

病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 

這次攻擊事實上是趨勢科技去年所報告入侵了61個國家1465台電腦,包含外交等單位LURID攻擊活動(通常也被稱為Enfal)的一部分。它的受害者主要出現在東歐和中亞。而林來瘋攻擊則持續了這一攻勢。

趨勢科技解譯了被送回殭屍網路/傀儡網路 Botnet指揮和控制伺服器的資訊:

 

[host name]:[mac address]

[ip address]

windows xp

1252:0409

tt

tb0216

n

n

n

2.14

 

這個資訊包含了主機名稱、MAC地址和受害者的IP地址,還有作業系統跟語系設定。此外它還包含了攻擊代碼「tb0216」,好讓攻擊者可以追蹤他們的攻擊活動。在這次的案例中,攻擊代碼包括了攻擊日期「0216」和「tb」。

 

趨勢科技對LURID攻擊的報告所指出的一樣,這次攻擊還針對了前蘇聯的國家。在2012年2月8日,趨勢科技發現了另一起攻擊針對東歐的政府辦公室。

 

病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 

  繼續閱讀

認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

認識 APT

以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT攻擊 (Advanced Persistent Threat)的目標。幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

 APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

——————————————————————————————-

企業面對不斷演變的資安威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊(Advanced Persistent Threats, APT,它是針對特定組織所作出複雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防禦更先進的作法,包括即時威脅管理。本綱要系列介紹APT的性質,它們對企業所構成的風險,以及如何去封鎖、偵測並遏制APT和其他新威脅的技術。我們先從實務面來評估APT的性質,大綱如下:

  • 今天APT的性質
  • 不斷變化的資安威脅環境
  • APT的要素
  • 不斷變化的企業運作,讓問題更加複雜
  • 評估控制和減輕APT風險的可能性

 很顯然地,資安威脅環境變得越來越具有挑戰性。對於資訊系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全控管來做應對,包括即時監控和快速遏制措施。

 今天的APT

APT是針對一個特定組織所作的複雜且多方位的網路攻擊。不管是就攻擊者所使用的技術還是他們對於目標內部的了解來看,這種攻擊是非常先進的。APT可能會採取多種手段,像是惡意軟體,弱點掃描,針對性入侵和利用惡意內部人員去破壞安全措施。

 

APT是長期且多階段的攻擊 

APT攻擊的早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,接著,精力會放在安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

重要的是要明白,APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止APT攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在,很合理的我們會想問,要如何做到這一點? 繼續閱讀

< 雲端運算 > Cloudscaling測驗題 – 企業雲還是開放雲?

作者:趨勢科技雲端安全副總裁Dave Asprey

 Cloudscaling是間很有趣的公司,它的老闆 – Randy Bias是個真正懂雲端運算的人。這可以從他們所發表的開放式雲端基礎架構中看出來。

 當然了,我們這禮拜會在聖克拉拉的Cloud Connect大會上看到一連串的技術發表,但你還是該花點時間看看Randy發表的東西。以下是為什麼:

 Cloudscaling的CEO – Randy真的了解他的雲

 Randy是GoGrid的前任技術長,我們第一次見面大約是在十年前,當時我們同為Panorama Capital技術諮詢委員會的一員。Randy是早在我們同意有「雲端」這名詞之前,就已經了解雲端精神的傢伙之一。當我們還在提供諮詢時,Panorama支持成立了Vyatta,那是最早的開放原始碼網路新創公司(今天有許多雲端技術都有用到它)。

 他們真的提出很棒的策略

 這是為什麼CloudScaling的開放雲發表很值得一看的原因。因為他很誠實可信地闡明企業雲和開放雲之間的區別,沒有任何市場行銷的屁話。這也讓他們的說法令人感到信服,企業需要有「企業雲」(一個為了舊應用程式而存在的私有雲)和一個「開放雲」(用來運行雲端應用程式的私有或公共雲)。

 這是一個非常實際的討論,跳脫了已經過時的「公共、私有、混合」等行銷話語,那些行銷話語在這禮拜一定會貼滿在Cloud Connect的展位上。(對了,我禮拜三會在那邊,有經過的話,可以停下來跟我打聲招呼!)

 無論如何,在我的經驗裡,企業往往花費大量時間和金錢,想要讓企業應用程式可以放到公共雲上,或是想要利用根本沒有擴展性的企業工具來打造高可擴展性的雲端基礎建設。

 Randy的部落格文章寫得更直接。來參考一下他提出的測驗題,我將它貼到這以便討論。

 企業雲測驗題

 如果有超過一半的回答為「是」,那麼你有一個企業雲: 

  • 你的雲端是否專注在將現有的應用程式轉移到企業的資料中心?(像是虛擬機管理程式(Hypervisor)的兼容性、動態移轉(Live Migration)和高可用性的SAN儲存設備等功能)
  • 它是否很昂貴、複雜,而且需要大量手動操作?
  • 你使用的是否全是有牌子的硬體,並且是專用的規格?
  • 它的網路是否很複雜?
  • 使用者是否需要簽署合約,並且每月計費?(沒有可變動的收費選項)
  • 它是否提供專屬的資源集區,並且讓使用者手動設定?(像是時脈、記憶體和儲存裝置)
  • 你是否還在選擇硬體廠商?提供F5即服務或是NetScaler即服務,而非負載平衡即服務?

 這最後一個NetScaler即服務讓我笑了。當Citrix買下NetScaler時,我還是NetScaler的產品管理協理,後來成為Zeus Technologies的技術與行銷副總(第一個虛擬負載平衡設備),現在已經成為Riverbed的一部分,名稱改用種海洋生物了。

 

開放雲測驗題

 如果超過一半的回答為是,那你有一個開放雲:

 

  • 你是否可以在5分鐘之內啟動1000個虛擬伺服器?
  • 你的用戶是否都使用雲端管理平台,像是RightScale和enStratus?
  • 你是否可以在超過1000台的虛擬主機上跑資料或是Hadoop任務而不會產生系統問題?
  • 基本網路和網路服務(像是負載平衡)是否都很簡單直覺,而且可以讓使用者自己管理?
  • 它是否使用標準的API?(AWS?OpenStack?)
  • 底層的實體基礎設施和雲端運作團隊是否專注在:同質化,模組化,共通解決方案和自動化?
  • 你是否可以和Amazon Web Service的價格和服務水準競爭?

 

身為一個有辦法正確預測事情走向的技術人員,我的看法是,Randy已經在這方面取得很棒的成就。與其用VCE和Citrix來打造以虛擬機器為基礎的企業雲,他的Cloudscaling專注在讓企業用戶可以運行和公共雲供應商同樣規模和成本的開放雲上。對於大型企業來說,這是很重要的,這讓他們不再需要支付「雲端稅」給大型雲端服務供應商以運行數十、數百或數千台的伺服器。

 

但在這裡我必須說。我很擅長去看出技術將會往哪裡發展,但並不一定知道會何時發生。證據就是在1995年時,我在企業家雜誌採訪裡說到,2年之內公司將不再需要紙本目錄……而我們到現在都還沒到達那個地步。但是Randy所需要的時間表更短,而他也走出正確的一步了。

 無可避免的,開放雲終將超越企業雲,但這一過程將需要十年以上。現在是個好時機來將重點放在開放雲上了。雖然說,還有其他OpenStack的新創公司。

 但是他們都沒有像Randy一樣把一切都闡述的這麼簡單明瞭。幹得好。

@原文出處:Cloudscaling’s Litmus Test – Enterprise Cloud vs. Open Cloud

 

@延伸閱讀

利用雲端安全幫忙省錢 – 數字會說話
邁向更安全的工業控制系統(ICS)
瀏覽器分享、雲端運算和安全之間的關聯
CTO 觀點:虛擬化伺服器的弱點防護罩
最便宜的雲端運算破解MD5法是利用Google,而非Amazon雲端服務
CTO 觀點:虛擬化伺服器的弱點防護罩
瀏覽器分享、雲端運算和安全之間的關聯
大型加值經銷商與雲端服務,會發生什麼事
雲端運算:嘿!你!離開iCloud
雲端運算:搜尋iCloud 假防毒軟體送上門

《雲端運算安全》網狀雲新聞:Skype通訊協定被逆向工程
《雲端運算安全》雲端和虛擬化安全現況
看更多…雲端運算與網路安全相關文章懶人包

 

 

◎ 歡迎加入趨勢科技社群網站
 

從荷蘭 ISP-KPN被入侵事件,看八年未更新的系統之後遺症

 作者:趨勢科技資深分析師Rik Ferguson

 2月荷蘭的大ISP – KPN宣告他們的網路被入侵了。KPN公司是在今年1月27日首次發現這次的入侵事件,也從那天開始和國家網路安全中心(Nation Cyber Security Centre)、監管單位 – 獨立郵政與電信管理局(OPTA)、資料保護局(Data Protection Agency)、經濟農業及創新部(Ministry of Economic Affairs, Agriculture & Innovation)、公共安全與司法部(Ministry of Justice and Safety)還有檢察官一起努力的控制住狀況和追踪入侵者。

 在一月時,他們決定不向一般民眾公佈這起入侵事件。很明顯地,有兩個可能原因來作出這個決定:為了增加調查成功的機會,也怕駭客會因為知道被發現而故意做出破壞。 

 在最初的公告裡,KPN承認有部分客戶資料可能會受到影響,但表示提供信用卡資料或密碼的伺服器並沒有受到損害。

而在KPN宣告後一天,一份包含537個KPN帳號的清單(包含名稱、地址、電子郵件地址以及密碼明文)被張貼到Pastebin上。我們並不清楚這份資料是從哪裡來的,而文章標題很簡單:「KPN的入侵證明,KPN houdt vol: geen klantgegevens gestolen」,後面兩句翻成中文就是「KPN堅持:沒有客戶資料被盜」,所以讓人覺得很明顯這兩起事件是有關連的。

因為這次資料外洩事件,KPN立刻關閉了兩百萬個一般使用者的電子郵件帳號(以作為預防措施)。花了整整25個小時,KPN才在週五晚上恢復使用者的電子郵件外寄服務,而一直到星期六,才開始分階段恢復電子郵件收信服務。同時KPN也提供額外頻寬和服務讓使用者可以在線上完成密碼重置程序。企業服務並沒有影響,雖然企業用戶也被強烈建議更改密碼。直到禮拜天中午,已經有超過十萬名客戶這樣做了。

 但從這文章裡,卻很清楚地知道這537個使用者帳號和這次攻擊並沒有關連。實際上,這些使用者帳號來自今年早些時候網路商店babydump.nl被偷資料中的一部分。這些被公佈的資料已經至少超過一年了,雖然有些名單上的受害者還不知道他們資料已經被竊或外洩了。 

KPN正在進行的調查中,根據承認發動攻擊的駭客所提供的資訊,入侵成功的原因是軟體未更新。根據這位駭客表示,第一次被入侵的系統是SunOS 5.8加上patch 108528-29,這已經是2004年的版本了,而原廠在下個月就不再支援SunOS 5.8了。此外,駭客們也宣稱已經至少下載了16GB的資料,而他們隨後也都銷毀了。並且在他們入侵的系統上,他們可以個別地控制客戶的網路連線。

KPN看起來有很大程度地同意駭客所言,他們聲明中說:「有許多專家在分析這次的入侵事件中表示,KPN使用了嚴重過時的系統,而且也沒有定期去更新系統」。荷蘭KPN的協理 – Joost Farwerck說:「當然,在我們這一行的變化非常快。也就是說,在最近幾個星期的研究裡,我們已經發現網路IT系統的維護並沒有一直做到最佳化。我們要吸取這個教訓,以提供我們的客戶更好更安全的服務。」 

如果Sony發生的慘劇還不夠,這裡又是另外一個血淋淋的教訓。有弱點和未即時更新的系統,如果沒有得到充分保護前是不該連上網路的。要去找出特定伺服器上的作業系統和應用程式版本是一件簡單的事情,而要去找出可用的漏洞更是容易。

 想要讓企業用戶可以將系統都做到即時更新可能有點不切實際。但是8年沒更新作業系統和應用程式,導致系統未受防護,這還是不可原諒的。就算是放在內部網路,在佈署好更新之前,企業還是需要利用有效的主機入侵防禦系統來對已知漏洞做好防護。佈署更新應該要盡可能的即時,不要成為下一個KPN。 

如果你認為你的帳號可能受到這次入侵的影響,可以使用這裡的密碼重置服務。雖然看起來似乎因為負載過重,所以我現在無法連上。你也可以參考我早些時候關於密碼所提出的建議(中文請參考:關於密碼千萬不要做的四件事與密碼設定小秘訣),並且避免重複在不同網站使用同一個密碼。

 @原文出處:KPN: The stolen data that wasn’t and the 8 year-old that was to blame

 

◎ 歡迎加入趨勢科技社群網站