資安研究人員指出,全球約有 25 萬商家採用的 Magento開放原始碼電子商務內容管理系統 (CMS) 平台,日前傳出至少有上千個採用該平台架設的網站遭駭客使用暴力破解方式入侵,不僅竊取了信用卡資料,更在系統上安裝虛擬貨幣挖礦惡意程式。然而,駭客在這些攻擊當中並未用到任何漏洞。
[延伸閱讀:KimcilWare 勒索病毒攻擊 Magento 網站]
此事件當中的 Magento 網站是遭駭客使用一些常見、已知、或預設的帳號密碼來登入系統。經驗老道的駭客會利用腳本來將其攻擊自動化 (也就是所謂的「字典式攻擊」)。駭客一旦入侵了網站,就會在其核心檔案 (也就是應用程式記憶體內容的時點快照) 當中注入惡意程式碼,進而存取處理付款/信用卡資料的網頁。他們會攔截並竊取網站伺服器所收到和處理的敏感資料。 繼續閱讀
明明早上才充飽電,一到下午就開始為手機的電量爭鬥,想盡辦法讓它可以”活著回家”? 趨勢 3C 好麻吉為大家整理了手機耗電量大的 8 個原因,提供給大家檢查一下,是不是平常不知不覺的使用一些不必要的功能增加手機耗電量? (不過,第 8 點榨乾電力的原因跟使用習慣沒有太大關連 >[]<)
既然要省電就必須對症下藥,首先,到手機的設定去找尋看看app消耗的電量,如果有些app你很少用卻耗了很多電,趕緊考慮解除安裝它們吧。
智慧型手機裡消耗電量最大的地方幾乎都是用在螢幕上,所以使用「自動調整螢幕亮度」這個設定,讓手機系統對不同的環境都能夠自動最佳的調整螢幕亮度,就能夠降低耗電的狀況。 繼續閱讀
趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力,會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。
我們深入分析 HiddenMiner 之後,找到了該程式所連結的礦池和錢包,並且發現歹徒已經從其中一個錢包提領了 26 個門羅幣 (XMR),約合 5,360 美元 (依據 2018 年 3 月 26 日匯率)。這意味著歹徒相當積極地利用感染裝置來開採虛擬貨幣。
全力挖礦,直到手機電力耗盡為止 與另一款導致裝置電池膨脹的Loapi 挖礦程式類似
HiddenMiner 會使用裝置的 CPU 來開採門羅幣,而且 HiddenMiner 的程式碼當中沒有切換開關、調控機制或最佳化設計,換句話說,該程式會全力開採門羅幣,直到裝置資源耗盡為止。照這情況下去,HiddenMiner 很可能會造成手機過熱,甚至故障。
這與另一個 Android 上的門羅幣挖礦程式 Loapi 類似,後者已經被其他資安研究人員發現會造成裝置電池膨脹。其實,HiddenMiner 感染裝置之後的作法也與 Loapi 類似,都是先撤銷原裝置管理員的權限而且會將螢幕畫面鎖住。
HiddenMiner 會出現在第三方應用程式商店。到目前為止,受害的使用者主要分布在印度和中國,但未來若擴散至其他地區亦不令人意外。
圖 1:其中一個門羅幣錢包的狀況。
不停彈出權限要求視窗,要求使用者給予管理者權限,直到使用者點擊同意
HiddenMiner 會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。它會顯示視窗要求使用者將它啟用成裝置管理員,而且會不斷彈出視窗,直到使用者按下「Activate」(啟用) 按鈕為止。一旦獲得使用者的授權,HiddenMiner 就會開始在背後挖礦。
圖 2:惡意程式要求使用者將它啟用成裝置管理員的畫面。
神隱術:故意將應用程式圖示設成透明,而且使用空白的標籤
HiddenMiner 運用多重技巧來躲藏在裝置內,例如,它在安裝之後會故意將應用程式圖示設成透明,而且使用空白的標籤。一旦取得裝置管理員的權限,就會呼叫系統的 setComponentEnableSetting() 函式將自己從首頁 (Launcher) 畫面移除。請注意,惡意程式會隱藏自己並自動以裝置管理員權限在背後一直執行,直到重新開機為止。另一個名為 DoubleHidden 的 Android 廣告程式也是使用類似技巧。 繼續閱讀
不肖的挖礦作業並不只暗藏在瀏覽器, 網路犯罪集團正在嘗試利用家用裝置來挖礦….
路由器是家中所有連網裝置的對外門戶,因此可能招來各種不同的網路威脅,讓使用者的資訊和安全陷入危險。本文將帶您回顧 2017 年當中最值得注意的一些家庭網路活動。
談到家中遭歹徒入侵,人們直覺會聯想到歹徒闖入民宅。然而隨著家庭連網裝置的大量普及,今日已出現了另一種型態的入侵者,那就是家用網路駭客,其目標是家中的連網裝置。光是全球數量龐大的入侵目標就足以吸引歹徒的覬覦,駭客不是利用勒索病毒將裝置鎖死,就是將裝置變成殭屍網路的成員,替歹徒發動 分散式阻斷服務 (DDoS) 攻擊。其中最知名的案例就是 Mirai、Persirai 及 Reaper 等殭屍網路,這些案例證明了缺乏防護的連網裝置多麼 具有破壞潛力。殭屍網路會收編一些含有漏洞的裝置 (例如:IP 攝影機和路由器),然後利用這些裝置來癱瘓知名企業機構的網路,嚴重影響其網路服務。近年來,越來越多相關事件浮上檯面,例如:駭客入侵嬰兒監視器和 智慧型電視,然後從遠端竊取個人資料或直接操控裝置。
除了一般使用者會用到的電腦、智慧型手機、平板之外,一些連網的設備也開始快速進入家庭、工作場所,甚至工廠。這股無可阻擋的連網趨勢,使得我們的環境一旦缺乏適當防護,很容易就會遭到網路駭客攻擊,而這一切防護的起點就是路由器。
路由器一旦缺乏防護,將使得整個智慧家庭暴露於危險當中。因此,保護家用路由器,就等於保護家中所有的連網裝置。路由器可說是 所有連網裝置的交通樞紐,使用者可透過路由器即時掌握所有家庭網路流量的狀況,並且讓各種裝置獲得防護。然而根據我們 2017 年的觀察,如果路由器連基本的安全設定都沒做好,例如:網路設定錯誤、密碼過於簡單、韌體從未更新等等,那可能將成為引來智慧家庭威脅的禍首。
針對連網設備的對內攻擊,以及利用連網設備的對外攻擊
家用網路相關的攻擊基本上分「對內」和「對外」兩種。所謂對內的攻擊,是指駭客從外部對家用網路內部的裝置發動攻擊,例如:桌上型電腦、平板、智慧型電視、電玩主機等等 (也就是從網際網路攻擊家用網路)。所謂對外的攻擊,是指駭客先利用對內攻擊來入侵某個家用裝置,然後在裝置上執行惡意程式,藉此蒐集資訊、攔截通訊,或者對外部網路上的目標發動攻擊 (也就是從家用網路攻擊網際網路)。
| 對內的攻擊 | 活動數量 |
| MS17-010 SMB 漏洞攻擊 | 2,441,996 |
| 暴力破解 RDP 登入密碼 | 1,464,012 |
| 可疑的 HTML Iframe 標籤 | 926,065 |
| 暴力破解 Microsoft SQL 系統管理員密碼 | 431,630 |
| 暴力破解 POP3 登入密碼 | 373,782 |
| 暴力破解 SMTP 登入密碼 | 289,746 |
| 利用指令列腳本 (Shell Script) 執行遠端指令 | 241,498 |
| CoinHive 挖礦作業 | 194,665 |
| 利用 Apache Struts 動態方法呼叫從遠端執行程式碼 | 175,019 |
| Netcore 路由器後門漏洞攻擊 | 142,902 |
表 1:十大對內攻擊 (2017 年)。
註:根據我們監控資料顯示,在所有家用裝置當中,出現這些攻擊活動的主要是桌上型/筆記型電腦。
就趨勢科技 2017 年觀察到的家用網路流量,對外與對內攻擊的數量比例大約是 3:1,這表示家用裝置被用於攻擊網際網路的情況較多。有趣的一點是,MS17-010 SMB 漏洞攻擊是最常見的攻擊活動 (不論是對內或對外),其目標是桌上型和筆記型電腦的 Windows Server Message Block (SMB) 檔案分享通訊協定漏洞。這可追溯至 2017 年 5 月爆發的 WannaCry 勒索病毒,該病毒在後續一整年當中仍不斷影響各種產業。由於 WannaCry 具備蠕蟲的自我複製能力,因此它不但能加密資料,還可感染醫院和工廠內的連網裝置和設備。 繼續閱讀
虛擬貨幣挖礦惡意程式會不會成為下一個勒索病毒?隨著加密虛擬貨幣在真實世界逐漸流行且漸形重要,這類貨幣在網路犯罪領域也開始受到重視,而且似乎有和勒索病毒 Ransomware (勒索軟體/綁架病毒)並駕齊驅的態勢。其實,加密虛擬貨幣挖礦活動是 2017 年家用路由器連接的裝置最常偵測到的網路事件。
挖礦惡意程式最早出現於 2011 年中期,相較於當時最流行的蠕蟲、後門程式等惡意程式來說,只能算是個配角,但目前已演變成甚至比網路間諜活動還要賺錢的途徑,一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。
就以 比特幣(Bitcoin) 為例,2017 年 1 月每一比特幣的價格還在 1,000 美元左右,但今日已超過 11,000 美元,甚至曾經一度升破 20,000 美元大關。門羅幣 (XMR) 的情況也是類似,從 2017 年 1 月的 13 美元暴漲至 2018 年 2 月的 325 美元。而巨幅的價格波動也開始讓威脅情勢產生變化:只要是有錢賺的地方,歹徒就會蜂擁而至。
最令人矚目的是,加密虛擬貨幣挖礦惡意程式幾乎呈爆炸性成長。如下圖所示,加密虛擬貨幣挖礦惡意程式數量在 2017 年一直持續有所成長,但卻在 10 月突然飆高 (116,361),接著在 11、12 月稍減之後維持穩定。加密虛擬貨幣挖礦惡意程式偵測數量最多的是:日本、印度、台灣、美國和澳洲。
除此之外,網路犯罪集團開採加密虛擬貨幣的手法也開始有些改變,包括:濫用合法工具或灰色工具 (如 Coinhive)、特別偏好門羅幣以及採用無檔案式加密虛擬貨幣挖礦程式。
Coinhive 提供了一種讓一般使用者和企業藉由在網站內嵌 JavaScript 程式碼的方式來開拓另一種財源,其原理就是藉由這套程式碼來使用網站瀏覽者的 CPU 資源來開採門羅幣。不過這套方便又能客製化的賺錢方法也逃不過網路犯罪集團的魔掌。事實上,根據報導,從 Coinhive 衍生出來的挖礦惡意程式已成為全球第六大熱門惡意程式,甚至連美、英兩國政府機關的網站都是受害者,此外還有一些知名企業的雲端伺服器,甚至透過惡意廣告來散布。
《延伸閱讀》
特斯拉 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機!避免「伺服器變挖礦機」四守則
門羅幣和 Coinhive 會受到網路犯罪集團青睞其實不令人意外。由於開採門羅幣的演算法「CryptoNight」在設計上不適合在特殊應用晶片 (ASIC) 上執行。因此,比較適合利用消費性電腦 CPU 來挖礦。
這一點有別於比特幣,比特幣雖然也可以用一般的電腦 CPU 和顯示卡的 GPU (或兩者結合) 來挖礦,但效果已比不上採用專用的特殊應用晶片和雲端挖礦伺服器。目前,一台挖礦機可能 7 天 24 小時跑一整年還挖不到 1 個比特幣。
此外,門羅幣的隱私性也優於比特幣。由於它採用環狀簽名 (ring signature) 來保護隱私,因此其區塊鏈交易的位址、金額、來源、目的地、發送者、接收者等等更不易追查。
如同勒索病毒一樣,隨著挖礦程式越來越成熟,趨勢科技也開始看到一些利用知名漏洞或其他方法以無檔案方式在系統植入挖礦程式的手法。例如根據 Coinhive 指出,一個網站只要有 10 至 20 個活躍中的挖礦程式,每個月就有 0.3 門羅幣的收入 (根據 2018 年 2 月 22 日匯率約合 97 美元)。所以只要建立一個龐大的「Botnet傀儡殭屍網路」,就能獲得可觀的不法獲利。
一個例子就是去年我們發現的一個加密虛擬貨幣挖礦惡意程式會使用 EternalBlue 漏洞攻擊技巧來散布,並利用 Windows Management Instrumentation (WMI) 來長期潛伏在系統中。事實上,專門開採門羅幣的 Adylkuzz 惡意程式據稱甚至比WannaCry(想哭)勒索蠕蟲勒索病毒還更早使用 EternalBlue。只要系統與網路一天不修補,就有機會再度受到感染。
典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程如下圖所示,基本上就是直接將惡意程式碼載入系統記憶體當中。惡意程式唯一留下的感染痕跡只有:一個惡意的批次執行檔、一個安裝到系統上的 WMI 服務,以及一個 PowerShell 執行檔。至於散布的方式,有些惡意程式使用 EternalBlue 漏洞攻擊技巧,有些則使用 Mimikatz 來蒐集使用者的登入憑證,然後再登入系統,但不論何種方式,最後都會將電腦變成其中一個挖礦節點。
漏洞的確是加密虛擬貨幣挖礦惡意程式進入系統的主要管道之一。這一點從最近 Apache CouchDB 資料庫管理系統遭駭客試圖入侵即可證明。此外,遠端存取木馬程式 JenkinsMiner 也會散布門羅幣挖礦程式,並且專門攻擊 Jenkins 伺服器,其幕後集團據稱已開採到價值超過 300 萬美元的門羅幣。
並非所有國家都禁止加密虛擬貨幣流通,至少某些國家已經開放。這些貨幣儘管採用分散式架構,但仍有一些監管機制可以監督其交易的合法性,不過,藉由不法方式來開採這些貨幣則是另一回事。
雖然加密虛擬貨幣挖礦惡意程式的衝擊或許不像勒索病毒那麼容易直接感受,嚴重程度也較輕,但仍是一項威脅。去年 12 月,專門開採門羅幣的 Android 惡意程式 Loapi 即證明這類程確實有可能直接損壞行動裝置。
然而網路犯罪集團看上加密虛擬貨幣所帶來的影響,並非只有裝置的耗損或電力的消耗。這同時也意味著隨著科技日新月異,網路犯罪威脅也會隨之演變。就如同勒索病毒一樣,我們預料,隨著加密虛擬貨幣挖礦惡意程式的逐漸普及,它們也將朝多元化發展並經由各式各樣的手法來感染系統,甚至將受害者變成共犯結構之一。這正突顯出縱深防禦的重要性,此外,最佳實務原則以及養成良好資安習慣不僅對企業和一般使用者來說非常重要,對於裝置的設計、製造商來說也同樣重要。
趨勢科技的 XGen安全防護融合了跨世代的威脅防禦技巧,能防止系統感染加密虛擬貨幣挖礦惡意程式。它藉由高準度的機器學習來保護閘道與端點,並保護實體、虛擬及雲端工作負載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或執行不肖的挖礦程式。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
原文出處:Cryptocurrency-Mining Malware: 2018’s New Menace? 作者:Menard Osena (資深產品經理)
《延伸閱讀 》
< 虛擬貨幣攻擊 > 偽裝獵人頭公司的釣魚郵件,鎖定銀行高階主管
“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !
趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰
PC-cillin 雲端版
防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
