資安報告 - 資安趨勢部落格

< 第二季資安報告 >公共建設、政府機關的攻擊與 APT 成為本季主流

2015 年 08 月 26 日2016 年 05 月 11 日趨勢科技 TrendMicro

趨勢科技發表2015 年第二季資訊安全總評季報
揭露針對公共建設、政府機關的攻擊與 APT 成為本季主流
民航客機、公共網站及行動裝置成駭客攻擊目標單筆個資黑市價格最高達美金250 元

【2015 年 8 月 26 日台北訊】2015 年第二季充斥著各種重大漏洞和駭客攻擊，網路犯罪集團的攻擊手法越來越出人意料，並且開始滲透及攻擊一些人們通常毫無警覺的生活科技。針對這些發展情勢，今日發表的趨勢科技(東京證券交易所股票代碼：4704) 第二季資訊安全總評季報「新興浪潮：危及公共建設安全的最新駭客攻擊」(A Rising Tide: New Hacks Threaten Public Technologies) 中針對駭客攻擊工具及手法的演進如何讓歹徒從網路犯罪當中獲得最大的投資報酬有詳盡的分析。

趨勢科技技術長 Raimund Genes 指出：「第二季，我們發現威脅情勢開始轉變，網路犯罪集團的技巧越來越純熟、越來越有創意，除了強化現有攻擊手法之外，更將手法應用到新的途徑。一般社會大眾再也不能輕忽網路犯罪威脅的存在。本季我們已見識到網路攻擊的破壞潛力，它們已不再只是單純的軟體問題，就連飛機、智慧型汽車以及電視台都可能遭到攻擊。」

駭客開始採取更有策略的作法與更純熟的技巧，並且更仔細篩選目標來提升其成功率。幾種傳統手法的攻擊案例暴增，即反映出這個現象，例如：採用 Angler 攻擊套件的案例增加 50%、漏洞攻擊套件整體威脅數量增加 67%、CryptoWall勒索軟體 Ransomware受害目標多數集中在美國 (占 79% 的感染案例) 等等。

此外，政府機關也在第二季見識到網路攻擊的驚人威力，美國國稅局 (Internal Revenue Service，簡稱 IRS) 和美國人事管理局 (OPM) 分別在五月和六月發生大規模資料外洩事件。OPM 外洩事件是至今有史以來規模最大的一起資料外洩，約有 2,100 萬人身分識別資料遭到曝光。其他政府機構也同樣遭到各種威脅攻擊，包括：採用巨集惡意程式的APT攻擊、新的幕後操縱 (C&C) 伺服器，以及 Pawn Storm 持續利用最新零時差漏洞發動攻擊。

繼續閱讀

第二季資安報告：網路犯罪個體戶崛起，HawkEye 鍵盤側錄程式,攔截台灣在內的中小企業交易資料

2015 年 08 月 26 日2015 年 09 月 01 日趨勢科技 TrendMicro

根據從本季媒體所披露的民航客機遭駭及其他類似案件看來，情勢已經相當明朗：駭客正絞盡腦汁尋找更令人意想不到的方法來滲透並操控我們的日常生活中的科技產品。這意味著，一股新的威脅浪潮正在興起，它們不再只是單純地竊取資料，而是帶來真實、具體的影響，且更貼近一般家庭。

例如，我們發現針對家用路由器的攻擊以及 DNS 篡改程式的偵測數量不斷升高，尤以巴西最為嚴重，大約占第二季所有 DNS 篡改程式數量的 81%。此外，銷售櫃台系統 (PoS) 惡意程式的日益精進，同樣是企業頭痛的問題之一，但其第二季數量卻稍微下降，或許是因為已經到達了飽和點。

圖 1：今年第二季 PoS 威脅數量明顯下滑。

不過，這並不表示網路犯罪集團開始放棄他們原有的營運模式。傳統的惡意程式目前仍然流通廣泛，由於一些基本的惡意程式元件如此唾手可得，因此讓非法之徒從事網路犯罪事業更加容易。此外，第二季我們也看到了一些網路犯罪個體戶在世界各地竄起，例如巴西和加拿大。

繼續閱讀

【第一季資安報告】加密勒索軟體感染翻兩倍;行動惡意威脅App突破500萬大關！

2015 年 06 月 01 日2015 年 06 月 01 日趨勢科技 TrendMicro

趨勢科技於最新發表的「2015年第一季資安報告」指出，醫療產業、iOS裝置與PoS(銷售櫃台系統)為新興惡意攻擊目標，大型攻擊事件頻傳，2015年第一季就有近一億美國人的醫療個資遭外洩，而台灣也名列最常遭受PoS攻擊的第三名國家。同時，2015年惡意威脅數量也再創新高，第一季平均每月攔截到的惡意威脅數量高達47億，較去年同期增加15億，且第一季每秒平均攔截到1800個惡意威脅，比去年同期每秒增加600個！

而伴隨著行動裝置盛行，行動裝置惡意威脅的成長幅度更是以驚人速度大幅攀升，已於2015年第一季突破500萬大關。趨勢科技資安團隊也發現，惡意廣告為行動裝置排名第一的資安威脅，今年三月份Google Play曾有超過2000個App可能含有惡意廣告程式，Google已持續移除可疑App中。此外，惡意網站也為民眾常誤觸的資安地雷之一，2015年第一季全球共有800萬用戶曾造訪惡意網站，而台灣更名列最常造訪惡意網站的第四大國家。

趨勢科技全球技術長Raimund Genes表示：「雖然今年尚未過一半，但從大量、精細且複雜的惡意攻擊手法來看，所有產業與組織皆無法避免惡意攻擊，不論是企業及個人都需要更積極及主動地佈署資安防禦，以對抗不斷進化的多元型態資安攻擊，以確保財產、個人資料及智慧財產權之安全。」

第一季資安報告的主要發現包括：

加密勒索軟體 Ransomware不再僅限於攻擊消費者，也開始危及企業端,感染數量相較於2014年Q1翻了兩番。
醫療產業遭受大量惡意攻擊：大型醫療產業業者，如美國阿拉斯加州最大保險公司Premera Blue Cross及美國大型醫療保險公司 Anthem皆發生資安危機，超過9100萬的客戶金融資料及醫療數據外洩。
舊資安威脅以新的攻擊工具捲土重來。
漏洞攻擊持續增加新的攻擊套件，越來越多網路犯罪專家及新手採用它們的攻擊手法及技術。
巨集病毒惡意攻擊雖然老舊，但仍有效：於2005至2008年盛行的巨集病毒惡意攻擊，目前仍在利用微軟office的系統漏洞進行惡意攻擊行為。
十年的FREAK漏洞帶來補丁修復管理挑戰：隨著越來越多的安全漏洞出現在開源軟體和應用程序，如何降低資安風險成為IT管理員一大挑戰。

在2015年一開始，趨勢科技就看到一個矛盾的情況：熱門的威脅都不是新東西，我們所看到的腳本和攻擊都使用常見的網路犯罪手法，但都還是非常有效。不管個人和組織如何做好基本的安全措施，簡單的盲點已經讓他們暴露在危險中。有誰知道線上和行動廣告、櫃檯交易甚至是基本的Word文件都還是會造成這麼大的麻煩？

加密勒索軟體侵入企業

加密勒索軟體 Ransomware的數量還在不斷上升。感染數量從2014年Q1翻了兩番，在2015年Q1到達了7,844。在上一季，加密勒索軟體已經佔據所有勒索軟體將近一半（49%）的數量。

加密勒索軟體 Ransomware數量可能會繼續上升。使用勒索軟體是用惡意軟體賺快錢的好方法。要建立一個殭屍網路、出租感染者、竊取銀行憑證並從銀行帳戶拿到錢，平均可以獲得500美金，勒索軟體更加直接。平均來說，每個惡意軟體感染可以拿到更多的錢。

– Jon Oliver（資深架構總監）

繼續閱讀

2014年第二季資安綜合報告：網路銀行與行動惡意軟體持續發威

2014 年 08 月 25 日2014 年 08 月 25 日趨勢科技 TrendMicro

在2014年4月到6月出現的各種資安事件，從資料外洩和DDoS攻擊到惡意軟體進化及對隱私的威脅，在在強調了企業需要打造更具策略性的回應機制來處理及預測安全威脅。

這一季內有許多種威脅事件。重大的漏洞問題 – Heartbleed心淌血漏洞，出現在被廣泛應用的加密程式庫OpenSSL。看到了高科技公司及連鎖餐廳輪流成為資料外洩事件的受害者。看到了微軟停止支援後最後一次提供Windows XP修補程式。看到了美國和歐洲司法系統所做出的幾個影響今後如何處理和保護資料的重大決定。

威脅情勢的其他部分繼續成為更大的問題。無論是網路銀行惡意軟體或行動惡意軟體都持續地影響許多使用者：

圖1：網路銀行惡意軟體偵測數量

日本地區本季網路銀行惡意程式數量大增，因為該地區在五月份偵測到大量的 VAWTRAK
變種。在本季之前，該惡意程式並未被視為網路銀行惡意程式，但其近期的變種已增加了竊取銀行登入帳號密碼和信用卡資訊的功能。
此外，有關 Emmental 行動(「不留痕跡」的惡意程式，專門鎖定行動網路銀行使用者)的研究也顯示電腦和行動裝置的威脅如何搭配得天衣無縫，讓網路銀行惡意程式偵測數量

網路銀行使用者損失慘重。策劃該行動的網路犯罪集團，專門鎖定使用簡訊傳送連線階段雙重認證密碼的銀行。該行動使用了在地化的垃圾郵件、非常駐的惡意程式、惡意網域名稱服務 (DNS) 伺服器、網路釣魚頁面、 Android 惡意程式、幕後操縱伺服器、還有真正的後端伺服器，整起行動相當複雜。

圖2：行動惡意軟體的累積威脅數量

第二季勒索軟體 Ransomware在本季持續散布並不斷進化，衍生出專門攻擊 Android 平台的 ANDROIDOS_ LOCKER.A 惡意程式，該程式的介面會霸占未鎖定的螢幕，而且會防止使用者將它解除安裝。此外，從 ANDROIDOS_LOCKER.HBT 也可看出行動裝置勒索程式學了不少電腦惡意程式的技巧，包括透過 Tor 洋蔥路由器與幕後操縱 (C&C) 伺服器通訊。受感染的裝置將被要求支付大約 30 美元的贖金來解除裝置鎖定。若不願支付贖金，則必須冒著行動裝置資料全被銷毀的風險。

此外，假防毒軟體又回來了，這次是以名為「Virus Shield」的 App 程式在 Google
Play™ 商店上架販售。假 App 程式 ANDROIDOS_FAKEAV.B 在一週內累積 10,000 次下載，甚至登上熱門付費程式排行榜。

繼續閱讀

垃圾郵件數量相對於去年上半年成長了60％,夾帶惡意軟體的郵件數量增加了22％

2014 年 08 月 06 日2014 年 08 月 06 日趨勢科技 TrendMicro

夾帶惡意軟體的郵件數量增加了22％,其中40％以上歸因於感染DOWNAD的電腦。雖然DOWNAD蠕蟲在2008年就出現，但它在今日仍是影響企業和中小企業的前三名惡意軟體之一。

我們也看到股票垃圾郵件在過去六個月的飆升。常見檔案儲存平台（如Dropbox）被濫用來放置惡意軟體, 在五月， UPATRE相關垃圾郵件利用了Dropbox連結，不僅是當作社交工程誘餌的一部分，也用來下載惡意檔案。

具有新聞價值的事件、電影和問題仍然是最有效的社交工程（social engineering ）誘餌，用來誘騙使用者打開垃圾郵件，慣用手法是截取CNN和BBC的新聞頭條，將這些新聞片段加入垃圾郵件本文,藉著複製新聞的部分文章加上標題來繞過垃圾郵件過濾器。

在今年上半年，垃圾郵件數量相對於去年（2013）上半年成長了60％，趨勢科技將其歸於幾個因素：DOWNAD的普及率以及惡意軟體相關電子郵件加上垃圾郵件發送功能（如MYTOB）。熱門威脅像是UPATRE和Zeus/ZBOT也都利用垃圾郵件作為感染媒介來派送惡意軟體。在我們對2013年垃圾郵件情勢的檢視中，趨勢科技預測垃圾郵件會被繼續用來散播惡意軟體，這點仍然為真。

圖1、2014年第二季的垃圾郵件數量

垃圾郵件攻擊針對德國使用者

趨勢科技所分析的垃圾郵件中，有幾乎83％以上使用英文，還有17％的非英文語言。最常被垃圾郵件使用的非英文語言是德文，其次是日文。我們注意到有德文垃圾郵件夾帶主控台惡意軟體（CPL）。CPL惡意軟體最初是在今年初攻擊了巴西使用者。此外，在2014年第二季後段，我們看到EMOTET的出現，這是一種銀行惡意軟體，可以監聽網路活動來竊取使用者資料。它也同樣是透過主旨為快遞收據和銀行對帳單等電子郵件到達。根據我們的調查，德國的一些銀行被列在此一威脅的監控網站列表中。

圖2、垃圾郵件所使用的前五名語言

引人好奇的圖片和加味垃圾郵件案例

根據趨勢科技的蜜罐（honeypot）來源，前三名垃圾郵件類型為惡意軟體相關（20％），保健相關（16％），以及商業和股票垃圾郵件（11％）。我們也看到股票垃圾郵件在過去六個月的飆升。一個垃圾郵件樣本是關於提供使用者交易技巧來幫助他們快速致富的股票交易垃圾郵件。垃圾郵件技倆方面，我們觀察到之前會加入隨機無意義的文字到HTML中，但如今他們會在郵件本文加入新聞剪輯讓它看似正常以繞過垃圾郵件過濾器。此外，垃圾郵件發送者也結合了不那麼新的技術，像是圖片加入新聞剪輯的垃圾郵件，而非單純圖片。這樣可以避免被垃圾郵件過濾器偵測。

圖3、最常見的垃圾郵件類別

繼續閱讀