智慧型手機就一定安全!?
你是否如同漫畫中的阿嬤,認為智慧型手機很安全呢?
性質與電腦相近的智慧型手機,與電腦同樣可能碰到網路上的危險。其中必須注意的包括網路釣魚(Phishing)攻擊及誘騙付費攻擊、偽造的安全警告等,利用非法網站詐騙使用者的行為。目前已確認有針對使用智慧型手機瀏覽而刻意製作的非法網站。
網路釣魚攻擊
此手法乃利用假冒實際存在的企業所發出的電子郵件或社群網站的訊息,引誘使用者進入與真正的網站極為相似的非法網站,然後騙取使用者在網站上輸入的ID/密碼等個人資料。
【延伸閱讀】搜尋” LINE”,跳出假冒 LINE 網路釣魚詐騙網站,意圖盜帳號密碼!
誘騙付費攻擊
此手法會在使用者按下成人網站的圖片或電子郵件的網站連結之後,顯示「已完成入會註冊。請支付費用」等要求付款的畫面,藉此要求使用者付費。
PageFair證實其在萬聖節週末遭受駭客攻擊,501個使用其免費分析服務的未公布網站受到影響,它們的訪客可能遭受惡意軟體攻擊。駭客成功地侵入這家成立三年的愛爾蘭新創公司,將惡意的JavaScript程式碼注入使用其核心服務的網站。
也就是說,在上周末GMT標準時間的11:52PM到1:15AM之間,從Windows電腦訪問受影響網站的使用者都可能面臨風險,不過只有當這些訪客點入一個偽裝成Adobe Flash更新的連結時才會真正受到影響。
在週日,11月1日,執行長Sean Blanchfield透過一篇部落格文章說明此一事件,解釋這起駭客事件是如何發生及為了解決該事件所造成損害而進行的措施。他寫道:「此次攻擊很複雜且特別針對PageFair,但是駭客有辦法存取我們的系統是不能接受的。我們立刻確認了此一事件,但仍然花了超過80分鐘來將其完全停止。在此期間,連上這些信任我們之網站主(Publisher)網站的訪客都成為了這些駭客的目標。」
駭客透過魚叉式網路釣魚(Phishing)攻擊來取得一個關鍵電子郵件帳號,將提供分析用Javascript標籤的內容傳遞網路(CDN)服務的PageFair帳戶進行密碼重置以加以劫持。「他們修改了CDN設定,所以並非提供PageFair的JavaScript,而是提供惡意的JavaScript」。這惡意的有害JavaScript會提示訪客安裝一個假的Adobe Flash更新程式,看起來是針對Windows平台的殭屍網路木馬程式。儘管許多病毒掃描程式可以防止這個檔案執行,但其他可能不能正確地加以偵測。“ 繼續閱讀
「按這裡停止訂閱」的陷阱: 絕對不要回覆可疑的電子郵件!!
你是否曾經收到「高級名牌包2折」「您專屬的優惠」「只有今天贈送現金券」等非常吸引人的電子郵件?
這或許是網路犯罪者為了引誘你進入網路釣魚(Phishing)的陷阱。網際網路與現實世界同樣有許多類似的好康資訊。如果大意按下電子郵件中的連結,可能會進入偽造的網路商店,並且遭騙取信用卡號或購物的金錢。
不幸的,行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址,加上螢幕比較小,所以會讓使用者輕易地認為自己瀏覽的是正常網站。
提醒您,當你發現可疑的電子郵件,是否曾因為不想再次收到,而按下電子郵件下方的「按這裡停止訂閱」連結,然後在該網站中輸入電子郵件信箱? 繼續閱讀
一般我們在分析一項威脅時,都會將其惡意程式當成元凶或主要對象來分析。然而,研究其他相關的元件卻可以看到威脅的全貌,反而能比單獨研究二進位程式碼掌握更多的細節。
唯有將目光放遠,超越惡意檔案,才能看出一群原本不相干的網路釣魚(Phishing)郵件,其實都是同一起肆虐全球銀行和金融機構的攻擊行動。駭客利用其他銀行的電子郵件帳號來發送網路釣魚(Phishing)郵件到他們鎖定的銀行,企圖進入該銀行的電腦,進而加以遠端遙控。我們將這起攻擊行動稱為「Cuckoo Miner」(杜鵑鳥礦工)。因為駭客侵占合法電子郵件信箱的手法,很像杜鵑鳥欺騙別的鳥來養大它們的雛鳥、進而鳩佔鵲巢的方式很像。
除了攻擊行動本身的資料之外,我們也發現這起行動和其他攻擊有所關聯: HawkEye、CARBANAK 以及 GamaPOS。
Cuckoo Miner 攻擊行動的第一步
想像一下以下情境:某家大型金融機構的出納櫃台人員 Bob 收到了一封電子郵件。這封電子郵件乍看之下一切正常,內文只有一行,接著就是另一家銀行的簽名資料,並且附上一個 Microsoft Word 文件附件檔案,叫做「ammendment.doc」。
圖 1:「垃圾」電子郵件。
Bob 開啟了這份 Word 文件,裡面寫道:「Hey….」 Bob 看了一頭霧水,索性關掉 Microsoft Word 文件並刪除這封郵件,接著繼續查看其他郵件。但他卻不曉得,光是開啟這份 Microsoft Word 文件,他就已經讓他的電腦 (以及整個分行) 的門戶洞開。
Bob 的情況並非特殊案例,這其實是一起大型的針對性攻擊/鎖定目標攻擊(Targeted attack )。
趨勢科技主動式雲端截毒服務 Smart Protection Network全球情報威脅網路在今年 8 月 4 日偵測到至少有 17 個國家 (包括印度、瑞士、美國等等) 境內的電子郵件伺服器 (不論在企業內或在雲端) 所屬的銀行和金融機構員工都收到了同樣的電子郵件。這些受害的機構皆位於歐洲、中東、非洲 (EMEA) 以及亞太地區 (APAC)。這些電子郵件只針對一群特定的收件人,而且只在該日發送以避免被察覺。
圖 2:受害伺服器分布地理位置。
使用多重 RAT 遠端存取工具
該行動使用的 Microsoft Word 文件會攻擊 CVE-2015-1770 漏洞,進而在系統內植入另一個檔案,該檔案會另外啟動一個「svchost.exe」執行程序。 但這個「svchost.exe」事實上是一個遠端存取工具 (RAT) 叫做「Utility Warrior」。
圖 3:svchost.exe。
不過,駭客還不光使用 Utility Warrior 這個 RAT 工具,他們在為期數個月的攻擊行動當中接連使用了多個 RAT 工具,最早可追溯至 2015 年 1 月,而且各工具的使用期間大多彼此重疊。
圖 4:不同期間所使用的 RAT 工具。
一旦 RAT 工具成功和幕後操縱伺服器取得聯繫,駭客就能自由操縱受感染的電腦,他們可透過 RAT 工具查看系統上有哪些資源、安裝了哪些程式、過濾端點裝置上的資料,此外,還可以從端點裝置直接下載資訊。
從駭客所使用的 RAT 工具非常廣泛就能看出,惡意程式作者在駭客圈內非常活躍,而駭客們彼此之間的關係也非常密切。此外我們也觀察到,駭客很樂意嘗試新的 RAT 版本,並且很快就能將新版 RAT 工具融入他們的攻擊行動當中。
重複使用的憑證以及與 CARBANAK 的淵源
此攻擊行動絕大多數的 RAT 工具使用的電子憑證都是簽發給一個名為「ELVIK OOO」的機構,而且有多個憑證是不斷重複使用。理論上,憑證中的序號是由憑證簽發機構所核發,而且 每個憑證都有自己的序號。
圖 5:憑證範例。
還有一件值得注意的是,我們也曾見過一個 Anunak (也就是 CARBANAK) 攻擊行動的樣本也是使用這個憑證來簽署。然而更重要的是其中含有「arablab」字樣:
圖 6:Arablab 字樣。
從我們擷取到的封包內容可看到「 ArabLab0 」字樣緊跟著一串16 進位碼:「 e4fd2f290fde5395 」,這其實就是一台殭屍電腦識別碼 (BOT ID),也就是:「 ArabLab0e4fd2f290fde5395」。
這個「Botnet傀儡殭屍網路」識別碼讓我們想起我們在 2014 年 6 月的一項研究發現。我們發現「arablab」是一位使用 Citadel 和 Zeus 來攻擊銀行的駭客。此外,值得一提的是,「arablab」也會利用 Microsoft Office 文件漏洞 CVE-2010-3333 來攻擊某些特定人士,並且從事奈及利亞 (419) 詐騙。儘管攻擊不同,但目標是一樣的,那就是:盜取錢財。 繼續閱讀
Rocket Kitten對伊朗講師及資安研究人員進行間諜活動
Rocket Kitten是個專門將攻擊目標放在中東特定知名人士的駭客組織, Thamar E. Gindin博士是位語言學和前伊斯蘭伊朗文化的專家,顯然因為說出政治聲明而激怒Rocket Kitten駭客組織的幕後人士。
在2015年中,Gindin博士收到了多封魚叉式網路釣魚(Phishing)郵件,其中一封包含惡意軟體,另外三封夾帶連到偽登錄網頁的連結。這僅僅只是個開始。大量來自未知寄件者的訊息突然出現在她的 Facebook 收件匣。駭客發動暴力攻擊並利用密碼取回選項來取得她的雲端服務帳號。在兩起不同事件中,攻擊者甚至透過電話來聯絡她,希望取得進一步的詳細資料,以便為未來更多的網路釣魚郵件鋪陳。
在2015年6月Gindin博士協助ClearSky的網路安全研究人員進行與Rocket Kitten活動有關的Thamar Reservoir報告。當時她意識到Rocket Kitten刻意地針對她,但攻擊仍在持續。即便在報告發表後,Gindin博士還是會收到Google的密碼重設通知,而她並未上鉤。
Rocket Kitten針對ClearSky研究人員
知道Gindin博士跟ClearSky有關可能讓Rocket Kitten將矛頭指向他們的其中一名研究人員。這些攻擊者可能藉由取得的電子郵件知道Gindin博士告知ClearSky研究人員,或是他們自己發現了這安全團隊在調查他們。也有可能是攻擊者存取了其他曾聯繫ClearSky的Rocket Kitten受害者郵件。無論是哪一種,攻擊者利用了此一情報並用來作為誘餌。
隨之而來的是一連串新的嘗試,我們在之前曾報告Rocket Kitten參與派送GHOLE惡意軟體和掩護Woolen-Goldfish攻擊活動。以下解析了他們所做的事情:
