殭屍網路 - 資安趨勢部落格

430萬筆帳號被入侵的 Emotet 殭屍網路被瓦解後

2021 年 03 月 16 日2021 年 04 月 29 日趨勢科技 TrendMicro

年初歐洲刑警組織與8國警方合作拿下Emotet殭屍網路,2021對網路安全界來說有個好的開始，一次全球性的協力行動（Operation Ladybird）瓦解了這個被媒體形容為全球散播最廣、「最會裝」的木馬。它的相關事蹟有:
-偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊
–以Windows更新作為誘餌
–散播Nozelesn勒索病毒載入程式
–在全球建立了721個非重複的 C&C 伺服器

趨勢科技作為從2014年第一個偵測並持續分析該木馬程式的資安廠商，我們特別高興能夠看到這個結果。並持續盡己所能地支援打擊網路犯罪執法部門的工作。

但誰也沒有把握這會不會是Emotet上新聞版面的最終回。

繼續閱讀

Mirai 殭屍網路可被用來透過漏洞 CVE-2020-5902攻擊物聯網裝置

2020 年 08 月 06 日2020 年 08 月 03 日趨勢科技 TrendMicro

自從兩個F5 BIG-IP漏洞在7月第一周被披露之後，趨勢科技就持續地監視並分析這些漏洞及相關活動來進一步評估其嚴重性。根據對CVE-2020-5902所發布的解決方法，我們發現一個物聯網（IoT）Mirai殭屍網路下載器（趨勢科技偵測為Trojan.SH.MIRAI.BOI）可以被加入新惡意軟體來掃描找出對外暴露的Big-IP裝置，進而入侵並進行惡意行為。

我們發現的樣本還會去攻擊常見裝置及軟體最近被披露而可能尚未修補的漏洞。建議系統管理員和相關裝置使用者要立即修補自己的工具。

行為

如先前所報導，此安全漏洞是針對BIG-IP流量管理用戶介面（TMUI）的遠端程式碼執行（RCE）漏洞。分析已發布的資訊之後，我們從Apache httpd的緩解規則裡注意到一種可能利用此漏洞的做法是在HTTP GET請求的URI裡包含分號。分號在Linux命令中代表已完成，這也是觸發漏洞所需要的字元。為了進一步分析，我們用下列Yara規則來測試IoT殭屍網路作者是否可以在現有或新惡意軟體加入掃描功能：

繼續閱讀

XORDDoS 和 Kaiji 殭屍網路病毒鎖定暴露的Docker伺服器

2020 年 06 月 23 日2020 年 07 月 05 日趨勢科技 TrendMicro

趨勢科技最近偵測到兩種會攻擊暴露Docker伺服器的Linux殭屍網路病毒；它們是XORDDoS惡意軟體（趨勢科技偵測為Backdoor.Linux.XORDDOS.AE）和Kaiji DDoS惡意軟體（趨勢科技偵測為DDoS.Linux.KAIJI.A）。

將Docker伺服器當作目標是XORDDoS和Kaiji的新發展。XORDDoS已知會攻擊雲端環境內的Linux主機，而最近出現的Kaiji最初被發現是針對物聯網（IoT ,Internet of Thing ）裝置。攻擊者通常會掃描開放的SSH和Telnet端口，再來用殭屍網路進行暴力攻擊。現在它們會用暴露端口2375來搜尋Docker伺服器。端口2375是Docker API使用的兩個端口之一，用於未加密和無身份認證通訊。

但這兩種惡意軟體的攻擊方法有著顯著差異。XORDDoS攻擊會入侵Docker伺服器來感染所有託管的容器，Kaiji則會部署自己的容器來放DDoS惡意軟體。

這些惡意軟體可以用來進行分散式阻斷服務攻擊HYPERLINK “https://blog.trendmicro.com.tw/?p=16497” (DDoS)攻擊，這是種封鎖、破壞或關閉網路、網站或服務的攻擊。利用眾多系統所產生的流量來癱瘓目標系統，讓其他使用者無法連上。

繼續閱讀

DDoS攻擊和IoT漏洞攻擊：Momentum殭屍網路的新動態

2019 年 12 月 25 日2019 年 12 月 23 日趨勢科技 TrendMicro

趨勢科技最近發現了會顯著影響Linux裝置的惡意軟體活動，Linux平台今年已經與許多問題在奮戰中。進一步分析取得的惡意軟體樣本顯示這些活動與名為Momentum的殭屍網路（從通訊頻道內所發現圖片命名）有關。我們發現了殭屍網路用來入侵裝置並執行分散式阻斷服務（DDoS）攻擊的工具及技術細節。

Momentum會針對採用各種CPU架構的Linux平台，包括ARM、MIPS、Intel、Motorola 68020等。它的主要目的是要開啟後門來接受命令對給定目標進行各種阻斷服務（DoS）攻擊。Momentum殭屍網路會散播的後門程式包括了Mirai、Kaiten和Bashlite等病毒變種。我們所分析的樣本正在派送Mirai後門程式。此外，Momentum是透過攻擊多種路由器和網頁服務漏洞來進行散播，進而在目標裝置下載並執行Shell腳本。

Momentum如何運作？

Momentum在感染裝置後會經由修改 rc檔案來實現持續性。接著會加入命令和控制（C&C）伺服器，連到名為#HellRoom的IRC頻道來註冊自己並接收命令。IRC協定是它與命令和控制（C&C）伺服器通訊的主要方法。接著殭屍網路操作者就可以發送訊息到IRC頻道來控制受感染系統。

繼續閱讀

層層掩護下的十多個 APT33 殭屍網路,鎖定亞洲在內的特定目標

2019 年 12 月 05 日2019 年 12 月 05 日趨勢科技 TrendMicro

在資安界稱為 APT33 的駭客組織是一個處心積慮、專門攻擊石油與航空產業的駭客集團。多年來，媒體一直不斷披露有關該集團的資訊，但根據趨勢科技最新的研究顯示，他們正利用十多個幕後操縱 (C&C) 伺服器來攻擊極少數的特定目標。該集團利用層層的掩護來保護這些以針對性惡意程式來攻擊中東、美國及亞洲少數特定對象的 C&C 伺服器。

我們相信這些伺服器所操控的殭屍網路每個最多只包含十幾台殭屍電腦，駭客利用這些殭屍網路來常駐在選定的目標內。其惡意程式非常陽春，只具備下載和執行其他惡意程式的功能。在目前 (2019 年) 仍活躍的感染目標當中，有兩個是專門提供國家安全服務的某家美國私人企業的兩個據點，其他受害單位還有：美國的某家大學和另一家學院、一個很可能與美國軍方有所關連的單位，以及多個分布在中東和亞洲的機構。

除此之外，APT33 在過去幾年也不斷從事一些更積極的攻擊，例如，該集團至少有兩年的時間利用了歐洲某高階政要 (該名政要還進入了該國的國防委員會) 的私人網站來發送魚叉式網路釣魚郵件給一些石油產業供應鏈上的企業。這些被攻擊的目標甚至包括一家供應美國陸軍某軍事基地安全飲用水的廠商。

這些攻擊很可能已入侵了石油產業，例如，我們在 2018 年秋發現英國某石油公司在英國和印度境內的伺服器曾與 APT33 的 C&C 伺服器通訊。另一家歐洲石油公司位於印度據點的某台伺服器也遭 APT33 的惡意程式感染了至少 3 週左右 (2018 年 11 月至 12 月間)。除此之外，還有多家石油產業供應鏈上的其他公司也在 2018 年秋天遭到入侵。這些入侵事件對石油相關產業來說可說是一項重大警訊，因為 APT33 習慣使用一些具有破壞力的惡意程式。

魚叉式網路釣魚攻擊,散播求職相關主旨

繼續閱讀