索尼影視(Sony Pictures)被駭始末

  • 索尼高層的薪資資料
  • 索尼員工的個人資料
  • 好萊塢明星的聯絡資料與旅行用的別名

上述資料已經被署名#GOP( Guardians of Peace)的駭客公諸於世

索尼所製作《名嘴出任務》(The Interview)內容描寫了刺殺北韓領袖金正恩的情節,外界推測索尼很可能是因為此片而惹來北韓的報復。但北韓政府已經否認,而索尼與FBI迄今仍未確認公布攻擊來源。

一個索尼影視(Sony Pictures)遭受到毀滅性駭客攻擊的禮拜,一連串外洩的內部文件和試算表將公司員工和高層人員的資料公諸在外。根據一開始的報導,索尼在收到威脅訊息(骷顱頭圖案出現在他們的電腦螢幕上)後關閉了整個企業網路。訊息來自一個自稱為「Guardians of Peace(和平守護者,#GOP)」的駭客團體,警告說這只是個開始,他們會持續到要求被滿足為止。在新聞爆發出這起駭客事件後不久,開始有許多人認為是曾經用過「wiper」惡意軟體的北韓參與此事件。

[更多資訊:駭客如何將警告性桌布放入索尼公司電腦?到趨勢科技部落格閱讀分析美國聯邦調查局警訊背後的「破壞性」惡意軟體]

跟大多數入侵外洩事件一樣,我們會隨著時間過去而瞭解更多關於入侵事件的性質,進行中的調查提供了一些可靠的細節,而大多數關於駭客攻擊的頭條新聞都集中在是誰做的而非被取走了什麼。同時,研究人員也已經確認發起攻擊的破壞性惡意軟體。從安全角度來看,最重要的是要記錄此一事件的各個方面和緊急而相應地作出反應。關於此次攻擊,我們已經整理出關鍵日期和事件來提供發生何事,什麼被偷及誰是幕後黑手的概述。

11月25日 –首篇關於索尼影視(Sony Pictures)企業網路被駭事件報導

11月28日 – 科技新聞網站 Re/code報導北韓被調查是否與此攻擊有關

11月29日 – 未發行電影的試映片,出現在檔案分享網站上

12月1日 – 索尼影視(Sony Pictures高階主管薪資遭曝光

12月2日 – 索尼員工的個人資料以及其他公司內部文件(更多酬勞細節、姓名、出生日期、社會安全號碼等資訊)被公開。

12月2日 – 美國聯邦調查局發出破壞性惡意軟體警告

12月3日 – Re/code聲稱北韓正式被點名為攻擊幕後黑手

12月5日 –  – Sony Pictures員工收到威脅郵件,若不支持駭客行動全家都會有危險!中文報導

12月6日 – 北韓發表聲明,稱這次攻擊彰顯了「正義」,但否認參與

12月 10 日-好萊塢明星遭池魚之殃,個人資料被公布(中文報導)

12 月 15 日-索尼要求媒體別再公布外洩文件,並銷毀副本(中文報導)

繼續閱讀

< 索尼影視(Sony Pictures)攻擊事件 > 深入分析美國 FBI 所提供之「破壞性」惡意軟體樣本

趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。

駭客hacker

美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。

下面是趨勢科技的調查分析結果:

BKDR_WIPALL惡意軟體分析

我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。

這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:

圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼

這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。

圖2、惡意軟體登入到網路的程式碼片段  繼續閱讀

ROVNIX利用密碼保護巨集, 竊取密碼和記錄按鍵資訊

趨勢科技最近發現 ROVNIX 惡意軟體家族能夠透過巨集下載器來散播。這種惡意伎倆之前在DRIDEX惡意軟體上見到,它以使用相同招數著稱。DRIDEX同時也是CRIDEX銀行惡意軟體的後繼者。

雖然感染方式相當古老,網路犯罪分子了解使用惡意巨集也能夠達到想要的目的 – 甚至可以對抗複雜的防禦措施。

ROVNIX惡意軟體行為

根據趨勢科技的分析,ROVNIX會將 rootkit 驅動程式寫入 NTFS 磁碟機未分割的空間。這可以有效地隱藏該驅動程式,因為這個未分割空間不會被作業系統和安全產品所看到。

為了載入惡意驅動程式,ROVNIX會修改IPL的內容。這程式碼被修改以讓惡意rootkit驅動程式在作業系統前被載入。這做法主要有兩個目的:逃避偵測,並且在Windows 7及之後的版本載入未簽章過的驅動程式。

ROXNIX感染鏈

在此攻擊中,惡意文件包含一個社交工程誘餌,特製成來自微軟Office的假通知來指示使用者啟用巨集設定。

圖1、帶有惡意巨集文件的螢幕截圖

啟用巨集會去執行惡意巨集程式碼,被偵測為W97M_DLOADER.AI。這個惡意巨集和之前CRIDEX所用的不同之處在於ROXNIX有加上密碼保護。這讓分析此惡意軟體變得困難,因為沒有密碼或特殊工具就無法檢視或打開巨集。

圖2、惡意巨集ROVNIX需要密碼

 

圖3、該腳本的程式碼片段

這個惡意軟體腳本使用簡單的字串拼接和多個變數替換,企圖混淆程式碼以躲避防毒偵測。當巨集被執行,會植入三個不同類型的隱藏腳本,包括一個Windows PowerShell腳本。這策略意味著網路犯罪分子會去針對Windows 7,開始預設安裝了Windows PowerShell。

圖4、W97M_DLOADER.AI植入的檔案

名為adobeacd-update.bat的腳本會執行adobeacd-update.vbs(VBS_POWRUN.KG),提升使用者權限,然後再執行另一個名為adobeacd-update.ps1TROJ_POWDLOD.GN)的腳本。TROJ_POWDLOD.GN接著會從http//185[.]14[.]31[.]9/work.exe下載並執行TROJ_ROVNIX.NGT,這是一個ROVNIX載入器。

根據趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料,德國出現了最多使用者有著受感染系統。

表1、2014年11月6日到2014年11月18日最受影響的國家

 

結論

ROVNIX對使用者和企業都會造成危險,因為除了其後門能力外,它還可以竊取密碼和記錄按鍵資訊。這種攻擊可能被用在資料入侵外洩上,因為資料竊取是其主要行為。此外,這攻擊突顯出有更多惡意軟體可能會去利用巨集文件來濫用PowerShell以散播其惡意程式。不過要注意的是,在此次攻擊中,PowerShell功能並未被濫用。

使用者可以輕易地將其巨集設定設到最大安全性以保護其系統。如果檢視文件需要用到這功能,請確保檔案來自可信任的來源。趨勢科技透過主動式雲端截毒技術來偵測惡意檔案以保護使用者免受此威脅。

相關雜湊值如下:

  • 92C090AA5487E188E0AB722A41CBA4D2974C889D
  • 4C5C0B3DCCBFBDC1640B2678A3333E8C9EF239C5

 

@原文出處:ROVNIX Infects Systems with Password-Protected Macros作者:Joie Salvio(趨勢科技威脅回應工程師)

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)

駭客 蒙面

白皮書 鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

八種駭客用來竊取企業資料的後門程式技巧

後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。

當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。

下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門

為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:

  1. 將後門程式綁定某個通訊埠。

若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。

  1. 透過後門程式穿越防火牆。

若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。

  1. 後門程式檢查可用的連線以傳輸檔案。

通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。

  1. 後門程式透過社群網路連上幕後操縱伺服器。

繼續閱讀

過去廿年他一直在販賣火車乘客資料; 1/5資料外洩事件來自內部

內部來的風險:美國國鐵資料外洩的教訓

最近由美國國鐵督察長辦公室所發表的一份報告顯示,這家鐵路大眾運輸公司的一名員工在過去廿年一直在販賣乘客資料。這份資料的買主不是別人,就是美國緝毒署,他們在過去支付了該員工854,460美元。愛荷華州的資深參議員Check Grassley致信緝毒署來表達對此事件的嚴重關切

內部來的風險:美國國鐵資料外洩的教訓

這起資安事件最誇張的地方是這名前員工可以從1995年就開始販賣美國國鐵乘客個人身份資料這件事。也就是說,這種不當行為在廿年來從沒有任何人發現。透過這樣未經授權的販賣客戶資料,這員工收到來自緝毒署總共854,460美元。

緝毒署應該是有權免費地要求有問題的客戶資料,只要透過美國國鐵和緝毒署的聯合工作小組。也就是說,美國納稅人付錢買了應該可以免費取得的資料。事件爆發後,為了不被懲罰,該名員工選擇了退休。

這起資料外洩事件一開始是如何被確認並沒有包含在國鐵的報告中。想到員工可以在這麼長的時間內一再地進行不當行為這件事,必須問一個嚴重的問題 –有進行內部控管和稽核嗎?有實施哪些安全措施來防止此類外洩事件嗎?

 

調查顯示:有五分之一受訪者的外洩事件來自內部

不管是來自網路攻擊或惡意員工,資料外洩事件持續地成為世界各地的頭條新聞。趨勢科技在2014年3月對1,175位日本IT安全專家和決策者所進行的調查顯示,有233(19.8%)在2013年經歷過內部系統的資料外洩事件。換句話說,有五分之一受訪者的外洩事件來自內部。

總共有778位受訪者(近三分之二)證實曾經歷過某種形式的安全入侵事件。有28名(3.6%)補充說,被竊的資料已經在某些地方被使用或運作。這些統計數據只代表在日本的資安入侵外洩問題,但在其他地方所得到的數據即便不一樣,可能也不會差太多。資料外洩已不再是「別人的問題」。 繼續閱讀