解析 Ngrok 曲折的攻擊程序

2020 年 09 月 29 日2020 年 09 月 25 日趨勢科技 TrendMicro

趨勢科技 Managed XDR 託管式偵測及回應服務團隊最近處理了一樁客戶資安事件，歹徒在該事件中運用了一種特殊的攻擊技巧，增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

採用 端點偵測及回應 (EDR) 資安解決方案的一項主要好處就是，能讓維護及分析企業網路防禦狀況的資安團隊能掌握自身環境的可視性來提早偵測攻擊，並透過視覺化方式了解正在發生的資安事件。雖然像這樣的技術確實讓網路資安產業整體都有所提升，但歹徒的工具和技巧卻也同樣因應這樣的發展趨勢而演進。

趨勢科技 Managed XDR託管式偵測及回應服務團隊最近處理了一樁客戶資安事件，歹徒在該事件中運用了一種特殊的攻擊技巧，增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

初步調查

2020 年 7 月，我們經由趨勢科技Apex One在客戶環境觀察到以下可疑的系統事件：

Process: c:\windows\system32\reg.exe CommandLine:REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d “\”c:\Windows\system32\<random name>\”” /f

此事件有幾點值得注意：首先，該指令所建立的系統登錄數值的名稱是根據某個資安廠商來命名。其次，登錄數值的名稱 (在 <value> 部分) 出現了一個拼字錯誤 (也許是故意的，此處為了保密暫不顯示)。最後，在系統目錄當中有一個隨機命名的執行檔。這所有因素加在一起，讓我們直覺認為這是一項警訊。

結果這個執行檔確實是一個鍵盤側錄程式，它會將側錄到的滑鼠與鍵盤輸入傳送到某個 Gmail 帳號。我們在二進位檔案中發現了一些寫死的資訊，證明它是專為某個目標機構而量身訂製。不僅如此，我們也從二進位檔案中得知，駭客對該機構有相當程度的了解。

我們用這個鍵盤側錄程式的檔名和雜湊碼在系統記錄和事件當中搜尋之後發現以下情況：

繼續閱讀

《資安新聞周報》 39% 的員工會從個人裝置存取企業資料/台灣詐騙網址暴增4倍駭客冒用口罩預購行騙/胰島素泵浦藍牙傳輸漏洞，駭客可從中進行中間人攻擊

2020 年 09 月 25 日2020 年 09 月 25 日趨勢科技TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空，它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

媒體資安新聞精選

台灣詐騙網址暴增4倍駭客冒用口罩預購行騙中央通訊社

今年台灣詐騙網址數量創新高！專家估下一波手法是「這種」新頭殼

駭客又有新花招！點開廣告驚見手機中毒「假警報」騙你乖乖付錢 LineToday

詐騙網址因疫情爆增4倍，駭客盜粉專流程解密！防毒軟體巨頭PC-cillin怎麼擋？數位時代

駭客搶搭全球疫情順風車在地化網路詐騙推陳出新百萬網路詐騙網址橫行台灣 T客邦

趨勢科技 PC-cillin 2021 強化防詐並首度支援 Chromebook Xfastest Media

手機電腦都「乖乖」，趨勢科技 PC-cillin 2021 雲端版正式推出電腦王阿達

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

繼續閱讀

一台遭駭的伺服器可能被用於哪些不法獲利活動?探索網路犯罪地下服務市場

2020 年 09 月 24 日2020 年 09 月 25 日趨勢科技 TrendMicro

網路犯罪地下市場上的服務供應方式與犯罪集團的經營模式，近年來因各種不同的基礎架構需求而產生了許多變化
網路犯罪地下市場上的服務供應方式與犯罪集團的經營模式，近年來因各種不同的基礎架構需求而產生了許多變化。

網路犯罪基礎架構商品化

下載「駭客基礎架構與地下主機代管：犯罪集團使用哪些服務」 — 「駭客基礎架構與地下主機代管：犯罪集團使用哪些服務」
(The Hacker Infrastructure and Underground Hosting: Services Used by Criminals)

除了一些地下市場上常見的標準商品 (如惡意程式、漏洞攻擊套件) 之外，網路犯罪集團其實還需要穩定的主機代管基礎架構，好讓他們從事各種活動。這類基礎架構可用來發送惡意內容或提供他們維持運作所必需的元件，例如駭客後台系統所需要的防彈主機或出租的殭屍網路。

網路犯罪集團之間的交易，在許多方面都跟一般的商業交易無異。不論業餘或專業的駭客都會在各種平台上推銷自己的產品。有些人會透過社群媒體，有些人則只會在嚴格把關的地下論壇上宣傳。

本系列研究的第一篇報告已針對地下市場的現況做了一番概要說明，介紹了目前有哪些非法活動所需要的服務、基礎架構和工具在地下市場上買賣。地下市場上的產品琳瑯滿目，幾乎各種需求都能獲得滿足。這一篇，我們將探討網路犯罪生態系的運作，深入了解地下市場所提供的服務，以及某些網路犯罪活動的基礎架構如何建構。

網路犯罪基礎架構必要元素

不同的網路犯罪有不同的商業模式，但不外乎都會用到一些專屬伺服器以及已遭駭客入侵的伺服器，然後再配合一些具備容錯能力的網域配發服務和匿名化服務。這份研究報告詳細介紹了一些較大的服務類別，以及網路犯罪集團用來防範其他犯罪集團與執法單位的一些最新基礎架構服務。以下就讓我們來看看這些常見的服務。

繼續閱讀

暴露在外的 Docker 伺服器遭駭客植入挖礦程式與 DDoS 殭屍病毒

2020 年 09 月 23 日2020 年 09 月 15 日趨勢科技 TrendMicro

駭客持續鎖定 Docker 容器環境，趨勢科技最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與 DDoS 殭屍病毒。

駭客持續鎖定 Docker 容器環境，我們最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與分散式阻斷服務 (DDoS) 殭屍病毒。趨勢科技今年五月也曾經通報過類似的攻擊案例，在上次的攻擊案例中，駭客建立了一個 惡意的 Alpine Linux 容器，然後在裡面暗藏惡意挖礦程式與 DDoS 殭屍病毒。

感染程序分析

最近這一次攻擊，駭客會先連線至暴露在網路上的 Docker 伺服器，然後在伺服器上建立並執行一個 Docker 容器，接著在 Docker 容器內執行圖 1 當中的指令。

A code snippet of the command that is executed on the Docker container — 圖 1：駭客在 Docker 容器內執行的指令。

繼續閱讀

趨勢科技PC-cillin 2021雲端版上市！防毒、防駭、防詐全方位守護限量推出只送不賣乖乖聯名包

2020 年 09 月 22 日2020 年 09 月 22 日趨勢科技 TrendMicro

駭客搶搭全球疫情順風車在地化網路詐騙推陳出新百萬網路詐騙網址橫行台灣

【2020年9月22日，台北訊】2020全球疫情延燒，詭計多端的駭客主意也打得非常快，網路威脅不斷變換各種樣貌，台灣甚至出現特有在地化的「詐騙」現象！根據全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 發現指出，今年截至8月底，台灣偵測到詐騙網址數量竟已高達170萬^註一，其中與疫情相關如口罩預購、宅配簡訊、振興券等主題，皆為駭客所利用來進行詐騙；不僅如此，日前大量名人、網紅粉絲專頁遭駭的事件，至今仍持續延燒中，陷阱之多實在讓人防不勝防！同為粉專詐騙受害者的藝人海芬，今(22日)出席記者會時大方分享自身遭駭經驗，呼籲網路安全需要事先預防，用心經營社群、享受科技即時互動便利的同時，也別忘了將資訊安全一併考量進去，才能避免後續耗費更多時間進行挽救，甚至要面臨與粉絲失去聯絡的遺憾！

為提升大眾資安意識，並慶祝PC-cillin 2021雲端版全面進化上市，趨勢科技於9/22 (二)-9/27 (日)在台北市府轉運站1F售票大廳設立「C琳特務創意販賣所」，推出只送不賣的乖乖造句聯名包，原因是台灣常見於電腦3C設備旁擺放綠色包裝的「乖乖」以期運作順暢，趨勢科技在推廣資安防毒意識的同時，希望藉由乖乖綠色順行的概念，提醒民眾上網安全可別靠運氣，以創意趣味的方式邀請民眾共襄盛舉，在社群上玩轉創意來造句，一起防駭、防詐、防病毒！