【 2018資安事件回顧】運動賽事威脅:2018 世界盃足球賽帶給我們什麼啟示?

像世界盃這麼大的賽事總是會引起安全上的問題,而且不光場地、觀眾、運動員、各國代表等實體人身安全需要注意,數位安全也同樣重要。

今年六至七月所舉辦的第 21 屆世界盃足球賽 (FIFA World Cup),是史上最多人觀看的運動比賽之一,全球將近半數人口皆緊盯著螢幕收看這場足球盛會,光數字就令人乍舌。除了收視人口之外,俄羅斯更斥資約 120 億美元來舉辦這場賽事。當然,國際足球總會 (FIFA) 和其他主辦單位也因而進帳數十億美元。在規模方面,世界盃足球賽是世界上少有其他活動能夠匹敵的賽事。

當然,像這麼大的賽事,總是會引起安全上的問題,而且不光場地、觀眾、運動員、各國代表等實體人身安全需要注意,由於大型運動賽事在網路上同樣相當受到關注,例如第 51 屆超級盃 (Super Bowl LI) 即創造了 2.4 億次臉書互動與近 2,800 萬則推特訊息,因此線上安全也同樣重要。

運動賽事與網路犯罪

網路犯罪集團趁著大型運動賽事舉辦的期間犯案早已不是什麼新聞。像這麼盛大的活動,正是網路犯罪集團海撈一票的最佳時機。在近幾年的大型運動賽事當中,最受網路犯罪集團關注的莫過於奧林匹克運動會世界盃足球賽

[延伸閱讀:Sports-related cybercrime examples]

這些攻擊行動通常會利用一些屢試不爽的犯罪工具和技巧 (如垃圾郵件網路釣魚) 來誘騙那些沉醉在歡樂氣氛當中的使用者。在今年的世界盃足球賽期間,我們發現了幾個相當厲害的社交工程詐騙範例,成功引誘了使用者下載惡意程式。這些攻擊儘管相當單純,但卻經常能夠成功,原因就在於人們的好奇心以及龐大的關注人口。

Android 惡意程式偽裝成影音串流應用程式

全球有數百萬人無法經由官方頻道來觀賞賽事,因此他們會尋找一些可讓他們免費即時觀賞比賽的影音串流應用程式和網站。所以,數千人同時透過某個應用程式來觀賞同一場比賽的情況也就不令人意外。其中一個我們發現的影音串流應用程式 (趨勢科技命名為 AndroidOS_DarDesh.HRX),表面上看似正派,但其實暗地裡會散布 Android 惡意程式。

此應用程式是透過一個專門介紹熱門球員 (如梅西和羅納度) 的網站來散布:

當然,該網站還提供了一些使用者所沒料到的內容。當使用者在 Android 裝置上點選網頁上的「Download Now」(立即下載) 連結時,就會下載並安裝一個惡意程式。

此惡意程式會出現各種惡意行為,包括搜尋和竊取感染裝置上的各種資訊:

  • Android 裝置名稱
  • 定位資訊
  • 發送和接收到的簡訊
  • 暗中側錄電話內容的音訊檔
  • 外接裝置上的檔案 (PDF、txt、doc、xls、xlsx、ppt、pptx)

繼續閱讀

趨勢科技歷年來打擊網路犯罪成果

趨勢科技與美國特勤局聯合研究專案捍衛全球網路安全超過十年 ,請檢視以下時間表,瞭解在公私部門合作下,歷年來打擊網路犯罪的重大成果。

信用卡盜刷時代 :2000-2010 年

地下網路犯罪的發展,可能是源自俄國的信用卡盜刷論壇和市場,罪犯透過這些途徑,將遭竊的支付卡資訊提供給有心人士,以供進行身分竊盜或釣魚式攻擊。支付卡持有人經常遭受釣魚式攻擊,使得網路罪犯可以無限制地存取其個人識別資訊 (PII)。遭竊的詳細資訊會出售給其他罪犯,供其生產偽造支付卡。這些網站中最龐大的可能是 Dmitry Ivanovich Golubov 和 Roman Vega、Vladislav Anatolievich Horohorin 在 2001 年共同建立的 CarderPlanet

 

2003 3

    • CarderPlanet 首腦 Vega (又名 Boa/Roman Stepanenko/Randy Riolta/RioRita) 在塞浦路斯被捕並引渡回美國
    • 美國特勤局

2004 10

    • 28 名涉嫌參與 CarderPlanet 和類似網路的罪犯被捕 (21 名在美國,另 7 名在 6 個不同國家)
    • 美國特勤局及夥伴

2005 7

    • CarderPlanet 創始人 Golubov (又名 Script) 被捕
    • 美國特勤局與烏克蘭政府

2007 8

2009 1

    • CarderPlanet 首腦 Vega 俯首認罪
    • 美國特勤局

2009 5

2010 3

2010 8

    • CarderPlanet 首腦 Horohorin (又名 BadB) 在法國被捕並引渡回美國
    • 美國特勤局與法國政府

資料外洩年:2011年

2011 年受封為「資料外洩年」,全球企業受創於目標型漏洞攻擊,並損失了價值形同於「新型數位貨幣」的寶貴資訊。這一年對於資安產業倍具挑戰,若干受害企業遺失機密資料,並花費大筆金錢彌補損失,導致商譽受損。RSA 與 Sony PlayStation 等受害者別無選擇,只能公開揭露基礎設施遭到攻擊的事實,以確保客戶獲得適當的補救方案。 繼續閱讀

《資安新聞周報》AI 能產生以假亂真的假指紋 / 什麼是無檔案病毒攻擊?/微信新詐騙「語音複製」

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

 媒體資安新聞精選:

資訊月登場 720度虛擬飛行體驗超吸睛   中央通訊社

資訊月登場 主題館 4 大亮點齊發      Pchome 新聞

電競筆電三萬有找 資訊月懶人包一次看  ETtoday新聞雲

樂齡智慧生活教室 以科技守護健康  工商時報

惡意廣告攻擊行動在48小時內挾持3億次的行動瀏覽期間  iThome

俄廣告詐騙集團橫行 美公司損失數千萬美元  中央廣播電臺

Mirai 殭屍網路捲土重來,這次瞄準Linux伺服器    iThome

有半數釣魚網站都會讓你以為它是安全的        Engadget中文版

微信新詐騙「語音複製」多人中招 山寨朋友圈僅需5秒      ETtoday新聞雲

銀行木馬研究報告 銀行木馬Emotet已在全球建立了721個C&C伺服器   iThome Weekly電腦報

使用者資安意識倒退嚕!75%會在多個應用系統配置相同密碼    iThome

指紋辨識就安全了嗎?研究:AI能產生以假亂真的假指紋  iThome 繼續閱讀

趨勢科技榮獲台灣最佳國際品牌調查第二名,品牌價值持續成長達美金14.95億元 !

30年持續創新進化  締造連續 16 年獲獎肯定

【2018年11月30日台北訊】2018年「台灣最佳國際品牌調查」結果於今日揭曉,全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)連續16年入榜,並拿下第二名殊榮,品牌價值持續成長達美金14.95億元!趨勢科技不僅在營運上表現亮眼並持續成長,在專業技術領域上,趨勢科技獲Gartner 於2018年入侵防護系統神奇象限定位為領導者、連續四年榮獲 NSS Labs 推薦奪得NSS Labs 評測100% 入侵偵測率的完美成績,產品 Deep Security 則榮獲 Info Security Products Guide 頒發2017年全球卓越獎 (Global Excellence Awards) 雲端防護類別金牌獎。此外,趨勢科技並持續投入全球公民計畫與資安教育推廣,鼓勵員工貢獻時間、分享所學、愛心回饋以期為社會盡一份心力。

趨勢科技榮獲2018年「台灣最佳國際品牌調查」第二名殊榮,由台灣區暨香港區總經理洪偉淦代表受獎。
【圖說】趨勢科技榮獲2018年「台灣最佳國際品牌調查」第二名殊榮,由台灣區暨香港區總經理洪偉淦代表受獎。

 

在全球化市場的激烈競爭下,為鼓勵台灣品牌與國際接軌,經濟部工業局持續與國際知名英國品牌顧問公司 Interbrand 合作舉辦「台灣最佳國際品牌價值調查」,透過量化財務及質化構面分析為台灣企業評估具體品牌價值,標示其在全球市場競爭力的具體座標。過去30年來,趨勢科技從個人電腦、網際網路到雲端運算時代一路創新,從防毒專家進化資安巨人,如今進入人工智慧及物聯網 (AI & IoT) 時代,趨勢科技更持續投入頂尖技術研發,運用AI創新技術推出多層式防護解決方案,從企業營運至消費者個資皆提供完整保護。 繼續閱讀

Outlaw駭客集團散播殭屍網路來進行虛擬貨幣挖礦、網路掃描和暴力破解

趨勢科技在之前發表過使用IRC殭屍網路的Outlaw駭客集團。而本篇文章將會繼續介紹該集團殭屍網路的主機部分,我們發現它試圖在我們的IoT蜜罐系統上執行腳本。殭屍網路利用工具 – haiduc在網路上找尋目標並用常見的命令注入漏洞來進行攻擊。一旦成功就會在目標系統上執行腳本min.sh(趨勢科技偵測為Coinminer.SH.MALXMR.ATNJ)。

我們這次發現兩個版本的Outlaw變種。第一個版本所用的腳本有兩個功能:挖礦程式和Haiduc工具。挖礦程式也有兩種格式。一種是純文字的bash/Perl腳本,另一種是混淆過的Perl腳本來避免被內容檢測入侵防禦系統(IPS)/防火牆所偵測。

而第二個版本主要是用於暴力破解,並且會進一步攻擊Microsoft遠端桌面協定和雲端管理cPanel來提升權限。而伺服器列表也顯示出漏洞攻擊的意圖,這份列表內的伺服器執行著有已知漏洞的程式庫libc.so.6。

 

第一個版本變種概述

下載的挖礦程式會用同時可在Linux和Android上執行的程式來挖掘門羅幣。這支挖礦程式會先檢查系統上是否有其他執行中的挖礦程式。如果發現,此腳本就會終止之前挖礦程式並執行自己的程式。這表示這隻殭屍程式可以劫持其他殭屍網路的挖礦活動。要注意的是,有些Mirai變種也具有相同的功能,但跟某些Mirai變種不同的是,這隻殭屍程式不會修補受害者來保護他們避免被再次感染。

開始挖礦後,殭屍網路會檢查程序列表來確認挖礦程式確實在執行中。如果沒有,就會再次下載惡意檔案並重新啟動挖礦程序(包括檢查是否存在其他挖礦程式)。

此過程讓駭客可以從其他攻擊者手上偷走入侵的挖礦主機,並用更新版本的挖礦程式來重新感染主機,能夠在這些攻擊者的XMR錢包被劫持後繼續運作。

一旦開始進行挖礦,挖礦程式就會回報給放有隨機名稱PHP腳本的被入侵網站。

腳本的另一功能負責散播殭屍網路。它所使用的是haiduc,我們之前就注意到它是Outlaw駭客集團主要使用的工具。這支haiduc工具會先暴力攻擊運行SSH服務的有漏洞主機。它所用的列表以PHP腳本形式放在被入侵網站上。一旦暴力破解成功,就會執行擴散殭屍網路的命令。它會安裝被入侵網站所提供的min.sh腳本。接著根據PHP腳本設定來掃描目標,並用電子郵件將結果寄給殭屍網路管理員(寫在其中一個PHP腳本內)。我們在之前的文章中提到此集團會利用IRC bot來形成殭屍網路,但這次是利用PHP來控制殭屍網路。不過挖礦程式和haiduc工具仍來自同一組織。

殭屍網路會從hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。奇怪的是,該網域會在原始碼中嵌入Google Analytics腳本,可能是為了讓殭屍網路管理員監控攻擊活動。目前此網域會被導到籃球聯賽積分榜網站。Outlaw駭客集團一直都使用著此項技術,並且很明顯地,透過PHP漏洞攻擊更多網站來取得新的C&C或內容派送伺服器是他們的核心活動之一。 繼續閱讀