.IQY (Excel 的WEB查詢設定檔)惡意軟體是近幾個月的熱門話題,因此當它出現會使用PDF內嵌功能的新變種也就不令人意外了。新的變種仍然使用電子郵件作為感染載體。但它並非直接用.IQY檔案作為附件檔,而是使用內嵌.IQY檔案的.PDF文件檔。
這些垃圾郵件偽造了寄件者標頭,通常會在主旨裡使用四個隨機字母,郵件本文內的寄件者簽名檔偽裝成某家公司的高階職員(卻跟寄件者郵件地址對不起來),附件檔案會用當前日期作為檔案名稱來偽裝成一般檔案。
但如前所述,這PDF檔案內包含了.IQY檔案。使用者在遇到可疑附件檔時要特別地小心,尤其是當它來自未知來源時。可以的話,要禁止PDF閱讀程式自動開啟內嵌檔案。趨勢科技產品已經將此類附件檔偵測為TROJ_IQWAY.A。
原文來源: IQY Malware Now Embedded in PDF files as Attachments
2002 年,每天流通的垃圾郵件數量高達 24 億封。今日,這數字甚至已突破 3000 億之譜。2000 年代初期,垃圾郵件的內容大多以純文字為主,偶爾會冒充威而鋼廣告,且多由垃圾郵件散布者直接寄發,或者經由公開伺服器轉發。而收到信的使用者,其信箱開啟速度會變慢,網際網路連線速度也會受到影響。
機器學習技術能藉由分析大量的資訊或訓練資料來歸納出一些特徵,現在資安界整體已經能有效攔截 95% 的垃圾郵件,機器學習已成為攔截垃圾郵件的一項關鍵技術。
1978 年,美國國防部的先進研究計畫署網路 ARPANET 約有 400 多名使用者收到了一封有關新型電腦產品的郵件。原因是當時任職 Digital Equipment Corporation (DEC) 公司的一位行銷人員 Gary Thuerk 發現利用電子郵件在網路上宣傳電腦產品是個不錯的點子。雖然這些電子郵件確實引起了某些收件人的興趣,但也有部分人士不喜歡這類沒有署名的惱人廣告。幾年之後,網路資安界將這些不請自來的大量電子郵件產品或服務廣告統稱為「垃圾郵件」。
很不幸地,數十年前讓 Thuerk 意外成名的電子郵件行銷現在已被網路犯罪集團遠遠超越:2002 年,每天流通的垃圾郵件數量高達 24 億封。今日,這數字甚至已突破 3000 億之譜。在以往,數量如此龐大的垃圾郵件頂多就是讓系統效能變慢,但現在,垃圾郵件還會帶來一些意想不到的嚴重後果,尤其對企業更是如此,因為電子郵件已成為網路犯罪集團從事網路釣魚和其他惡意活動的主要途徑。
早期對抗垃圾郵件數量不斷成長的方法
自從第一封垃圾郵件在數十年前誕生至今,垃圾郵件的動機和散布方法已有大幅的演進。2000 年代初期,垃圾郵件的內容大多以純文字為主,偶爾會冒充威而鋼廣告,且多由垃圾郵件散布者直接寄發,或者經由公開伺服器轉發。而收到信的使用者,其信箱開啟速度會變慢,網際網路連線速度也會受到影響。為了解決這問題,垃圾郵件防護廠商開始提供出一些結合了雜湊碼與所謂「垃圾郵件特徵」的解決方案,讓 IT 人員可以手動撰寫一些過濾規則。
這項作法帶來了兩種結果:一方面,這的確發揮了正面效果:它擋掉了將近 50% 的垃圾郵件。但另一方面,專家也意識到,當面對每天平均高達 24 億封的垃圾郵件時,這樣的作法顯然效果有限。想像一下,若您已經深陷 30 英呎深的水池,就算抽掉 50% 的水,您還是會淹死。
垃圾郵件防護解決方案必須在垃圾郵件進入網路之前預先加以解決,如果等到郵件進來了再來處理,除了不切實際之外,更別說還必須面對潛在的風險。
為了提供更有效的垃圾郵件防護,業界已開始將希望寄託在機器學習技術,這項技術能藉由分析大量的資訊或訓練資料來歸納出一些特徵。其具體成果就是:現在資安界整體已經能有效攔截 95% 的垃圾郵件,因此機器學習已成為攔截垃圾郵件的一項關鍵技術。
運用機器學習偵測及攔截數十億封的垃圾郵件 繼續閱讀
儘管電子郵件詐騙存在已久,但至今 網路釣魚(Phishing)依然氾濫,因為就是有人上當。絕大多數收到這類惡意郵件的人都能分辨,並且直接將它刪除,只有少數人會真的開啟這些郵件。不過有趣的是,紐西蘭一家網路安全推廣非營利機構 Netsafe 開發了一種專門用來「詐騙」網路詐騙集團的人工智慧 (AI) 機器人。
使用者只需將疑似詐騙的郵件寄到 Netsafe 的電子郵件地址:me@rescam.org 就能啟動「Re:scam」人工智慧機器人軟體來反將詐騙集團一軍。該公司在收到電子郵件之後,會再次確認是否真的為詐騙郵件。一旦確認,就會利用一個代理郵件地址來和詐騙集團聯繫。他們會讓人工智慧機器人會發送大量與該詐騙相關的各種不同郵件到寄信人的電子郵件地址。Re:scam 的目的是要浪費詐騙集團的時間,因為其信件內容自然而不做作,看起來就像真的受害者上當之後回應歹徒詐騙的信件一樣。 繼續閱讀
北韓常被認為是單向的網際網路:駭客對外攻擊,沒有東西可以進去。各種事件如2014年的 Sony影業被駭以及一連串的全球性銀行網路劫案都被報導是來自北韓駭客所為。一部分的公開證據是因為網路連線來自北韓IP地址。該國被認為嚴格地掌控網際網路,所以有人可能認為這樣的網路內系統不會被入侵。但外國犯罪集團用來發送垃圾郵件的殭屍網路怎麼能夠在北韓活躍一年多呢?北韓電腦是否也可能遭受一般的惡意軟體感染?分配給北韓的IP地址空間是否都被用在該國?這些問題的答案對於將攻擊歸因給北韓駭客有什麼影響?
本文會總結我們對進出北韓網路流量所進行研究的發現。它檢視了這包含1024個IP地址的網段。北韓也使用國外的基礎設施。我們同時發現註冊為北韓使用的一些IP地址實際是由虛擬專用網路(VPN)服務商所使用,顯然是想欺騙Geo IP服務將外國的網路基礎設施標記為北韓。
我們會介紹來自該國垃圾郵件殭屍網路的垃圾郵件活動,對北韓網站的DDoS攻擊和它們與真實世界事件的關連,以及北韓網站所經常出現的水坑攻擊。就像是我們之前關於北韓發動針對性攻擊的部落格文章,我們的目標是揭開常見迷思的真面貌。
北韓的網際網路
北韓網際網路空間是經由中國上游服務商連到網際網路的4組Class C IP範圍(總共1024個IP地址)。從2017年10月1日開始,一家俄羅斯公司提供相同IP範圍第二條路徑。因為某些歷史原因,北韓有額外使用一組分配給中國聯通的Class C IP地址(256個IP)。該國也可能透過衛星網路連到網際網路。許多電信商都有提供此服務,但我們不知道到底有誰被允許使用衛星網路。
有數個IP範圍看似由北韓使用,如果你相信Geo IP定位服務以及Whois註冊資料來的IP地址資料。
| IP網段 | IP數量 | Whois註冊國家 | GeoIP | 真正國家 | 附註 |
| 175.45.176.0/22 | 1,024 | 北韓 | 北韓 | 北韓 | 分配給平壤的Star Joint Venture Co., Ltd. |
| 210.52.109.0/24 | 256 | 中國 | 中國 | 中國 | 借自中國聯通 |
| 5.62.56.160/30 | 4 | 北韓 | 北韓 | 捷克 | “PoP North Korea” – 由VPN服務商HMA使用 |
| 5.62.61.64/30 | 4 | 北韓 | 蒙古 | 捷克 | “PoP North Korea” – 由VPN服務商HMA使用 |
| 45.42.151.0/24 | 256 | 北韓 | 北韓 | N/A | Manpo ISP (Roya hosting) |
| 46.36.203.81 | 1 | 北韓 | 北韓 | 荷蘭 | VPN服務商 “IAPS Security Services” |
| 46.36.203.82/30 | 4 | 北韓 | 北韓 | 荷蘭 | VPN服務商 “IAPS Security Services” |
| 57.73.224.0/19 | 8192 | 北韓 | 北韓 | N/A | SITA-Orange |
| 88.151.117.0/24 | 256 | 北韓 | 俄羅斯 | 俄羅斯 | LLC “Golden Internet” |
| 172.97.82.128/25 | 128 | 北韓 | 北韓 | 美國 | “North Korea Cloud” – 由VPN服務商HMA使用 |
| 185.56.163.144/28 | 16 | 北韓 | 北韓 | 盧森堡 | VPN服務 |
表1、與北韓有關的IP範圍
有些虛擬專用網路(VPN)服務商聲稱擁有在北韓的出口節點(如例1、 例2)。這表示這些VPN服務的客戶可以選擇經由北韓出口節點瀏覽。這看起來是讓願意嚐鮮的使用者從北韓角度來體驗網際網路的奇特機會。但據我們所知,VPN服務商的說法並不正確。“北韓”出口節點實體位置是位於像盧森堡、捷克和美國的西方國家。該VPN服務商讓Geo IP服務相信他們有一台電腦伺服器在北韓,可能是將北韓國家代碼輸入到特定IP地址範圍的公共Whois資料。雖然VPN服務商可能會覺得這是個無傷大雅的行銷噱頭,但會讓依賴Geo IP服務的系統管理員在檢視系統上攻擊相關日誌檔時下了錯誤的結論。
圖1、HMA VPN服務表示它們有一個出口節點在北韓,但實際上這出口節點位在捷克。
JAVA_ADWIND是一個跨平台 DIY 專用遠端存取木馬程式(RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。該程式的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。
基本上,網路犯罪集團都是機會主義者。那個作業系統開始熱門,他們就會開發出對應的工具和攻擊技巧,藉此網羅更多受害者。這就是惡意程式為何希望能夠跨越各種不同平台。而且,若能再配合某種商業模式來將惡意程式賣給其他犯罪分子的話,效益就更高。
眼前就有一個案例:Adwind/jRAT (趨勢科技命名為:JAVA_ADWIND)。這是一個跨平台遠端存取木馬程式 (RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。
最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。
Adwind 幕後集團現正活躍
這起垃圾郵件攻擊正好呼應了趨勢科技對 JAVA_ADWIND 長期監控的研究結果。事實上,此惡意程式的偵測數量從今年初便持續穩定成長:從一月份的 5,286 增加至六月份的 117,649。另一點值得注意的是,JAVA_ADWIND 的偵測數量從五月至六月一下子暴增 107%,顯示犯罪集團正積極地散播該程式。
Adwind/jRAT 的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。Adwind 之前的版本大多用來攻擊銀行和丹麥企業,甚至會收編受感染的裝置來納入「Botnet傀儡殭屍網路」網路當中。
Adwind 身為一個跨平台 DIY 專用遠端存取木馬程式,它其實還有許多別名:jRAT、Universal Remote Control Multi-Platform (UNRECOM)、AlienSpy、Frutas 以及 JSocket。2014 年,趨勢科技曾經發現一個修改過的 Android 版 Adwind/jRAT,增加了數位貨幣採礦功能。而且由於它採用服務的經營方式,因此我們可以看到許多其他網路犯罪集團所開發的客製化版本與專屬功能。
圖 1:JAVA_ADWIND 從 2017 年 1 月至 6 月的偵測量。 繼續閱讀
