2017年 
2月,許多的波蘭銀行回報在系統上出現未曾偵測到的惡意軟體變種。受影響的銀行報告了異常行為,包括連到國外的網路流量、加密的可執行檔和使用者工作站上的惡意軟體。惡意軟體分析顯示一旦其下載到工作站後,它會連到外部伺服器並且進行網路探勘、橫向移動和資料流出。
該惡意軟體被懷疑是放在波蘭金融監管局(該國的金融監管機構)網站上。有意思的是,研究人員還發現有證據顯示攻擊所用的程式碼跟墨西哥全國銀行及證券監察委員會及烏拉圭銀行所發生攻擊事件內的程式碼相似。
有跡象顯示針對波蘭銀行的攻擊屬於更大規模全球性攻擊活動的一部分,這波攻擊活動針對31個國家的104個金融組織。攻擊者入侵了目標組織的網站,注入惡意程式碼來將訪客重新導向會安裝惡意軟體的漏洞攻擊套件。漏洞攻擊套件是種用來感染訪客的客製化工具,特別是使用目標金融機構所擁有IP地址的使用者。 繼續閱讀
根據趨勢科技企業版行動安全防護所回報的資料,2016 年企業感染最多的是一些可能有害的程式 (如 越權廣告程式) 以及間諜程式、銀行木馬程式、Root 改機木馬程式和簡訊木馬程式。
6,500 萬:這就是趨勢科技2016 年所攔截到的行動威脅數量。截至 2016 年 12 月為止,我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬,較 2015 年的 1,070 萬有著飛躍性成長。
事實上,行動裝置在消費者與企業機構之間不斷普及,以及背後的技術不斷進步,正是行動威脅爆炸性成長、不斷複雜化、不斷強化的動力。
儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。隨著企業採取 BYOD 政策或配發行動裝置的情況更加普遍,更多企業也開始感受到行動惡意程式的衝擊。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。
就全球來看,目前最普遍的是漏洞攻擊和惡意的 Root 改機程式 。但若單就日本來看,最盛行的反倒是行動勒索病毒,而美國最多的是暗中竊取資訊及收發簡訊的惡意程式。
根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務,以及 Smart Protection Network™ 全球威脅情報網的統計,再加上過去一年針對重大事件的外部研究資料,以下是 2016 年行動威脅情勢的幾項重點:
個人自備裝置 (BYOD) 在企業之間不斷普及,再加上員工開始透過智慧型手機來存取企業網路、服務及資產,都加深了行動威脅對企業的危害。相反地,我們並未看到任何專為企業而設計惡意程式。我們所觀察到的感染案例大多是因為一些連上企業網路並存取公司檔案的裝置下載並安裝了惡意應用程式 (而且經常來自第三方應用程式市集),例如,QVOD (趨勢科技命名為:ANDROIDOS_EHOOPAY.AXM) 就是一個偽裝成視訊播放器的惡意程式。它會擅自替使用者註冊一些高費率的 SMS 簡訊服務,讓使用者的電話帳單爆表。此外,還有偽裝成手機優化程式和休閒小品的 DressCode 資訊竊取程式 (ANDROIDOS_SOCKSBOT.A) 以及偽裝成 Android 作業系統更新和遊戲程式的 Jopsik 間諜程式 (ANDROIDOS_JOPSIK.OPSLB)。
根據趨勢科技企業版行動安全防護所回報的資料,2016 年企業感染最多的是一些可能有害的程式 (如 越權廣告程式) 以及間諜程式、銀行木馬程式、Root 改機木馬程式和簡訊木馬程式。偵測數量最多的國家分別為:中國、法國、巴西、德國和波蘭。
圖 1:企業行動惡意程式偵測數量 (2016 年 1 月至 12 月)。
圖 2:企業感染行動惡意程式最多的國家。 繼續閱讀
趨勢科技發現了稱為Alice的新ATM 自動提款機惡意程式,這是我們遇到最精簡的ATM惡意軟體。與其他ATM惡意軟體不同,Alice不能透過數字鍵盤控制;也沒有資料竊取功能。它就是設計來清空ATM的錢。我們依照惡意檔案內的版本資訊”Project Alice “,將這新惡意軟體家族偵測為 BKDR_ALICE.A。
趨勢科技在2016年11月首次發現Alice 這隻ATM惡意軟體,這是我們和歐洲刑警組織網路犯罪中心(Europol EC3)的ATM惡意軟體共同研究計畫的成果。我們收集了一份雜湊值清單並從VirusTotal取得對應的檔案作進一步地分析。其中一個程式最初被認為是Padpin ATM惡意軟體的新變種。不過經過逆向工程分析後,我們發現它屬於全新的家族,趨勢科技將其稱之為Alice。
ATM惡意軟體從2007年就一直存在著,但在過去九年間,我們只看到八種ATM惡意軟體家族,包括Alice。這趨勢在過去的二三年間大大地加速,大部分家族都在這時出現。
技術細節
Alice這名稱來自於內嵌在惡意檔案內的版本資訊:
圖1、Alice樣本的檔案屬性
根據執行檔編譯時間和Virustotal提交日期,Alice從2014年10月就已經出現。我們所發現的Alice樣本有用商用加殼/混淆程式VMProtect進行加密。這個軟體會檢查內嵌程式是否執行在除錯器中,如果是就會顯示以下錯誤消息:
在執行任何惡意程式碼前,Alice會檢查是否在適當的金融服務擴展(XFS)環境中執行,確保自己真的是在ATM上執行。它的作法是檢查以下註冊表項:
如果這些註冊表項不存在,惡意軟體假定環境不對而將自己終止。Alice還需要系統有安裝以下DLL:
根據XFS檢查成功與否,Alice會顯示認證視窗或一般錯誤訊息框:
圖3和圖4、執行後的訊息框。如果XFS檢查成功會顯示上方的認證視窗。如果檢查得出否定結果則顯示下方的錯誤訊息。
當第一次執行時,Alice會在根目錄建立大小為5MB的空檔案 – xfs_supp.sys和錯誤日誌檔 – TRCERR.LOG。第一個檔案用零填滿而沒有寫入任何資料。第二個檔案(TRCERR.LOG)是惡意軟體用來寫入執行期間所發生任何錯誤的日誌檔案。所有XFS API調用及對應的訊息/錯誤都會被記錄。此檔案在移除時不會從機器中刪除。它會留在系統上以便將來進行疑難排除,也可能是惡意軟體作者忘記清理它。
Alice連接到CurrencyDispenser1周邊,這是XFS環境中出鈔機的預設名稱。Alice不會連接ATM其他的硬體;因此犯罪分子不能透過鍵盤輸入任何指令。如果Alice連接CurrencyDispenser1失敗並不會將自己終止,而只是記錄錯誤。
上圖的PIN輸入提供向Alice惡意軟體發出指令的方法。有三個指令可以輸入:
| PIN碼 | 指令說明 |
| 1010100 | 解密和植入sd.bat到現在目錄。這個批次檔用來清理/移除Alice。 |
| 0 | 結束程式並執行sd.bat。還會刪除xfs_supp.sys。 |
| 基於ATM終端ID的特定4位數 | 開啟「操作面板」 |
如果輸入PIN碼時發生多次錯誤會導致出現以下視窗,並且讓惡意軟體自行終止:
圖5、錯誤消息
輸入正確PIN碼可以讓Alice開啟「操作面板」。這是會顯示機器內各個裝錢匣的視窗,讓攻擊者可以找時間偷走。(因為我們是在測試環境執行此惡意軟體,所以示範畫面看不到任何顯示。)
圖6、操作面板
車手可能需要重複操作多次,以吐光裝錢匣內所有的現金。
注意,裝錢匣編號輸入「0」或「9」也會執行sd.bat並刪除xfs_supp.sys。
當車手在操作面板輸入裝錢匣編號時,CurrencyDispenser1周邊透過WFSExecute API送出吐鈔指令將儲存的現金吐出。ATM通常有40張鈔票的吐鈔限制,因此車手可能需要重複操作多次以吐光裝錢匣內所有的現金。每個匣中儲存的現金數目會在螢幕上動態更新,因此車手知道離完全清空還要多久。
犯罪分子手動用Alice替換掉Windows工作管理員
Alice通常在受感染系統上以taskmgr.exe出現。雖然惡意軟體本身並不具備持久性方法,我們相信犯罪分子手動用Alice替換掉Windows工作管理員。任何調用工作管理員的指令也會調用Alice。
Alice惡意程式不使用ATM 機器實體鍵盤
Alice的功能很精簡,跟我們分析過的其他ATM惡意軟體不同,它只具備清空ATM鈔票的基本功能,只連接CurrencyDispenser1周邊,並不嘗試使用機器的實體鍵盤。合理推測是因為Alice的幕後黑手需要實際上去打開ATM,透過USB或CD-ROM感染機器,然後將鍵盤連到機器主機板來操作惡意軟體。
另一種可能性是透過遠端桌面來經由網路操作,類似泰國的駭客攻擊或其他最近的事件。不過我們還沒有看到Alice被這樣使用。輸入PIN碼到吐鈔間的時間長度顯示Alice被用在現場犯案。 Alice也沒有精心設計安裝或移除機制 – 只需在適當的環境中執行程式就可以運作。
Alice的使用者認證跟其他ATM惡意軟體相似。負責行動的車手從犯罪集團那拿到所需的PIN碼。他們輸入的第一個指令會植入清除腳本,輸入機器特定PIN碼可以讓他們使用操作面板來進行吐鈔。
暴力破解密碼會導致惡意程式自行終止
各個樣本的存取密碼不同,以防止車手繞過犯罪集團來共享密碼,也易於追蹤車手。我們的樣本密碼只有4位數,不過這很容易可以改變。想要暴力破解密碼會導致惡意軟體在達到輸入上限後自行終止。
因為Alice只檢查XFS環境且不執行其他硬體檢查,我們相信它被設計成可以在任何使用Microsoft金融服務擴展中介層(XFS)的硬體上執行。
關於使用加殼器:Alice使用商用VMProtect加殼器,但它並不孤單。我們也發現GreenDispenser使用Themida加殼,Ploutus使用Phoenix Protector加殼等等。
加殼會讓分析和逆向工程變得更加困難。一般惡意軟體已經使用這種技術多年,今日的惡意軟體會使用客製化的加殼器。那為什麼ATM惡意軟體作者才剛開始用加殼和混淆技術?
直到最近,ATM惡意軟體都是惡意軟體世界中的小眾,由少數犯罪集團用高度針對性的方式操縱。目前正處於ATM惡意軟體成為主流的分界點。各個ATM惡意軟體家族已經由許多資安廠商加以徹底分析和討論,這些犯罪分子現在已經開始發現需要將自己從資安界前隱藏起來,避免被發現和偵測。今天,他們使用商用加殼器;明天我們預期會看到他們開始使用客製化加殼器和其他混淆技術。
進一步的技術細節及各種ATM惡意軟體比較可以參考附錄。
入侵指標(IOC)
此次分析所用的檔案具備以下SHA256雜湊值:
@原文出處:Alice: A Lightweight, Compact, No-Nonsense ATM Malware 作者:David Sancho和Numaan Huq(資深威脅研究員)
趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名),會攻擊 Intel 和 ARM 處理器的 Linux 系統,因此一些內嵌式裝置也可能遭殃。(註:此 Rootkit 還真符合這隻神奇寶貝的特性,因為月精靈喜歡躲在黑漆漆的夜裡,所以與 Rootkit 的特性吻合。)
我們已針對這個 Rootkit 進行了詳細分析,並且將樣本提供給業界來協助資安界攔截此威脅。
編按: Rootkit是一種技術,用途在修改系統核心以便隱藏特定的檔案或是處理程序,甚至是登錄值.也因此常常會被病毒拿來利用作為躲避追查的手法之一
Umbreon 的發展始於 2015 年初,但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法,Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。
Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後,駭客即可經由該程式來遙控受害裝置。
何謂 Ring 3 Rootkit?
Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外,它也可用來開啟一道後門,或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。
這類程式有幾種執行模式,分別具備不同的存取權限:
此外,一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit,這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理,但這並不表示 Ring 3 的 Rootkit 就很容易清除。
Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件,但卻會攔截 (hook) 系統的核心函式庫,這些函式庫是一般程式呼叫系統重要功能的介面,例如:讀/寫檔案、產生執行程序、傳送網路封包。因此,就算是在使用者模式下執行,這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。
在 Linux 系統上,當某個程式呼叫 printf() 這個函式時,該函式會再呼叫同一函式庫內一連串的其他函式,如:_IO_printf() 和 vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組),反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式,不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。
跨平台功能
Umbreon 可在三個不同平台上執行:x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高,因為它並未用到任何綁定平台的程式碼:這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外,純粹是以 C 語言撰寫。
趨勢科技判斷作者應該是刻意這麼做,好讓 Umbreon輕鬆支援前述三種平台。
後門認證機制
Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取,只需透過一個外掛的認證模組 (PAM) 即可。
該使用者帳號的群組識別碼 GID (group ID) 很特別,因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式,因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面:
圖 1:SSH 登入畫面。 繼續閱讀
最近出現了一個獨特的 USB 資料竊取程式,專門攻擊非連網的系統。根據惡意程式分析師 Tomas Gardon 的發現,這個 USB Thief (USB 竊賊) 程式一旦進入某個系統,就能一次偷走大量的資料。
此惡意程式有幾項獨特的特徵,有別於傳統經由 USB 隨身碟及 Windows Autorun 自動執行功能感染電腦的惡意程式。此惡意程式感染電腦的能力非常獨特,甚至可感染沒有連網的電腦,而且不留下任何痕跡。Gardon 指出:「此惡意程式只經由 USB 隨身碟傳播,而且不會在受害電腦上留下任何痕跡。其作者更運用了一些特殊的機制來防止惡意程式被重製或拷貝,因此更難加以分析和偵測。」
USB Thief 利用了一連串的獨特技巧來附著到受害的系統以躲避偵測。它感染 USB 隨身碟的方式是將自己巧妙地插入一些免安裝綠色軟體 (如 FireFox、NotePad++ 及 TrueCrypt) 的執行指令當中。它會以附加元件或 DLL (動態連結程式庫) 的方式載入系統,然後在背後暗中執行。
USB Thief 可搭配某個大型駭客攻擊行動來竊取非連網系統上的資料,只要員工將受感染的 USB 隨身碟拿到隔離的系統上使用之後,再插回某台被感染的連網電腦時,駭客就能傳回竊取的資料。