有一句老話說:「歷史不停重演」。對於相信會隨著時間而產生周期性模式的人來說,這句格言肯定是真的。
今天,我們將把這樣的思維應用到網路犯罪領域。在駭客的歷史裡出現過各種趨勢,包括精細的系統入侵攻擊以及圍繞特定業務目標發展的技術。
但有一點不變是 – 網路犯罪分子持續在演化,隨著他們攻擊策略的演進,企業防護也在不斷地發展。
最近,趨勢科技與美國特勤局聯手對網路犯罪演變進行了深入研究。這份報告探討了近二十年的駭客攻擊及惡意活動,不僅描繪了網路犯罪分子行為值得注意的情況,還可以協助IT管理員和決策者來制定未來的安全策略方向。
這份研究始於從2000年到2010年間所謂的「卡片時代」。在這十年間,一些最知名的網路犯罪活動都跟卡片資料的竊盜及地下販賣有關,背後則是俄羅斯的網路犯罪分子和卡片論壇。
在這些案例中,消費者信用卡和簽帳金融卡的詳細資料被竊,然後放到俄羅斯網站上出售,網路犯罪分子可以在這些網站上購買這些資料並用來作為網路釣魚(Phishing)
繼續閱讀今日的網路犯罪情勢和十年前絕大多數犯罪集團皆自行開發工具或聘請人員幫忙開發的情況大不相同。過去,由於牽涉到高深的技術和知識,因此全球各地的網路攻擊大多由具備程式設計能力的電腦駭客所為。但隨著時間發展,這些駭客也開始形成自己的圈子,彼此分享網路攻擊的知識和工具,以及經營之道。這些圈子後來演變成了網路市集,讓駭客能將自己最先進的工具賣給網路犯罪集團使用,而且網路犯罪集團的攻擊通常更具破壞力。
今日,這些市集依然以特殊的網站或地下論壇的形式存在。雖然開發工具的駭客最了解自己的工具如何使用,但他們通常不想背負犯罪的刑責,因此便將工具賣給別人,而買家當然必須自行承擔使用這些工具的後果。所以,駭客通常只管將自己的工具拿到地下論壇販售,不在乎購買的人將如何使用。
本文將探討這些駭客如何在地下論壇上兜售其產品以及其銷售的技巧,尤其是一些類似合法軟體的銷售及行銷手法。
地下市集上充斥著各式各樣專為網路犯罪集團設計的產品。儘管並非所有軟體都是針對惡意用途而設計,但絕大多數都有犯罪上的用途,而有些毫無疑問就是專為不法用途而設計。
這些工具大致可分成以下幾類: 繼續閱讀
2017 年 4 月 14 日,The Shadow Brokers (TSB) 駭客集團公開了一批名為「Lost in Translation」的駭客工具和資料。這批公開的資料當中包含了多個關於 Server Message Block (SMB) 和 Remote Desktop Protocol (RDP) 兩個通訊協定以及一些協同作業與網站伺服器軟體的零時差遠端程式碼執行漏洞。此外還有 EternalBlue、EternalChampion、EternalSynergy、EsteemAudit、EchoWrecker、ExplodingCan、EpicHero、EWorkFrenzy 等漏洞攻擊套件。
此外,這批資料還包含一些駭客在成功入侵之後可植入系統的惡意程式和工具,以便能夠:持續掌控被感染的系統、避開安全驗證、從事各種惡意活動,並與遠端伺服器建立幕後操縱 (C&C) 通訊等等。在這類植入系統的惡意程式當中,最值得注意的有五個:DoublePulsar、PeddleCheap、ExpandingPulley、KillSuit (KiSu) 和 DanderSpritz,它們各自擁有不同的能力、功能和用途。
除此之外,還有一個非常特別的惡意程式,那就是 ExpandingPulley (EP) 主要資料夾「\windows\Resources\Ep\」底下一個名為「clocksvc.exe」的獨立執行檔。這個惡意程式從未獲得公開關注,只曾經在一份 CYSINFO 的報告當中被提到它會連上某個 IP 位址。我們將這個惡意程式命名為 Tildeb (趨勢科技正式命名:Trojan.Win32.TILDEB.A),因為它會在系統上產生一個名為「~debl00l.tmp」的特殊暫存檔。 繼續閱讀
到底在「鬼叫」什麼?漆黑的客廳發出令人發毛的笑聲 小孩房常出現怪聲 嬰兒每天受驚”罵罵耗”你家的數位設備也在過萬聖節?!
是有人搞怪搗蛋,還是你的數位設備撞邪了?!快來找線索
快嚇破膽的小朋友發現監視器的攝影鏡頭竟然還會跟著他移動,那鬼魂般的聲音接著說:「看看是誰來了…」
趨勢科技隨時都在監控網路資安威脅情勢的發展,透過這樣的過程,我們就能進一步了解歹徒幕後的運作。這次我們深入追查了某個不知名的駭客集團與 Confucius、 Patchwork 及 Bahamut 等集團之間的可能關聯,看看他們之間有何相似之處。我們暫時將這個不知名的集團稱為「Urpage」。
Urpage 之所以引起我們注意,在於它攻擊的目標為一個烏爾都語與阿拉伯語專用的文書處理程式,叫做「InPage」。此外,歹徒也使用了一個 Delphi 後門元件 (這一點和 Confucius 及 Patchwork 相似),並且使用了一個和 Bahamut 類似的惡意程式,正是這樣才會讓人覺得 Urpage 與上述幾個知名駭客團體有所關聯。在我們之前的一篇文章當中,我們已探討過 Confucius 和 Patchwork 之間共通的 Delphi 元件。也稍微提到 Urpage 和兩者之間有所關聯。這一次我們將深入研究 Urpage 與這幾個團體有何共通之處。
假冒網站
Bahamut 與 Urpage 之間的關聯,最明顯的就是後者有多個 Android 應用程式樣本的程式碼與 Bahamut 的程式相同,但卻連接至 Urpage 的幕後操縱 (C&C) 網站。而且某些 C&C 網站同時也是網路釣魚網站,專門引誘使用者下載這些應用程式。歹徒建立這些假冒網站來介紹這些應用程式並提供連結讓使用者至 Google Play 商店下載,例如「pikrpro.eu」這個惡意網站就是一例,見下圖:
還有另一個網站也是模仿得跟原本的網站很像,只有在標誌和頁面上方的選項稍有不同。當然,假冒網站當中的連結都已經換成指向惡意 Android 應用程式的網址。