資安 - 資安趨勢部落格

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

2018 年 01 月 03 日2018 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上？為什麼新漏洞出現時沒有發表深入地探討？”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣，不管是組織或個人，就會讓攻擊可以很容易的一再發生。

作者：Natasha Hellberg（趨勢科技資深威脅研究員）

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼，它們進入了更新的技術，然後包含在其他的技術中，我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”。

聽起來有點熟？我們總是拿到新東西就直接安裝，完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限，就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運，這些設備有加以防護，可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是，根據趨勢科技FTR團隊所做的研究，有幾十萬放在網際網路上的設備帶有漏洞（就是說可以被入侵）或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
設備/網頁竄改（defacement） – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
DDoS殭屍網路和攻擊激增工具（Booter） – 系統和設備漏洞成為攻擊他人的跳板

繼續閱讀

如何設定雙重認證/雙因子認證? 給網路帳號雙重的保障

2017 年 12 月 12 日2019 年 05 月 06 日趨勢科技TrendMicro

OurMine 是一個特立獨行的「資安團體」，宣稱專門提供個人和企業服務，但其實他們較為人所知的是專門駭入技術人員的社群網路帳號，尤其擅長駭入 Twitter 帳號。過去曾經受害的對象包括 Facebook 執行長 Mark Zuckerberg、Google 執行長 Sundar Pichai、Spotify 創辦人 Daniel Ek、Amazon 技術長 Werner Vogels，以及最新的 Niantic 執行長 John Hanke。

Niantic 是全球熱門手機遊戲《精靈寶可夢GO》(Pokémon Go) 的開發公司，儘管該遊戲目前在某些地區仍未開放，但玩家數量卻仍維持一定成長，而且已經出現了各種相關的網路犯罪。

繼續閱讀

2017 資安驚句票選結果

2017 年 12 月 12 日2018 年 02 月 06 日趨勢科技 TrendMicro

趨勢科技舉辦的【2017 資安驚句】票選, 共計1657 名網友進行投票,投票結果前三名為:

勒索病毒:「你的朋友太少,不駭你了!」
雅虎（Yahoo）表示: 「不是10億,而是30億帳戶遭駭」
癱瘓遊戲伺服器都是為了爸爸好的高中生:「希望老爸回神多關心家人，不要只沉迷線上遊戲」

●相關新聞事件:

勒索病毒:「你的朋友太少,不駭你了!」
趨勢科技發現新形態勒索病毒「LeakerLocker」，將受害者手機上的個人資料傳送至遠端伺服器，再要求支付贖金。不過，當受害者下載其中一款「Calls Recorder」惡意程式後，若是手機上沒有太多聯絡人、通話紀錄的話，程式便會自動停止執行，連「邊緣人」的錢都不想賺。>相關報導

雅虎（Yahoo）表示: 「不是10億,而是30億帳戶遭駭」

2013 年 Yahoo 遭駭，大筆資料外洩，原本以為是 10 億，沒想到 Yahoo 於 2017 年 10 月公布事實是 30 億個帳號通通曝光 >相關報導

延伸閱讀:從高中生、駭客、資安長到總統的【2017 資安驚句回顧】

其他得票結果排行:

- 癱瘓遊戲伺服器都是為了爸爸好的高中生:「希望老爸回神多關心家人，不要只沉迷線上遊戲」

繼續閱讀

惡意軟體識別工具Yara ,竟被惡意程式用來作弄資安研究人員

2017 年 07 月 25 日2018 年 12 月 19 日趨勢科技 TrendMicro

對絕大多數資安研究人員來說，Yara 是一個非常寶貴的惡意軟體識別工具，它可建立一些規則來追蹤惡意程式，讓許多資安研究人員的作業流程可以自動化。然而，儘管 Yara 可靠又好用，但卻不應當成監控最新惡意程式變種的唯一工具。

網路上可以找到很多 Yara 的規則，從 Yara-Rules 專案到本部落格文章所提供用來偵測惡意程式入侵指標 (IOC) 的 Yara 規則都有。除此之外，資安研究人員還可建立屬於自己的規則來偵測目前正在尋找的特定威脅，有時候並不會輸給網路上所提供的規則。

《延伸閱讀》透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

當 Yara 的某個規則被觸發時，它會產生警示來提醒研究人員採取進一步行動，包括啟動虛擬機器 (VM) 或除錯器和解譯器來查看被觀察的樣本到底試圖做些什麼，這對許多資安研究人員來說，算是家常便飯。

在趨勢科技監控威脅的過程當中，有一個惡意程式的樣本 (趨勢科技命名為 JOKE_CYBERAVI) 觸發了許多條 Yara 規則。我們第一次發現這個樣本的時間是在全球標準時間 (UTC) 2017-05-11 14:33:49。當查看該執行檔的 PE 標頭時，我們看到它的時間戳記是全球標準時間 12:57:16。換句話說，我們是在該檔案產生出來後的 90 分鐘左右就發現到該檔案。全部加起來，該檔案我們總共偵測到 26 次。

圖 1：JOKE_CYBERAVI 檔案屬性。

一開始，該檔案看起來還蠻有趣的，因為它似乎內建了某些防除錯機制。這類技巧通常是惡意程式為了防止研究人員利用反向工程加以研究。

圖 2：惡意程式的部分程式碼。

當查看該檔案的 PE 資源時，我們發現到有些奇怪，它有三段資源：RT_MANIFEST、CYB 和 LOL。沒錯，有個叫做「LOL」(放聲大笑) 的資源。繼續閱讀

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

2017 年 07 月 17 日2017 年 07 月 19 日趨勢科技 TrendMicro

強烈建議使用者不要使用Classic Ether Wallet的服務，因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣（古典以太坊，ETC），在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意，古典以太坊與 Ethereum（以太坊，ETH）是不同的，這是因為一次駭客事件讓以太坊社群分裂所造成。

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商，進而劫持了該網站

根據 Ethereum Classic的開發者，駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商，進而劫持了該網站（偽裝成高階主管或上級主管是常見的社交工程詐騙手法，常被用來取得寶貴資料）。經由此作法，駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來，讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件，並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告，不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導，數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者，讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限，詐騙者會鎖定受害者，從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難，因為交易在本質上是不可逆轉的。

除了社交工程外，還有其他更加複雜的威脅，尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上，而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年，我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進，有漏洞的物聯網（IoT ,Internet of Thing）設備成為首要目標。從數位錄影機到路由器和連網監控攝影機，惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年，我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統，可能會影響生產力和運作能力，進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統，需要小心警慎和積極作為：繼續閱讀