趨勢科技研究人員發現了一個新的 PowerGhost 變種會利用 EternalBlue(永恆之藍) 、MSSQL 和 Secure Shell (SSH) 暴力破解等攻擊手法來感染 Linux 系統,但根據以往的認知,此惡意程式只會攻擊 Windows 系統。
PowerGhost 是一個無檔案式虛擬加密貨幣挖礦程式,專門攻擊企業伺服器和工作站,能夠隱藏自己並將自己散布至各種端點和伺服器,它所利用的是 Windows 內建的 PowerShell 工作自動化與組態管理工具。不過,現在這項威脅也開始擴散至 Linux 系統。
我們偵測到的 PowerGhost 變種會根據受害電腦的作業系統來使用不同的惡意程式。在 Windows 系統上,它會使用以 PowerShell 為基礎的 PowerGhost (就像之前的變種),在 Linux 系統上則是使用一個包含多重元件的惡意程式。
| [延伸閱讀:濫用 PowerShell 的無檔案病毒興起】 |
趨勢科技架設的某個誘捕環境在一個遭到入侵的網站 (hxxps://upajmeter[.]com/assets/.style/min) 上偵測到虛擬加密貨幣挖礦攻擊。歹徒在該網站上插入一些指令來下載其主要指令列腳本 (shell script),也就是趨勢科技偵測到的 Trojan.SH.MALXMR.UWEJS。這個挖礦程式由多個元件所組成,包括不同的 Perl 和 Bash 腳本、二進位檔案、應用程式隱藏工具 Xhide 以及一個掃瞄工具。此挖礦程式在散布時會掃瞄電腦是否含有某些漏洞,且會利用暴力登入方式 (主要是使用預設的登入帳號和密碼) 來入侵電腦。
根據我們對該威脅的分析顯示,惡意檔案會在一天當中執行多次,定期將受感染電腦的最新狀況回報給幕後操縱 (C&C) 伺服器。感染過程當中使用的指令列腳本也會下載一些包含其掃瞄工具、執行程序隱藏工具,以及最終惡意檔案的壓縮檔。
除此之外,這項威脅還會利用一個執行程序隱藏工具來隱藏挖礦程式的二進位檔案,讓一般使用者更不容易注意到歹徒的挖礦活動,頂多只會發現電腦效能變慢,以及某些可疑的網路流量。這是歹徒用來掩蓋其掃瞄、暴力登入與挖礦活動的一種已知手法。
繼續閱讀12月 13日是2019年的最後一個黑色星期五, Friday 13th 黑色星期五在 1987 年發病以來已經超過 30歲。黑色星期五,這是個被西方社會認為是不幸、不吉利的日子。據英國《每日郵報》報導,黑色星期五當天發生的交通事故比平日高出 13 個百分點。
根據趨勢科技統計,13 號星期五當天發病的已知病毒也有五隻。但是這些病毒屬於低度風險的病毒,相較於隱藏在頁面後面看不到的威脅,它的傳播力與破壞力已經不足以構成威脅了。取而代之的是近年超熱門的五大類型網路詐騙 。
雖然「黑色星期五」病毒,曾經傳出嚴重的災情,甚至在 1996 年度高居趨勢科技病毒排行榜第二名,當年發病時會讓 A 磁碟機一直在亮燈狀態,並顯示 “ We hope we haven‘t inconvenienced you” 訊息的黑色星期五,已經邁入毫無戰鬥力的退休狀態。
33歲對電腦病毒而言,卻是人瑞級電腦病毒,甚至可說是大量病毒爆發時代走入歷史的時刻,當年「Friday 13th-13號星期五」病毒上身時,A磁碟機會一直在亮燈狀態。「Friday 13th-13號星期五」的變種病毒很多,包括,Edge、Friday 13th- 540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B 等。事實上,感染方式相差無幾,包括增加文件長度、擴大感染範圍、出現令人哭笑不得的訊息。
另外一隻專門在13號星期五發病的知名病毒是「耶路撒冷病毒」,1987年11月耶路撒冷病毒在以色列的Hebrew大學被發現。雖然它和「13號星期五」的生日只差一個月,但感染的後遺症卻比前者嚴重。中毒電腦會出現系統執行速度變慢的現象,每逢13號星期五會在螢幕左下方出現黑色視窗,並會刪除正在執行的程式。
-2018年7月13 日黑色星期五當天,宜蘭在地十年漫畫店因為勒索病毒宣布結束營業
繼續閱讀一家資安廠商在歐洲某國際機場半數以上的電腦工作站上發現了 XMRig 挖礦病毒,而這些電腦竟然還安裝了某款業界標準的防毒軟體。根據報導指出,該資安廠商 Cyberbit 是在執行一項端點產品的標準安裝程序時發現了這項在背後暗中執行的攻擊,其所使用的惡意程式就是 2018 年 8 月由 Zscaler 發現的 Anti-CoinMiner 惡意程式。受害的系統除了耗電量變大之外,並未影響到機場的營運。
利用一個未修補的資安漏洞發動攻擊已經夠令人擔憂了,然而同時經由八種漏洞攻擊手法來暗中竊取您的企業資產、資料及客戶資訊,則完全是另一個境界。
趨勢科技發現一個專門攻擊網站伺服器、網路磁碟及可卸除式磁碟的最新惡意程式家族,它利用了多種網站伺服器漏洞攻擊手法以及所謂的「字典攻擊」(dictionary attack)。這個惡意程式叫作「BlackSquid」(以其所建立的系統登錄與主要檔案來命名),是一個相當危險的惡意程式,原因有幾點。首先,它在面對所處環境時,會運用反制虛擬環境、反制除錯、反制沙盒模擬分析的技巧來判斷自己是否要繼續執行安裝程序。此外,它也具備類似蠕蟲的行為,能自我複製並四處擴散。同時,它更利用了當今最知名的一些漏洞攻擊手法,如 EternalBlue、DoublePulsar,以及 CVE-2014-6287、CVE-2017-12615、CVE-2017-8464 等三項漏洞的攻擊手法,並且會攻擊三種不同版本 ThinkPHP 的漏洞。
除此之外,網路犯罪集團似乎也在測試該惡意程式當中的一些技巧是否可行,以作為後續發展的參考依據。目前我們所蒐集到的樣本,最終會安裝一個 XMRig 門羅幣 (Monero) 挖礦程式。不過,BlackSquid 未來還可能再結合其他惡意程式。
根據我們的監測資料指出,五月份的最後一週,BlackSquid 攻擊數量出現最多的地區是泰國和美國。
BlackSquid 可經由三種管道來感染系統:經由造訪已感染的網站伺服器而讓使用者電腦遭到感染、經由漏洞攻擊來感染網站伺服器、經由可卸除式磁碟或網路磁碟來感染。當以下至少一個條件成立時,它會立即中斷感染的行為以避免被偵測或攔截: