趨勢科技 之前討論了「破壞性」美國聯邦調查局安全通報和關於WIPALL惡意軟體家族的分析及其對索尼影視(Sony Pictures)大規模駭客攻擊的直接關聯。
在此篇文章中,我們將進一步討論其他 WIPALL惡意軟體變種和它們與索尼影視(Sony Pictures)員工受感染電腦內所見#GOP警告相關的主要行為。下面是對此文章所要討論感染鏈的概述:
BKDR64_WIPALL.F停用McAfee服務
WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數(-a、-m、-d、-s)執行數個自身複本,其中包含其主要行為。
圖1、BKDR_WIPALL.C的主要惡意軟體行為
趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。
美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。
下面是趨勢科技的調查分析結果:
BKDR_WIPALL惡意軟體分析
我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。
這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:
圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼
這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。
圖2、惡意軟體登入到網路的程式碼片段 繼續閱讀
作者:Raimund Genes(趨勢科技技術長)
今日的科技真是日新月異,才一、二十年前,我們還在使用像磚塊般大小的行動電話,而網際網路的速度也只不過今日的百分之幾。現在,我們口袋裡就帶著一台強大的電腦,連手錶都是電腦,而且只需一點時間,就能將整套圖書下載到電腦上。
然而這些好處是要付出代價的。其中之一就是這些方便服務背後的廠商將如何透過這些服務蒐集關於客戶的資料:客戶使用服務的方式、時機、地點、對象及動機。事實上,廠商從不透露他們這些行為,通常是靠著某個用心的使用者才得揭發,因此經常轟動一時,甚至演變成醜聞。
資料蒐集是否真的那麼讓人不安?每家公司都會這麼做。例如,Amazon 會記住您的購買、瀏覽和搜尋記錄,然後在您登入時提供一些建議,節省您的時間和力氣。甚至咖啡店也會記住客人的點餐習慣,並且親切地詢問客人是否要和「平常」一樣。如果他們所蒐集的資訊有助於改善服務,而非用於其他祕密或不法用途,那麼,資料蒐集真的對我們不利嗎?
坦白說,我並不覺得,只要在適當的條件下即可。請參考我探討這項敏感議題的影片。
若您喜歡這篇文章,請訂閱我的 RSS 頻道!
◎原文來源:資料蒐集是一把雙面刃 (Data Gathering Is a Two-Way Street)
國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。
如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。
根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。
社交工程在eBay入侵外洩事件中扮演重要角色
如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ),這已經成為網路犯罪戰略的一部分:
在eBay案例中,社交工程(social engineering )做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。
攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。
eBay外洩事件的長期影響:更多社交工程
社交工程(social engineering )會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。
但社交工程(social engineering )會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。
「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」
魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。
企業可以做些什麼來避免像eBay這樣的事件?
eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:
去年, 數位隱私相關攻擊震驚了全世界。今年,我們相信,儘管各界正努力恢復隱私權保障,但「大眾的不信任將依然不變」。一項新的作法就是使用所謂的「限期張貼 App 程式」,這類程式只將訊息、照片或其他多媒體內容張貼一段時間,且一旦檢視之後就永久刪除。
不過,最近發生的一起案例卻提醒我們,完全信賴 App 程式所宣稱的隱私保障是不智之舉,因為連廠商自己都可能發生資料外洩。曾經發生這樣一起案例,某個這類私密性 App 程式的伺服器因其程式開發介面 (API) 缺乏防範不當存取的安全措施而遭到攻擊。
現在既然知道了,我們就應該謹慎挑選自己所要下載的 App 程式,別太在意廠商那些可能做不到的承諾。
當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】
