惡意程式 - 資安趨勢部落格

「Shrouded Crossbow」攻擊行動的駭客開發出UNIX 平台的 BIFROSE 惡意程式

2016 年 03 月 02 日2016 年 03 月 24 日趨勢科技 TrendMicro

趨勢科技最近遇到了一個針對 UNIX 以及「類 UNIX」系統所開發的 BIFROSE 惡意程式變種。這是由 Shrouded Crossbow (暗弩) 攻擊行動背後的同一批駭客所為，這批駭客同時也開發了 KIVARS 和 KIVARS x64 等其他 BIFROSE 變種。以 UNIX 為基礎的作業系統一般都出現在伺服器及工作站，但也出現在行動裝置。由於這些伺服器及裝置通常含有相當機密的資料，因此 UNIX 版本的 BIFROSE 可說是一項嚴重威脅。

技術實力

Shrouded Crossbow 幕後的犯罪集團一直在持續更新 BIFROSE 惡意程式來配合其攻擊行動。有些受害者甚至同時感染了 Windows 和 UNIX 兩種版本的 BIFROSE。過去，Shrouded Crossbow 曾利用 BIFROSE 來攻擊民營企業、政府機關以及政府外包商，也曾攻擊消費性電子、電腦、醫療、金融等產業。繼續閱讀

免費憑證簽發服務遭惡意廣告濫用

2016 年 01 月 14 日2016 年 02 月 26 日趨勢科技 TrendMicro

將所有 HTTP 流量加密，一直是資安界長久以來的努力目標，但這其中必須面臨兩大障礙。首先，憑證不是免費的，而許多網站經營者並不想多花錢；其次，憑證本身並非網站經營者能夠自行產生。

為此，網路上出現了一個叫做「Let’s Encrypt」的計畫，其成立宗旨就是要消除這兩大障礙。該計畫的目標是要免費提供憑證給所有的網站，並且透過一套網站伺服器軟體來盡可能將申請程序自動化。該計畫已獲得許多網路大廠及非營利組織的支持，包括：Akamai、Cisco、Electronic Frontier Foundation (EFF)、Facebook、Mozilla 等等。不過，Let’s Encrypt 僅提供網域認證 (DV) 憑證，而非延伸認證 (EV) 憑證，後者須針對網站經營者做進一步的背景調查才能簽發。

不幸的是，這樣的免費服務也有可能遭人濫用。從去年 12 月 21 日起，我們開始偵測到某惡意廣告伺服器的流量，其受害使用者大多來自日本。這項攻擊行動會讓受害者連上散布 Angler 漏洞攻擊套件的網站，進而下載一個銀行木馬程式 (BKDR_VAWTRAK.AAAFV) 到受害者電腦上。

圖 1：某惡意廣告伺服器的每日流量。

趨勢科技認為這項攻擊行動其實是去年 11月首次出現的一項惡意廣告行動 (同樣針對日本使用者) 的延續。

在這項攻擊當中，歹徒運用了一個稱為「影子網域」(domain shadowing) 的技巧。駭客先想辦法在某個正常的網域底下建立一個子網域，然後將子網域指向駭客所掌控的伺服器。在這次的案例中，駭客在某個正常的網域底下建立了一個子網域：ad.{某正常網域}.com。此處我們刻意不公開其網域名稱，好讓該公司的系統管理員能夠修正此問題。

連上這個子網域的流量就是採用 Let’s Encrypt 簽發的憑證來進行 HTTPS 連線，如下所示：

圖 2：Let’s Encrypt 簽發的 SSL 憑證。 繼續閱讀

從 Apple 對惡意程式防護軟體採取嚴厲措施,看 iOS 安全問題

2015 年 04 月 30 日2015 年 04 月 30 日趨勢科技 TrendMicro

據報，Apple 為了避免目前已發行六個多月的 iOS 8 (該公司宣稱為 iOS 有史以來最重大的一個版本) 給使用者一種含有可攻擊漏洞的印象，目前正在對 iOS App Store 上的病毒/惡意程式防護軟體採取嚴厲措施。

最近，一個知名的 iOS 電子郵件及雲端掃瞄 App 遭到 App Store 下架，使得原先希望自己轉寄給非 iOS 用戶的檔案不含惡意程式的該軟體使用者因而受到影響。Apple 的理由是，該軟體在 App Store 上的說明有誤導之嫌，可能讓客戶以為 iOS 8 產品含有漏洞。該軟體的代表指出 Apple 可能計劃將 iOS App Store 上的防毒和惡意程式防護軟體類別完全剔除。

我們目前仍未見到任何成功攻擊 iOS 8 平台的威脅，但這並不代表能夠假設該平台未來不會遭到攻擊或出現漏洞。基於下列理由，iOS 裝置用戶應該隨時保持警戒：