駭客威力強!三招教你化解病毒危機

趨勢科技TrendMicro

電影《猛毒》在台開出票房紅盤,片中「共生體」(Symbiote)是來自外太空的外星種族,必須寄宿在生命體上與宿主共同生存,好像近年來討論度極高的「挖礦病毒」,駭客透過此病毒使用戶的電腦癱瘓,電腦不知不覺愈跑愈慢,耗電量增加,甚至系統不時當機,與猛毒中「共生體」逐漸侵蝕宿主身體機能一樣,使得宿主漸漸衰弱,電影女主角利用它的弱點,使用核磁共振迫使它脫離宿主男主角湯姆哈迪的身體。因此,對付令人聞風喪膽的挖礦病毒,有效利用防毒軟體的「多層式防禦」,瀏覽網頁時隨時阻擋惡意廣告或疑似被包裝成「flash」的挖礦病毒,透過機器學習技術且大量分析病毒樣本以事先防禦病毒入侵,避免電腦遭受無妄之災!

檢視相片

▲韓國電影《屍殺列車》中的鹿感染了神秘病毒,被車撞倒後死而復生。(圖/車庫娛樂提供)

韓國電影「屍速列車」在台掀起票房熱潮外,美國影集「陰屍路」早在2010年就風靡全球,奠定了「Zombie」歷史的收視定位,更嚴格來說,這部影集創造了一個橫空出世的名詞「Walking dead」,如同去年讓人聽到就想哭的勒索病毒(Wannacry),知名影評人「左撇子的電影博物館」就曾於文章分析「殭屍其實是一種病」,眼尖的觀眾在知名電影「屍速列車」片頭可能就發現一頭鹿被神秘病毒感染後,被車撞倒卻死而復生,之後病毒蔓延到人類身上,在列車上進行人屍大戰,劇情震撼。 繼續閱讀

勒索病毒家族數量減少,但感染為何持續發生?

趨勢科技 TrendMicro

在當前的威脅環境中,網路安全顧問和 IT 管理人員必須謹記,勒索病毒 Ransomware (勒索病毒/綁架病毒)對於個別使用者、大多數企業和組織,皆會構成普遍和危險的威脅。

這些感染首次出現時,以技術專家前所未見的型態,結合強大的加密和敲詐手法,迫使受害者支付贖金。然而過往案例顯示:即使向歹徒支付比特幣(Bitcoin)之後,也未必能恢復重要資料和平台的存取權限。

根據趨勢科技的報告《看不見的威脅,迫在眉睫的損失》(Unseen Threats, Imminent Losses),自 2018 年初迄今,成功偵測到的勒索病毒僅些微增加,無助於減緩勒索病毒對企業資安造成的威脅。

勒索病毒家族數量減少

不久之前,幾乎每天都會出現新的勒索病毒家族,許多新樣本以有趣甚至聳動的名稱出現,勒索病毒更以不同的方式發動攻擊,使得部署主動防禦機制格外困難。

令人欣慰的是,趨勢科技研究人員發現,在 2018 年上半年,新型勒索病毒家族減少了 26%。此外,成功偵測到的勒索病毒活動,總共只增加了 3%。

乍聽之下似乎是個好消息,但勒索病毒活動依然盛行,部分惡意攻擊者因散布勒索病毒牟取可觀利潤,在食髓知味,依然熱中此道。

趨勢科技在《看不見的威脅,迫在眉睫的損失》(Unseen Threats, Imminent Losses)中表示:「在網路安全的領域中,雖然勒索病毒體的盛行率已達高原期,但企業仍須保持警惕,不過這場步調的改變,可能是因為勒索病毒漸受關注,使得預防和緩解方法得以改進。」

在增強安全防護方面,組織的首要之務是瞭解勒索病毒的樣本和散布方式,以及這些策略如何命中弱點,使系統受到感染。組織若能提高警覺,防範主要的勒索病毒散布手法,就可以降低這類威脅的風險。

正如趨勢科技的 TrendLabs 在另一份報告《勒索病毒:過去、現在和未來》中指出,樣本可採用多種方式散布,包括垃圾電子郵件和網路釣魚(Phishing)式攻擊、遭感染的網站和網頁,以及漏洞攻擊套件。我們將深入檢視各種手法的近期範例。

研究人員在發現:2018 上半年,新型勒索病毒家族減少了 26%雖然 2018 上半年勒索病毒家族數量減少,但無論規模大小或產業類別,這種攻擊依然盛行。

繼續閱讀

垃圾郵件舊瓶裝新酒,專挑冷門檔案格式夾帶惡意附件

趨勢科技 TrendMicro

隨著網路資安廠商的防禦能力不斷提升,網路犯罪集團也開始在惡意程式上推出新的花招來因應。最近趨勢科技發現了一些經由垃圾郵件散布的新威脅被包裝在老舊且少用的檔案類型當中。垃圾郵件目前依然是網路犯罪集團最愛的散播途徑之一,垃圾郵件攻擊儘管老派,卻占了全球電子郵件流通數量的 48% 以上

趨勢科技2017 年資安總評報告當中指出,垃圾郵件當中最常出現的惡意附件檔案類型為:.XLS、.PDF、.JS、.VBS、.DOCX、.DOC、.WSF、.XLSX、.EXE 及 .HTML。除此之外,我們也在今年八月發現了會散布 GandCrab v4.3 勒索病毒的 .EGG 檔案。不過,網路犯罪集團仍在不斷翻新其使用的檔案類型。以下說明網路犯罪集團如何利用一些舊的檔案類型來包裝新的威脅,證明他們隨時都在實驗新的技巧以躲避垃圾郵件過濾機制。

趨勢科技近日偵測到近 7,000 個採用 ARJ 壓縮的惡意檔案

ARJ 是「Archived by Robert Jung」的簡寫,這是一個 90 年代出現的檔案壓縮軟體,.ARJ 檔案的用途與 .ZIP 類似,只不過沒有後者那麼流行。儘管 .ARJ 檔案從 2014 年起即成為歹徒散布惡意檔案的格式之一,但我們最近發現使用 .ARJ 格式來散布惡意檔案的情況突然暴增。趨勢科技 Smart Protection Network™ 情報網最近已偵測到將近 7,000 個採用 ARJ 來壓縮的惡意檔案。

圖 1:隨附惡意 .ARJ 壓縮檔案的垃圾郵件攻擊過程。 繼續閱讀

挖礦病毒隱身術再進化,利用 Windows Installer 躲避偵測

趨勢科技 TrendMicro

虛擬貨幣挖礦病毒的驚人成長不只是因為它能夠賺錢的潛力,也因為它可以待在系統內不被發現,特別使用了各種混淆技術。對許多駭客來說,讓惡意軟體保持隱形而難以被偵測是必須面對的課題,以趨勢科技發現新的挖礦病毒: Coinminer.Win32.MALXMR.TIAOODAM為例,它便會使用多種混淆和封裝新技術。

安裝行為

Figure 1. Infection chain for the malware

圖1、惡意軟體感染鏈

繼續閱讀

Microsoft Office線上影片功能,被散播 URSNIF 資料竊取病毒

趨勢科技 TrendMicro

在10月下旬,Cymulate的安全研究人員展示了一個攻擊邏輯漏洞的概念證明樣本(PoC),讓駭客可以利用 Microsoft Office 的線上影片功能散播惡意軟體。我們在 VirusTotal 上找到一個真實病毒(趨勢科技偵測為TROJ_EXPLOIT.AOOCAI),會利用此手法來散播URSNIF資料竊取病毒(TSPY_URSNIF.OIBEAO)。

惡意軟體的感染媒介為何?

因為此種攻擊使用特製的Word文件,所以它可能會透過其他惡意軟體或作為垃圾郵件附件檔或連結/網址來進入使用者系統。

此漏洞會影響Microsoft Word 2013及後來的版本。概念證明樣本和真實病毒都是用Microsoft Word 的 DOCX 檔案類型,這是種能夠包含文字、物件、樣式、格式和圖片的XML檔案。它們儲存成分別的檔案並封裝成ZIP壓縮的DOCX檔案。

圖1:概念證明樣本(左)和真實病毒(右)感染鏈的比較

 

概念證明樣本和真實病毒的運作模式?

概念證明樣本和真實病毒利用了Microsoft Office內嵌線上影片功能的邏輯錯誤,這功能可以讓使用者嵌入外部來源(如YouTube或其他類似媒體平台)的線上影片。

概念證明樣本是將線上影片嵌入文件後再修改檔案內的XML完成。如Cymulate所示,它的作法包括:

  • 修改文件副檔名(從DOCX改成ZIP)。
  • 取出壓縮檔內的檔案。
  • 找出XML檔案內的可用來加入惡意腳本或網址的標籤(embeddedHtml)。請注意,修改embeddedHtml參數內的網址後,點擊文件內影片的任何位置都會自動將使用者導到指定的網址。
  • 修改embeddedHtml內的腳本來初始化和部署後續病毒。

繼續閱讀