挖礦惡意程式攻擊 Linux 系統,並利用 Rootkit 自我隱藏

趨勢科技 TrendMicro

隨著虛擬加密貨幣越來越熱門,網路犯罪集團不意外地正積極開發、微調各種虛擬加密貨幣挖礦惡意程式。事實上,這類威脅是趨勢科技最常一直偵測到的惡意程式,而且各種平台和裝置皆有。

最近我們發現一個新的挖礦( coinmining )惡意程式 (趨勢科技命名為 Coinminer.Linux.KORKERDS.AB) 專門攻擊 Linux 系統,而且會利用某個 Rootkit (Rootkit.Linux.KORKERDS.AA) 來隱藏其惡意執行程序,讓監控工具看不到其執行程序。這一點會讓偵測工作變得更困難,因為被感染的系統只會看到效能變差,但卻看不出是誰在消耗資源。除此之外,該惡意程式還可以更新或升級自己的程式和組態設定檔案。

值得注意的一點是,在 Unix 以及類 Unix 系統 (如 Linux) 的檔案權限設定方式下,只要是具備執行權限的檔案都能執行。我們推測,這個虛擬加密貨幣挖礦惡意程式的感染途徑是經由惡意的第三方/非官方或受感染的外掛程式 (如:媒體串流軟體)。當使用者安裝這類外掛程式時,就等於提供它系統管理權限,如果是已經被駭的應用程式,惡意程式就能以應用程式所擁有的權限來執行。這樣的感染方式並非罕見,因為其他 Linux 虛擬加密貨幣挖礦惡意程式也是利用這樣的途徑入侵。

【延伸閱讀:Unix:會徹底改變勒索病毒遊戲規則嗎?

圖 1:虛擬加密貨幣惡意程式的感染過程。
繼續閱讀

《資安新聞周報 》假銀行應用程式,進行簡訊釣魚(SMiShing)詐騙/如何保護IIoT環境中的工業控制系統?

趨勢科技TrendMicro

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安新聞精選:

CLOUDSEC 2018 趨勢科技布局 AI,全方位抵禦資安威脅進擊      科技新報網

員工對話紀錄、公司資訊成勒索對象 辦公聊天軟體 駭客新目標        經濟日報(臺灣)

「來店送點數」駭客偽造GPS數據 詐點逾百萬台幣      民視新聞網

部分 iPhone 用戶收到 Apple ID 被鎖定的訊息 疑似駭客嘗試破解     電腦王阿達

花旗如何被盜刷 6,300 萬,銀行資安風險現隱憂   科技新報網

華女電郵被駭 暗指上色情網站 亂槍打鳥勒索        世界新聞網

《專家傳真》別讓資安 成為智慧工廠的罩門  工商時報

Gartner列舉未來5年推動數位企業創新的物聯網技術十大趨勢  電子時報

以掌握用戶密碼或入侵裝置偷拍為由,騙取比特幣 謊稱用戶密碼外洩郵件詐騙激增      iThome電腦報周刊

晶片漏洞 藍牙 無線路由器  TI藍牙晶片遭爆兩個零時差漏洞,數百萬無線AP陷風險,思科、Aruba急搶修        iThome電腦報周刊

硬體安全 思科  SIP 思科多款安全硬體爆SIP零時差漏洞,尚未修補但已有攻擊出現      iThome電腦報周刊

特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險     iThome

研究人員揭露DJI漏洞,恐讓駭客偷走無人機拍攝的機密影像     iThome

自動化機器人大舉入侵 電商網站面臨綁架威脅      電子時報

破解商務電郵詐騙流程  擺脫威脅只在一念之間     電子時報

宗教團體也得遵守 GDPR!挨家挨戶傳教就有可能違反史上最嚴個資法     科技報橘網

臉書修補了洩漏使用者和朋友個資風險的漏洞        iThome

麥當勞留言送大薯 基隆警:攏係假勿受騙   壹週刊

WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累   iThome

疑用戶電郵外洩 港匯豐20行動支付帳戶遭竊40萬      台灣蘋果日報網

Google G Suite 官方 Twitter 帳號被盜,叫你用 0.1 換 1 枚比特幣    INSIDE

荷蘭警方破解端對端加密傳訊程式IronChat攔截25.8萬則訊息,成功破獲洗錢集團       iThome

馬來西亞媒體巨頭,遭駭客勒索1000枚比特幣      Knowing

當絕對公開的區塊鏈遇上絕對隱私的 GDPR,企業該如何找到兩者並存的商業模式 科技報橘網

11月週二更新來了,微軟這次修補了63個漏洞,13個是重大漏洞    iThome

微軟Azure資安中心服務再升級,加強支援Linux容器安全,提高基礎架構可視度  iThome

IMF倡議數位幣 拉加德建言 各國央行應研議發行,填補減少使用現金空缺     經濟日報(臺灣)

企業資安防護再進擊 物聯網設備資安應從驗證做起      電子時報

工研院:台灣AI發展在智慧製造、電子商務、電腦視覺領域等已建構出產業鏈       工商時報電子報

擔憂資訊安全潛在風險 德擬禁止中國企業參與5G招標        寰宇新聞網

GDPR戰火延燒,英國隱私保護組織PI投訴甲骨文等7業者違反GDPR       iThome

DIGITIMES智慧工廠論壇 揭開新製造競賽決勝之道        電子時報

確實做好認證機制 點對點協定使用無虞  網管人

物聯網整合5G與AI  形成智慧連接的完美風暴      電子時報

確保智慧工廠風險可控 功能安全造就工業4.0發展       新通訊元件雜誌

找不到資安人才!德州農工大學運用 AI 軟體紓緩資安問題 科技新報網

馬克宏聯手科技大廠推網路安全 不見美中俄簽署  中央通訊社

中共駭美國手法升級 破壞性更大  網路攻擊  中共駭客        buzzbooklet

大咖「烏鎮論劍」 解讀世界互聯網大會「高頻詞彙」  新浪網(臺灣)

固態硬碟加密機制漏洞  Windows  BitLocker 固態硬碟加密機制遭爆有漏洞,可能外洩加密資料  iThome電腦報周刊

美控中國違反停止網路間諜協議        自由時報

BCMUPnP_Hunter殭屍網路已收服10萬台路由器   iThome

台灣出發、亞洲最大!2018 Meet Taipei創新創業嘉年華登場   數位時代

 

繼續閱讀

從日本新創 ONE FINANCIAL談起:萬物聯網時代,區塊鏈如何讓資料的掌控權回歸使用者?

趨勢科技 TrendMicro

一款由日本 17 歲天才高中生山內奏人所開發的 App 「ONE」,吸引消費者主動出售購物收據及清單, 引起日本民眾爭相下載並且由於反應太過熱烈而暫停服務,以重新確定商業模式後再出發。該平台 的核心概念,成功地將消費者的隱藏資訊和價值的非對稱性,轉化為消費者自主性的販售行為,並 且在行銷包裝上擺脫了個資侵犯的疑慮,這對於以區塊鏈技術所搭建的數位資產及資料交易中心服 務,不啻為一個值得研究的個案探討與市場趨勢。 如今個資保護的意識抬頭,使用者常常不自覺地默認社交媒體廣告提供商連結自身的瀏覽內容記錄, 然而在號稱史上最嚴格的個資保護法規 GDPR 於2018五月正式上路後,任何軟體平台服務都必須更謹小慎微的檢驗自身取用的消費者資訊以及重新思考其商業應用模式。

基於區塊的使用者資料交易及處理平台與對應的生態圈。
圖片來源:One Financial 官網

你所認知的個資真的是 GDPR 所定義的個資 – 區塊鏈的因應之道

GDPR規範服務提供商必須確保用戶對資料的存取權(Right to Access)、被遺忘權(Right to Be Forgotten)及遷移權(Right to Data Portability),因此,當一個服務要使用消費者資料時,必須清 楚說明資料將用於何處、如何被使用,且有義務進行資料保護,並允許用戶完全刪除資料或停止使 用該資料,甚至決定是否授權資料共享。 這三大賦予使用者的權利在表面上看來都與區塊鏈的技術有某程度的隔閡與抵觸,但表面不足以為論,仔細深究GDPR對個人資料的定義:只要資料具備個人可識別資訊(Personally Identifiable Information, PII)或可被辨識為自然人的條件,就符合GDPR保護傘下規範的個資。

因此個人相關資 料如姓名、地址、電子郵件等固不待言,個人所屬電子設備的Cookie ID、MAC位址等甚或與個人身 份有關聯的假名資料(Pseudonymous Data)亦屬於保護個資。以前述的App 「One」為例,使用者 的消費發票只要連結上使用者傳送設備的IP及地理資訊,也有可能關聯成為PII資料,但該服務卻 成功而透明的讓使用者自己選擇是否交易其資料引為其他商業用途。 如此說來,在基於區塊鏈技術發展的平台上,我們實不必糾結於技術天性的適切與否,而是每個平 台服務商都對本身的商業模式如何引用消費者資料的模式行為做好極細緻的分析與分類:屬於GDPR保護的個資則劃分出來回歸消費者掌控;而非GDPR規範的個人資料,則在商業模式的引導下成為 區塊鏈分散帳本上的紀錄資料。 繼續閱讀

垃圾郵件攻擊鎖定日本,使用圖像隱碼術散布 BEBLOH 金融木馬程式

趨勢科技 TrendMicro

趨勢科技發現一波垃圾郵件攻擊,使用 BEBLOH 金融木馬程式來鎖定使用者,我們偵測到的 185,902 封垃圾郵件,其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動,非常類似於近期的垃圾郵件攻擊中,濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。

我們分析部分垃圾郵件後發現,BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示,同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導,這次攻擊行動是由 NARWHAL SPIDER 發動,使用了圖像隱碼術,把惡意代碼隱藏在意想不到的圖像媒體中,藉此躲避特徵碼比對偵測。

 

【延伸閱讀 】:圖像隱碼術(Steganography)與惡意程式:原理和方法

1:垃圾郵件攻擊行動感染鏈

繼續閱讀

設定不當的容器被用來散播挖礦病毒

趨勢科技 TrendMicro

趨勢科技最近發現有設定不當導致API端口暴露的Docker遭到惡意利用的案例。有惡意活動會掃描開放端口2375/TCP和2376/TCP,這些是Docker引擎服務(dockerd)所使用的端口。攻擊者接著將虛擬貨幣挖礦病毒(趨勢科技偵測為Coinminer.SH.MALXMR.ATNE)散布到這些設定不當的系統。

Docker會在作業系統層級實現虛擬化 – 也稱為容器化(containerization)。Docker API能夠讓遠端使用者像本地端用戶那樣地控制Docker映像。建議不要開放能夠讓外部存取的API端口,因為這會讓駭客有機會利用此不當設定進行惡意活動。

Docker引擎本身並沒有遭到攻擊,Docker企業版本也沒有受到影響。我們是在Docker社群版本看到這些少見的惡意行為。事實上,Docker技術提供讓使用者可以啟用及設定的安全功能來保護容器和工作負載。Docker也提供了防護Docker社群企業版本的工具、文件和指南。當然,兩者的安全最佳實作都會要求不要開放這些端口。比方說建議運行商業應用程式的企業使用商業用的Docker企業版,能夠提供精確、基於角色的存取控制設定,必須經過身份認證才能使用API。

在我們的研究中,Docker API端口暴露是使用者設定不當的結果,因為我們發現這不當設定是在管理員層級手動設定的。實際上,因為設定不當而讓自身暴露於威脅中並非新鮮事,而這對企業來說也可能是得長期面對的挑戰。事實上,我們透過Shodan搜尋發現有許多人的Docker主機設定不當,特別是在中國。而同時還有美國、法國、德國、新加坡、荷蘭、英國、日本、印度和愛爾蘭也出現設定不當的Docker主機。大多數暴露的系統都是運行Linux作業系統。有意思的是Linux上的服務需要手動設定,而在Windows上直到17.0.5-win8都不是如此,出於安全理由而禁止服務暴露。雖然不當設定廣泛地在各版本都有發生,但根據Shodan的搜尋結果顯示超過一半有此問題的主機運行的是18.06.1-ce版本,這是相對較新的Docker版本。

 

圖1:在端口2375和2376觀察到的惡意活動或因不當設定遭濫用的時間軸(上)和國家/地區分佈(下)

圖2:攻擊不當設定Docker引擎的感染鏈

繼續閱讀