DarkComet被用在敘利亞衝突裡的目標攻擊

網路已經在現今的敘利亞衝突中扮演了重要角色。反對派已經更加地利用像是Facebook等平台來組織和散播他們的訊息。在另一方面,政權支持者像是「敘利亞電子軍」也試圖透過入侵網站和散播Facebook垃圾訊息來破壞這些活動。最近這場衝突已經升級到了新的層面,根據報導,針對性惡意攻擊已經被用來對付敘利亞反對派的支持者。

 

DarkComet RAT被用來當做「敘利亞間諜」

 報導中被用來攻擊的惡意軟體會透過Skype聊天室散播。一旦使用者執行了這惡意軟體,它會連到一個C&C伺服器(位於敘利亞的IP – {BLOCKED}.{BLOCKED}.0.28),它屬於分配給敘利亞電信監理機構Syrian Telecommunications Establishment)的IP網段。雖然這個惡意軟體被描述為「複雜」和「隱形」的,但實際上它是種被廣泛使用的遠端控制木馬程式(Remote Access Trojan,RAT),被稱為DarkComet。

 

趨勢科技的分析證實了之前Telecomix的調查,我們發現連到{BLOCKED}.{BLOCKED}.0.28的樣本是DarkComet遠端木馬控制程式版本3.3和5。不過有些樣本是「下載器」,會透過HTTP連到相同的IP地址來下載加密過的「UPDATE.BIN」檔案,然後加以解密和執行。之後產生的才是真正的DarkComet遠端木馬控制程式。

 

DarkComet是一種全功能的遠端控制木馬程式,可以利用網路攝影機照相,竊聽連在電腦上的麥克風談話,並且可以完全控制受感染的電腦。而最吸引人的功能是可以利用這遠端木馬控制程式來記錄鍵盤動作和傳輸檔案。這樣子就可以讓攻擊者將檔案加入受感染的電腦上,或是竊取文件。

 

DarkComet還在開發中,第五版是在去年1月15日發布。它是一個作者利用DarkCoderSc來進行開發的,在2008年首次出現。因為報導指出它被用在敘利亞事件裡,DarkComet作者在繼續開發遠端控制木馬程式的同時,也對此表示遺憾。他計劃作出DarkComet偵測器/移除器給敘利亞人民使用。

 

樣本一:直接下載DarkComet

 

CNN文章中所提到的惡意軟體帶有Facebook圖示,會透過 Skype聊天室來散播。這個被趨勢科技偵測為BKDR_ZAPCHAST.SG的樣本是DarkComet 5,會連到{BLOCKED}.{BLOCKED}.0.28的端口885 上。在我們的測試過程中,我們將測試機上的流量重新導到另一台執行DarkComet 5客戶端的機器上。正如你所見的,我們可以完全控制我們的測試機。

 

 

 

樣本二:DarkComet是第二階段的惡意軟體

 

我們拿到的另一個樣本則有不同的行為。一開始的執行檔被趨勢科技偵測為BKDR_BREUT.A,它會產生兩個執行檔。第一個檔案會秀出MAC地址轉換工具的畫面給被感染的使用者。

 

  繼續閱讀

《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

iPad3甫上市,立即成為駭客社交工程陷阱( Social Engineering)與垃圾郵件的誘餌!趨勢科技發現駭客以贈送iPad3為誘因,運用Facebook以及垃圾郵件等管道發送iPad3贈獎訊息給使用者,吸引使用者參與抽獎並騙取使用者手機與電子郵件等個人資料。駭客運用人性弱點,要求使用者協助張貼抽獎訊息於個人網站或Facebook頁面以增加中獎機率,讓使用者不僅個資外洩,亦成為網路犯罪者幫兇!

iPad3抽獎訊息網路蔓延 使用者小心成網路釣魚幫兇

趨勢科技發現在iPad3上市前後,ㄧ則iPad3抽獎的訊息已在Facebook上蔓延。點選此訊息後,會要求使用者輸入電子郵件地址以參加抽獎比賽;一旦輸入了電子郵件地址並按下確認後,使用者會被重新導向含有抽獎比賽內容介紹的網頁,這個網頁要求使用者張貼訊息到社群網站或是個人網站上,方能增加使用者抽中iPad3的機率。一旦執行了這些動作,使用者不但洩漏電子郵件地址,亦成為網路釣魚網頁散佈的幫兇!

 

 

趨勢科技注意到Facebook上有好幾篇貼子聲稱會提供免費的iPad 3給「幸運」的使用者。

 《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

 

 

和之前在部落格上所提到的Facebook威脅不同,這次並沒有利用點擊劫持。有些使用者可能是主動地將這消息發布到他們的社群媒體上(像是Facebook),想以推薦來增加自己的積分,好提高「贏得」這些獎品的機會。一旦使用者連上這個網站並點選該圖案,它會出現下列頁面:

 

《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

 圖說:FacebookiPad3抽獎訊息蔓延,實為網路釣魚陷阱。

 

頁面要求使用者輸入他們的電子郵件地址來參加比賽。為了說服使用者輸入,這頁面還會顯示出只剩下了兩點。一旦輸入了電子郵件地址,使用者會被重新導向到這些網頁:

 

 

繼續閱讀

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

在過去幾天裡,趨勢科技一直在觀察一家總部位在法國的著名甜點公司網站 – Laduree.fr。雖然它看來不像是網路犯罪份子的目標,但是Ladurée的網站被入侵以用來讓使用者感染勒索軟體(Ransomware)。這個被偵測為TROJ_RANSOM.BOV勒索軟體Ransomware會偽裝成來自國家憲兵隊的通知(法語:Gendarmerie nationale),俗稱法國警隊。它會出現一個涵蓋了整個桌面的視窗,並要求付錢,也就是它綁架系統的贖金。

 

 

 

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

 了感染連上Ladurée網站的法國使用者外,日本也有出現感染的狀況。事實證明了Ladurée點心也在日本很流行。實際上,Ladurée網站就只有法語、英語和日語三種版本。

 利用一家甜點公司的網站,可以看出網路犯罪分子的確可以很有彈性地挑選攻擊目標,並且找出潛在的受害者。

 相關攻擊

 在這起攻擊中,攻擊者利用黑洞漏洞攻擊包(Blackhole Exploit Kit)來將惡意軟體植入系統內。這也跟過去假冒其他執法單位的攻擊時,所用惡意軟體是同個家族,像是假冒德國的聯邦警察。這惡意軟體除了具備勒索軟體組件外,也會竊取跟一長串程式和網站相關的身分認證,包括了在地的電子郵件帳號、瀏覽器密碼、社群網站、撲克網站、FTP密碼和遠端桌面程式。 繼續閱讀

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 每當有名人的訊息,像是惠尼休斯頓的死訊出現在新聞上,我們就會看到Black SEO黑帽搜尋引擎優化(BlackHat SEO)攻擊或其他網路犯罪活動利用這些消息來散佈惡意軟體。但最近有個目標攻擊吸引了我們的注意。這次被用來當做誘餌的是林書豪,NBA的明星,他在紐約尼克隊的出色表現引起了國際的關注。他最近出現在時代雜誌的封面上,標題就是簡單的「Linsanity(林來瘋)」。

 一個被趨勢科技偵測為TROJ_ARTIEF.LN,檔名為「The incredible story of Jeremy Lin the NBA new superstar.doc(NBA超級新星林書豪令人難以相信的故事)」的惡意文件開始蔓延。它利用微軟Office的一個漏洞(CVE-2010-3333)將惡意軟體放入目標的電腦上。這個惡意軟體被趨勢科技偵測為BKDR_MECIV.LN。一旦弱點攻擊成功,就會打開一份乾淨的文件,好讓目標不去懷疑有任何惡意行為的發生。趨勢科技表示近年APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)越來越頻繁。當目標收到一封電子郵件,誘導受害目標打開附加檔案。這個攻擊者所附加的檔案包含了惡意程式碼,可以去攻擊常用軟體的漏洞。攻擊者在惡意軟體裡嵌入了一個獨特的識別特徵以供監視,這樣就可以讓攻擊者獲得電腦的控制權,並且取得資料。攻擊者可能會接著去入侵目標所處的整個網路,而且通常可以保持長時間的控制受害者的電腦。最終,攻擊者會找到並且取得受害者所處的網路內部的敏感資料。

 

 

病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 

這次攻擊事實上是趨勢科技去年所報告入侵了61個國家1465台電腦,包含外交等單位LURID攻擊活動(通常也被稱為Enfal)的一部分。它的受害者主要出現在東歐和中亞。而林來瘋攻擊則持續了這一攻勢。

趨勢科技解譯了被送回殭屍網路/傀儡網路 Botnet指揮和控制伺服器的資訊:

 

[host name]:[mac address]

[ip address]

windows xp

1252:0409

tt

tb0216

n

n

n

2.14

 

這個資訊包含了主機名稱、MAC地址和受害者的IP地址,還有作業系統跟語系設定。此外它還包含了攻擊代碼「tb0216」,好讓攻擊者可以追蹤他們的攻擊活動。在這次的案例中,攻擊代碼包括了攻擊日期「0216」和「tb」。

 

趨勢科技對LURID攻擊的報告所指出的一樣,這次攻擊還針對了前蘇聯的國家。在2012年2月8日,趨勢科技發現了另一起攻擊針對東歐的政府辦公室。

 

病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 

  繼續閱讀

認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

認識 APT

以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT攻擊 (Advanced Persistent Threat)的目標。幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

 APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

——————————————————————————————-

企業面對不斷演變的資安威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊(Advanced Persistent Threats, APT,它是針對特定組織所作出複雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防禦更先進的作法,包括即時威脅管理。本綱要系列介紹APT的性質,它們對企業所構成的風險,以及如何去封鎖、偵測並遏制APT和其他新威脅的技術。我們先從實務面來評估APT的性質,大綱如下:

  • 今天APT的性質
  • 不斷變化的資安威脅環境
  • APT的要素
  • 不斷變化的企業運作,讓問題更加複雜
  • 評估控制和減輕APT風險的可能性

 很顯然地,資安威脅環境變得越來越具有挑戰性。對於資訊系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全控管來做應對,包括即時監控和快速遏制措施。

 今天的APT

APT是針對一個特定組織所作的複雜且多方位的網路攻擊。不管是就攻擊者所使用的技術還是他們對於目標內部的了解來看,這種攻擊是非常先進的。APT可能會採取多種手段,像是惡意軟體,弱點掃描,針對性入侵和利用惡意內部人員去破壞安全措施。

 

APT是長期且多階段的攻擊 

APT攻擊的早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,接著,精力會放在安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

重要的是要明白,APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止APT攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在,很合理的我們會想問,要如何做到這一點? 繼續閱讀