電腦病毒 - 資安趨勢部落格

認識勒索病毒與現今防毒軟體必備功能

2019 年 02 月 26 日2019 年 03 月 13 日趨勢科技TrendMicro

記得2003年疾風病毒肆虐全球，大學校園、宿舍每個人都繃緊神經並且趕緊為電腦裝上防毒軟體或找解決方案，那是我第一次見到到電腦病毒撲天蓋地感染的情景，但這還不是最糟的，去年(2017)爆發的勒索病毒讓朋友電腦的重要檔案被綁架，冒險支付贖金才取回檔案解密金鑰，透過防毒軟體更新病毒碼的方式已經來不及防範新型態的病毒，要怎麼應對？來跟大家聊一聊。

網路常見的危害：勒索病毒、木馬病毒

去年勒索病毒在全球肆虐，台灣從中央到地方政府機關共有 226 台電腦遭到勒索病毒入侵，幸好沒有重要資料因此被綁架。

無獨有偶的發生在今年，大家比較熟悉的後門程式，也就是網路上常聽到的「特洛伊木馬」病毒入侵台北市衛生局，導致數百萬民眾個資和健康醫療資料面臨流入黑市銷售的疑慮。

在資安防護嚴謹的單位都因此造成極大的損失，除了人為因素外也意味著病毒的防護方式必須與時俱，而隨著 AI 技術越來越成熟，透過人工智慧預判潛在病毒的能力將會是未來電腦防護與防毒軟體的必備能力，目前知名防毒軟體公司(旗下個人端產品PC-cillin )已經開發出針對檔案特徵和行為模式發現潛在危害病毒的 AI 智能防毒技術。

隨著技術的發達和網路的迅速便利，病毒危害能力更大，傳播速度也更快，尤其是透過網路途徑散佈的病毒，每分每秒都不能掉以輕心，如果你的電腦至今還沒有安裝防毒軟體的話，皮真的要繃緊啦！快裝吧

隱藏在硬碟的歹徒：勒索病毒

任何病毒都有它的目的，但是最近幾年最 HOT 的病毒就是勒索病毒了，勒索病毒雖然是電腦病毒，但最終目的地不是電腦而是你口袋裡的”錢”！它跟一般病毒不同，可能會潛伏在你的電腦中沒有任何特徵，就像一個正常的檔案加密軟體一樣存在電腦中，，但爆發就會瞬間將硬碟中所有檔案全部加密，而檔案一旦被加密就無法打開，除非向病毒始作俑者拿到金鑰(Key)才能解鎖。

▲ 2017年勒索病毒全球肆虐情形地圖

繼續閱讀

Mac惡意軟體,偽裝非法破解程式Adobe Zii,竊取信用卡,還偷挖礦

2019 年 02 月 19 日2019 年 02 月 19 日趨勢科技 TrendMicro

趨勢科技最新的分析顯示了即便是非法破解程式也會被網路犯罪分子用來誘騙使用者安裝惡意應用程式。在這次的案例中，趨勢科技看到一個惡意應用程式偽裝成Adobe Zii（用來破解Adobe產品的工具），針對macOS系統來挖掘虛擬貨幣並竊取信用卡資料。

éå¼µåçç alt å±¬æ§å¼çºç©ºï¼å®çæªæ¡åç¨±çº mac.jpg

技術分析

惡意應用程式是在VirusTotal上看到，最初由Malwarebytes回報，以「Adobe Zii.app」的形式進入目標系統。

圖1.、Adobe Zii.app的內容

執行時，它利用automator.app啟動Adobe Zii.app\Contents\document.wflow內的Bash腳本。

圖2、惡意軟體啟動Bash腳本

繼續閱讀

18 歲了!分析 Shadow Brokers 駭客集團外流的長青惡意程式Tildeb

2019 年 01 月 16 日2019 年 01 月 05 日趨勢科技 TrendMicro

2017 年 4 月 14 日，The Shadow Brokers (TSB) 駭客集團公開了一批名為「Lost in Translation」的駭客工具和資料。這批公開的資料當中包含了多個關於 Server Message Block (SMB) 和 Remote Desktop Protocol (RDP) 兩個通訊協定以及一些協同作業與網站伺服器軟體的零時差遠端程式碼執行漏洞。此外還有 EternalBlue、EternalChampion、EternalSynergy、EsteemAudit、EchoWrecker、ExplodingCan、EpicHero、EWorkFrenzy 等漏洞攻擊套件。

此外，這批資料還包含一些駭客在成功入侵之後可植入系統的惡意程式和工具，以便能夠：持續掌控被感染的系統、避開安全驗證、從事各種惡意活動，並與遠端伺服器建立幕後操縱 (C&C) 通訊等等。在這類植入系統的惡意程式當中，最值得注意的有五個：DoublePulsar、PeddleCheap、ExpandingPulley、KillSuit (KiSu) 和 DanderSpritz，它們各自擁有不同的能力、功能和用途。

除此之外，還有一個非常特別的惡意程式，那就是 ExpandingPulley (EP) 主要資料夾「\windows\Resources\Ep\」底下一個名為「clocksvc.exe」的獨立執行檔。這個惡意程式從未獲得公開關注，只曾經在一份 CYSINFO 的報告當中被提到它會連上某個 IP 位址。我們將這個惡意程式命名為 Tildeb (趨勢科技正式命名：Trojan.Win32.TILDEB.A)，因為它會在系統上產生一個名為「~debl00l.tmp」的特殊暫存檔。繼續閱讀

《電腦病毒30演變史》1988-2018 年電腦病毒/資安威脅演變史

2018 年 11 月 06 日2018 年 12 月 22 日趨勢科技 TrendMicro

1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒/資安威脅演變史。

個人電腦時代

從1986年的大腦病毒到1996年的 Taiwan No.1文件巨集病毒

早年的病毒是靠磁碟傳播你可能從去年的 WannCry (想哭)勒索病毒大爆發,才聽過勒索病毒,但你知道史上第一個勒索病毒,可能比你還年長嗎?你知道為何在 1997 年前的每年 3 月 6 日,電腦用戶就會神經緊繃地幫電腦開機?又或是高齡已達 32 歲,每逢13 號星期五發病的黑色星期五病毒, 現在是否建在,有比它更黑心的對手嗎?

1986 年第一隻感染個人電腦的病毒: BRAIN 大腦病毒
1987年黑色星期五誕生:「We hope we haven’t inconvenienced you」
1989 年史上第一隻勒索病毒:AIDS
1990 年第一隻考驗病毒碼偵測技術的千面人病毒
1991 年米開朗基羅病毒第一隻引發媒體大量關注的病毒恐慌潮
1995年第一個巨集惡意軟體「Word-Concept 」誕生
1996 年台灣頭號大病毒:Taiwan No.1 巨集病毒
1997 年台灣猜拳病毒作者自稱天才國中生喜歡一個叫黃X萍的女孩

》看更多

網際網路時代

1999年台灣僅次於921大地震關鍵字: CIH 病毒
1999年CIH 病毒導致台灣聲名大噪，國外媒體紛紛以大版面報導這隻來自台灣的大學生撰寫的病毒， CIH 一夕之間造成全球數千萬台電腦受害，儼然成為全球災難。
1999年史上第一個大爆發的電子郵件病毒:Melissa 梅莉莎,命名靈感來自脫衣舞孃1999年美國西岸時間 3 月27日晚上 9 ：00， CNN 與 NBC 電視臺大幅報導Melissa (梅莉莎) 病毒攻陷美國各大企業電子郵件伺服器的新聞。而早在電視臺公佈前的 3 個小時，也就是梅莉莎病毒出現後的1 2 小時內，趨勢科技已經最新的解毒程式放置於趨勢科技網站，同時全產品線更新完成。
2000年史上最毒的電子情書: 「ILOVEYOU」我愛你病毒全球大告白
每年 5月 20 日是網路告白日,同樣選擇在 5 月告白的還有一口氣同時向上百萬人進行全球大告白的「ILOVEYOU」(我愛你)病毒。1999年Mellisa 梅麗莎病毒擴散全球花了四天時間,2000 年同樣以電子郵件散播的「ILOVEYOU」(我愛你)病毒只花了四小時,當年來自菲利賓,史上最毒情書-I LOVE YOU病毒作者曾撂下這樣狠話「如果月底前，我仍無法獲得一份穩定的工作，我就要釋放出第三種病毒，把硬碟中所有資料夾殺得片甲不留。」

雲端儲存時代

趁虛而入! 2001年CodRed 紅色警戒開啟漏洞攻擊元年-盤點歷年漏洞攻擊

2001年可說是漏洞攻擊蠕蟲崛起之年，包括：Code Red I、Code Red II、Klez、Nimda、Sadmind 以及 Sircam。它們專門攻擊 Solaris 和 Microsoft Internet Information Services (IIS) 伺服器的漏洞。尤其 Code Red 可說是給了全球企業機構一記響亮的警鐘，造成了 26 億美元的生產力損失與伺服器清除成本。同時，這些蠕蟲也突顯了網路修補與防護對企業機構的重要，尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。

「駭客竟比同事還來解你!」2010 年客製化 APT針對性目標攻擊,成企業心頭大患
APT 針對性目標攻擊或稱為進階持續性滲透攻擊(Advanced Persistent Threat) 跟一般不限定目標地亂槍打鳥的惡意程式攻擊不一樣的是, APT 攻擊會花費較長的時間規劃、執行：偵查、蒐集資料；發掘目標的安全漏洞或弱點。從蒐集各種情報開始,可能持續幾天，幾週，幾個月，甚至更長的時間。這項攻擊 2010年開始成為企業所面臨的最大威脅之一。高知名度的攻擊事件，像是零售商 Target 和百貨公司 Neiman Marcus的大量資料外洩. 還有主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統（ SCADA ）的 Stuxnet 蠕蟲病毒。2014年服貿議題成社交工程信件誘餌!!台灣爆發大規模APT威脅！近20家經濟相關機構成目標

高知名度 APT 攻擊事件

2010 年一位 Google 員工點了即時通訊訊息中的一個連結，接著就連上了一個惡意網站，開啟了接下來的一連串 APT 事件。
在此事件中，攻擊者成功滲透 Google 伺服器，竊取部分智慧財產以及重要人士帳戶資料。
2010年:Stuxnet 蠕蟲病毒:主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統（ SCADA ）
2013 美國知名零售商 Target 因合作廠商遭惡意郵件侵入,支付系統遭駭,導致4000萬筆信用卡、簽帳卡資料外洩,2015年報導指出和解金高達臺幣12.8億元，累計損失超過95億臺幣
2014 美國精品百貨業者 Neiman Marcus客戶信用卡遭盜刷
2014年台灣服貿議題成社交工程信件誘餌!!台灣爆發大規模APT威脅！近20家經濟相關機構成目標》看更多
「你的檔案我的肉票」勒索病毒找搖錢樹，連城隍老爺、警察大人都敢動！盤點2005-2017年駭人討債鬼
膽大包天的勒索病毒 Ransomware連警察大人都敢勒索,甚至城隍老爺也沒在怕,有300年歷史的嘉義城隍廟內部文書處理系統也曾遭勒索。勒索病毒藏在郵件,藏在載點,藏在廣告裡,只要你上網,就有可能是它的覬覦目標。
• 2015年有位台北市某公司會計人員,誤點免費中獎 iPhone釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管調離現職。
• 2016年台灣網友傳出因追劇而中CERBER勒索病毒;2018年宜蘭租書店老闆,被勒索病毒入侵,乾脆結束營業。
•2005 年勒索病毒誕生
• 2012年假冒警察，抓盜版軟體
• 2013年加密手法日益成熟•
• 2013-2015 年太歲頭上動土，挑戰執法單位
• 2014年入侵安卓(Android)系統，勒索病毒在口袋趴趴走
• 2014-2015年鎖定企業，台灣也受駭
• 2016年變種大幅攀升
• 2016年Locky迫使醫院改用紙本作業
• 2016年城隍爺遭「綁架」
• 2016年鎖定廣告伺服器，台灣遭攻擊排行第一
• 2016年CERBER第一隻台灣網友傳出因追劇而中的勒索病毒 • 2016-2017年台灣受勒索病毒攻擊次數，幾近台灣總人口數
• 2017年 WannaCry 想哭與 Petya前後襲捲全球
• 2018年國際大藥廠遭勒索病毒入侵，導致重新製作疫苗
》看完整文章

前瞻未來趨勢

- 「一封郵件騙走一棟房子」老闆,別再成詐騙集團金雞母 ! 2018年趨勢科技首創 AI 技術防禦BEC 詐騙
  「一封郵件騙走一棟房子」老闆,別再成詐騙集團金雞母 ! 2018年趨勢科技首創 AI 技術防禦BEC 詐騙2017年 10 月新竹一間長期與中國代工廠合作的科技公司，原本都用對方「xxx@ximhan.net」信箱聯絡，沒想到歹徒另創立名稱相似的「xxx@xlmhan.net」假帳號，以定期更換受款帳戶，以免遭洗錢犯罪利用為由，要求更改受款帳戶。該公司不疑有他，一時眼花, i 跟 l 分不清,損失新台幣2千餘萬元!這是變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise 簡稱 BEC) 常用的手法。一封郵件騙走一棟房子一點都不誇張。
  刑事局受理的BEC詐騙案件，到10月5日為止，今年已有45件，平均算起來，大約每周都會有一家臺灣企業遇害報案，而遭到詐騙的金額更是已經超過2億元

你放假它加班挖礦 24 小時不關機礦工忙到「火大」了-2018年衝擊最大資安威脅:虛擬貨幣挖礦
你放假它加班挖礦 24 小時不關機礦工忙到「火大」了-2018年衝擊最大資安威脅:虛擬貨幣挖礦手機速度越來越慢或是電池常常發燙,小心3C裝置已經成為幫助駭客賺取虛擬貨幣挖礦工!相較於勒索病毒在第一時間嚷著你的檔案已經被加密,挖礦病毒算是悶不作聲發黑心財,更勝一籌的駭客搖錢樹。

同場加映:

歷年駭客/詐騙集團經典語錄
這些語錄可能顯現在病毒發作訊息,或是藏在病毒碼裡,或是駭客對外公開的發言

「小心！這是病毒，快聯絡我們拿解藥」-1986 年第一隻感染個人電腦的病毒: BRAIN 大腦病毒

「希望沒有造成您的不便」– 1987 黑色星期五病毒

「釣魚台是中華民國的土地」– 1997年,釣魚台巨集病毒

「就讀鳳西國中三年級、三年電腦經驗、喜歡一個叫黃X萍的女孩，興趣除了電腦還有籃球。」– 1997年台灣猜拳病毒

「如果月底前，我仍無法獲得一份穩定的工作，我就要釋放出第三種病毒，把硬碟中所有資料夾殺得片甲不留。」2000年, ILOVEYOU我愛你病毒

「小比爾，別光顧著賺錢……」-2003年,Blast 疾風病毒
「假如不說您們是誰……………不要再發信給我……..X」-這不是病毒說的,到底是誰說的

》找答案,看更多駭客語錄

病毒史上的七個怪咖:逼打電玩、裝萌賣可愛….還有就是讓人想中毒的病毒?!(同場加映:那些年的病毒代言人)
怪咖一:就是想中毒的客戶
怪咖二:要你自己刪除檔案的阿爾巴尼亞(Albanian)病毒
怪咖三:不加密你的檔案,但看在彩虹小馬很萌的份上,可以給 300 比特幣嗎?
怪咖四:不懈邊緣人的勒索病毒
怪咖五:勒索病毒界的俠盜羅賓漢
怪咖六:逼你打電玩贖回檔案
怪咖七:史上最善良的勒索病毒
2013「毒蠍獎」各行業最「毒」的代表人物》找怪咖

《電腦病毒30演變史》你放假它加班挖礦 24 小時不關機礦工忙到「火大」了-2018年衝擊最大資安威脅:虛擬貨幣挖礦

2018 年 10 月 24 日2018 年 12 月 22 日趨勢科技 TrendMicro

手機速度越來越慢或是電池常常發燙,小心3C裝置已經成為幫助駭客賺取虛擬貨幣挖礦工!相較於勒索病毒在第一時間嚷著你的檔案已經被加密,挖礦病毒算是悶不作聲發黑心財,更勝一籌的駭客搖錢樹。

1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
本篇來到 2018 年,介紹還正火紅的資安威脅::虛擬貨幣挖礦

2017年9月新北市三重一處公寓傳出火警，警消獲報到場後發現，屋內是「比特幣礦場」，至少有15台電腦的機房，疑因二十四小時不斷電挖礦，意外導致延長線不堪負荷走火。這起為挖比特幣24小時不關機的火警事件,當天三重出現兩起,都是24小時不關機、隱身民宅的挖礦機房。

最近有則誇張的新聞,中國山西一名男子竊取鐵路電力挖礦被捕，他在電線杆上偷接電力,提供50台比特幣「挖礦機」和三台用來散熱的電風扇24小時的電力。男子被判處3年半有期徒刑，並處以罰金10萬元人民幣，4個月挖得3.2枚比特幣、全部依法沒收。

挖礦惡意程式最早出現於 2011 年中期，相較於當時最流行的蠕蟲、後門程式等惡意程式來說，只能算是個配角，但目前已演變成甚至比網路間諜活動還要賺錢的途徑，一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

虛擬貨幣興起全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三。巨幅的價格波動也開始讓威脅情勢產生變化：只要是有錢賺的地方，歹徒就會蜂擁而至,引發電線短路的火警原因有多,但去年起台灣也出現因為挖礦而導致的火燒民房事件。

什麼是加密虛擬貨幣（Cryptocurrency）？

先來認識加密虛擬貨幣,加密虛擬貨幣是代表一種貨幣單位的加密資料串。它經由點對點網路所監控和管理，也稱為區塊鍊，作為交易（如購買、出售、轉讓）的安全帳簿。跟實體貨幣不同，加密虛擬貨幣去中央化，這代表它們並不由政府或其他金融機構發行。

加密虛擬貨幣透過加密演算法來產生，經由稱為挖礦的程序來維護和確認，由一群電腦或特製硬體（如特殊應用積體電路，ASIC）來處理和驗證交易。這個過程會用加密虛擬貨幣來回報給礦工。

2018 上半年虛擬貨幣挖礦活動的偵測量比 2017 年成長 96%

趨勢科技發佈的 2018 上半年的安全總評報告，發現加密貨幣挖礦和挖礦綁架已經成為主要的網路犯罪威脅。這種威脅已經成為犯罪者的常見行為，也有許多如何進行這種犯罪的討論。雖然這種威脅的破壞性沒有勒索病毒這麼強，卻可以破壞系統作業，因為大多數虛擬貨幣的目標，都是盡可能使用最多系統資源來挖礦。

「2018 上半年資安總評」報告，指出網路犯罪集團正逐漸捨棄容易引人關注的勒索病毒攻擊，轉而採用鴨子划水的方式暗中進行攻擊，以達到竊取錢財和珍貴運算資源的目標。

趨勢科技發現，光是2018 上半年加密貨幣挖礦活動的偵測數量就比 2017 年一整年的數量成長 96%，若與 2017 上半年相比，更是成長 956%，顯示網路犯罪集團正逐漸捨棄能讓他們快速致富的勒索病毒，轉而暗中竊取運算資源來開採虛擬貨幣。

隨著虛擬貨幣惡意挖礦活動的急速發展，能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH（Trend Micro Locality Sensitive Hashing，用來識別相似檔案的機器學習雜湊演算法），可以將收集到的相似虛擬貨幣挖礦病毒樣本集群（cluster）起來。將樣本依照行為和檔案類型進行分組，就能夠偵測相似或修改過的惡意軟體。

挖礦劫持出沒,三族群,請迴避!

放假時沒有特別的活動時,你通常有什麼安排呢?追劇、滑手機或是找一間可提供插座與 Wi–Fi 又不限時間的咖啡廳打發時間呢?去年勒索病毒大流行時,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了惡名昭彰的 Cerber勒索病毒! 今年趨勢科技偵測到不少追劇或是成人網站上,出現挖礦程式,這類惡意程式跟勒索病毒不同的是,挖礦程式不需要與受害者互動來勒索贖金，除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現。

三種族群:追劇族、手機血拚族、咖啡館久坐族,當心挖礦程式出沒,免得不小心讓你的電腦或手機裝置成為幫別人賺外快的礦工。

挖礦程式不像勒索病毒,需要與受害者互動來勒索贖金，除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現。

從事的三種網路活動的朋友,要嚴加小心挖礦程式出沒:

【 追劇族】:在家追劇,電腦有可能為駭客做牛做馬挖礦賺外快?挖礦程式偏好嵌入在使用者可能會停留大量時間的地方，比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。
喜歡追劇朋友請當心: Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
有用戶反應在看 Youtube 的時候，電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時，你的電腦或手機也默默的成為了不法駭客的「礦工」，幫他挖礦賺外快!據AdGuard研究人員所發表的報告，有近十億串流媒體網站的訪客被秘密地用在虛擬貨幣挖礦活動，這種做法被稱為“挖礦劫持（cryptojacking）”。
2017年初趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量突然翻了三倍。這些出現在高流量網站上的惡意廣告,利用 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。受影響的國家包括台灣。YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間，有更多時間挖掘加密虛擬貨幣。
.【手機血拚族】:滑手機閒逛,購物網站有夠好康,手機會成挖礦機?

宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN)，遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客，使用者一旦點選惡意廣告，它就會在背後載入 ETN 網頁採礦程式，同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出，這些惡意廣告所在網站皆名列全球 15,000 大網站，意味著這些惡意網站不乏使用者造訪。另外還要當心新的Android挖礦程式,榨乾你的手機電力!一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。

3.【 不限時 WIFI 咖啡館久坐族】:到咖啡館上網,可能被偷偷加料挖礦劫持（Cryptojacking）?
跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過，透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣，連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。

詳請請看:挖礦劫持（Cryptojacking）幫星巴克加料,顧客上網筆電竟成挖礦機。

趨勢科技如何使用機器學習偵測虛擬貨幣挖礦病毒?

TLSH可以幫助趨勢科技將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”，用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。

集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼，用來主動識別更多相似檔案。這是因為自動化系統（或是逆向工程師）可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時，會去檢視是否具備惡意軟體群組呈現的元素，並確認新檔案是否屬於惡意軟體群組的範圍。除此之外，TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。
看完整文章