德國政府今年2 月禁賣名為「我的朋友凱拉」(My Friend Cayla),這種可透過網路連接來跟兒童聊天的洋娃娃,並且警告它是「間諜裝置」,甚至建議家長把「凱拉」娃娃銷毀。這個堪稱歐美最受歡迎的玩具,曾於2014年被選為「年度10大玩具」,由於「凱拉」需要與行動裝置配對、連網使用,所以駭客也可以先入侵使用者的行動裝置,再取用娃娃的音響設備竊聽。
駭客也可能透過藍芽連線,在15公尺的範圍內,就能竊聽孩子與娃娃之間的對話,甚至透過娃娃的麥克風和孩子說話。
目前不單是智慧型手機,連能夠連結上網的玩具(智慧型玩具、智慧裝置)也都陸續一一問市了。其中包含內藏相機及攝影機的裝置,除了可以拍攝影片他人共享,也可以與孩子們進行即時視訊交談,或是用於教導學習讓會話更添樂趣。 繼續閱讀
歹徒的目標有時是可拿到地下市場販賣的金融資訊,或是公司的商業機密。就連已遭入侵的網路帳號密碼,對網路犯罪者來說也是一項商品。因此,針對攻擊來源進行一番仔細的研究,有助於事件回應和資安矯正。
此外,追查幕後的駭客有助於了解其技術的純熟度,並且掌握駭客資源與技巧的多寡,以及資安人員有多少應變時間。但是,研究人員不該因為事件的重大而譁眾取寵,或者隨著主流媒體對資安事件的炒作與恐慌而起舞。
EyePyramid 事件印證了一件事:重大的資安攻擊並非只有國家級駭客才能辦到。從保護企業邊境的觀點來看,了解未來該如何防範並取得必要的工具和專業知識來面對這些威脅,反倒更為重要。
今年初EyePyramid 資訊竊盜程式成了各大媒體的焦點,因為它從一些政府機關、私人企業和公家機構竊取了高達 87GB 的敏感資料,共有 100 多個電子郵件網域和 18,000 多個電子郵件帳號受害,包括義大利、美國、日本和歐洲的一些知名機構在內。
很多人或許會認為 EyePyramid 應該是由國家級駭客所進行的一項網路間諜行動。但事實並非如此,該行動的「幕後集團」最後被發現只是一對想要利用惡意程式賺錢的兄妹檔。
追根溯源相當困難
若我們可以從 EyePyramid 的案例學到什麼教訓的話,那就是:追根溯源相當困難。追溯幕後的源頭是網路犯罪偵查當中最複雜的工作,部分原因是網際網路的設計讓歹徒有很多方式可以隱藏行蹤。
就算真的追查到網路攻擊的源頭,大多數資安機構和資安人員也都會盡可能避免點名特定的個人、團體或國家,因為這麼做很冒險。例如,資安界經常引用惡意程式碼當中的一些特徵來當成佐證。但不幸的是,惡意程式碼的作者經常不是實際犯案的歹徒,因為這些程式很可能是從地下市場買來的。除此之外,從惡意程式也看不出幕後運籌帷幄的歹徒,因為他們有許多躲藏和造假的工具和技巧。甚至連受害者、犯案動機或惡意程式所參與的行動都很難斷定。 繼續閱讀
2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為,其中榜首為Ramnit,該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。
RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序,讓自己隨時常駐在記憶體內,而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。
網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借慈善機構散發網路釣魚郵件。
2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發,企業不僅必須提高警覺,還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。
今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借 Migrant Helpline 的名義散發網路釣魚郵件,Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下,下載到目前最頑強的惡意程式之一,也就是 2016 年東山再起的 RAMNIT 木馬程式。
趨勢科技「2016 年資訊安全總評」報告指出,銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示,2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種,而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異,因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時,感染 RAMNIT 的使用者大約在 320 萬左右。
根據當時破獲行動的規模來看,RAMNIT 的感染數量照理應當要大幅下降才對。但是,感染數量只有在 2015 年 2 月確實減少,但隔月幾乎就完全恢復,而且接下來的 2015 一整年,感染數量一直維持在 10,000 以上。根據媒體報導,此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發,這也解釋了為何後續幾個月的感染數量突然飆升。
儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。
2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。
根據感染裝置的所在地點而調整其行為模式
2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能並利用軟體漏洞來避開 iOS 的隱私權保護機制。 繼續閱讀
分散式阻斷服務 (DDoS) 攻擊是2016年最受矚目的焦點,因為2016年出現了多起大型攻擊案例,而其幕後的幫兇就是 Mirai 惡意程式。這個 ELF 惡意程式會將受害裝置變成可用來發動 DDoS 攻擊的殭屍裝置。ELF 是 Linux 與 UNIX 系統共通的一種檔案格式,也就是說今日許多物聯網 (IoT) 裝置都有可能成為受害者。
在 Mirai 殭屍病毒原始程式碼在去年公開流傳之後,沒多久就被駭客用來刺探各種智慧家庭裝置,並且以預設的帳號密碼登入這些裝置,使得成千上萬的智慧裝置淪為殭屍網路的成員,幫助駭客發動多起史上最大規模的分散式阻斷服務攻擊 (DDoS)攻擊。其中一起攻擊據說曾經一度中斷了非洲國家利比亞的網路。不過,最受矚目的受害案例是 Dyn 這家DNS 服務廠商,該公司一些知名客戶的網站因而無法瀏覽,例如: Twitter、Reddit、Spotify 以及 SoundCloud。
