近七成行動裝置威脅屬於越權廣告程式

2014 下半年重大行動裝置威脅 

隨著使用者對行動裝置的接受度越來越高,行動裝置威脅也隨之而來。 2014 年底網路犯罪集團利用各種方式,例如攻擊熱門平台、發掘裝置漏洞、開發更精良的假冒 App 程式等等,來竊取行動裝置上的個人資料,並直接拿到地下市場販賣。

行動裝置威脅正以飛快的速度朝精密化發展,惡意程式作者正是利用一般大眾不知如何正確設定行動裝置以及不知該從正常安全管道下載 App 程式的弱點。不僅如此,大多數的使用者對平台的安全建議也視若無睹,這就是為何許多人會為了獲得進階功能或是貪圖免費程式而破解行動裝置保護 (如越獄或 root)。

2014 上半年,我們見到非重複性行動裝置惡意及高風險 App 程式樣本數量正式突破二百萬大關,而且數量還在不斷增加,這距離上次突破一百萬大關僅僅六個月的時間。此外,我們也見到行動裝置惡意程式正逐漸演出成更精密的變種,例如數位貨幣採礦惡意程式 ANDROIDOS_KAGECOIN 和行動裝置勒索程式 ANDROIDOS_LOCKER.A

[延伸閱讀:2014 上半年行動裝置資安情勢總評 (The Mobile Landscape Roundup: 1H 2014)]

這份報告詳述 2014 下半年的情勢發展,包括重大的行動裝置威脅及趨勢。

惡意及高風險的 App 程式數量現已達到 437 萬

行動裝置惡意程式數量在 2014 下半年又翻了一倍以上,距離上次突破二萬大關僅僅六個月的時間。現在,網路上惡意及高風險的 App 程式總數已達到 437 萬。這意味著,從該年上半年結束至今已成長了大約 68%,也就是 260萬。

2014 年惡意及高風險的 App 程式成長趨勢

若從這幾百萬當中挑出那些明顯惡意的 App 程式,我們發現它們絕大多數都是行動裝置惡意程式家族排行榜的成員:

2014 年行動裝置惡意程式家族排行榜

若就它們對行動裝置的影響來分類,我們發現大約 69% 的行動裝置威脅都屬於越權廣告程式。越權廣告程式是指那些拼命顯示廣告而讓使用者無法專心好好使用裝置的程式。其次是高費率服務盜用程式 (PSA),占惡意及高風險 App 程式的 24% 左右。PSA 會在背後偷用一些高費率服務,讓使用者的手機帳單無故飆高。

 


ADware
2014 年主要行動裝置威脅類型分布比例

另外,以下為 2014 下半年越權廣告程式家族排行榜: 繼續閱讀

從 2014 年漏洞,學到什麼?

隨著新年慶祝活動安全地過去,是時候向前看,並開始規劃2015了。但在這樣做之前,讓我們花上幾分鐘記住2014年的漏洞,及我們可以從中學到什麼。

每年都會出現幾個零時差漏洞和大量來自軟體廠商的漏洞修復程式。今年有些不同:

 

  • 每年所披露的安全性漏洞總數近1萬個。正因為如此,CVE資料庫的維護者宣佈將修改CVE語法,它現在允許每年可分配的漏洞識別碼達到1000萬個。
  • 重大的「命名」漏洞像是Heartbleed心淌血漏洞ShellshockPoodle和WinShock被披露,並在安全產業內廣為人知。這些漏洞因為其嚴重的影響、廣泛的攻擊面及修補的困難而值得注意。
  • 放大分散式阻斷服務(DDoS)攻擊增加。這些攻擊被用來產生大規模網路流量以阻斷服務。它利用網路通訊協定的漏洞來「引出」大量回應封包,將其「重新導向」到受害者,導致對其的阻斷服務攻擊。
  • 一些好消息 — 2014年沒有JAVA零時差漏洞!然而,這並不代表JAVA漏洞不會遭受攻擊。它們還是會被漏洞攻擊包加以利用。所以仍在使用舊版本JAVA的使用者應該要加以升級。
  • 對於Adobe產品來說就比較複雜。整體來說,Adobe產品的安全性漏洞數量從2013年開始下降。然而,Adobe Flash的安全性漏洞數量從56個上升到76個。Acrobat/Reader漏洞下跌了幾乎30%。

 

圖1、Flash Player和Acrobat/Reader的安全性漏洞數量

 

  • 有許多OpenSSL的漏洞被發現,不只是Heartbleed。在 2014 年,有24個 漏洞被發現 — 是之前三年的總和。

 

了解上述事實後,我們該從中學到什麼?

  • 即使是舊應用程式仍然可以被發現漏洞,正如我們所看到的Heartbleed和Shellshock。
  • 開放原始碼軟體據說在本質上較安全,因為它會被多人檢視(也因此有更多機會發現安全性漏洞)。然而從OpenSSL和Bash的例子可以得知並不一定如此。
  • CVSS分數並不能完全的表現出安全性漏洞的嚴重性。畢竟Heartbleed只拿到了CVSS 5.0的分數!根據你組織的情況和應用程式來評估漏洞的影響。用來加權(CVSS)分數!
  • 盡快地升級版本。只要情況允許就盡快更新修補程式。
  • 不斷檢視你的安全狀態和相應地規劃你在資訊安全工具和做法上的投資。員工教育是確保公司資訊安全的關鍵一環。同時,也確保你充分地利用了安全解決方案 — 例如進行正確的設定,根據需求來加以調整等。
  • 實施最低權限存取政策。今日有許多漏洞攻擊都可以取得登入使用者的權限;最低權限存取政策將有助於減輕這些攻擊所造成的損害。

 

2014 年還有一些其他並非出乎預料的事件,但仍相當值得注意。

繼續閱讀

TorrentLocker 勒索軟體肆虐紐澳地區

 

勒索軟體 Ransom趨勢科技最近報導了 EMEA(歐洲、中東和非洲)地區出現 勒索軟體 Ransomware大量激增,特別是 加密勒索軟體 攻擊。現在這類攻擊不再僅限於該地區。趨勢科技工程師的研究顯示,紐澳地區最近也受到此類惡意軟體的影響,這次是TorrentLocker勒索軟體。

感染鏈

圖一、紐澳地區攻擊的感染鏈圖解

這惡意軟體透過電子郵件到達,偽裝成來自新南威爾士州政府(在此篇裡簡稱為NSW)的刑事命令或澳洲郵政的遞送通知。一旦使用者點入連結就會被重新導倒一個偽造的網頁,使用類似官方名稱的新註冊網域。

這網頁會指示使用者輸入驗證碼來下載檔案。如果輸入正確,就會下載來自檔案代管網站(SendSpace)的壓縮格式惡意檔案。

一旦使用者打開壓縮檔並執行惡意程式,它會連到指揮和控制(C&C)伺服器。收發資訊成功後,惡意軟體會利用ECC加密演算法來加密使用者電腦上的檔案,並且加上.encrypted副檔名。接著,它會放入一帶有解密說明和勒贖頁面的HTML檔。它還會透過指令vssadmin.exe Delete Shadows /All /Quiet來刪除感染系統上的陰影複製(Shadow Copy),防止使用者從備份回復檔案。

根據趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料,有98.28%的收件者來自澳洲。

比特幣付款

為了支付贖金,使用者需要註冊一個比特幣Bitcoin錢包和從建議連結購買比特幣。一旦完成付款,網路犯罪份子會將比特幣從給定的比特幣地址轉到其官方比特幣地址,他們也可以進行一連串的轉移好不被警方追踪。解密軟體只能用於指定的感染電腦;每一個受感染的系統都需要自己獨特的30位數金鑰。否則就會破壞掉檔案。

受此惡意軟體感染的使用者被分配如下格式的代碼:

  • hxxp[:]//{gibberish}.gate2tor.org/buy.php?user_code={xxxxxxx}

 

直到12月9日,垃圾郵件發送者將密碼加入這個樣本格式:

  • hxxp[:]//r2bv3u64ytfi2ssf.way2tor.org/buy.php?user_code={xxxxx}&user_pass={xxxx}

這些網址只能透過Tor網路連上,因為其網站使用TOR2Web網路代理。使用TOR2Web,使用者就不需要安裝Tor瀏覽器來進行付款。TOR匿名網路是用來隱藏網路流量。在此案例中,其主要目的是要當使用者付費後用來隱藏解密檔案的資料。

勒贖頁面會警告贖金將會在4天或96小時後加倍。在澳洲,贖金價格是598澳幣。但如果使用者不是位於紐澳或EMEA地區,會出現以英文寫成的通用網頁來要求美金計價的贖金。

圖二、澳洲(上),西班牙(中)和非紐澳/EMEA國家(下)的勒贖訊息

繼續閱讀

【重大漏洞】Flash 零時差漏洞解析

這起漏洞攻擊背後的元兇應該就是 Angler 漏洞攻擊套件。過去一天之內,趨勢科技見到涉及這起零時差漏洞攻擊的 Angler 漏洞攻擊套件伺服器活動大量攀升,如下圖所示:年 1 月 20 日起,我們就陸續經由 Smart Protection Network 威脅情報網收到一些內含 Angler 漏洞攻擊套件的惡意 SWF 檔案樣本。這些樣本皆來自美國境內使用者,我們認為其中一個樣本就是資安研究人員 Kafeine 所通報的 Flash 零時差漏洞攻擊所用的惡意程式,只不過感染來源和 Kafeine 所發現的不同。

圖 1:涉及這起零時差漏洞攻擊的 Angler 漏洞攻擊套件伺服器網頁造訪數量。

上圖清楚顯示 Angler 的活動在過去一天之內大幅增加,大致上與該漏洞首次被發現的時間吻合。其中大部分受害者都在美國,如下圖所示:

圖 2:感染 Angler 的使用者地理位置分布

感染來源

根據我們產品所回報的資料顯示,這起攻擊是利用惡意廣告 (malvertisement) 來侵襲一般使用者。儘管目前我們仍在針對漏洞本身進行完整剖析,受影響的很顯然是 Adobe Flash Player 的現行版本: 繼續閱讀

【重大漏洞】Adobe Flash 最新零時差漏洞現身

今天早上,趨勢科技接獲一項最新消息,Adobe Flash 又出現了一個新的漏洞。此問題相當嚴重,因為影響層面幾乎遍及所有 Microsoft Windows 使用者。正因如此,我們特別在此提供一些您應該知道的事項,以及最重要的:您該如何因應。

ADOBE

當前問題

Adobe 在 Microsoft Windows 平台上的 Flash 版本被發現一個新的漏洞。駭客可經由該漏洞在您的 Windows 電腦上使用您的權限來執行惡意程式。被執行的程式將享有與您相同的權限,您可做什麼,惡意程式就可以做什麼。如此一來,駭客就能在您電腦上輕易植入更多惡意程式。

今日無時無刻都有漏洞被發現,但通常漏洞在被發現時,研究人員就會立刻開發出修補程式,讓駭客無機可乘。所以,您只要隨時保持系統更新,就能防範絕大多數漏洞。不過這次卻是緊急情況,是因為研究人員 (包括我們 TrendLabs 的研究人員) 發現,駭客已經早一步發現了這個漏洞,並且在攻擊當中利用此漏洞,而目前廠商卻還未釋出修補程式。這就是所謂的「零時差」漏洞,也就是說廠商完全沒有預先製作解藥的緩衝時間。這意味著,即使您的系統隨時保持更新,您仍然有機會遭到這項攻擊,直到 Adobe 釋出修補程式為止。 繼續閱讀