加密貨幣交易所 Enigma 遭到攻擊,就在受到高度矚目的首次貨幣發行 (ICO) 的幾週前,該公司發出警訊,表示其系統中的部分帳戶已遭到入侵。
根據報導指出,駭客藉由更改 enigma.co 網站,利用 Slack 管理員帳戶張貼訊息,並傳送垃圾郵件至該公司的郵寄清單,讓使用者將錢送至其加密錢包,共計竊取價值近 50 萬美元的以太幣。這項訊息藉由預售公告,刻意讓該公司的潛在客戶產生緊迫感。
Enigma 於 8 月 21 日在其 Twitter 帳戶上張貼聲明,提醒使用者此攻擊事件。該公司澄清,預售只能透過未來代幣簡單協議 (SAFT) 進行,它是合法交易所需要的法律文件。該公司同時澄清,實際將提供此代幣的網站並未受到影響,9 月 11 日的 ICO 將如期進行。
根據來自 reddit 的 EthTrader 子網站推測,這次事件可能源自與 Enigma CEO Guy Zyskind 的電子郵件相關的個別攻擊,導致有關 Zyskind 的電子郵件地址資訊被散佈至網站,並在後來被用於展開這項攻擊。 繼續閱讀
無檔案病毒攻擊正變得越來越普遍。惡意份子越來越常直接在記憶體中操作,並利用合法工具或服務進行攻擊。在此次案例中,WMI被此數位貨幣採礦病毒作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。
作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。
無檔案病毒很難被分析和偵測。所以也並不令人驚訝地有越來越多惡意軟體利用此手法,讓偵測和鑑識都更加困難。趨勢科技最近發現一個新的數位貨幣採礦病毒:TROJ64_COINMINER.QO,也利用了此一技術。
亞太區為重度感染區,台灣排名第三
這隻病毒散播七月首次現身在亞太地區。根據趨勢科技主動式雲端截毒服務 Smart Protection Network 的統計,受此威脅最嚴重的國家前三名依次為:日本、 印尼和台灣。
圖1、2017年7月至8月的TROJ64_COINMINER.QO感染分佈
無檔案病毒WMI腳本加上EternalBlue 漏洞,讓此威脅更刁鑽
此威脅利用WMI(Windows管理規範)作為無檔案感染的持久性機制。具體來說,它利用 WMI Standard Event Consumer腳本程式(scrcons.exe)來執行它的腳本。為了進入系統,這惡意軟體利用了EternalBlue永恆之藍漏洞 – MS17-010。無檔案病毒WMI腳本加上EternalBlue漏洞讓此威脅變得既隱蔽又具備持久性。
TROJ64_COINMINER.QO數位貨幣採礦病毒的感染分成幾個階段。感染流程從MS17-010開始;這漏洞被用來在系統安裝和執行一個後門程式(BKDR_FORSHARE.A),它會安裝數個WMI腳本。這些腳本接著會連到C&C伺服器來取得命令和下載數位貨幣採礦病毒及其他元件。
圖2、感染流程
利用WMI- Windows的核心元件,達到持久性
WMI是Windows的核心元件,通常被用於日常管理工作,例如部署自動化腳本、在給定時間執行程序/程式、取得已安裝應用程式或硬體的資訊、監視資料夾內的變化和監視磁碟空間等。然而,到了網路犯罪份子手上就會被用在惡意用途,就如趨勢科技在報告了解WMI惡意軟體中所探討的那樣。這案例中所用的技術跟報告內提到的樣本(我們偵測為TROJ_WMIGHOST.A)非常類似。
下面類別在滿足特定條件後會用來觸發惡意WMI腳本:
惡意WMI腳本可以從ROOT\subscription名稱空間底下的ActiveScriptEventConsumer類別找到。 ActiveScriptEventConsumer是持久性有效載荷,包含了當條件滿足時會執行的命令。在此例中,它包含在條件滿足時會執行的惡意JScript。 繼續閱讀
所謂的假新聞最近出現在許多圈子,包括政府、新聞和網路安全產業,但這個概念早在過去一年之前就已出現。蓄意的誤導性散播資料一直是這幾年的通訊關鍵,尤其是在政治或經濟混亂時期。技術持續演進,惡意人士用來散播這類不實資訊的策略也不斷升級。
但這些惡行究竟如何在現行技術環境下被煽動?假新聞整體來說會對個人及企業帶來哪些風險?這個概念目前在全球受到高度矚目,現在讓我們來看看假新聞葫蘆裡賣什麼膏藥。
一提到「假新聞」,大家腦中首先想到的應該是社交媒體上的貼文和文章連結,這些文章用意在於煽動特定觀點,試圖激起使用者間的對話,無論其中所含的資訊正確與否。但根據趨勢科技在其具前瞻性的威脅研究白皮書「假新聞製造機:鼓吹者如何利用網際網路來操縱大眾」(The Fake News Machine: How Propagandists Abuse the Internet and Manipulate the Public) 中所述,設計用來誤導大眾的出版品早在社交媒體出現前便已在外流通。
趨勢科技研究員指出:「網際網路不過是另一種更新型態用來散播的通訊技術。這個途徑讓少數人得以影響並操縱大眾的看法。此外,社交媒體所創造的針對性與群眾動力,讓想法無論真實與否都能以前所未有的速度向外散佈。」
因為行動裝置的可攜帶性、方便性、多工性等等,現今台灣人使用行動裝置的比率越來越高,行動網路的使用機率也越來越大,而其中無線網路 Wi-Fi 因為可以讓我們免費連上網路不需要花費自己的流量,所以使用人數更是年年激增,但是許多人只知道 Wi-Fi 帶給我們許多便利性,卻忽略了其背後潛藏的危機。
當您使用 Wi-Fi 連線網路,無論是開放式 Wi-Fi 或是私人 Wi-Fi,駭客都有辦法連線到你現在使用的網路,他只要取得一小部分存取權限就能透過一些網路上現成的工具(例如FIREFOX就有這種外掛程式 )來查看你的瀏覽內容並取得您的電子郵件內容、通訊軟體內容、網路銀行資訊等等,尤其人們常常喜歡連線後掛著,或是使用免費沒有密碼的 Wi-Fi ,這些情況更是提供駭客大量入侵用戶資訊的機會。
警方發現,近期商務電郵騙徒採取新策略,除透過釣魚電郵入侵外,更相中時下公司職員普遍會在公眾地方使用手機或手提電腦,並連接免費公共 Wi-Fi 處理工作的習慣。中小型企業較易成騙徒目標。
更有報導指出公共 Wi-Fi可能會因為資安人員不足容易遭入侵,植入惡意程式在其中並竊取個人資料,其中全球 Wi-Fi 最不安全的幾個地點分別是紐約時代廣場、巴黎聖母院、巴黎迪士尼樂園、舊金山金門公園、香港海洋公園等熱們景點。
以下提供幾個小撇步讓您遠離攻擊 繼續閱讀
趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。
雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。
GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。
