想買車上知名網站比價小心上當!

因為網路的普及化與方便性,藉由網路購物已成為時下最流行的消費方式,但網路同時也具備了隱匿性,在消費購物的同時,通常看不到購物標的及賣家,被詐騙的風險也相對較高。

因此,詐騙集團時常利用網路拍賣作為媒介進行詐騙且手法不斷翻新,近期就有詐騙集團假藉中古車交易拍賣進行詐騙的案例發生,詐騙集團先以遠低於市場行情的價格,吸引被害人上鉤,再以「因車主急需脫手換取現金才會那麼便宜,買到賺到,已有多人詢問要買要快,可以先下訂金」等話術,使被害人為貪便宜而不慎受騙,造成嚴重損失!另外分析中古進口車網路拍賣詐騙手法,步驟如下:

1 繼續閱讀

這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

以神奇寶貝月精靈為名的 Umbreon Rootkit , 攻擊 x86 和 ARM 處理器的 Linux 系統

趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名),會攻擊 Intel 和 ARM 處理器的 Linux 系統,因此一些內嵌式裝置也可能遭殃。(註:此 Rootkit 還真符合這隻神奇寶貝的特性,因為月精靈喜歡躲在黑漆漆的夜裡,所以與 Rootkit 的特性吻合。)

我們已針對這個 Rootkit 進行了詳細分析,並且將樣本提供給業界來協助資安界攔截此威脅。

編按: Rootkit是一種技術,用途在修改系統核心以便隱藏特定的檔案或是處理程序,甚至是登錄值.也因此常常會被病毒拿來利用作為躲避追查的手法之一

Umbreon 的發展始於 2015 年初,但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法,Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。

Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後,駭客即可經由該程式來遙控受害裝置。

何謂 Ring 3 Rootkit?

Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外,它也可用來開啟一道後門,或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。

這類程式有幾種執行模式,分別具備不同的存取權限:

  • 使用者模式 (Ring 3)
  • 核心模式 (Ring 0)
  • 虛擬化監管程式 (Hypervisor) 模式 (Ring -1)
  • 系統管理模式 (SMM) (Ring -2)

此外,一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit,這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理,但這並不表示 Ring 3 的 Rootkit 就很容易清除。

Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件,但卻會攔截 (hook) 系統的核心函式庫,這些函式庫是一般程式呼叫系統重要功能的介面,例如:讀/寫檔案、產生執行程序、傳送網路封包。因此,就算是在使用者模式下執行,這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。

在 Linux 系統上,當某個程式呼叫 printf() 這個函式時,該函式會再呼叫同一函式庫內一連串的其他函式,如:_IO_printf() vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組),反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式,不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。

跨平台功能

Umbreon 可在三個不同平台上執行:x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高,因為它並未用到任何綁定平台的程式碼:這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外,純粹是以 C 語言撰寫。

趨勢科技判斷作者應該是刻意這麼做,好讓 Umbreon輕鬆支援前述三種平台。

後門認證機制

Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取,只需透過一個外掛的認證模組 (PAM) 即可。

該使用者帳號的群組識別碼 GID (group ID) 很特別,因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式,因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面:

圖 1:SSH 登入畫面。 繼續閱讀

網站連不上?可能是針對伺服器的FAIRWARE新勒索病毒造成

新一波的勒索病毒 Ransomware (勒索軟體/綁架病毒) FAIRWARE變種,會攻擊在Linux伺服器上運作的網站。

在Bleeping Computer論壇上的一篇貼文 指出,受害者認為自己的系統遭受暴力破解攻擊而被取得權限。一旦進入伺服器,據稱攻擊者會加密並移走網頁目錄內的內容,刪除原始檔案並且留下訊息要求支付2 比特幣 贖金來取回檔案。當然,網頁目錄內容被移除的伺服器會無法使用,這對於重要的網頁應用程式來說是很嚴重的問題。受害者被警告要在兩週內支付贖金,不然就無法取回檔案,而且可能會被公開外洩。

目前還不清楚FAIRWARE勒索病毒作者在刪除檔案前是否真的有先移走,還是只是試圖迫使受害者支付贖金。到目前為止,還沒有發現有受害者支付贖金到勒贖通知內指定的比特幣錢包,但不排除當有價值的資料被綁票時,會有受害者支付贖金換回檔案。 繼續閱讀

《資安新聞周報》驚!駭客潛伏臺灣企業5百天/刷卡機加裝側錄機 過卡2次個資恐外洩

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安周報第38期:驚!駭客潛伏臺灣企業5百天  iThome

趨勢科技2016上半年資訊安全總評指出勒索病毒稱霸資安威脅版圖  電腦硬派月刊

趨勢科技:APT 攻擊、勒索軟體成臺灣企業資安大威脅  科技新報網

遭勒索病毒鎖定? 台灣病毒量亞洲第2  中央日報網路報

每月新增的勒索病毒家族數量

2016 上半年新勒索病毒家族數量就已經較 2015 年一整年成長 172%
2016 上半年新勒索病毒家族數量就已經較 2015 年一整年成長 172%

▍延伸閱讀:2016 上半年資訊安全總評報告:勒索病毒當道 變臉詐騙造成逾30 億美元損失.受害企業高達 22,000 家(內有完整報告)  ▍

假寶可夢《Pokemon GO》之名進行勒索!  iThome

SWIFT警告:多名駭客盜款成功  工商時報

犯罪技術日新月異 銀行遭駭事件層出不窮  匯流新聞網

刷卡機加裝側錄機 過卡2次個資恐外洩  HiNet

IPC Systems將提供量子時代安全系統  電子時報

破解檔案加密及隱藏手法 數位犯罪足跡無所遁形  網管人

羅馬尼亞駭客侵入布希家族電郵 法院將判決  中央廣播電臺

Dropbox 有超過 6,000 萬帳戶資料被盜… 遠在 2012 年時  Engadget中文版

參議員籲歐巴馬:G20優先提駭客問題  中央廣播電臺 繼續閱讀

2016 上半年資訊安全總評報告:勒索病毒當道 變臉詐騙造成逾30 億美元損失.受害企業高達 22,000 家(內有完整報告)

2015 年底,趨勢科技曾預言 2016 年將是網路勒索之年。今年上半年短短六個當中,我們看到網路犯罪集團如何大肆擴張網路勒索行動,利用勒索病毒 Ransomware (勒索軟體/綁架病毒) 來攻擊企業,包括中、大型企業在內。

 

勒索病毒稱霸威脅版圖

勒索病毒 依然不斷成長,儼然成為一項普遍的威脅。光是 2016 上半年我們看到的新勒索病毒家族數量就已經較 2015 年一整年成長 172%。隨著勒索病毒攻擊日益精密、日漸普遍,我們相信下半年將帶來更大的損害。

 

每月新增的勒索病毒家族數量

2016 上半年新勒索病毒家族數量就已經較 2015 年一整年成長 172%
2016 上半年新勒索病毒家族數量就已經較 2015 年一整年成長 172%

我們發現勒索病毒家族在感染手法和勒索伎倆上都不斷翻新。奪魂鋸Jigsaw 會在每隔一段時間受害者仍不支付贖金時就刪除一批被加密的檔案。同樣地,SURPRISE 會在受害者超過期限時提高贖金。

此外,我們的研究也發現,某些勒索病毒家族專門鎖定特定企業檔案,例如 SURPRISE 和 POWERWARE 會將報稅檔案加密。 繼續閱讀