最近你是否常在Facebook上看到這隻紫色、快速晃動的紫色生物,牠究竟是誰呢?
牠詭譎的動作被台灣人稱作吸毒鴿,不過牠正確的名稱是「垃圾鴿」喔!圖文創作者 Syd Weiler在 1 月 31 日在 Facebook 貼圖初登場後,短短兩週的時間就成為時下最夯的話題了。且不只在台灣受到極大的迴響,「垃圾鴿」在短時間內就掀起遍及全球的風潮。一泰國Facebook專頁สัตว์โลกอมตีน不久前發布了一部結合垃圾鴿以及手機敏貓的搞笑短影,一週內竟有超過400萬的點閱人次。 繼續閱讀
最近你是否常在Facebook上看到這隻紫色、快速晃動的紫色生物,牠究竟是誰呢?
牠詭譎的動作被台灣人稱作吸毒鴿,不過牠正確的名稱是「垃圾鴿」喔!圖文創作者 Syd Weiler在 1 月 31 日在 Facebook 貼圖初登場後,短短兩週的時間就成為時下最夯的話題了。且不只在台灣受到極大的迴響,「垃圾鴿」在短時間內就掀起遍及全球的風潮。一泰國Facebook專頁สัตว์โลกอมตีน不久前發布了一部結合垃圾鴿以及手機敏貓的搞笑短影,一週內竟有超過400萬的點閱人次。 繼續閱讀
無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。
Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織?
為何Lurk 總選擇在午休時間進行惡意內容派送?
沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?
無檔案感染(Fileless Infection)就如同其名:沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見,而且對企業和一般使用者都造成了嚴重的威脅,因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。無檔案感染對攻擊者來說,重要的一點是可以先評估中毒系統,確認感染狀態再決定是否繼續或消失無蹤。
Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團,這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者,在部署其他惡意軟體前先探測其目標。感染鏈有多個階段,可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣,則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰,直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元,同時也破壞了受害者的營運、信譽和重要的一切。
Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織?他們還知道什麼其他的技術可能被其他網路犯罪分子仿效?他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業?我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析,我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。
Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說,特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站(如Google)。 繼續閱讀
去年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒 (趨勢科技命名為 ELF_MIRAI) 造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。
最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。病毒會隨機選擇一個 IP 位址,然後試圖用一些預設的管理帳號和密碼來看看能不能登入裝置,它所嘗試的連接埠 (和通訊協定) 有:7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在 2016 年 10 月,該病毒的原始程式碼開始在網路上流傳,攻擊案例也開始攀升。各種變種開始攻擊各大知名網站,如:Netflix、Reddit、Twitter、AirBnB,其中最大的案例之一就是德國電信 (Deutsche Telekom) 約有 900,000 台家用路由器遭殃。
最近,Mirai 又再次登上媒體版面,這一次它挾著新 Windows 木馬程式的威力,進一步擴大地盤。
去年我們就預測,像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加。不過,這個新的木馬程式只是用來散布 Mirai 殭屍病毒的工具,而非另一個殭屍病毒。在 2015、2016 年,Mirai 是利用暴力破解方式和殭屍程式不斷掃瞄所有 IP 位址來發掘潛在的受害者。此次發現的 Windows 木馬程式 (趨勢科技命名為 BKDR_MIRAI.A) 主要是用來幫 Mirai 搜尋可攻擊的目標,讓 Mirai 殭屍病毒散布得更廣。
此 Windows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃瞄的 IP 位址範圍。當該程式成功入侵目標裝置,就會檢查裝置使用的是什麼作業系統。如果是 Linux,就會在裝置內植入 Mirai 病毒,讓這台裝置也變成殭屍。如果是 Windows,就將木馬程式複製一份到該裝置上,然後繼續尋找其他 Linux 目標。因此這個木馬程式會植入目標裝置惡意程式有 Linux 和 Windows 兩種版本。
圖 1:Windows 木馬程式當中負責掃瞄連接埠的程式碼。
2016 年,巴西的Y因為遇到資料竊取而損失約191美元。在發現之際,Y就立刻聯絡 IT 技術人員來找出原因。技術人員一開始發現是Y瀏覽了一個假網站。但因為所有瀏覽網路的設備都沒有發現惡意軟體,他接著查看了家用路由器的設定。發現異常的地方:即便家用路由器沒有將任何遠端管理接口暴露到網路上,DNS設定仍然遭到修改。為了解決這問題,IT技術人員重置並且重新設定了家用路由器,防止網路犯罪分子再度進行銀行轉帳。
在另一個案例中,X在2016年1月發現自己的帳戶少了約955美元。她的家用路由器也感染了惡意DNS變更惡意軟體。不過網路犯罪分子並沒有去影響銀行網站,而是將她重新導到銀行所使用第三方網站(例如 Google Adsense 和 JQuery)的偽造頁面。
路由器常常都使用不安全的設定,使得它們容易遭受惡意軟體攻擊,就如同上面所提到的真實案例。原因可能是路由器的作業系統、韌體或網頁應用程式存在著安全漏洞,讓攻擊者可以輕易用來作為入侵家庭網路的入口。事實上,網路犯罪分子會使用一些工具和網站來尋找脆弱的路由器並取得漏洞攻擊碼。以下是此類網站的例子: 繼續閱讀
我們在這篇文章首次討論兩名被稱為「Occhionero兄弟」的義大利人被逮捕並指控利用惡意軟體和特製的魚叉式釣魚攻擊(SPEAR PHISHING)來監視知名政治家和企業家。這個案子被稱為「EyePyramid」,名稱來自研究過程所發現的網域名稱和目錄路徑。
義大利通訊社AGI在1月11日中午公開了法庭命令。本文提供更多關於此案例的詳細資訊以對此攻擊活動有更加完整和深入的了解。
分析範圍
趨勢科技已經分析了近250個不同的EyePryramid相關樣本。在我們進行初步分析後,大約有十幾個可疑樣本被上傳到VirusTotal並標記為「#eyepyramid」。我們認為這些樣本是「假標記」,因為這些樣本跟其他樣本不同,無法跟EyePyramid建立肯定的關聯。
被針對的電子郵件帳號
部分樣本顯示出攻擊者將目標放在許多網域的電子郵件帳號。帳號憑證和這些帳號的郵件都被竊取,以下是被鎖定電子郵件帳號的網域:
被鎖定的網域 | ||||
@alice.it @aol.com @att.net @badoo.com @bellsouth.net @bluewin.ch @btinternet.com @comcast.net @cox.net @cyh.com.tr @earthlink.net @eim.ae @email.com @email.it @emirates.net.ae @excite.it @facebook.com @facebookmail.com @fastweb.it @fastwebmail.it @fastwebnet.it @free.fr |
@gmail.com @gmail.it @gmx.de @gmx.net @googlegroups.com @googlemail.com @groupama.it @groups.facebook.com @gvt.net.br @hanmail.net @hinet.net @hotmail.co.uk @hotmail.com @hotmail.fr @hotmail.it @infinito.it @interbusiness.it @interfree.it @inwind.it @iol.it @jazztel.es @jumpy.it |
@katamail.com @laposte.net @legalmail.it @libero.it @live.com @live.it @lycos.com @lycos.it @mac.com @mail.bakeca.it @mail.com @mail.ru @mail.vodafone.it @mail.wind.it @mclink.it @me.com @msn.com @mtnl.net.in @nate.com @netscape.net @netzero.com |
@orange.fr @otenet.gr @poczta.onet.pl @poste.it @proxad.net @rediffmail.com @rocketmail.com @runbox.com @saudi.net.sa @sbcglobal.net @skynet.be @supereva.it @sympatico.ca @t-online.de @tele2.it @verizon.net @virgilio.it @vodafone.com @vodafone.it @vsnl.net.in |
@wanadoo.fr @web.de @yahoo.ca @yahoo.co.in @yahoo.co.jp @yahoo.co.uk @yahoo.com @yahoo.com.ar @yahoo.com.br @yahoo.com.mx @yahoo.de @yahoo.es @yahoo.fr @yahoo.it @yahoogroups.com @ymail.com |
攻擊計畫
這波攻擊有著明顯的攻擊前準備,用意在製作有效的魚叉式釣魚攻擊(SPEAR PHISHING),取得目標的信任。攻擊者從一份電子郵件帳號列表開始 – 來自另外的入侵活動,或是來自用相同惡意軟體的其他案例。這些帳號屬於最終受害者所信任的組織或個人。
利用這些電子郵件帳號當作寄件者,將附加惡意軟體原本的副檔名(.exe)加以變更,攻擊者設法以直接或間接的方式感染重點受害者的電腦。
當在電腦上執行惡意軟體時,它會自動更新自己,竊取符合上述列表的電子郵件帳號相關資訊,並透過HTTP/HTTPS將收集的資訊傳送到資料取回電子郵件地址或C&C伺服器。同時將這些電子郵件帳號加到攻擊者所用的已入侵帳號列表,讓這些帳號可以用來將惡意軟體散播給其他受害者。