社交工程 - 資安趨勢部落格

免費下載 Windows 8 ?! “Windows 8 Security System” 發出警告訊息,竟是病毒作怪

2012 年 11 月 05 日2012 年 11 月 02 日趨勢科技 TrendMicro

剛上網興致正高昂,點了一個頁面,差一點被跳出的病毒警告訊息給嚇到,說我的電腦裡被掃到好多隻病毒,這些病毒會讓瀏覽器會常常掛掉;上網速度變烏龜;銀行帳密等個人資料都會被偷光;電腦被當作網路犯罪跳板…而且這訊息是剛上市的Windows 8 Security System” 發出的….該怎麼辦?

免費下載 Windows 8 ?!是網路釣魚;還有冒充Windows 8安全程式的假防毒軟體

人們開始在談論最近所推出的新作業系統 – Windows 8了。自然地，網路犯罪分子也不會放過這個機會，利用Windows 8來散播病毒，在萬聖節製造使用者更多恐怖氣氛。

我們看到有兩個威脅會利用這款新作業系統的推出消息。第一個是典型的假防毒軟體。這個惡意軟體被偵測為TROJ_FAKEAV.EHM，當使用者訪問惡意網站時就可能會碰到。Google曾經提出的報告，網路上的惡意程式中，有15%是假的防毒軟體所造成的，而這些假防毒軟體已經進化到集團操作，可以欺騙搜尋引擎的網站排名機制，用作弊的方式讓刻意製作好的假防毒軟體的網站搜尋排序在前面,塑造高下載率的假象。

如上圖所示，這個惡意軟體會顯示假掃描結果來恐嚇使用者購買假防毒軟體，就跟一般的假防毒軟體變種一樣。那這惡意軟體有何不同之處呢？就在於它被包裝成是給Windows 8所用的安全程式。要騙你花錢買所謂的”防毒軟體”,否則瀏覽器會常常掛掉;上網速度會變烏龜;銀行帳密等個人資料都會被偷光;電腦被當作網路犯罪跳板….如果你乖乖付錢,那可就引狼入室了,你買到的是沒有防禦功能的假防毒軟體,其中的惡意程式，還可能會被偷信用卡帳號資訊。（關於更多假防毒軟體手法，請看這裡）

另一個威脅是網路釣魚（Phishing）郵件，會誘騙使用者去連上一個號稱可以免費下載Windows 8的網站。但實際上並沒有免費的作業系統，而是被導到一個釣魚網站來要求個人識別資料（PII），如電子郵件地址、密碼、姓名等可以在地下市場兜售或用於其他網路犯罪活動的資訊。

高人氣可能帶來風險

這是典型的網路犯罪份子會利用任何受注目的新技術推出，來最大化他們惡意軟體、垃圾郵件和惡意應用程式的散播。我們之前所報導過的惡意Instagram和憤怒鳥上太空應用程式，就緊接著Facebook收購這家照片分享應用程式的消息出現。同樣地，惡意版本的Bad Piggies（壞蛋豬）也緊跟著正式應用程式的推出。

為了保持安全，使用者必須保持冷靜，在點下連結或訪問網頁前先想一向，尤其是那些聲稱會免費提供最新產品或軟體的訊息。如果一件事好得太不真實，那通常就有問題。想了解更多網路犯罪份子如何透過有效的社交工程陷阱( Social Engineering)來誘騙使用者入局，我們的數位生活電子指南 –「社交工程如何運作」提供了全面的介紹。

趨勢科技 PC-cillin 2013雲端版可以偵測和刪除像TROJ_FAKEAV.EHM的假防毒軟體，並且封鎖相關網站。也會在相關垃圾郵件(SPAM)進入使用者信箱前就加以封鎖。

＠原文出處：They’re here: Threats Leveraging Windows 8作者：趨勢科技 Gelo Abendan

◎延伸閱讀

《針對Windows 8 趨勢科技推出資安防護雙APP 》SafeGuard(網頁威脅過濾器)、Go Everywhere(行動裝置定位器)

通往Windows 8安全之路：已加強，但仍顛簸

什麼是假防毒軟體 Fake AV?

【山寨版有夠詐】依 IP 更換詐騙內容, 只感染搜尋結果來源用戶….

韓國開戰假防毒軟體埋伏幕後當心“找“麻煩

Google Groups 網上論壇搜尋引擎也成被駭者

網站排名暗黑 SEO手法：美國期中選舉民調結果被假防毒軟體動手腳

搜尋 “JavaScript Unpacker “解壓縮程式嚇然發現假防毒軟體FAKEAV 程式

Blogspot 部落格被貼上垃圾訊息,內含假防毒軟體連結

當心找到假 YouTube頁面及Flash安裝器,搜尋影片勿亂看

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

: PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

【立即下載試用PC-clin 2013 雲端版臉書地雷區 bye bye~】

◎ 免費下載防毒軟體：歡迎即刻免費下載試用PC-cillin 2013 即刻【按這裡下載】

◎ 歡迎加入趨勢科技社群網站

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

2012 年 10 月 29 日2012 年 10 月 22 日趨勢科技 TrendMicro

企業電子郵件流量預計會在2016年底達到1430億封

在最近幾年間，因為企業有網頁應用程式、社群媒體和消費化應用的出現，提升了商務溝通的能力。但電子郵件仍然是主要用來交換重要商業資訊的媒介。企業的電子郵件流量佔了今日全球流量的大部分。根據一項研究顯示，企業電子郵件流量預計會在2016年底達到1430億封。^註1

有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料

商務溝通透過電子郵件既快速又簡單，在大多數情況下只要有網路就可以了。它可以放入足夠長度的內容，也可以用正式的格式來做資料交換。電子郵件也被認同是法律文件。

電子郵件被認為是關鍵的資訊服務。^註2 員工會認為這在工作流程中是必要的，所以零電子郵件的政策難以被落實。^註3 研究顯示，有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料。^註4 有些關鍵文件包括客戶資料、產品設計，企業策略和銷售報價等等。

經由電子郵件寄送的重要資訊類別:

敏感的賠償問題 47%
併購活動 33%
可能的資遣和組織重組 45%
產品規劃藍圖 63%
預算計畫 76%

來源：PhoneFactor

電子郵件附加檔案

商務人士經常會在電子郵件內附加檔案，已經成為正常商務通訊的一部分。

微軟Word檔案：Windows 已經被企業廣泛的採用。因此，唯一和作業系統完全相容的微軟Office套件也非常的普及。^註5
PDF檔案：組織會使用PDF檔案，因為它支援多個平台，可以很容易地散布、歸檔和儲存。根據研究顯示，有90％的企業將掃描文件儲存成PDF檔案。而89％的受訪者表示，他們正在把微軟Word檔案轉成PDF檔案。^註⁶

毫無疑問的，攻擊者已經了解到利用電子郵件在目標攻擊活動裡散播攻擊工具是非常有效的作法。

目標攻擊進入點

目標攻擊或APT進階持續性威脅 (Advanced Persistent Threat, APT)是指一種威脅類型，可以長時間潛伏在網路或系統內來達到它們的目的（通常是竊取資料）而不被偵測到。

目標攻擊的幕後黑手會先利用開放的資料來源做研究，做出有效的社交工程陷阱( Social Engineering)誘餌。既然電子郵件是最常被使用的商務溝通模式，惡意威脅份子通常會經由這媒介來帶入漏洞攻擊。這些漏洞攻擊之後會下載更多的惡意軟體。

以下影片(10:22)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例
標題包含:”看了這個文章多活 10 年”,”新年度行政機關行事曆”

繼續閱讀

《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)

2012 年 10 月 24 日2012 年 10 月 31 日趨勢科技 TrendMicro

「李宗瑞影片，趕快下載呦！」政府單位以這測試信,導致 996 名員工好奇點閱「中招」，點閱員工分十梯上2小時的資訊安全課程。在本部落格提到的這篇文章中, 69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞。

老闆來信要你馬上回辦公室,開還是不開?

以下這個的寄信來源者是” Boss”老闆大人，開宗明義在標題寫著”get back to my office for more details”.(預知詳情請儘速回來到我辦公室)：

“Please read the attached letter and get back to my office for more details to proceed further”，要收件人先開info.zip 的附件，當心喔，我們一再提醒不要輕易開啟附件。經趨勢科技專家分析，解壓縮後出現 info.exe執行檔，果然是隻病毒。

有時候我們真的很難對以下這樣看似”好意”的電子郵件產生懷疑的心態,尤其寄件者來自高階主管,這就是 APT攻擊 (Advanced Persistent Threat, APT) 者,可以得逞的第一步驟,取得在電腦植入惡意程式的第一個機會。。

APT 目標攻擊中文社交工程信件樣本

APT進階持續性威脅 (Advanced Persistent Threat, APT)和目標攻擊通常會利用社交工程陷阱( Social Engineering)電子郵件作為進入目標網路的手段（註）。考慮到一般企業員工在每個工作天平均所傳送41 封和接收100封的電子郵件數量，以及製造社交工程陷阱( Social Engineering)電子郵件的容易度，企業應該要重新檢視如何確保這類型商務溝通的安全措施了。

過去的目標攻擊可以看到幾種不同類型的社交工程陷阱( Social Engineering)技術。例如：

利用常見網頁郵件服務的帳號來發送這些電子郵件
請參考:目標攻擊：Gmail 繁體中文網路釣魚信件
利用所之前入侵獲得的電子郵件帳號來發送
偽裝成特定部門或高階主管的電子郵件地址
比如經由Email 發送的＂員工滿意度調查＂附件PDF檔案含目標攻擊病毒

以下這個來自中文社交工程郵件一文中的案例,附件“企劃rcs.doc “看起來像文件檔,其實真正的檔名是”企劃cod.scr”這個螢幕保護程式駭客插了控制碼 ,讓它顯示從後顯示到前,點下去就啟動執行檔, 更讓平日對執行檔有警戒心的收件者,也無招架能力。

這些電子郵件通常會夾帶漏洞攻擊用檔案來針對常見軟體的漏洞以入侵受害者的電腦。一旦入侵成功，就會在網路裡繼續進行進階持續性威脅攻擊的其他階段。

對企業而言，尤其是負責保護網路的資安單位，需要更加了解攻擊者多麼輕易地就能夠利用電子郵件，因為電子郵件是用來做商務溝通最常見的形式。TrendLabs推出入門書 – 「你的商業通訊安全嗎？」和資料圖表 – 「掩護潛入：經由員工信箱的目標攻擊」，這兩者都介紹到電子郵件在進階持續性威脅攻擊活動裡扮演多麼危險的角色。點擊下面縮圖來下載文件：

發展並利用外部和本地威脅情報是啟動進階持續性威脅防禦策略的關鍵。Threat Intelligence Resource（威脅情報資源）提供資訊、系統和網路管理者關於進階持續性威脅最新最可靠的研究和分析。進入這頁面來瀏覽最即時的內容，讓你能夠了解目標攻擊的最新發展。

註：並不是說所有的APT進階持續性威脅 (Advanced Persistent Threat, APT)都是透過電子郵件到達，這類威脅肯定會想辦法利用許多種的進入點。

•每天的電子郵件流量有超過60%屬於企業用途

•一般企業員工平均每天會寄送41封和接收100封的電子郵件。

•收到的郵件中有16%是垃圾郵件

•在2012年，每日的企業電子郵件流量高達890億封

繼續閱讀

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

2012 年 09 月 19 日2012 年 10 月 26 日趨勢科技 TrendMicro

APT進階持續性威脅 (Advanced Persistent Threat, APT) 主要是針對特定組織所做的複雜且多方位的網路攻擊．

過去所發生過的大規模病毒攻擊事件，往往是有人藉由所謂的0-day弱點，在未發布修正程式的空窗期將惡意程式大量散播，短時間內就能癱瘓企業網路與主機，並造成難以估計的損失．不過一旦發布了修補程式後，這類型的病毒便很難繼續進行攻擊．

為什麼我們要特別注意APT進階持續性威脅 (Advanced Persistent Threat, APT)?因為所謂的APT進階持續性威脅 (Advanced Persistent Threat, APT)並不像上述說的病毒類型是短時間的大量攻擊，這類型的病毒往往長時間的潛伏在企業內部，先從蒐集情報開始，找尋適合攻擊的目標或跳板，最後再藉由這些目標對內部重要的主機發動攻擊．

根據統計，APT進階持續性威脅 (Advanced Persistent Threat, APT)主要活動的前三大地區為台灣、美國與香港，受害比例最高的是台灣，整體而言亞洲是遭受APT攻擊最主要的地區．

以下是近年來知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)事件

2010年7月Stuxnet USB蠕蟲病毒攻擊西門子系統
2010年1月極光行動(Operation Aurora)攻擊Google Mail
2011年5月Comodo的數位簽章被竊
2011年4月Sony PSN個資外洩

相關圖闢請看文末 註:近兩年來遭受 APT 攻擊的著名案例：

由基本面來看，符合下列三項特點，我們就認為這攻擊是APT進階持續性威脅 (Advanced Persistent Threat, APT)：

出於經濟利益或競爭優勢
一個長期持續的攻擊
針對一個特定的公司，組織或平台

所以企業與政府通常是APT進階持續性威脅 (Advanced Persistent Threat, APT)的目標，要注意APT進階持續性威脅 (Advanced Persistent Threat, APT)是長期且多階段的攻擊，早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊，可能透過SQL Injection攻擊突破外網Web伺服器主機，接著，受駭的Web伺服器作為跳板，對內網其他主機或用戶端進行情報蒐集．安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器（C&C Server）建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

APT進階持續性威脅 (Advanced Persistent Threat, APT)的主要行為：目標式攻擊郵件

在APT進階持續性威脅 (Advanced Persistent Threat, APT)的活動中，最主要的就是透過郵件進行滲透式的攻擊，主要有三種類型

釣魚郵件：竊取使用者的帳號與密碼
惡意的指令碼：蒐集使用者電腦的環境資訊
安裝惡意程式(例如Botnet或rootkit)

APT進階持續性威脅 (Advanced Persistent Threat, APT)的攻擊郵件通常是以文件類型的檔案作為附件，例如Microsoft Office文件或是PDF檔，與一般認知的病毒郵件有著極大的差異，這類型的APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊郵件通常與使用者平時收發的郵件無太大的相異之處，容易降低使用者的戒心，以下便是APT進階持續性威脅 (Advanced Persistent Threat, APT)郵件的樣本：

APT不是一種新的攻擊手法，也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅；可以想成是進行中的過程。防毒軟體可能可以阻止APT攻擊所使用的惡意程式，但並不意味著停止攻擊。就其性質而言，一個APT是一段持續的攻擊。如果一個戰術行不通，就會再嘗試另外一個。實際上，我們不應該只去思考單一對策，或只是在多層次安全策略上增加更多防禦層，相反的，我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。

從實務面來看，在可預見的未來，APT將會一直與我們同在是很合理的假設。APT是長期的過程導向攻擊，是攻擊者動機和攻擊手段改變下的產物。我們應該繼續部署攔截對策。防毒軟體，加密，弱點掃描和上修正程式（Patch）都是很好的做法。但是這些還不足以去應付APT，所以我們應該假設會被攻擊成功。在會被攻擊成功的前提下，我們必須即時的監控網路流量和電腦上的活動，包括隔離被入侵的設備，關閉伺服器和收集資料以作鑑識分析之用。萬一攻擊發生了，能夠儘快偵測到攻擊和遏制它所造成的影響才是最主要的目的。

註:近兩年來遭受 APT 攻擊的著名案例：

· 2010 年 1 月 — Google：
在一起名為「極光行動」的事件中， Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結，接著就連上了一個惡意網站，
不知不覺下載了惡意程式，開啟了接下來的一連串APT 事件。
在此事件中，攻擊者成功滲透 Google 伺服器，竊取部分智慧財產以及重要人士帳戶資料。

「極光行動」常用像這樣的軟體更新下載程式作為誘餌。

· 2010 年 7 月 — 西門子：
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒，
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統（ SCADA ）。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈，
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo：
數位簽章遭竊，憑證遭到破解，使得許多使用者及網站暴露於危險之中。

· 2011 年 3 月 – RSA：
歹徒寄了兩封標題為「 2011 Recruitment Plan 」（ 2011 年度徵才計畫）的信件給員工。
這兩封信件實為網路釣魚（Phishing），引發了後續的資料外洩事件。�
Rsa01
RSA APT 事件中的網路釣魚（Phishing）�

· 2011 年 4 月 — 洛克希德馬丁：
在 RSA 遭到攻擊後隔月，駭客以從 RSA 竊得的 SecureID 通過身分認證，侵入武器製造商洛克希德馬丁。