電腦病毒 - 資安趨勢部落格

《病毒30演變史》「駭客竟比同事還來解你!」2010 年客製化 APT針對性目標攻擊,成企業心頭大患

2018 年 10 月 09 日2018 年 10 月 19 日趨勢科技 TrendMicro

1988年趨勢科技成立之初,當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年電腦病毒與資安威脅演變史。
本篇談 APT 針對性目標攻擊…

APT 針對性目標攻擊或稱為進階持續性滲透攻擊(Advanced Persistent Threat) 跟一般不限定目標地亂槍打鳥的惡意程式攻擊不一樣的是, APT 攻擊會花費較長的時間規劃、執行：偵查、蒐集資料；發掘目標的安全漏洞或弱點。從蒐集各種情報開始,可能持續幾天，幾週，幾個月，甚至更長的時間。這項攻擊 2010年開始成為企業所面臨的最大威脅之一。高知名度的攻擊事件，像是零售商 Target 和百貨公司 Neiman Marcus 的大量資料外洩. 還有主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統（ SCADA ）的 Stuxnet 蠕蟲病毒。

APT目標攻擊通常會先充分研究過並以相關的電子郵件形式出現,比如2014年服貿議題成社交工程信件誘餌!!台灣爆發大規模 APT 威脅！近20家經濟相關機構成目標(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

攻擊者:電子郵件是阻力最小的攻擊路徑

根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。
【延伸閱讀】69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊,根據趨勢科技統計，一般員工平均每個工作日會收到100封電子郵件，等於我們每天有100次掉進駭客陷阱的風險。繼續閱讀

《電腦病毒30演變史》「你的檔案我的肉票」勒索病毒找搖錢樹，連城隍老爺、警察大人都敢動！盤點2005-2017年駭人討債鬼

2018 年 10 月 03 日2018 年 12 月 22 日趨勢科技 TrendMicro

1986 年趨勢科技成立之初,你知道當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。本篇討論勒索病毒….

膽大包天的勒索病毒 Ransomware連警察大人都敢勒索,甚至城隍老爺也沒在怕,有300年歷史的嘉義城隍廟內部文書處理系統也曾遭勒索。勒索病毒藏在郵件,藏在載點,藏在廣告裡,只要你上網,就有可能是它的覬覦目標。
2015年有位台北市某公司會計人員,誤點免費中獎 iPhone釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管調離現職。

2016年台灣網友傳出因追劇而中CERBER勒索病毒;2018年宜蘭租書店老闆,被勒索病毒入侵,乾脆結束營業。

歷年勒索病毒大事記:

2005 年勒索病毒誕生

2012年假冒警察,抓盜版軟體

2013年加密手法日益成熟

2013-2015 年太歲頭上動土,挑戰執法單位

2014年入侵Android系統, 勒索病毒在口袋趴趴走,

2014-2015年鎖定企業,台灣也受駭

2016年變種大幅攀升

2016年Locky迫使醫院改用紙本作業

2016年城隍爺遭「綁架」

2016年鎖定廣告伺服器,台灣遭攻擊排行第一

2016年 CERBER 第一隻台灣網友傳出因追劇而中的勒索病毒

2016-2017年台灣受勒索病毒攻擊超過2千萬次幾近台灣總人口數！

勒索病毒家族數量在 2016 年大幅攀升

2017年 WannaCry 想哭與 Petya前後襲捲全球

2018年國際大藥廠研發總部遭勒索病毒入侵,導致藥廠重新製作疫苗

2005 年中期出現勒索病毒 Ransomware案例，加密手法的版本在 2006 年才開始出現

儘管早在 2005 年中期，媒體就報導過一些勒索病毒 Ransomware的案例，但是較為精密且會採取某種加密手法的版本要在一年之後，也就是 2006 年才開始出現。其中一個早期變種就是我們偵測並報導過的 TROJ_CRYPZIP.A，它會搜尋受害者硬碟上某些副檔名的檔案，然後將這些檔案壓縮成含有密碼保護的壓縮檔，並將原始檔刪除。使用者若沒有任何其他備份，就只好想辦法看看能不能解開這份壓縮檔案。此外，TROJ_CRYPZIP.A 還會利用一個記事本檔案來留下勒索訊息，告訴使用者只要支付 300 美元就能取得壓縮檔的密碼。
當然，由於這是勒索病毒 Ransomware首次嘗試向不知情的使用者詐取錢財，其詐騙手法還不是非常周延。因為，歹徒的密碼其實就儲存在惡意程式其中一個元件當中，也就是它的 .DLL檔案，而且大剌剌地並未加密。
從那時候起，勒索病毒傳遍了全球，發展出許多不同的版本。某些類型的勒索病毒會偽稱為當地的警察機構：贖金以「罰款」的形式出現，讓使用者不得不馬上支付。有些較複雜的警察勒索軟體會使用受害者的本土語文。有些甚至會在受害者的本土語文中包含了語音訊息

2012 年：REVETON 勒索病毒假冒警察，抓盜版軟體，讓使用者即使不情願也會乖乖付款

繼續閱讀

《電腦病毒30演變史》趁虛而入! 2001年CodRed 開啟漏洞攻擊元年-盤點歷年漏洞攻擊

2018 年 09 月 26 日2018 年 12 月 22 日趨勢科技 TrendMicro

1988年趨勢科技成立之初,你知道當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
本篇從2001年漏洞攻擊元年談起…

2001年可說是漏洞攻擊蠕蟲崛起之年，這些蠕蟲突顯了網路修補與防護對企業機構的重要，尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。

2001年可說是漏洞攻擊蠕蟲崛起之年，包括：Code Red I、Code Red II、Klez、Nimda、Sadmind 以及 Sircam。它們專門攻擊 Solaris 和 Microsoft Internet Information Services (IIS) 伺服器的漏洞。尤其 Code Red 可說是給了全球企業機構一記響亮的警鐘，造成了 26 億美元的生產力損失與伺服器清除成本。同時，這些蠕蟲也突顯了網路修補與防護對企業機構的重要，尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。

2003-2008年間爆發了幾個重大的漏洞攻擊事件,包含導致班機無法正常起飛的Blast;駭到CNN現場新聞大停擺達數十分鐘的ZOTOB;還有2008年現身,至今10年後( 2018年)依然活躍的銀行木馬程式 Conficker。

2014年OpenSSL加密出包, 臉書、Instagram、google、yahoo都受影響,這個讓全球六成網站拉警報的漏洞被命名為Heartbleed(心淌血) 。根據密碼學、安全和隱私專家Bruce Schneiere 給這個個災難性臭蟲評分，如果從1～10要評分的話，他給11分。

到了 2015年Angler 主宰了整個漏洞攻擊套件版圖;2017年WannaCry及Petya勒索病毒利用EternalBlue漏洞大規模攻擊,隔年EternalBlue入侵家用網路台灣成重災區。

繼續閱讀

《電腦病毒30演變史》2000年史上最毒的電子情書: 「ILOVEYOU」我愛你病毒全球大告白

2018 年 09 月 18 日2019 年 03 月 05 日趨勢科技 TrendMicro

1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
我們將分期為大家介紹《1988-2018 資安威脅演變史》中,造成全球重大損失的病毒與攻擊手法事蹟
本期介紹的是傳播速度比梅莉莎病毒快上數倍，破壞力更為強大的-LOVELETTER(情書)/I LOVE YOU(我愛你) 病毒

每年 5月 20 日是網路告白日,同樣選擇在 5 月告白的還有一口氣同時向上百萬人進行全球大告白的「ILOVEYOU」(我愛你)病毒。

1999年Mellisa 梅麗莎病毒擴散全球花了四天時間,2000 年同樣以電子郵件散播的「ILOVEYOU」(我愛你)病毒只花了四小時
「如果月底前，我仍無法獲得一份穩定的工作，我就要釋放出第三種病毒，把硬碟中所有資料夾殺得片甲不留。」來自菲利賓,史上最毒情書-I LOVE YOU病毒作者曾撂下這樣狠話

2000年5月 4日趨勢科技晚間發佈一級病毒警訊，「ILOVEYOU」病毒病毒透過電子郵件，迅速地在全球各地擴散。這隻由 VB Script程式語言所撰寫的病毒，傳播途徑類似1999年3月釀成巨災的梅莉莎病毒，主要透過一封信件標題為「ILOVEYOU」的電子郵件散播，附加檔案為 “LOVE-LETTER-FOR-YOU.txt.vbs” (獻給你的情書),因此也被稱為「LOVELETTER」情書病毒或愛情蟲病毒,該病毒可說是早期使用社交工程（social engineering ）手法得逞的經典案例。電腦使用者一旦執行附加檔案，病毒會經由被感染者 Outlook 通訊錄的名單發出自動信件，藉以連鎖性的大規模散播，造成企業 mail server癱瘓。病毒發作時，會感染並覆寫附檔名為：*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse….等十種檔案格式；檔案遭到覆寫後，附檔名會改為 *.vbs 。

看起來是 .TXT 文件檔,怎麼會中毒?

該病毒的附檔名是 LOVE-LETTER-FOR-YOU.TXT.vbs 。但是 Windows 會將第二個檔名隱藏起來，所以使用者看起來會以為是一般的 .TXT 文件檔。

2000年5月4日上午趨勢科技首先接獲歐洲客戶的求救訊息，之後，德國分公司在二小時內湧進了數百通的求援電話，其中包括了政府機關與工商單位，並有數家大型ISP公司遭受此病毒的感染，業務服務陷入停擺。4日下午，病毒透過 email，在極短的時間內即擴散至台灣，有數家與國外業務往來密切的大型企業傳出災情，mail server瞬間被灌爆，網路陷入癱瘓。「ILOVEYOU」病毒與Melissa ( 梅莉莎 )病毒的最大差異在於，梅莉莎病毒只會對通訊錄的前50個名單發出垃圾郵件，而 ” 「ILOVEYOU」病毒是向所有的通訊錄名單發出自動信件，其傳播的速度比梅莉莎病毒快上數倍，破壞力更為強大。

繼續閱讀

《電腦病毒30演變史》1999年史上第一個大爆發的電子郵件病毒:Melissa 梅莉莎,命名靈感來自脫衣舞孃

2018 年 09 月 12 日2018 年 12 月 22 日趨勢科技 TrendMicro

1999年美國西岸時間 3 月27日晚上 9 ：00， CNN 與 NBC 電視臺大幅報導Melissa (梅莉莎) 病毒攻陷美國各大企業電子郵件伺服器的新聞。而早在電視臺公佈前的 3 個小時，也就是梅莉莎病毒出現後的1 2 小時內，趨勢科技已經最新的解毒程式放置於趨勢科技網站，同時全產品線更新完成。而其免費提供的線上掃毒服務，也在一天當中湧進 1 0萬人次。由於這在當初是前所未有的病毒型態，全球的防毒廠商除了趨勢科技，全都措手不及難以應付。這不但奠定趨勢科技在全球閘道市場的知名度，更讓企業意識到唯有閘道防毒，才能降低桌上防毒的負擔。 Mellisa 爆發以來，暴增的電子郵件病毒，突顯出傳統的單機版防毒已經不敷使用，唯有在 email 進入企業的第一道關口設置防毒牆才是關鍵。

據報導微軟、 Intel 都遭受感染，病毒擴散後的一小時內，伺服器即超過 2萬封信件。其中美國微軟採用趨勢科技的 InterScan VirusWall 成功掃毒
1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。

ICSA國際電腦安全協會報告指出，Melissa病毒事件，造成受害企業平均需耗費 24小時，以及 5 個專業工程師(人/天數)的人力來投入修復工作，而平均損失則高達1,750美元；同時，自Melissa事件開始，email 一躍成為主要的病毒傳播途徑，將病毒傳播模式及速度帶入新紀元。

Internet 普及之前一隻病毒從美國傳到台灣要花上數周，Internet 時代只需 Click一下滑鼠，病毒瞬間傳遍全球各大洲

Melissa 是第一個利用電子郵件自動大量散播、癱瘓網路的始作俑者，於 1999 年造成全球企業 email 系統集體停擺。並提供後繼病毒作者一個依樣畫葫蘆的不良範本。過去，Internet尚未起飛的年代，一隻病毒從美國傳到台灣，可能要花上好幾個星期的時間，至此只需要 Click一下滑鼠，病毒就在瞬間傳到全球各大洲了。

Melissa (梅莉莎)不像大多數的文件巨集病毒感染模式，僅限於用戶端感染，它的目標獵物更鎖定了exchange server ，瞬間灌爆了信箱,傳播速度更令人大開眼界。

該病毒可以同時感染 Microsoft Word 97 及 Word 2000 的文件，並自動經由被感染者的 Microsoft Outlook的通訊錄發出 50 封自動郵件，藉以連鎖性的大規模散佈。當時幾乎所有的信箱都塞滿了這樣標題的信件：「 Important message from < somebody>」(PS. Somebody 是寄件人的名字) ，信件內容為：「 Here is that document you asked for….don’t show anyone else:-)」並有一個內含80個色情網站 Word 附件檔。由於這些寄件人幾乎都是公司內部的同事，或是熟識的朋友、甚至是客戶。很多人收到這些信腦中閃過的念頭是：「誰在惡作劇？！」