趨勢科技 TrendMicro – 第 610 頁

< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)

2014 年 05 月 29 日2014 年 06 月 25 日趨勢科技 TrendMicro

台灣政府機關下載或開啟附件檔案之前請務必三思！趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動，名為「PLEAD」，犯罪份子使用魚叉式網路釣魚（Phishing）電子郵件，內含以「強制從右至左書寫」(RTLO) 技巧來偽裝檔名的附件，並利用 Windows 的漏洞來攻擊受害者，誘騙缺乏警戒的收件人開啟並下載惡意附件檔案，進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。

趨勢科技台灣區技術總監戴燊表示：「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元，這些字元是為了支援世界上從右至左書寫的語言，讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧，歹徒可將惡意檔案偽裝成看似無害的文件。」

專門攻擊台灣政府機關新「鎖定目標攻擊」現身！
檔案名稱精心造假引誘收件者下載惡意附件

趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出，在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。

趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD，來自於其相關惡意軟體所發出後門指令的字母。

此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡，攻擊者利用RTLO（從右至左覆蓋）技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr顯示成xxx.rcs.pdf）

在某些PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術，如同一起針對台灣某部會的案例，聲稱是關於技術顧問會議的參考資料：

圖一：寄送至台灣政府單位的電子郵件

一旦.7z附加檔案被解開，收件者會看到兩個檔案，看來像一個PowerPoint文件和一個Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元，可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。

此威脅的主角還包括一個用作誘餌的.DOC文件，圖二內的第二個檔案，其唯一的作用是增加電子郵件的可信度。

圖二：解開的附件檔顯示RTLO伎倆作用在.SCR檔案上

為了進一步讓受害者相信.SCR檔案是PPT文件，這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。

圖三：.SCR產生這個PPT檔案作為誘餌

另一封電子郵件偽裝成台商企業的統計數據：

圖四：第二封電子郵件樣本，被寄送到不同的台灣政府單位

圖五：附件檔解開後發現該檔案是個可執行檔

繼續閱讀

詐騙集團為何知道我的名字 ? 從手機簡訊小額詐騙談,提供個人資料前問自己的四個問題

2014 年 05 月 28 日2014 年 06 月 12 日趨勢科技 TrendMicro

如果你還不擔心資料外洩的問題，那麼你應該要開始擔心了。手機詐騙簡訊猖獗，根據165專線統計，4月至今案例已累計到292件,一個月左右時間案件數就成長了 5 倍以上。刑事警察局統計，今年光是一月到四月，簡訊詐騙件數高達 497 件，詐騙金額 315 萬元，遠超過去年整年總和。很多受害人因為收到如下標記有自己姓名的簡訊,而不疑有他的按下詐騙連結因而損失數千元不等:

「劉○○先生,你的露天商品已經送達門市..」、「許○○這是你那晚沒來的照片，我被整慘了…」、「謝○○我在墾丁拍的照片，你覺得哪張最好看?」、「林○○這是上次同學聚會的照片，大家都有來」、「何○○這是上次聚會的照片，你好好笑」…(看手機詐騙簡訊一覽表)

“到底詐騙集團怎麼知道我的名字?”

一旦你的資料被竊取，就等於是開放給所有的網路詐騙集團。除了你在網路上填寫的個資外洩外,以下這個健保卡詐騙事件,也讓很多人一不小心就奉上自己的真實個資:

詐騙集團也會利用語音詐騙方式來竊取民眾提供個人資料，或進行轉匯款行為。其手法為，撥打民眾手機，並撥放語音：「這裡是中央健康保險局，為辦理換新健保卡作業，請按分機號碼 9 ，辦理個人資料登錄。」只要民眾按 9 ，電話改由專人接聽，以核對個人資料為由，要求被騙民眾說出自己的姓名、電話、生日、身分證字號等，一不小心個人資料便被套走。
《資料來源》全民健康保險雙月刊第96期

提供個人資料前請問自己四個問題：

除了必填的欄位,選填欄位有必要填嗎？如果任何欄位是選填的，那麼就不要填。畢竟駭客們沒辦法偷走你沒提供的資料。
提供資料之前先想一下，從這網站所能得到的，是否值得用個人資料去交換。
如果它值得，考慮一下是否需要提供你全部（與真實）的個人資料。可以考慮換成提供假的資料。
如果牽扯到錢時，要特別小心的提供你的資料。

由趨勢科技 Trend Micro 貼文。

你不會把你的月收入告訴旁邊的人，但為何要告訴網路市調/會員公司？

基本原則是，每個上網的人，包括你、我和讀者們，都要對自己的資料負責。太多網站要求過多你可能不希望他們知道的資料。網路論壇是否真的需要知道你賺多少錢，從事哪個行業或是什麼時候生日？你的真實資料這麼寶貴，是不應該隨便交出去的，尤其是這些資料可以用在行銷或廣告目的上。

現在有這麼多分享的方法，讓事情保持私密變得日益困難。網站和各種服務往往會要求填寫個人資料並追踪使用者的上網習慣，以提供更「個性化」的體驗。除了特定群組間的分享方式外，上網分享幾乎已經成為與公眾分享的代名詞。不論一個帳號的隱私級別為何，貼在網路上的任何東西遲早都會向大眾公開。

在你該做些什麼來保護你的隱私秘密？中,我們建議助使用者：

避免在社群媒體上過度分享。
不要在你不信任的網站上使用網路銀行或購物。
追踪你的資料，無論它是在雲端或在你其中一個設備裡。

@原文出處: Should You Start Lying Online?

趨勢科技PC-cillin 2014雲端版獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛！
即刻免費下載

@延伸閱讀

脆弱的密碼就像鋪張紅毯歡迎身份竊盜入門

密碼提示問題如何設定才不會被猜中？

脆弱的密碼就像鋪張紅毯歡迎身份竊盜入門

eBay遭駭1億4千萬用戶個資恐外洩！五個問題請教 eBay…

2014 年 05 月 23 日2014 年 05 月 23 日趨勢科技 TrendMicro

這幾天的大新聞 eBay用戶帳密資料庫遭駭1億4千萬用戶個資恐外洩,eBay於5月21日在官方部落格緊急發布公告坦言:「該資料庫在二月底和三月初受駭，範圍包括 eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期」這些用戶資料都有可能外洩，報導推測恐超過了去年12月美國第二大連鎖商店 Target 遭駭所影響的1.1億客戶，eBay遭駭事件將成為美國史上最大宗資料外洩事件。

eBay目前是說並沒有看到有詐騙事件出現。而且eBay也說此起資料外洩事件並不會影響到PayPal帳號：據他們所說，這些都儲存在分開的系統上。

如果你是eBay客戶，這首先代表的是你要變更密碼了。隨著像這樣的資料外洩事件接二連三的出現，很重要的一點是要在每個網站上都使用獨特的密碼。這也是像趨勢科技PC-cillin 2014雲端版內建的<密碼管理 e 指通>這樣的密碼管理工具可以幫上忙的地方。

除了變更密碼，此一事件也再次顯示出你可能需要看看即時身份竊盜監控。跟其他我們見過的資料外洩事件不同，這次包括了實際地址、電話號碼和出生日期，能夠讓惡意份子更容易去竊取你的身份。只是變更密碼並無法保護你免於此種威脅。

在2014年初，趨勢科技的技術長Raimund Genes預測每個月都會出現一起大規模的資料外洩事件。這之後出現了Target和Nieman Marcus資料外洩事件，所以很不幸地，這預測看起來相當正確。

關於此事件的其他觀點，可以參考以下這篇文章提出了給eBay的五個問題，而且可以同樣地適用於任何廠商。

——————————————————————————————

趨勢科技全球安全研究副總裁 Rik Ferguson

如果你正在製作高知名度的資料外洩事件列表，你現在有個新名字可以加進列表裡了：eBay。在他們網站新聞中心的一篇文章裡，eBay在一定程度上確認了資料外洩的規模，雖然標題上看不出來。

「該資料庫在二月底和三月初受駭，範圍包括eBay的客戶姓名、加密過的密碼、電子郵件地址、實際地址、電話號碼和出生日期」

雖然調查還在進行中，目前的文章顯示eBay大致確認只有一個資料庫遭到未經授權的存取，至少文章內的用詞是這樣的意思。現在，如果你是個eBay使用者，你將會需要變更你的密碼。如果你在其他網站上也用了一樣的密碼，那你也要在那些網站上變更密碼（是的，再一次地）。不幸的是，變更名字或地址就沒那麼容易了，所以這些部分所受到的危害還是沒有改變。

eBay，我有一些問題要問你（是的，我很生氣，這些都是我託付給你的資料）

1 – 如果所有的敏感資料都存放在單一的資料庫上，為什麼沒有加密。事實上，為什麼沒有跨多個資料庫的加密？我有些惱怒的注意到，「所有的PayPal金融資料都是加密的」，還在執行兩層式的系統嗎？

2 – 如果你要告訴我，它是加密的，但攻擊者取得了資料庫的登入憑證，那為什麼這些重要的系統沒有使用雙因子身份認證？

3 – 為什麼只靠被駭的登入憑證就可以存取企業網路？再一次，多因子認證呢？

4 – 為什麼具備eBay這樣資源的組織需要花上三個月來發現資料被不當存取過，更不用說還被竊走？入侵外洩偵測系統在哪裡？

5 – 我的密碼是怎樣「加密」的？我想要細節。我想知道是用哪種演算法以及是如何加料（Salted）的。我想知道我的密碼會被暴力破解的實際機率，這樣我才能準確的評估我的受害程度，並提供實用的建議給別人。

額外的加分題

– 一開始的帳號被駭是怎麼發生的，你要如何確保這不會再發生？

有效的安全性已經不再是想要去設計出可以永久阻絕攻擊的架構了，這只是痴人說夢而已。如果他們想進入，他們就會做到。有效的安全性是接受可能被駭的現實，將系統和流程整合以讓你可以及時發現和反應，關鍵是，你要讓攻擊者極難帶走他們原本想要的目標。你又是怎麼做的呢？

你在新聞聲明結尾中提到：「相同的密碼絕對不要在不同網站或帳號上使用」。我同意。我要以此來結束我的「聲明」。

敏感資料，尤其是你被信任而持有的資料，都應該要加密，沒有例外。

噢！還有，如果你送出提供連結來讓我點入以變更密碼的電子郵件。那你就永遠地從我進行聖誕購物的選擇中除名了。

＠原文出處：Oy vey, eBay! Five questions for you…

該讓您的 XP 走了但為何難以分手?

2014 年 05 月 22 日2014 年 09 月 25 日趨勢科技 TrendMicro

管理您的老舊作業系統,Windows XP 終止支援之後,未來的日子將變得如何？

Microsoft 長達十多年的 WindowsR XP 支援在 2014 年 4 月 8 日劃下句點。使用者再也不會收到安全更新、非安全相關修正，以及免費或付費的支援，同時線上技術資訊也不再更新。

支援終止意味著仍在使用 Windows XP 的企業系統將面臨嚴重的後果。本文探討企業繼續使用這套作業系統所將面臨的威脅、潛在損失、法規遵循問題以及更高的使用者運算成本。

Windows XP 全球使用率在過去一年逐步下滑的趨勢。儘管該作業系統的市場占有率已經大幅滑落，但 Windows XP 在市場上仍占有一席之地。Microsoft 至今已雄霸用戶端作業系統市場長達二十多年。根據 IDC的調查，每十台 PC 就有一台是使用 Windows 作業系統。此外，根據Spiceworks 所作的一篇研究也發現，截至 2013 年 12 月為止，有 76% 的IT 人員仍得支援 Windows XP 作業系統。其中，97% 支援的是桌上型電腦，68% 支援的是筆記型電腦。

「該讓您的 XP 走了但為何難以分手?」

儘管 Windows XP 作業系統即將終止支援，但其使用率仍非常普遍。Microsoft 過去也曾有許多 Windows 版本已終止支援，但沒有一個版本至今仍在普遍使用。Windows XP 之所以雄霸至今，原因之一可能是 2008 年的經濟危機造成許多企業資金短絀、裁員和撙節成本。此外，WindowsXP 和其後繼系統 Windows Vista 之間只有五年的間隔，也或許還不足以讓企業有升級的動機，導致桌上型電腦汰換週期遲緩。

「金融危機釋疑：為何我們還不曉得到底發生了什麼？」

為仍有一大部分的桌上型電腦市場將暴露在與日俱增的威脅當中。當年 Windows XP 在 2001 年上市時，行動使用者的數量非常稀少，而且都是透過有線網路連線。當時，使用者大多經由企業掌握的網路上網，遠端存取則通常透過撥號連線。當年的 PC 威脅大多只會讓使用者困擾或是浪費時間，而非竊取重要資料。簡單言之，今日之所以要淘汰 Windows XP，正因為它是針對當年的時空背景設計的產品。

儘管迫在眉睫，但更換作業系統並沒有想像中的容易。IT 人員需預先料到升級會遇到哪些問題。根據 Dell 的一項研究顯示，作業系統移轉總是會帶來一些頭痛問題，4 例如應用程式相容性 (41%) 及使用者教育訓練和支援 (33%) 等等都是受訪者所指出的問題。此外，升級也可能會需要採購新的硬體，讓轉換過程不如想像順利。

2013 年 2 月，當 Oracle 宣布 Java. 6 終止支援，不再提供安全更新來修補任何漏洞之後，駭客即開始強力鎖定該軟體未修補的版本。就在 Java 6 終止支援幾個月後，駭客便試圖攻擊 Java 的CVE-2013-2463 漏洞，影響的範圍包括 Java 6 在內的多個版本。

由於 Java 6 已不再獲得支援，Oracle 便不提供 (未來也不會提供) 安全更新給使用者。更糟的是，此漏洞攻擊已整合到 Neutrino 漏洞攻擊套件當中，未來將有更多同樣的攻擊得逞。

2014 年 4 月 8 日之後，Java 6 的情況同樣也將發生在 Windows XP 使用者身上，但 Windows XP 的威脅將遠勝於此。因為， Windows XP 和後繼 Windows 作業系統版本之間的共用程式碼，將成為駭客尋找待修補漏洞的「線索」。

總而言之，今日的威脅已和以往大不相同。事實上 Windows XP 的漏洞很可能讓整體企業及企業資料陷入危險當中。要防範這類已不再釋出修補程式的軟體漏洞，我們建議企業採用一套像趨勢科技 OfficeScan. Intrusion Defense Firewall 入侵防禦防火牆這類的漏洞防護方案。漏洞防護技術的運作原理是，漏洞攻擊都會透過特定的網路途徑來攻擊應用程式。因此，我們可以藉由一些網路層的控管規則來管制進出目標軟體的通訊。

2013 年 10 月 Microsoft 公布一項消息表示 Windows XP 終止支援之後，該系統的感染情況將增加 66%，顯示駭客很可能會利用這段感染空窗期。6 駭客將試圖利用後續新版作業的安全更新來進行反向工程，藉此尋找Windows XP 的漏洞。網路犯罪者甚至將「囤積」各種漏洞攻擊，待Windows XP 支援終止時全面傾巢而出。

一旦 Windows XP 支援終止，Internet ExplorerR (IE) 也將成為另一個風險因素。該瀏覽器從 IE 8 之後的版本就不再支援舊版作業系統，這表示舊版作業系統的使用者將被打入冷宮。當然，使用者也可改用其他瀏覽器，不過，光更換瀏覽器仍不能 100% 防止瀏覽器漏洞。

另一項可能的技術風險是含有漏洞的端點裝置很可能被當成新一代惡意程式的攻擊跳板，因為舊系統很難對抗這些新的威脅。鎖定目標攻擊即經常利用軟體漏洞來入侵系統，讓企業暴露在資料竊盜和商業間諜的風險中，此外，任何使用 Windows XP 的 PC 對駭客來說都是一個明顯的弱點。

老舊的系統和軟體若不淘汰，將帶來嚴重的企業風險，包括一些不可預期的潛在成本和後果。然而，也有人認為繼續使用 Windows XP 可以讓使用者不必再學一套新的作業系統，因為他們已經很熟悉系統的使用介面，而開發人員也對其瞭若指掌，這樣的主張看起來也很合理。

那麼，為何一定要更換系統？首先，IT 系統管理員應考量一下在終止支援之後繼續維護 Windows XP 的財務成本。決定繼續使用該系統的企業很可能必須加入客製化支援服務，也就是必須成為 Microsoft Premier Online 線上服務的會員。

看完整文章請下載白皮書 :Windows XP 終止支援之後未來的日子將變得如何？

< APT 攻擊 > 利用微軟Word零時差漏洞,鎖定台灣政府機構發動攻擊(含社交工程信件樣本)

2014 年 05 月 21 日2015 年 01 月 08 日趨勢科技 TrendMicro

漏洞，特別是零時差漏洞，經常會被惡意份子用作目標攻擊的起始點。影響微軟Word的零時差（在當時）漏洞（CVE-2014-1761）就是一個例子。在三月所發佈的資安通報裡，微軟自己承認該漏洞被用在「有限的目標攻擊」裡。微軟因此在其四月的週二修補程式裡修補了此一漏洞。

然而，出現修補程式並不會嚇阻惡意份子去利用此漏洞。趨勢科技還是看到有APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊在他們的攻擊活動裡利用此一漏洞。

Taidoor連線:偽裝台灣政府部門和教育單位發出全國民調, 服貿議題被操作

我們看到了兩起針對台灣政府部門和一個教育單位的攻擊。第一起攻擊使用夾帶惡意附件檔的電子郵件，此郵件偽裝成來自政府員工。附件檔標題偽裝成一份全國性民調來增加說服力。此附件其實是被偵測為TROJ_ARTIEF.ZTBD-R的漏洞攻擊程式。它會產生被偵測為BKDR_SIMBOTDRP.ZTBD-R的檔案，接著再產生兩個檔案 – TROJ_SIMBOTLDR.ZTBD-R和TROJ_SIMBOTENC.ZTBD-R。這兩個檔案最後會導致被偵測為BKDR_SIMBOT.SMC的最終結果。

第二起APT攻擊的教育單位也是在台灣。此波攻擊利用電子郵件附加檔案來取得對收件者電腦和網路的存取能力。這封電子郵件討論了服貿議題，而附件檔和一個工作專案有些關係。跟第一個案例類似，此附件檔也是被偵測為TROJ_ARTIEF.ZTBD-PB的漏洞攻擊程式。它會產生一個被偵測為BKDR_SIMBOT.ZTBD-PB的後門程式。一旦執行，此一惡意軟體可以執行指令來搜尋欲竊取的檔案、取出檔案以獲利以及進行橫向移動。