《小廣和小明的資安大小事 》該睡了,小勉不能偷玩手機喔…

資安漫畫 11 ISKF 偷玩手機
日本資安漫畫 banner

 

與孩子共同約定手機使用規則

當小孩的學校開學並展開新生活之後,很快地兩個多月過去了。他們在學校建立新的朋友關係,不同於過去,現在孩子自己出門的機會增加了,因此有許多家長思考是否要讓小孩開始使用智慧型手機?

若要讓小孩使用智慧型手機,一開始約定使用規則是很重要的。為了避免小孩過度依賴智慧型手機,並讓小孩了解網路溝通禮儀,家長必須告訴小孩這些規則的必要性,並且不要單方面訂定規則,而是應該共同決定。 繼續閱讀

【勒索軟體】鎖定中小企業的TorrentLocker和CryptoWall改變戰術

勒索軟體 Ransomware背後的惡意份子已經將目標放到消費者以外,將攻擊延伸到中小企業(SMB)。這區塊是勒索軟體 Ransomware很好的潛在目標,因為中小企業不太會有如大型企業那樣複雜的解決方案。同時中小企業主也通常有能力支付贖金。

ransomeware 勒索軟體

此外,中小企業也不太可能具備如大型企業那樣全面的備份方案,增加支付贖金的可能性。想像一間擁有少於50名員工的公司。裡面的主管收到了一封內嵌看似正常網址的電子帳單郵件。他們點了連結而導致感染勒索軟體 Ransomware。不幸的是該公司並沒有備份資料。因此會讓他們傾向選擇支付贖金以換回檔案。但付錢取回檔案很可能會鼓勵網路犯罪分子在未來進行更多波攻擊。

這轉變中我們所看到最明顯的例子是TorrentLockerCryptoWall,這是現今最持久也最大量的勒索軟體 Ransomware變種。

從2015年六到七月,趨勢科技觀察到多數點入CryptoWall相關電子郵件內惡意連結的使用者屬於中小企業用戶。

 

多數點入CryptoWall 勒索軟體設下的釣魚郵件受駭者,近七成為中小企業用戶....
多數點入CryptoWall 勒索軟體設下的釣魚郵件受駭者,近七成為中小企業用戶….

 

繼續閱讀

FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

 

跟著英國國家打擊犯罪調查局(NCA)的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制(C&C)伺服器已經被美國聯邦調查局(FBI)關閉。

美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路,其被惡意軟體用來將竊得的資料發送給網路犯罪分子,並且下載包含目標銀行清單的設定檔案。此外,也已經起訴了Andrey Ghinkul(別名Andrey Ghincul和Smilex),「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。

破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作,各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制(C&C)網路是這團隊合作成功的最新例證。

 

什麼讓 DRIDEX與眾不同?

DRIDEX在這過去一年漸漸打響名號,一直被視為是 Gameover ZeuS(GoZ)惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P(點對點網路)架構及獨特的行為。

不同於其他惡意軟體,DRIDEX運用BaaS(殭屍網路即服務)商業模式。它運行數個「Botnet傀儡殭屍網路」,每個都以編號標識,並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲(特別是羅馬尼亞、法國和英國)。從過去三個月內趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的反饋資料顯示,美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。

 

圖1、分析受影響的國家,資料來自2015年7月到10月1日

 

DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習,DRIDEX開發者在其架構中在命令與控制(C&C)伺服器前多加了一層。

除此之外,DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似,它使用一種隱形持久性技術,會在系統關閉前寫入自動啟動註冊碼,並在系統啟動後刪除自動啟動註冊碼。然而,只有DRIDEX會清理儲存在註冊表中的設定,並改變惡意軟體副本的位置。

DRIDEX可以輕易地透過惡意電子郵件附件檔散播,通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉,但如果它在攻擊前就已經啟用,就可以直接進行攻擊。否則,攻擊者必須利用強大的社交工程(social engineering )來說服使用者啟用該功能。此外,我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。

繼續閱讀

新的棘手問題:Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護

 

趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞(CVE-2015-2590)進行攻擊。在當時,我們注意到另一個漏洞被用來繞過Java的點擊播放(Click-to-Play)保護。這第二個漏洞(CVE-2015-4902)現在已經被Oracle在每季定期更新中修復,這要歸功於趨勢科技的發現。

點擊播放(Click-to-Play)要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。

繞過點擊播放(Click-to-Play)保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用,因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織(NATO)成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名:最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。(此漏洞已經被Adobe修復。)

當我們私下披露此漏洞時,Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙;在我們徹底討論此漏洞前先讓我們討論一些背景資料。

Oracle提供Java網路啟動通訊協定(JNLP)技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中,攻擊者利用JNLP來部署applet。

 

要實現這做法,Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI(Java命名和目錄介面)。這種機制是Java遠端程序呼叫的基礎,稱為RMI(遠端方法調用)。JNDI有些基本概念和此攻擊有關,即:

  • Context – 一組名稱和物件的綁定。換言之,Context物件可以解析一個物件的名稱。這個物件有數種類型;RegistryContext是其中之一。
  • ContextFactory – context物件的工廠(factory),其為呼叫者建立Context物件。RegisterContextFactory是建立ContextFactory物件的工廠(factory)。

 

下圖顯示此攻擊是如何運作:

 

圖1、如何繞過點擊播放(Click-to-Play)

 

攻擊者需要完成三件事以進行攻擊:

  1. 攻擊者將圖2中的HTML碼加到一個惡意網站。
  2. 攻擊者建立具備公開IP地址的RMI註冊伺服器。
  3. 攻擊者建立另一個同樣具備公開IP地址Web伺服器來儲存惡意Java程式碼。
圖2.、HTML碼插入到一個惡意網站

 

 

下面是攻擊進行的過程:

 

  1. 在受害者的電腦上瀏覽器程序產生(fork)出exe程序(Java客戶端的一部分)來請求惡意網站上的init.jnlp。這由圖2內的HTML碼所造成(Java網路啟動通訊協定用一個.jnlp檔案來透過Java Web Start技術來啟動Java程式碼。)

 

  1. 惡意網站傳回jnlp。讓我們來看看此檔案的內容:
圖3、init.jnlp的內容

繼續閱讀

 < CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?

作者:Raimund Genes (趨勢科技技術長,CTO)

前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。

APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。

攻擊,APT,目標攻擊

不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。

這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。

然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。

針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧繼續閱讀