趨勢科技 TrendMicro – 第 655 頁

台灣中小企業遭受阻斷服務攻擊案例分析

2013 年 08 月 01 日2017 年 03 月 10 日趨勢科技 TrendMicro

許多台灣的中小企業會在自己的網路內架設網頁伺服器，卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務，使得他們不安全的伺服器成為攻擊的主要目標。

當有企業被攻擊的新聞出現，內容通常都把目標放在最終使用者或大型企業本身。不過有許多網路犯罪的目標是中小企業。在這篇文章裡，我們要來看看台灣的中小企業是如何遭受到攻擊，以及人們可以從這些事件裡學到什麼樣的教訓。

許多台灣的中小企業會在自己的網路內架設網頁伺服器，卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務，使得他們不安全的伺服器成為攻擊的主要目標。

讓我們來看看最近的一起案例，可以很好的說明這些攻擊如何進行。在五月卅日，我們收到一家不明公司（我們稱之為A公司）的支援請求，因為他們遭受到阻斷服務攻擊，讓他們的伺服器無法被連上。

但我們所看到的完全是另外一個問題。趨勢科技發現他們的網頁伺服器已經被入侵，利用的是伺服器的漏洞。而且就如前所述，這網頁伺服器也可以存取公司的內部網路，所以攻擊者也拿下了公司Active Directory伺服器的控制權。我們還確認至少有兩批攻擊者存在：一個是在四月廿四日前運作，另外一個出現在這日期之後。

圖一、攻擊時間表

這起威脅的行為並沒有特別不尋常，一旦網路被入侵，這些都是常見的後果。此外，攻擊者會不斷地透過自己的後門來放入新的工具。

許多企業只是重新安裝和重建系統，好可以馬上回復運作，但這樣並沒有解決問題。因為問題的根源是脆弱而不安全的網頁伺服器，而這部分並沒有被解決，攻擊者可以一再重複地入侵，重新佈置後門到目標網路內。

圖二：持續地攻擊

繼續閱讀

Google Play 出現假的植物大戰殭屍2( Plants vs. Zombies 2)

2013 年 08 月 01 日2014 年 04 月 02 日趨勢科技 TrendMicro

當 PopCap 在二〇一〇年推出了 iOS 版的植物大戰殭屍( Plants vs. Zombies )，接著在二〇一一年推出 Andorid 版本時，這款遊戲聚集了大量的人氣。現在，隨著它的下一代即將發佈（在澳洲和紐西蘭搶先上架），網路犯罪分子也已經開始在利用這股熱潮。

趨勢科技發現了一個問卷調查詐騙網站，代管在Blogger上，並且連結到YouTube視頻網頁。這個網站被認為是典型的問卷調查詐騙網站，而沒有用到惡意軟體。

之後，趨勢科技發現了更多和植物大戰僵屍2( Plants vs. Zombies 2)有關的威脅。趨勢科技光在Google Play上就發現了超過七個相關威脅（假應用程式，或號稱可以下載這軟體的下載軟體）。其中一個被偵測出會派送惡意廣告給使用者的假應用程式。它被偵測為ANDROIDOS_FAKEZOMB.A。趨勢科技預計在未來幾天內會發現更多威脅。

Google一直以快速處理Google Play內所發現的威脅而受到好評，但直到寫這篇文章為止，所有的這些假應用程式都自己從網站上移除，假「開發者」停止提供下載。類似的詐騙活動也都在應用程式出現在商店後廿四小時內暫時停止了。

這些威脅的存在和它們背後的社交工程陷阱( Social Engineering)並非是什麼新東西，我們在過去已經報導過許多類似的事件，像是之前曾經被針對的遊戲 – Candy Crush、壞蛋豬和Temple Run。但這裡要注意的是，我們所看到的假應用程式都出現在Google Play上的這股新模式。像是：

利用已經出現在iOS App Store上而尚未出現在Google Play的受歡迎或即將推出的熱門遊戲應用程式續集
假應用程式會要求先給予五星級評等和評論後才可以「玩」
假應用程式都是免費的，相反地，合法應用程式會收費繼續閱讀

別再點Facebook 流傳「15 歲少女露胸後自殺」影片了,免得駭人又駭己!!

2013 年 07 月 31 日2015 年 06 月 19 日趨勢科技 TrendMicro

最新 facebook 病毒利用瀏覽器附加功能來劫持社群媒體帳號

生於 1966 年的加拿大一名女高中生Amanda Todd，12歲時遭人引誘裸身視訊後，裸照在網路上不斷被散播,甚至被同學作為臉書大頭貼,遭網路霸凌達三年的她甚至須服抗憂鬱症藥物，即使不斷轉學也擺脫不了厄運,期間一度喝漂白水自殺。獲救後她自拍影片敘述遭遇，全片不發一語僅以字卡來講述自己故事,，並在影片上附上她自殘的照片。即使獲得超過700多萬網友加油打氣，最後仍在2012年底自殺結束短暫的一生。這支高點閱率影片,近日被駭客利用造假,在Facebook 臉書四處流竄。

駭客利用標題為「15 歲少女露胸後自殺」的影片截圖,誘使點擊,中毒者會被冒名發文然後標籤 20 個以上的朋友,雖然是老梗還是很多人因為聳動的標題,而中了社交工程陷阱( Social Engineering) 。手法與本部落格曾經介紹的臉書髒話病毒雷同，它的目標是Google Chrome和Mozilla Firefox的使用者。這個威脅利用這兩種瀏覽器的擴充功能來滲透進使用者電腦，並劫持Facebook、Google+和Twitter等社群媒體帳號。

為了讓受駭者安裝這些假擴充功能，駭客在社群網站上看到各式各樣的誘餌，比如「15 歲少女露胸後自殺」影片截圖,當被害人忍不住誘惑,點了連結會被導引安裝一個假影片播放軟體更新程式,這時如果你還沒感覺異狀,很”勇敢”的安裝該播放軟體更新程式,就會中了木馬TROJ_FEBUSER.AA，該病毒會根據目前所使用的瀏覽器來安裝瀏覽器附加程式。

趨勢科技在Google Chrome上所看到的一個早期版本被偵測為JS_FEBUSER.AA，自稱是Chrome Service Pack 5.0.0。如果是Mozilla Firefox的話，假附加程式是Mozilla Service Pack 5.0。

圖一、惡意附加程式所使用的名稱

Google Chrome已經將這個外掛程式標記為惡意。它的新版本被偵測為JS_FEBUSER.AB，自稱是F-Secure Security 6.1.0（Google Chrome）和F-Secure Security Pack 6.1（Mozilla Firefox）。

圖二、用於新版惡意檔案的名稱

一旦安裝成功，它會連到一個惡意網址下載一個設定檔。它使用該設定檔的的詳細資訊來劫持使用者的社群網站帳號，並且在未經授權下進行下列動作：

在網頁上按讚
分享文章
加入社團
邀請朋友到社團
與朋友聊天
發表留言
更新近況

這個威脅試圖在三個不同的社群網站上進行上述行為：Facebook、Google+和Twitter。也因為如此，攻擊者可以有效地劫持使用者帳號，例如，用它們來散播連到其他惡意網站的連結。

還有一點要注意的是：假的影片播放軟體更新程式有經過數位簽章過。數位簽章是開發者和發行者用來證明該檔案沒有被篡改過的方法。潛在受害者可能會因為如此而去相信這檔案是正常而無害的。

圖三、惡意影片播放軟體更新程式的有效數位簽章

趨勢科技要再次提醒使用者小心注意這類詐騙活動。網路犯罪份子總是會做出更好、更容易說服人的誘餌，甚至會利用正常服務或使用者來讓自己顯得沒有問題。

趨勢科技用戶請放心,我們已經封鎖了所有跟此威脅相關的網址，並且能夠偵測這些惡意檔案。

非趨勢科技用戶歡迎免費試用免費試用下載PC-cillin雲端版

已經中毒者怎麼辦?

請按照下列步驟來移除安裝到瀏覽器的附加元件或外掛程式：

Chrome使用者：

按一下瀏覽器工具列上的 Chrome 選單
按一下 [工具]。
選取 [擴充功能]。
在[Chrome Service Pac]能旁，按一下垃圾桶圖示
在隨即顯示的確認對話方塊中，按一下 [移除]。

*請參考此網頁的說明

Firefox使用者：

點按[工具] 選單，然後點按 [附加元件]。

在[附加元件]管理員分頁中, 選擇[擴充套件]。
選取[Mozilla Service Pack 5.0 ]附加元件。
點選停用鈕

*參考此網頁的說明

好奇想搜尋該影片,該注意什麼?

已經有駭客故意以”加工”後的影片.誘使點擊,請注意別點選到有毒連結

PC-cillin 雲端版用戶請放心,標明為綠色的網頁搜尋結果即可安心瀏覽

＠原文出處：Malware Hijacks Social Media Accounts Via Browser Add-ons作者：Don Ladores（威脅反應工程師）

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

防毒軟體大評比.PC-cillin 排名第一

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

◎ 歡迎加入趨勢科技社群網站

為什麼 Apple 開發者網站關閉是件好事?

2013 年 07 月 30 日2013 年 08 月 09 日趨勢科技 TrendMicro

Apple的開發者中心在七月十八日因為安全漏洞或攻擊而關閉。在他們的通知裡，Apple公司表示，這起安全事件可能導致開發商的姓名、通訊地址和電子郵件地址被存取，雖然該公司清楚地表明，敏感的個人資料都是加密過的，無法被存取。

Apple是有名的不願談論它的安全問題，就以這次問題為例，前三天都只聲稱該網站關閉因為「維護問題」。但是到了週日，Apple發表了對這次網站關閉的解釋以及資料外洩的範圍。另一篇並沒有得到太多關注的公告是說明他們現在為此做些什麼：

為了防止這樣的安全威脅再次發生，我們全面性的檢視我們的開發系統，更新我們的伺服器軟體，並且重建了整個資料庫。

換句話說，Apple公司已經決定接受長時間服務關閉的風險，好透過完整的重建來徹底解決安全風險、威脅和安全漏洞。套句異形裡蕾普莉所說的名言，Apple決定要整個炸掉，因為「這是唯一可以徹底解決的辦法。」

這幾乎是前所未有，全面性的回應，特別是在還不確定是否真有外洩事件時。一名來自英國的安全研究人員 – Ibrahim Balic聲稱他發現了該網站的漏洞，通知Apple，之後他們關閉了網站。他還聲稱，他沒有入侵該系統或存取資料。不管是否有外洩事件出現，這次事件裡資料外洩的範圍（或可能外洩）是有限度的。而這也是為什麼Apple的回應非常可圈可點。唯一的其他例子，有公司可以接受長時間關站來做正確的事和重建，是Sony在二〇一一年針對PlayStation Network被入侵的回應。Sony在那次事件裡關站了廿五天。但在那起案例中，有明確的外洩事件發生，流失了一萬兩千張信用卡資料。

Sony公司表示，那起外洩事件造成他們至少一億七千一百萬美元的損失。這損失很大一部分是因為關站來重建系統。儘管如此，Sony做了正確的事情去接受關站的決定，此後也沒有入侵外洩事件發生。可惜的是Sony並不會因此獲得稱讚，他們應該要有的。

所以Apple的安全團隊也應該得到稱讚，因為他們做了和Sony一樣的事情，並不只是在整個混亂的架構下修補一個漏洞，而是花時間來重建系統，讓系統更加安全。如果我們有更多的企業用這方式來應對入侵外洩事件，我們（技術、隱私、安全和網路威脅）產業將會變得更好。

＠原文出處：Why Taking the Apple Developer Sites Down was a Good Thing作者：Christopher Budd（威脅溝通經理）

威廉王子和凱特王妃新生皇家寶寶:喬治王子,被駭客當作社交工程誘餌,發動攻擊

2013 年 07 月 29 日2013 年 08 月 09 日趨勢科技 TrendMicro

假CNN新聞報導歐巴馬贈送新生禮 針對JAVA漏洞進行攻擊

趨勢科技發現王室寶寶相關的垃圾郵件攻擊，其中有假藉美國新聞網CNN名義，報導美國總統歐巴馬贈送英國王室新生兒禮物的假新聞，此漏洞攻擊碼為JS_OBFUSC.BEB，JAVA漏洞為JAVA_EXPLOYT.RO。此漏洞特別針對JAVA的兩處弱點：CVE-2013-1493、CVE-2013-2423，駭客恐利用這兩處漏洞植入木馬程式TROJ_MEDFOS.JET，一旦成功入侵後，將與可疑網站連結，可能下載更多惡意程式或是遊走在灰色地帶的廣告程式。趨勢科技呼籲莫因好奇心驅使而點選來路不明的連結。此類攻擊防不勝防，建議透過有網頁信譽評等的資訊安全防護軟體，方能協助封鎖惡意連結。

自從去年十二月初首次正式宣布以來，全世界就在引頸期盼著威廉王子和凱特王妃的頭胎寶寶誕生。經過了數月的等待，劍橋公爵夫人就在幾天前產下了一名男嬰，成為新的劍橋王子。

趨勢科技發現一則假冒CNN 新聞討論美國總統將會給喬治王子的新生賀禮影片,夾帶木馬TROJ_MEDFOS.JET.