資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

Reveton勒索軟體的下一代，CryptXXX出現

2016 年 04 月 21 日2016 年 05 月 09 日趨勢科技 TrendMicro

最近有一波新的勒索病毒 Ransomware (勒索軟體/綁架病毒),自三月底開始爆發。Proofpoint的研究人員加上安全分析師Frank Ruiz所提供的情報，發現了一個被稱為「CryptXXX」的新勒索軟體，根據其描述，它與早期的勒索軟體Reveton有明顯的關聯。

這個勒索病毒 Ransomware是由BEDEP惡意軟體所散播，透過Angler漏洞攻擊套件來感染系統。研究人員在文章內描述「Angler漏洞攻擊套件結合BEDEP來散播勒索軟體和Dridex 222」。這代表放有Angler漏洞攻擊套件的網頁被用來散播CryptXXX。此攻擊套件接著利用系統漏洞來植入BEDEP。因為其「惡意軟體下載」能力，CryptXXX會以第二段感染的方式出現，它是會延遲執行的DLL程式，至少要等待62分鐘才會作用。一旦勒索病毒 Ransomware開始執行，它會加密檔案並加上.crypt副檔名。

[延伸閱讀：勒索病毒白皮書]

跟其他勒索軟題類似（特別是Locky勒索軟體、TeslaCrypt和Cryptowall），這個變種會產生三種類型的檔案（de_crypt_readme.bmp、de_crypt_readme.txt、de_crypt_readme.html）來通知受駭系統的使用者，要求贖金以取回檔案。據研究人員所說，勒索病毒 Ransomware要求很高的贖金，每個系統500美元，跟過去常見的勒索金額相差甚遠。此外，CryptXXX具備防虛擬機器和防分析能力以躲避偵測，它會檢查註冊表內的CPU名稱和安裝攔截程序（hook procedure）來監視滑鼠活動。

CryptXXX還被發現會竊取比特幣（Bitcoin），同時還能在目標系統上掠取身分憑證和個人資料。趨勢科技的研究人員發現，它能夠從FTP、即時通和郵件應用程式中竊取資料。根據部落格文章，「這點是能夠預期的，因為BEDEP長久以來都會帶來資料竊取程式。具體地說，它在2014年11月至2015年12月中會帶來Pony。接著用一個無紀錄的「私有竊取程式」來取代Pony，一直持續到2016年3月中。我們相信勒索軟體內的資料竊取功能和BEDEP所散布的「私有竊取程式」內的一樣」。繼續閱讀

專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?

2016 年 04 月 21 日2016 年 04 月 21 日趨勢科技 TrendMicro

網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年， ZeroAccess 的破獲行動，減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例，但過沒多久，其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況，儘管警方在 2015 年 10 月查獲了它多個幕後操縱 (C&C) 伺服器，但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢，並且在去年的年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件，誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案，感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

DRIDEX 之所以無法斬草除根，主要有兩大原因：第一，其殭屍網路的派送機制效率很高，因此擁有廣大的受害者；第二，其不易斬草除根的點對點 (P2P) 網路基礎架構，讓它很快就能恢復營運。除此之外，根據我們推測，DRIDEX 目前也在網路犯罪地下市場上兜售，因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。繼續閱讀

孟加拉中央銀行網路洗劫案例給我們什麼啟示

2016 年 04 月 20 日2016 年 04 月 26 日趨勢科技 TrendMicro

孟加拉中央銀行在美國聯邦儲備銀行的帳戶遭網路駭客洗劫的事件，再次突顯網路攻擊對企業、民間機構、甚至是國家可能帶來什麼樣的衝擊。撇開此事件的損失金額、幕後黑手以及政治動機不談，基本上，此攻擊的手法及程序與任何其他網路犯罪攻擊沒什麼不同。

此案例可說是至今最大膽的網路竊盜案件之一。要不是歹徒的一個小小輸入錯誤，受害金額很可能高達 10 億美元以上。不過，歹徒還是匯走了 8 千萬美元以上，並且款項還透過菲律賓的多個賭場來洗錢。目前調查結果指向中央銀行的電腦系統可能遭人植入惡意程式來協助此次搶案。

編按:原本看似天衣無縫的作案手法卻因駭客拼錯字而露出馬腳,只因轉帳時將「foundation」（基金會）誤拼成「fandation」，促使通匯銀行德意志銀行（Deutsche Bank）向孟加拉央行要求驗證，進而阻止這筆交易。

如果真有惡意程式涉案，那麼：

駭客是如何取得交易的授權？他們是否掌握了某個擁有這項權限的帳號？如果是的話，他們是如何辦到的 (網路釣魚（Phishing）、鍵盤側錄程式或其他方式)？
是否應該有什麼安全措施或管控機制可以偵測到這筆異常交易 (例如：金額過高、交易量過大等等)？

繼續閱讀

針對非連網系統的 USB Thief 資料竊取程式

2016 年 04 月 19 日2016 年 04 月 13 日趨勢科技 TrendMicro

最近出現了一個獨特的 USB 資料竊取程式，專門攻擊非連網的系統。根據惡意程式分析師 Tomas Gardon 的發現，這個 USB Thief (USB 竊賊) 程式一旦進入某個系統，就能一次偷走大量的資料。

此惡意程式有幾項獨特的特徵，有別於傳統經由 USB 隨身碟及 Windows Autorun 自動執行功能感染電腦的惡意程式。此惡意程式感染電腦的能力非常獨特，甚至可感染沒有連網的電腦，而且不留下任何痕跡。Gardon 指出：「此惡意程式只經由 USB 隨身碟傳播，而且不會在受害電腦上留下任何痕跡。其作者更運用了一些特殊的機制來防止惡意程式被重製或拷貝，因此更難加以分析和偵測。」

USB Thief 利用了一連串的獨特技巧來附著到受害的系統以躲避偵測。它感染 USB 隨身碟的方式是將自己巧妙地插入一些免安裝綠色軟體 (如 FireFox、NotePad++ 及 TrueCrypt) 的執行指令當中。它會以附加元件或 DLL (動態連結程式庫) 的方式載入系統，然後在背後暗中執行。

USB Thief 可搭配某個大型駭客攻擊行動來竊取非連網系統上的資料，只要員工將受感染的 USB 隨身碟拿到隔離的系統上使用之後，再插回某台被感染的連網電腦時，駭客就能傳回竊取的資料。

原文出處：USB Thief Malware Targets Air-gapped Systems