【病毒警訊】最新一波勒索軟體/勒贖軟體爆發

趨勢科技於今日發現一起新的勒索軟體 Ransomware爆發事件,與之前的勒索軟體 Ransomware相同,此惡意程式會將自己偽裝成Email附加檔案。一旦執行此惡意程式,電腦上的檔案就會被加密鎖定而無法開啟使用。趨勢科技在此提醒您,切勿輕易打開來源不明的信件。

通用Info Snippet

此次勒索軟體 Ransomware相關資訊如下:

首先,惡意程式偽裝成一封垃圾信件的附加檔案:

ransom1

如果使用者開啟(執行)了惡意附加檔案,會打開一個rtf類型檔案,用以欺騙使用者,讓使用者認為其為正常檔案: 繼續閱讀

PlugX惡意軟體出現在官方版本的英雄聯盟和流亡黯道

台灣的資訊安全大會 – 台灣駭客年會(HITCON)發表了一起針對多款線上遊戲的攻擊。兩款熱門線上遊戲的官方版本被發現有問題,會下載惡意軟體到系統上。HITCON和趨勢科技合作提供了清除工具給這波攻擊的潛在受害者。趨勢科技接著和受到影響的遊戲供應商合作來解決這起事件。

Plugx

有問題的官方版本

被用在這波攻擊的遊戲是線上遊戲 – 英雄聯盟(LoL)和流亡黯道(Path of Exile)。遠端存取木馬(RAT)PlugX的變種出現在這些遊戲的官方版本,而且顯然地是針對於亞洲特定國家的使用者。

感染鏈經由下載合法安裝程式或更新遊戲而觸發。有問題的遊戲啟動程式會植入三個檔案:

  • 合法遊戲啟動程式
  • 用合法啟動程式來蓋掉有問題版本的「清理程式」
  • 安裝PlugX檔案的植入程式

清理程式可以視為是一種掩飾惡意活動痕跡的作法。到最後,受害者只會看到兩個惡意檔案,NtUserEx.dllNtUserEx.dat(都被偵測為BKDR_PLUGX.ZTBL-EC)。

PlugX允許遠端攻擊者在未經使用者許可或授權下執行惡意和資料竊取行為。PlugX變種往往會針對合法的應用程式,所以利用這些遊戲並不算是新手法。一個比較大的分別是這個PlugX變種會建立自己的自動啟動服務,而非利用合法應用程式的服務。

仔細檢查會發現「Cooper」字串出現在惡意軟體內。而在另一起APT攻擊活動中,「Lee Cooper」這名字被用來註冊命令與控制(C&C)伺服器,這顯示這兩起攻擊活動背後可能是相同的團體。

圖1、「Cooper」字串可以在惡意軟體中找到

同時檢查其憑證,我們注意到可疑檔案的雜湊值是有效的,意味著有用「簽章工具」來配對有問題檔案的雜湊值。而在另一方面,合法的遊戲啟動程式則帶有無效的數位簽章。

追查源頭

這些有問題的官方版本可以追查到Garena,這是一家亞洲的線上遊戲代理商。Garena和Riot Games、S2 Games和藝電等遊戲廠商有合作關係,所以對某些遊戲有獨家發行權。

在一份官方說明中,Garena說道「電腦和修補程式伺服器受到了木馬程式感染。結果造成所有英雄聯盟和流亡黯道的遊戲程式受到感染」。

臺灣和新加坡所受的影響最大

根據分析,似乎只有臺灣版本的英雄聯盟和流亡黯道受到影響。趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料也支持這項發現。然而,我們也看到來自其他亞洲國家(如泰國、馬來西亞和香港)的受害者。

圖3、受影響的國家

繼續閱讀

從2014年學習:2015年的安全新希望

如果我說針對性攻擊對任何一家公司來說都只是時間遲早的問題,絕不誇張。在2014年,我們看到許多受害者在想辦法解決看不見的敵人。最近一個非常著名的例子就是Sony被攻擊造成該公司大量的問題加上大量資料被洩漏。身為威脅防禦專家,我們努力讓這無形的威脅變得可見:你應該從2014年的網路攻擊中學到最重要的事情是什麼?我們可以將什麼經驗帶到2015年?

APT

保護你在雲端的資料

雲端運算安全的責任在2014年是再清楚不過的。雲端運算有著強大的擴展能力,讓越來越多的小型、中型以及大型企業都能同樣地加以採用。雖然使用者可以期望「共同責任」模型提供一定程度的安全性,像是雲端服務供應商運行雲端服務和基礎設施(包括實體的硬體和設施)的作法。但使用者不要忘了,雲端資料存取可能會因為自己那一端而遭受攻擊淪陷。

比方說,在三月時竟然發現了一個普遍的「開發者壞習慣」,有成千上萬的密鑰及私人帳號在GitHub這程式碼分享網站上發現。這就跟一般消費者將使用者名稱和密碼放到公共論壇上一樣。從某些方面來看,這甚至更加嚴重,因為金鑰外洩代表著數千份的秘密公司文件、應用程式軟體能夠被惡意份子所存取。而且因為入侵者基本上是以開發者身分登入,他可以刪除整個環境或將其作為人質勒贖。

在一個更加致命的例子裡,Code Spaces因為攻擊者取得權限進入其主控台並開始亂刪客戶資料庫後不得不在2014年關閉。對於一個本質強烈依賴於軟體服務的企業來說,「偏執於安全」應該是必要的一環。雲端服務有雙重或多重因子身份認證選項、完全私密模式或基於身份/角色管理,這些都可以大大地減少入侵攻擊,或讓入侵變得非常困難。

IT管理者必須現在就在其雲端環境檢視和實行各種雲端安全選項。

Code Spaces事件也對那些做雲端生意的公司上了同樣重要的一課:定期備份雲端資料,因為你永遠不知道什麼會發生。3-2-1法則成為最佳實作是有很好的理由的,只有當資料陷入危險或永遠消失的時候才可以看到它真正的價值。

保護你的關鍵系統

任何有連接自己之外的設備都有可能被遠端入侵。問問眾多PoS/零售系統攻擊下的商家吧。一件接著一件,我們在2014年看到了大批的入侵外洩事件。零售業和餐飲業,那些眾多分店都在使用端點銷售系統的店家被入侵,外洩出的信用卡資料最終會在網路犯罪地下論壇上兜售。

繼續閱讀

2015年國際消費電子展(CES)出現智慧汽車展區,代表什麼?

red car

國際消費電子展(CES)往往是展示全新突破性消費性技術的舞台。在這裡出現過最早的錄影機和攝影機,OLED面板和高畫質電視也都在這發表。正因如此,2015年的這一場看到汽車產業出現,甚至有個專門的智慧汽車展區也就毫不奇怪了。

大多數的討論會集中在汽車產業如何更好地保護路上日益增加的聯網車輛。自動駕駛汽車已經成為了現實,我們現在需要開始思考,如何在有人受傷前對這物聯網的高風險區提供更好的保護。

美麗新世界

在過去的12個月以來,我們看到了汽車科技在加速。Google日前才宣佈,現在就已經完成了其「完全自動駕駛的首度完整原型」,預計會在新的一年在加州開始測試。雖然該技術似乎對大多數人來說還有點遠,但事實是,多年來汽車廠商都在悄悄地在我們的車內打造更加先進的運算系統。

今日的汽車上有數台電腦是相當常見的,控制了從音樂到防鎖死刹車系統的一切。更重要的是,當物聯網延伸到汽車產業,你會發現現代汽車內置的感應器收集和傳輸大量關於燃料和排放水準、引擎溫度、胎壓、節氣閥位置及其他更多的資料。都是為了讓駕車體驗更加安全、更環保及更令人愉悅。

當汽車更加聯網後,它的可能性似乎變得更加無窮盡。

一場危險的遊戲

但這些可能性也帶來新的危險。正如個人電腦和行動裝置有被駭客遠端攻擊的危險,車載系統也是,只是這次的賭注還更高。在最壞的情況下,駭客可以遠端控制你的車輛甚或是鎖住刹車。 繼續閱讀

我的iPhone刀槍不入?

iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎?「較少被針對」真的等於「更加安全」嗎?

作者:趨勢科技全球安全研究副總裁Rik Ferguson

 

 

Mobile bank

大部分對行動作業系統及服務的疑慮都集中在Android平台相關的風險。這個生態系統開放且散佈廣泛的本質無疑地也讓它成為最普遍也最廣泛的目標,也遭受到最成功的攻擊。

Google 的 Android系統跟 Apple iOS 相較起來,一向都有著較不嚴謹的應用程式權限系統、因為支援第三方應用程式而更加開放的應用程式散播方式,更加廣泛地嵌入在各種設備和服務內。因為這些以及諸多原因,網路犯罪分子將注意力都集中在此平台上,幾乎忘了Apple iOS。事實上,我們目睹了惡意軟體和惡意應用程式在Android平台上出現無人可比的快速爆炸性成長。Android惡意軟體在僅僅三年內就達到Windows惡意軟體用上15年所達到的數量。

正因為如此,所以也可以理解為什麼 iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎?「較少被針對」真的等於「更加安全」嗎?答案是否定的;沒有上鎖的房子仍然可能被侵入,即便它還沒有被竊過。

一個對此的客觀評估是檢視各平台上通報的漏洞數量。結果可能令人驚訝。根據美國國家漏洞資料庫,iOS自其最初版本開始已經有了超過 400個漏洞,而 Android 以接近 350 個拿到第二名。因為iOS上市的時間稍微久一點,所以這細微的差別幾乎不值一提。更值得注意的是 iOS 平台上稀少的惡意軟體。

有兩個因素可能會在不久的將來結合起來打破這種不平衡的情況;一個由廠商控制,而另一個則顯然的不是。

現在一個關鍵的產業趨勢是融合,Apple也不例外,Mac OS 和 iOS 在功能上已經有越來越大程度的融合,誰敢說未來不會從程式碼資料庫的角度進行。桌面設備、行動設備、智慧型設備、居家視聽和穿戴式設備的融合會產生更加均勻和相互關聯的受攻擊面,無疑地會讓攻擊者想加以利用,再加上了使用者自以為刀槍不入的錯誤心理,對攻擊者來說變得非常具有吸引力。

第二個因素可以回顧到我們在2014年底所做的預測。會在未來12個月內看到第一次真正的跨平台漏洞攻擊包出現。這會提供一種自動化的方式來攻擊各種被針對系統的漏洞。如果是在智慧型手機上,這代表攻擊者可以打破應用程式商店環境的牢籠。不再需要依靠第三方應用程式商店和部分受害者的不當行為去安裝假應用程式。

跨平台漏洞攻擊包將讓攻擊者可以同等的攻擊 iOS和 Android,只要有漏洞存在,就跟他們在傳統的運算環境上所作的一樣。行動作業系統上的嚴重漏洞就會和桌上電腦一樣,對攻擊者來說具備相同的重要性、吸引力和價值,也會對防禦者帶來相同的問題。有鑒於行動裝置相當程度的整合在工作和個人生活而且缺乏管理,後果甚至可能更令人憂心….

 

@原文出處:My iPhone is like a Shield of Steel