殭屍網路 - 資安趨勢部落格

Google Play 再現惡意程式，Sockbot 可利用遭感染手機發動 DDoS 攻擊

2017 年 10 月 24 日2017 年 10 月 24 日趨勢科技 TrendMicro

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢，還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》，宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式，宣稱可讓玩家自訂其角色造型。不過，這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格：GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示，此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著，C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後，應用程式會再連上歹徒指定的另一個伺服器，該伺服器會提供一份廣告清單及相關資料 (如：廣告類型、螢幕大小)。然後，應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化，就可以用來攻擊網路相關的漏洞。而且，憑著 Sockbot 挾持裝置的能力，被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。繼續閱讀

Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的

2017 年 03 月 13 日2017 年 03 月 14 日趨勢科技 TrendMicro

原本該讓我們生活更美好的聯網用品,竟瞬間變成了攻擊他人的殭屍網路!

從去年 9 月感染了大約 10 萬個物聯網裝置的 Mirai 原始程式碼在網路上流傳開始，駭客們便紛紛忙著開發新的變種來搶攻那些安全堪慮的物聯網裝置，儼然成了一場軍備競賽。
從電燈開關、恆溫控制器,到聯網茶壺、無人機以及各種日常生活用品,讓這些聰明但不安全的智慧裝置連上網際網路，就如同引狼入室。現在光在大門隨便裝個簡單的鎖頭是不夠的，這批最近才剛轉戰家用網路的犯罪集團，他們感染家庭智慧裝置，將它們變成殭屍來替他們從事不法勾當。

這波搶攻裝置、建立殭屍網路熱潮有如一股掏金熱,如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣,存在著相同的安全漏洞，那麼未來恐怕有重大的災難等著我們。

網域名稱服務 (DNS) 供應商 Dyn 的伺服器在 2016 年底遭到一起重大的網路攻擊，全球多家知名網站因而停擺，包括 Twitter 和 Netflix 皆頓時陷入危機，工程師們為了讓伺服器恢復正常運作而疲於奔命。該事件的罪魁禍首，是一個叫作「Mirai」的物聯網 IoT ,Internet of Thing）殭屍病毒。

駭客的軍備競賽:紛紛開發新變種,搶攻物聯網裝置

網路媒體 All About Circuits 特約作家 Robin Mitchell 將這起網路犯罪事件歸類為「Botnet傀儡殭屍網路」攻擊。基本上，Mirai 幕後的犯罪集團利用此惡意程式感染了大約 10 萬個物聯網裝置，並以此建立了一個殭屍網路。歹徒之所以能夠建立這樣的殭屍網路，只因為物聯網裝置缺乏足夠的入侵防護措施。事實上，這些被感染的裝置很可能還在使用出廠時所內建的預設密碼，而這些密碼非常容易破解。

隨著物聯網裝置的日益普及，我們該如何對付像 Mirai 這類專門攻擊物聯網裝置的惡意程式呢？當這些原本應該讓我們生活更美好的連網用品瞬間變成了敵人，將變成什麼樣的狀況？

如果物聯網繼續這麼容易遭到這類攻擊，那麼情況將更令人擔憂。市場研究機構 Gartner 預測，到了 2020 年，全球將有208 億個物聯網裝置：從智慧家庭恆溫控制器和電燈開關，到聯網茶壺、無人機以及各種日常生活用品。如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣存在著相同的安全漏洞，那麼未來將有重大的災難等著我們。繼續閱讀

Mirai 殭屍網路成為鎂光燈焦點後, IOT物聯網威脅將成為主流？

2017 年 03 月 07 日2017 年 02 月 22 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Thing）正逐漸改變我們生活和工作的方式：它讓我們更有生產力、更健康、更快樂，也讓企業更聰明、更有效率且更加靈活。只不過有一個問題：從資安的角度來看，IoT 裝置存在著一些基礎的弱點，而歹徒也越來越擅長利用這些弱點。

2017 年，趨勢科技預測消費型智慧裝置與工業 IoT 環境將面臨排山倒海的攻擊。儘管這兩類系統截然不同，但只要是企業遭到了入侵，其後果是一樣的。

Mirai以預設的帳號密碼登入物聯網裝置，使得成千上萬的智慧裝置淪為殭屍網路的成員

如果說 2016 年是 IoT 殭屍網路成為鎂光燈焦點的一年，那麼 2017 年將是這項威脅蔚為主流的一年。就在 Mirai 殭屍病毒原始程式碼在去年公開流傳之後，沒多久就被駭客用來刺探各種智慧家庭裝置，並且以預設的帳號密碼登入這些裝置，使得成千上萬的智慧裝置淪為殭屍網路的成員，幫助駭客發動多起史上最大規模的分散式阻斷服務攻擊 (DDoS)攻擊。其中一起攻擊據說曾經一度中斷了非洲國家利比亞的網路。不過，最受矚目的受害案例是 Dyn 這家DNS 服務廠商，該公司一些知名客戶的網站因而無法瀏覽，例如： Twitter、Reddit、Spotify 以及 SoundCloud。

2016 年10 月DNS服務商 Dyn 遭遇的大規模分散式阻斷服務攻擊 (DDoS),數以千計遭到殭屍化的監視攝影機發動攻擊，造成多數網站無法使用，其中較知名的有：CNN、Airbnb、Spotify、Netflix、HBO等。

我們預測，今年網路犯罪集團仍將繼續利用這些消費型裝置 (如網路攝影機與 DVR 數位錄影機) 的基本安全漏洞來建立殭屍網路以發動 DDoS 攻擊。畢竟，Mirai 病毒似乎並未引起廠商的警惕，這表示未來仍有許多發掘不完的裝置漏洞可以利用。今年，這些由駭客激進團體或網路犯罪營利組織所發動的 DDoS 攻擊，將鎖定各式各樣的網路服務、新聞、企業及政治相關網站。

歹徒只要駭入一輛汽車，就能輕易造成嚴重的高速公路堵塞

在光譜的另一端，我們很可能將看到更多針對工業 IoT 系統的攻擊，例如：製造業與能源產業所使用的工業系統。之前就出現過這樣的案例：2015 年 12 月及 2016 年，烏克蘭的電廠曾經遭到相當精密的駭客攻擊，導致了嚴重的電力中斷。繼續閱讀

專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!

2017 年 02 月 14 日2017 年 05 月 12 日趨勢科技 TrendMicro

去年年底，以 Linux 類系統為目標的 Mirai 殭屍病毒 (趨勢科技命名為 ELF_MIRAI) 造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊，讓我們見識到物聯網有多麼脆弱。

最初的 Mirai 殭屍病毒是在 2016 年 8 月發現，專門攻擊採用 Linux 韌體的 IoT 裝置，例如：路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。病毒會隨機選擇一個 IP 位址，然後試圖用一些預設的管理帳號和密碼來看看能不能登入裝置，它所嘗試的連接埠 (和通訊協定) 有：7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在 2016 年 10 月，該病毒的原始程式碼開始在網路上流傳，攻擊案例也開始攀升。各種變種開始攻擊各大知名網站，如：Netflix、Reddit、Twitter、AirBnB，其中最大的案例之一就是德國電信 (Deutsche Telekom) 約有 900,000 台家用路由器遭殃。

最近，Mirai 又再次登上媒體版面，這一次它挾著新 Windows 木馬程式的威力，進一步擴大地盤。

去年我們就預測，像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加。不過，這個新的木馬程式只是用來散布 Mirai 殭屍病毒的工具，而非另一個殭屍病毒。在 2015、2016 年，Mirai 是利用暴力破解方式和殭屍程式不斷掃瞄所有 IP 位址來發掘潛在的受害者。此次發現的 Windows 木馬程式 (趨勢科技命名為 BKDR_MIRAI.A) 主要是用來幫 Mirai 搜尋可攻擊的目標，讓 Mirai 殭屍病毒散布得更廣。

以 Windows 為跳板,尋找適合納入殭屍網路的目標

此 Windows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃瞄的 IP 位址範圍。當該程式成功入侵目標裝置，就會檢查裝置使用的是什麼作業系統。如果是 Linux，就會在裝置內植入 Mirai 病毒，讓這台裝置也變成殭屍。如果是 Windows，就將木馬程式複製一份到該裝置上，然後繼續尋找其他 Linux 目標。因此這個木馬程式會植入目標裝置惡意程式有 Linux 和 Windows 兩種版本。

圖 1：Windows 木馬程式當中負責掃瞄連接埠的程式碼。

繼續閱讀

惡名昭彰的網路銀行惡意程式-DRIDEX,尚未出局

2015 年 11 月 04 日2015 年 11 月 26 日趨勢科技 TrendMicro

今年 10 月 13 日，美國和英國執法單位對惡名昭彰的 DRIDEX殭屍網路採取行動，希望能終止這項知名的網路銀行威脅。美國賓夕法尼亞州西區律師 David J. Hickton 稱這次的行動為「技術性中斷及打擊全世界最惡劣的惡意程式威脅之一。」
【延伸閱讀】FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

英國國家打擊犯罪局 (National Crime Agency，簡稱 NCA) 則稱此行動為「一項針對 Dridex 各版本及其幕後集團永久、持續的打擊行動，這些集團都躲藏在世界上難以發現的角落。」

雖然這項行動已經將 DRIDEX 擊倒，這離消滅它還很遠。在 DRIDEX 遭到破獲之後，趨勢科技估計受害使用者的數量已經降到破獲之前的 24%。這是根據 DRIDEX 感染數量在破獲前一星期和破獲後一星期的比較結果。

在深入觀察這項數據之後，我們發現受害者的分布情況也出現些許變化。尤其，美國的受害者數量大幅下降，從原本的將近 30% 降至不到 14%。