趨勢科技 TrendMicro – 第 725 頁

一周精選

2012 年 02 月 19 日2012 年 02 月 19 日趨勢科技 TrendMicro

部落格精選:

粉絲專頁精選
不要再用 12345當密碼了 ><
駭客入侵敘利亞總統信箱密碼竟是虛弱的「12345」

◎插頭花的好命婆<趨勢科技文化長陳怡蓁專欄>
關於友情的真實故事,13歲與11歲小女生的情誼。一個談戀愛，一個操刀寫情書。後來一個出國留學嫁給天馬行空的網路創業家，另一個她則嫁回南投竹山的農家。看趨勢科技文化長陳怡蓁的兩世代的情誼…好令人稱羨的友誼

◎安裝手機應用程式前要注意的三件事

1.如果給了手機應用程式越多資訊，出事的後果也會越嚴重
2..手機應用程式的開發者可能會將部分服務外包，因此可能會有其他第三方公司能存取這些資訊
3.手機應用程式開發者的信譽很重要

◎手機遺失地點前三名:公車,計程車,電影院
快來看看今天最容易掉手機的星座是哪一個

◎ 歡迎加入趨勢科技社群網站

APT 進階持續性滲透攻擊研究報告10個懶人包

2012 年 02 月 17 日2012 年 02 月 22 日趨勢科技 TrendMicro 56 筆留言

作者：趨勢科技Nart Villeneuve （資深威脅研究員）

在2011年，我相信你已經聽說過RSA被入侵了，而且偷走RSA Secure ID的相關資料，然後用在後續的攻擊事件裡。除了RSA之外，還有許多其他類似的受害者。你可能也聽說過ShadyRAT，它證明了殭屍網路/傀儡網路 Botnet可以有多麼長壽，還有Nitro和Night Dragon顯示出有些攻擊者的目標會鎖定在特定產業上。

你大概也看過趨勢科技關於Lurid攻擊的研究報告，它說明了攻擊者對非美國的目標也是有興趣的。而更重要的是，這樣的事件應該被視為「系列攻擊」，而非獨立事件。

但還有些了不起的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)相關研究可能是你所不知道的。這是我個人所排出的前11名：

部落格「Contagio Dump」和「Targeted Email Attacks」：Mila Parkour和Lotta Danielsson-Murphy已經在這方面發表過許多相關的研究報告。我們通常拿得到惡意程式碼做進一步的分析，但社交工程陷阱所用的電子郵件內容卻不容易拿到。這些部落格在目標攻擊的領域裡有許多獨特的見解。

1. 部落格CyberESI：CyberESI的團隊發表過一些變種龐大惡意軟體家族的詳細分析報告（是真的非常詳細）。在我看來，他們的分析報告為這方面的逆向工程設立了標準。

2. Htran：Joe Stewarts在Htran方面的研究成果被ShadyRAT研究報告的光芒給掩蓋了，但我認為這是今年最具有創新性的一份研究報告，因為它著眼在根本問題，尋找攻擊來源IP以找出幕後攻擊者的實際位置。

3. 「透過對系列攻擊的分析來啟動智慧型電腦網路防禦系統」：Hutchins，Cloppert和Amin說明如何追蹤一次攻擊的多個階段，並將多次事件串成一次「系列攻擊」。這是任何想要追蹤APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的人都不可不看的報告。

4. 「1.php」: 這份來自Zscaler的報告，對一次特定的系列攻擊及所用的命令與控制基礎架構（C＆C）做出徹底的解構和分析，並且在結論裡提出了確實可行的防禦方法。另外，它對於在這方面的資訊披露也提出了相當獨到的見解。

5. APT解密在亞洲：Xecure在今年的黑帽大會上展示他們對惡意軟體以共同屬性作群集分類的研究。我真的很喜歡他們在群集分類上所下的功夫，還有他們所提出的名詞「NAPT（非進階持續性威脅）」。繼續閱讀

手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

2012 年 02 月 16 日2012 年 02 月 08 日趨勢科技 TrendMicro

將搜尋貨幣化是行動平台上的新威脅

這一份報告，提到許多內嵌Plankton變種的應用程式出現在Android market上。趨勢科技的研究樣本之一是個益智遊戲 – Sexy Ladies-2.apk，它跟許多相關的應用程式都被偵測為ANDROIDOS_PLANKTON.P。

其他的外部報告則表示有數百萬份被下載的應用程式裡含有類似的可疑程式碼，所以稱它為「有史以來最嚴重的Android惡意軟體擴散」。這份報告裡所分析的應用程式是一個益智遊戲。它會啟動一個服務來建立捷徑，取得/設定書籤，將手機資料送回它的伺服器（包括IMEI、品牌、設備型號、作業系統、作業系統版本、解析度、語系），設定通知，還有設定瀏覽器首頁。

趨勢科技認為可以將這應用程式歸類為廣告軟體，因為它看來是用以散佈廣告的。更合適的稱呼可能是「行動應用程式廣告軟體（Mobile App Adware）」。一開始它還提供軟體開發套件（SDK），讓人可以從各種手機軟體發佈網站來合法下載。這個應用程式的基本功能正如同它所聲稱的：安裝搜尋捷徑，透過這應用程式來提供廣告。並不會發送任何個人資料到外部伺服器。總之，它原本是個用來賺錢的廣告服務，讓應用程式開發人員可以從他們的免費軟體賺到更多的錢。這是最基本的將搜尋貨幣化模式。

「行動應用程式廣告軟體」

從這點來看，它是「行動應用程式廣告軟體」的最佳例子。它的運作模式就是將SDK整合到應用程式裡，好讓合法下載也可以帶來收入。在今日的內容服務業務和行銷模式裡，這和在桌上平台所做的事情是幾乎一模一樣的。

趨勢科技威脅回應工程師Erika Mendoza補充說：「想到廣告網路，我覺得現在很多應用程式都含有類似的程式碼，這種手機廣告軟體算是有侵略性，但是要認定這類惱人行為是否為惡意，仍然取決於使用者。」

Lookout Mobile Security的研究人員則不認為這種行為是種惡意軟體攻擊，它比較算是「侵略性的廣告網路。」我們同意他們所說的，這本身並不是惡意軟體。但是，這問題牽扯到行動資訊被如何收集和儲存。而且還有潛在的隱私問題。這些使用者在今日或許並不清楚，而很久以後才出現影響的。

對於安裝應用程式來說，保留安裝時所取得的權限，還有跟社群網路或其他互動的能力都是很常見的。這些設定即使應用程式被刪除後都還會被保留，好作為重裝時的預設值。在現實裡，有太多應用程式被下載，有各種不同的下載目的，有著各種不同的使用者設定，所以要追查的話實在有太多變數了。

趨勢科技會繼續地提供相關潛在威脅的資訊。不過還是要靠使用者自己可以小心的判斷是否要去下載應用程式繼續閱讀

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

2012 年 02 月 15 日2012 年 02 月 11 日趨勢科技 TrendMicro

趨勢科技最近發現了一個伺服器上代管了大量提供行動惡意軟體的網站，目標針對Android和Symbian作業系統（特別是J2ME平台）。

這個位在德國的伺服器由一個代管服務供應商所管理，它也是眾所皆知的網路犯罪分子常用服務商。

趨勢科技總共在這伺服器上發現了1351個網站，而且根據他們散布惡意軟體的手法可以將這些網站分成五大類：

Android Market應用程式

Opera Mini/Phone最佳化應用程式
色情應用程式（這些網站在檢查時無法使用）
應用程式儲存網站
其他（這些網站在檢查時無法使用）

那些無法使用的網站可能是因為攻擊者還在建置中或是已經停掉了。那些應用程式儲存網站是用來提供其他類網站裡應用程式的功能，所以無法存取。但是那些應用程式還是在的，可以透過Android Market應用程式跟Opera Mini/Phone最佳化應用程式這兩類網站來下載。

Android Market應用程式的網站看起來就像是個正常的合法網站。會出現流行的應用程式像是：WhatsApp、Facebook、Facebook Messenger，條碼掃描器、Skype、Google地圖、Gmail、YouTube和一些其他的軟體。從這些網站所下載的檔案目前已經被偵測為ANDROIDOS_FAKENOTIFY.A。繼續閱讀

《點擊劫持（clickjacking）》攻擊想更換Facebook情人節專屬布景嗎?小心上網被監視

2012 年 02 月 14 日2014 年 07 月 18 日趨勢科技 TrendMicro 55 筆留言

有個標榜可以幫 Facebook 換張「臉」的應用程式「Install Facebook Valentines Theme!:D」，正在準備擄獲想嘗鮮的臉書用戶。(如下圖) 趨勢科技表示該點擊劫持（clickjacking）攻擊，會自動地幫你加入幾個Facebook粉絲頁面,也會自動發訊息在中毒使用者的塗鴉牆上,邀請朋友們在他們的Facebook個人檔案安裝情人節佈景主題。該木馬病毒TROJ_FOOKBACE.A 還會監控中毒者網路活動。