後門程式針對國際人權組織

趨勢科技已經找到證據確認被入侵網站的人權組織並不是唯一的攻擊目標。

前面所提的這個網站會出現內建框架(iframe)將使用者導到另一個位在巴西的被駭網站。這個網站會執行一個被偵測為JAVA_DLOAD.ZZC的惡意Java程式。JAVA_DLOAD.ZZC會利用Java漏洞CVE-2011-3544來安裝TROJ_PPOINTER.SM,而這木馬程式會再產生出BKDR_PPOINTER.SM。接著BKDR_PPOINTER.SM會連到特定網址來收送來自攻擊者的命令。它也能夠收集中毒系統內的特定資訊。

根據趨勢科技的調查,這最先被報導出來的受駭單位看來只是攻擊的目標之一,而這攻擊本身可以辨認出不同的攻擊目標。我們研究了相關的檔案和網址,發現有關人權組織的字串出現在被駭巴西網站的檔案和資料夾名稱內:

  • hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.jar

此外,從上述網址所取得的檔案程式碼也顯示這是針對這人權組織所特製的攻擊程式,因為程式碼內有出現相關的字串:

趨勢科技研究了這些蛛絲馬跡,發現在同一被駭網站上的其他資料夾和檔案使用不同的字串。這很有力地證明還存在著其他的目標。

  • hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.jar
  • hxxp://{BLOCKED}.com.br/cgi-bin/so/so.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/so/so.jar
  • hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.jar

從這些網址所取得的檔案也出現了特定的字串在程式碼內,就跟前面我們所提到的AI例子一樣。這些惡意檔案現在也都被偵測為JAVA_DLOAD.ZZC和BKDR_PPOINTER.SM。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以針對這類型的攻擊提供防護。另外,Deep Security 和OfficeScan加上Intrusion Defense Firewall(IDF )外掛程式可以用規則「Oracle Java SE Rhino Script
Engine Remote Code Execution Vulnerability
」來保護使用者不被漏洞攻擊。同時,當網路流量中出現BKDR_PPOINTER.SM取得並送出資訊的行為時,威脅偵測系統(Threat
Discovery Appliance,TDA)會將它偵測為HTTP_REQUEST_PPOINTER

在過去幾個月內,這個被入侵的人權組織首頁至少被被當成目標好幾次了,顯示網路犯罪份子是多麼堅定的針對這網站的經常訪客。在撰寫本文時,這網站已經將惡意程式碼給清除了。對於這些有特定主旨的網站來說,因為網站訪客多半是特定族群的使用者或團體,也就容易變成針對性攻擊的目標。所以網站擁有者在面對攻擊時也要跟公司企業一樣謹慎。

@原文出處:NGOs Targeted with Backdoors作者:Erika Mendoza(威脅反應工程師)

【嘻小編伴手禮~迷你麻將組雙重送】送給新春看臉書正妹,滑鼠不爆衝的PC-cillin 2012快過年囉,嘻小編準備了伴手禮要送大家,可以放在口袋帶著走的【迷你麻將組】,春節期間小玩一下,聯絡親友感情,真不賴~

祝福大家全年不當機,平安一整年!

雙重送活動一:複製留言輕鬆抽,參加辦法,按這裡

 

 

安裝手機應用程式前要注意的三件事

說到手機應用程式使用者體驗的好壞,跟所需要輸入的個人資料數量有直接的關係。而現在,我們處在一個「後隱私時代」,人們需要知道他們將個人資料輸入手機應用程式的好處與壞處。

開發人員不斷努力地改善手機應用程式,使得這些應用程式已經佔據了我們生活很大的一部分。讓事情變得更加簡單方便,帶來更多樂趣:應用程式可以幫我們組織我們的工作,讓我們一眼就可以了解所有的最新資訊,也讓我們可以從切水果或殺綠色小豬中得到許多樂趣。

趨勢科技研究人員Robert McArdle還解釋,手機應用程式提供了使用者更好的使用者經驗。他指出:「另外一個讓手機應用程式如此流行的重要原因是易用性。在手機上瀏覽網頁和在筆記型電腦上的感覺是不一樣的。大多數情況下,手機應用程式會為特定網站來特製瀏覽介面。」

輸入手機應用程式的使用者資料數量已經變成眾所皆知的隱私問題,這也是最近因為關於手機應用程式Carrier IQ的真正問題而被熱烈討論的話題。正如我們之前提過的,Carrier IQ最大的問題是沒有取得同意。對於手機應用程式來說,這是非常重要的,當使用者安裝應用程式之前,必須先確認到底這應用程式會取得哪些資訊。所以對於手機應用程式來說,到底要不要志願提供資料去換取服務的選擇權應該還是在使用者手上。

為了幫助使用者做決定,趨勢科技列出三件事實是使用者在安裝手機應用程式和提供個人資料前可以先好好想一想的:

1.如果給了手機應用程式越多資訊,出事的後果也會越嚴重 

 手機應用程式已經客製化了,這些程式的設計就是依據使用者輸入的資訊來運作。有些跟所在地有關的應用程式,像是ShopkickFoursquare就是很好的例子。這樣的手機應用程式已經成為了2011年的科技發展趨勢,並預計會在2012年繼續延續這熱潮。

像這樣的應用程式,唯一合邏輯的是在使用者登入時來要求資訊。而且當然所要求的資訊也是有限度的,僅限於讓應用程式可以正常運作所必要的部份。Android的「權限」設定也是相同的概念,也是使用者需要好好運用的地方。

也有些情形是,這些資訊並不是應用程式運作所必須的東西,但卻能提供吸引使用者的功能。比方說有些手機應用程式會要求使用者連結他們的社群網路帳號,可以將應用程式的動態資訊分享給他們的朋友。在這時候,使用者要記住,如果他們給了應用程式越多資訊,出事的後果也會越嚴重。這也帶入了我們的第二件事實:

2.手機應用程式的開發者可能會將部分服務外包,因此可能會有其他第三方公司能存取這些資訊
使用者資訊在今天的威脅環境裡是一種商品,這也讓你在任何地方分享訊息都會有風險,不僅僅是在手機應用程式上。這些風險大多來自於未經授權去存取使用者的個人資訊。因為如此,對使用者來說,重要的是弄清楚從這應用程式所得到的服務是否值得這風險。

另外一件使用者必須了解的是,這些應用程式的開發公司可能會將部分服務外包,因此可能會有其他第三方公司能存取這些資訊。這是從Epsilon事件中所能體認的事實,還有從最近的Carrier IQ事件。

3.開發者的信譽很重要 ,如果你對於提供敏感資料有任何疑慮的話,就不要做

對使用者來說,誰能處理他們的個人資料將是主要關心的問題。舉例來說,Android是一個非常開放的平台,允許許多開發人員將他們的作品上傳到Android Market上,因此使用者需要小心的去選擇誰值得信賴去交付自己的資訊。

 

我們認為使用者需要體認到最重要的事情是,他們是為自己的個人資料跟設備負起最終責任的人。手機應用程式的確帶來很大的方便,但同時也存在一定的風險。有些風險是使用者沒有充分了解,或是選擇去忽略的。Android的「權限」模式就是要讓使用者知道應用程式會存取的資訊,但這些常常都會被忽視。

 在今後,Robert提醒使用者在輸入資料給任何應用程式前都要先認真考慮。「重點是,在提供任何資料給應用程式之前先想一想。遊戲軟體是否真的需要你的社群網路登錄資料,只為了讓它去聯絡你的朋友?你會因為開發者要求,就一樣的將帳號資料用電子郵件傳給他們嗎?如果你對於提供敏感資料有任何疑慮的話,就不要做」。

 使用者不需要放棄由應用程式提供的服務,只因為他們需要提供使用者的個人資料。但他們應該要了解有關的風險,並準備好保護他們的資料。想知道更多相關的資訊,請參考我們的行動威脅資訊站

 

相關資料:

 

@原文出處:3 Truths about Mobile Applications 作者:JM Hipolito

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU
@延伸閱讀
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務
保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露

木馬化的Android 金幣海盜(Coin Priates)遊戲 監控回傳特定關鍵字簡訊

針對中國移動用戶的Android惡意軟體

 

◎ 歡迎加入趨勢科技社群網站

2011下半年 Android 手機威脅月平均成長率高達 60%

趨勢科技 曾發表了Android智慧型手機的惡意程式,半年內增加14.1倍,文中提到木馬化的 Android 應用程式與專門鎖定 Android 平台攻擊的惡意程式在數量上已大幅增加。

趨勢科技2012 年12項資訊安全預測一文當中,我們提到智慧型手機和平板電腦平台,尤其是 Android,將遭遇到更多網路犯罪攻擊。

經過趨勢科技連續的監控,我們發現這項威脅的成長速度已到達令人警覺的程度。Android 惡意應用程式在 2011 年初還寥寥無幾,到了 12 月中就已竄升到一千多隻。2011 年下半年的月平均成長率高達 60% 以上。

如果這樣的成長速度持續到 2012 年,那麼,今年肯定是 Android「非常刺激」的一年。此話怎講?因為,若按照目前的趨勢不變,到了今年 12 月,我們將看到 120,000 隻以上的 Android 惡意應用程式。

 

這股爆炸性成長力道的背後有幾項主要因素:

  • Android 手機的普及率不斷上升:這一點從下載程式總數 (根據 Android Market官方的數據已突破100億) 以及使用者數量和軟體啟動次數 (如Gartner 和 Google 資深行動部門副總裁 Andy Rubin所提供的數據) 即可略知一二。 繼續閱讀

2011 資料外洩預言成真的五件事實

2011年對趨勢科技、其他資安產業還有和我們一起對抗網路犯罪的執法單位來說是充滿挑戰的一年,也是成果豐碩的一年。趨勢科技的預測之一已經成真,2011年會被稱為是資料入侵外洩的一年。我們看到了全球都有組織在目標攻擊下淪陷,而且失去了在數位時代的貨幣單位,也就是資料。

 

在為今年做好準備前,讓我們來看看有哪些趨勢科技對2011年的預言成真,以及我們做了哪些事情來幫助資安產業對抗網路犯罪。

 

趨勢科技預見了什麼…出現了哪些事…
將會看到更多目標攻擊和網路間諜。正如我們所預測,幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。正如我們所預測,幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。
將會看到更多行動設備上的攻擊。Android 手機病毒/行動威脅的快速成長也讓行動威脅變得更加成熟。在2011年兩個最突出的惡意軟體家族 – RuFraud和DroidDreamLight變種的帶領下,木馬化和其他各種Android惡意應用程式不僅只出現在第三方的軟體商店上,也出現在Android Market上。
2011年回顧:手機病毒
2011下半年 Android 手機威脅月平均成長率高達 60%
將看到更聰明的惡意軟體活動。網路犯罪分子在全世界的社群網路上製造更多的垃圾(SPAM)訊息和網路騙局,使用了更加吸引人的社交工程陷阱誘餌和更多創新的手法。數以千計的社群媒體使用者被各種詐騙所駭,最終損失的是他們的隱私,甚至他們的身份認證。
將看到利用弱點和攻擊碼的持續發展。儘管被報告出來的弱點數量下降了,網路犯罪分子還是在2011年繼續使用弱點攻擊。三個最常被利用的弱點是CVE-2011-3402、CVE-2011-3544、CVE-2011-3414,毫無意外地是針對弱點攻擊前五名廠商的其中三名,微軟、甲骨文和Adobe。2011年回顧:漏洞和弱點攻擊
會看到舊病毒在網路犯罪地下世界內被持續散播和整合。雖然現在只是威脅環境內不被注意的一環,傳統安全威脅還是繼續在使用者間肆虐著。所有攻擊的最終目的都是為了資料,錢和身份竊取。傳統安全威脅現在用著更新更好的工具以及誘餌來感染不知情使用者的系統和其他設備。

 

雖然我們沒有預見到駭客激進主義(Hacktivism)在2011年脫穎而出,我們看到了由AntiSec和LulzSec對於各個團體所作出的大規模入侵行為。為了表達政治意見,和對各種不同議題表達不滿,駭客激進主義團體持續地對使用者發動攻擊。

繼續閱讀

瀏覽器分享、雲端運算和安全之間的關聯

發表者:趨勢科技雲端安全副總裁Dave Asprey

一則有關「環境雲端」(ambient cloud) 的新聞。Internet Explorer 市占率仍持續下滑,而 Google Chrome 正從中受益。(而我之前所信賴的 Firefox 也在萎縮當中 – 或許他們修正了記憶體零碎的問題之後我會再回頭支持。)

乍看之下,除了 SaaS 應用程式是用瀏覽器來存取的之外,很難看出這則新聞和雲端運算有何關聯。但如果從環境雲端的角度來看,瀏覽器本身就是一個雲端。

想像一下:您有一個應用程式在數千萬個處理器上執行,並且擁有 Terabit 的頻寬可讓您隨時更新,因此想做什麼用途都可以。這樣的例子並不多:

第一個例子就是殭屍網路/傀儡網路 Botnet,也就是一群遭到網路駭客入侵的電腦。

第二個例子是一群由廠商或中央管理系統不斷更新或遠端管理的電腦作業系統。

第三個例子是一群由廠商或中央管理系統不斷更新或遠端管理的電腦應用程式。瀏覽器就是這樣一個例子。 繼續閱讀