Cirsis/MORCUT 惡意軟體掛載虛擬機器

作者:Christopher Daniel So(趨勢科技威脅反應工程師)

趨勢科技之前接獲警報,出現了會在VMware虛擬機器內散播的Crisis/MORCUT惡意軟體。我們在之前關於Crisis/MORCUT的文章中說明了這是一個專門針對Mac OSX系統的後門程式。而現在,我們手上有可以在Windows內執行的Crisis/MORCUT樣本,有趣的是,它會去掛載虛擬硬碟。它透過檢查VMware設定檔來找到主機上所安裝的所有虛擬機器位置。

目前尚未能確認這個變種病毒是如何進入系統的。但似乎是從下載一個惡意Java Applet(偵測為JAVA_AGENT.NTW)開始。Java Applet內包含兩個檔案:mac – 後門程式OSX_MORCUT.A和win – 被偵測為WORM_MORCUT.A的蠕蟲程式。檔案win可以在Windows作業系統上執行。然後這個檔案會產生以下元件檔案:

IZsROY7X.-MP – (32位元DLL)現在被偵測為WORM_MORCUT.A

  • t2HBeaM5.OUk – (64位元DLL)現在被偵測為WORM_MORCUT.A
  • eiYNz1gd.Cfp
  • WeP1xpBU.wA – (32位元驅動程式)現在被偵測為TROJ_MORCUT.A
  • 6EaqyFfo.zIK – (64位元驅動程式)現在被偵測為TROJ_MORCUT.A
  • lUnsA3Ci.Bz7 – (32位元DLL)非惡意檔案

 

根據趨勢科技的初步分析,WORM_MORCUT.A可以經由USB裝置和VMware虛擬硬碟來散播。它利用驅動程式元件 – TROJ_MORCUT.A來掛載虛擬硬碟。雖然這樣的能力讓它看來可以更積極的散播,但是在這文章撰寫時,我們還沒有看到太多WORM_MORCUT.A和TROJ_MORCUT.A的感染案例。

 

正如之前在我們的雲端安全部落格文章中所提到的: 會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut),我們的初步分析顯示這個Crisis/MORCUT變種可能會影響第二型的虛擬機器管理程式部署。由趨勢科技 Deep Security趨勢科技OfficeScan所提供的防護可以確保趨勢科技的客戶不受Crisis/MORCUT惡意軟體所威脅。

繼續閱讀

假的 WhatsApp for Facebook正在塗鴉牆流傳

 趨勢科技發現有個詐騙攻擊目前正在Facebook上出現。值得注意的是,這次詐騙的誘餌是利用知名手機傳訊軟體 – WhatsApp。當你看到朋友在Facebook發出使用”WhatsApp for Facebook”的訊息,千萬不要好奇也跟進點選該冒牌程式的授權要求,以免更多垃圾訊息在你和朋友間流傳。根據趨勢科技表示,這個網站最終會引導到星巴克等問卷調查網路釣魚(Phishing)(就是詐騙網頁)要求使用者輸入手機號碼,在過程中就會訂閱使用者並不需要的廣告訊息服務。這會讓使用者付出額外的費用給這些他們並沒有要求的服務。

 

假的WhatsApp for Facebook正在塗鴉牆流傳
假的WhatsApp for Facebook正在塗鴉牆流傳

 

 這次詐騙攻擊就像是典型的騙局:使用者會被導到假WhatsApp Facebook頁面,並要求使用者的授權。一旦應用程式獲得所需權限,就會秀出其他看來使用WhatsApp應用程式的Facebook使用者,通常是受駭者自己的好友。

 

塗鴉牆訊息顯現朋友正在使用假WhatsApp for Facebook
塗鴉牆訊息顯現朋友正在使用假WhatsApp for Facebook

 

有趣的是,使用者會被導到看來是針對行動用戶所做的使用者協議網頁。這網頁會出現各種不同行動作業系統的圖示,讓它看起來更像是正常網頁。

 

假的 WhatsApp for Facebook網頁會出現各種不同行動作業系統的圖示,讓它看起來更像是正常網頁

當使用者同意並授權給這應用程式後,接著會根據受駭者的位置而將其導到不同網頁。對於位在美國、澳洲、紐西蘭、德國和英國的使用者,他們會被導到假的星巴克禮物卡網頁。而其他國家的使用者則會被導到不同的網頁:

當使用者同意並授權給這應用程式後,接著會根據受駭者的位置而將其導到不同網頁。比如假的星巴克禮物卡網頁
當使用者同意並授權給這應用程式後,接著會根據受駭者的位置而將其導到不同網頁。比如假的星巴克禮物卡網頁

 

如果你要更進一步就得完成所謂的問卷,這些問卷內容其實就是進一步騙取你訂閱手機簡訊服務。

 

趨勢科技主動式雲端截毒服務  Smart Protection Network可以保護使用者免受此種威脅,阻止使用者連上問卷調查詐騙網站。因為有超過九億的使用者,Facebook自然而然會成為這些詐騙攻擊的目標。想要了解更多關於如何保護自己,免受這些威脅(尤其是問卷調查詐騙)所駭的資訊,可以參考我們的常見問題集 – 針對社群網站用戶的問卷調查詐騙

趨勢科技之前曾經報導過假Android應用程式網頁會偽裝成受歡迎的手機軟體,像是Instagram和Angry Birds Space憤怒鳥星際版/太空版。但這次的新騙局顯示它不會跟之前一樣,在Facebook上散播通往假Android應用程式的連結。

 

 @原文出處:Scam Disguised As WhatsApp for Facebook

作者:Paul Pajares(詐騙分析師)

 

@延伸

Facebook詐騙不再來:PC-cillin 2012 雲端版自動掃描臉書塗鴉牆,惡意連結一目了然
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
[ 社交網站安全指南 1 ] 你忘了三年前上傳的圖片,駭客卻記得
[ 社交網站安全指南 2 ] 可在 Facebook 使用的Email 帳號黑市價碼較高
[ 社交網站安全指南 3] 不會對電話詐騙者回答的私人問題,也不要公開在社交網站(減少社交網站風險的四個方法)

【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

@參考推文

雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

自帶設備(BYOD):企業用戶的安全缺口?

自帶設備(BYOD):企業用戶的安全缺口?

作者:Cesare Garlati(趨勢科技消費化資訊傳播者)

 

這篇文章來自筆者2012年8月7日在東京Direction 2012大會上發言的一部分。

 

筆者2012年8月7日在東京Direction 2012大會上發言
筆者2012年8月7日在東京Direction 2012大會上發言

 

 

長久以來,我一直都在講消費化自帶設備(BYOD)。而從我上次在新加坡CIO研討會上演講之後,過去這一年有什麼樣的變化呢?

 

發生的變化就是有越來越多企業都允許自帶設備。高階主管和IT經理第一時間地學到了自帶設備所帶來的好處和風險

 

趨勢科技一直都和產業分析師(如Decisive Analytics和Forrester Research)共同合作去替IT決策者診斷問題,幫助我們了解他們的困難以及可以提供什麼樣的解決方案。他們也讓我們對於自帶設備有著深刻的了解。

 

因此,讓我們從最明顯的問題開始:自帶設備有多普遍?在去年,從我們的消費化報告裡可以看出,剛剛好超過一半的受訪者(56%)說他們的公司允許自帶設備。而從我們2012年最新的研究裡可以看到,這個數字已經顯著的增加了:Forrester的研究發現,這個數字目前超過了76%。最有趣的是,過去有些抗拒的國家,現在都變得比較接受自帶設備了。

 

自帶設備都是指哪些呢?大多數人都認為是:筆記型電腦、智慧型手機和平板電腦。而就是後兩者會導致企業最多的問題。企業的IT了解如何保護和管理安裝傳統作業系統的筆記型電腦。但很多企業還不知道要如何妥善管理來自非傳統IT廠商的行動平台,像Apple(iOS)和Google(Android)。

 

即使企業接納了自帶設備,他們也面臨了危險以及現實上可能產生的問題。到目前為止,最大的擔憂是資料安全、法規遵從和員工隱私。不僅如此,大約有一半受訪企業都承認,曾經因為自帶設備而遺失資料。

 

企業會做些什麼來確保自帶設備不會成為安全上的噩夢呢?一般來說,幾乎在所有案例裡,IT管理者會安裝安全和遠端管理軟體到使用者的設備上。讓IT更容易去抹除個人設備上的資料,一旦公司資料處於危險中時。

 

這些都是很好的開始,但想要妥善保護自帶設備,管理者必須了解兩件事情:要保護什麼以及威脅是什麼?

 

IT管理者普遍認為,當談到安全性和管理性時,受歡迎的這些行動作業系統在根本上是一樣的。然而,這並不完全正確。

 

在消費化報告裡,趨勢科技也檢視了這四種行動平台的安全特性:黑莓機、iOS、Windows手機和Android。這同時也是我們對這四個作業系統的評比順序:從最安全到最不安全。

 

如果你是IT管理者,這成了一個大問題:最安全的作業系統正在死去,而最普及的手機作業系統卻有著最多的漏洞!IT經理必須要了解,每種行動平台上的威脅狀況都有些許的不同,而要如何做好保護也就會跟著有所改變。

 

讓我們看看兩種最普及的行動作業系統以了解有哪些風險。第一是Apple iOS平台。

 

一般印象都認為Apple是個封閉、安全的平台。然而,這並不會因此讓它對危險免疫:如果你會去看那些被公開披露的漏洞,iOS在2012年的數字是大幅飆高的。還有越獄(JB),會打破Apple所築的圍牆,也降低了安全性。因此,iOS也有其危險性

 

然而,Android才是真正需要擔心威脅的。來看看下圖:

 

Android上惡意軟體的成長速度甚至超出預期
Android上惡意軟體的成長速度甚至超出預期

 

 Android上惡意軟體的成長速度甚至超出我們的預期。Android的另一個問題是,有太多正在使用中的版本。看看下面圖表:

 

 

Android的另一個問題是,有太多正在使用中的版本
Android的另一個問題是,有太多正在使用中的版本

 

 

 

市面上有超過80%的Android設備使用的是舊版本。這意味著它上面的漏洞可能不會被修復,新的安全功能也可能無法使用。

從根本上說,相對於iOS是個封閉平台,Android是個開放平台。所以也就更可能會有各種威脅的出現,甚至在官方Android應用程式商店上也會有。讓我們看看下列事件,都是在今年剛剛發生:

 

 

簡單來說,行動平台上的威脅的確存在。但是不管你喜不喜歡,自帶設備都會出現在你的公司。IT經理應該做的是找出讓企業安全的方法。所以並非是盲目的轉換過去,而是理性的面對未來趨勢。

 

我希望你能從這次談話中得到三件事:

 

一、擁抱消費化。

 

它一定會發生,它也帶來了更高的生產力和整合了工作力。IT管理者應該意識到這一點,並努力讓自帶設備在企業內部成功

 

二、了解各種行動平台的風險狀況。

 

每個行動平台上都有不同的功能以及面臨的危險。了解這些是讓自帶設備安全的關鍵。

 

三、部署新的安全和管理工具

 

一旦你了解使用者所面臨的威脅和危險,你可以部署適當的工具和技術以防範這些問題。

 

更多資源

 

 

你可以在https://BringYourOwnIT.com或推特https://twitter.com/CesareGarlati上關注Cesare

 

@原文出處:BYOD: A Leap Of Faith For Enterprise Users? 作者:Cesare Garlati(消費化資訊傳播者)

 

@延伸閱讀
資料防護對中小企業來說比對大型企業還重要

是時候回收舊電腦和手機,但裡面的資料要清除乾淨了嗎?

員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

趨勢科技發表2012資安關鍵十二大預測

 

APT 攻擊

 

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

作者:趨勢科技雲端安全副總裁Dave Asprey

首先是VMware收購Nicira,接著Oracle收購Xsigo,最近幾個禮拜真是風起雲湧。這些重大的收購案將會完全打亂網路和資安產業原有的秩序,只是時間問題而已。

網路虛擬化已經開始八年了,不過一直都還是在地下的階段,除非你在特定的少數公司內,不然很容易就會遺漏掉它。一直到最近幾年,網路虛擬化、OpenFlow和軟體定義網路(SDN)才算是比較興起。

我曾經待過開始參與這幾間公司內。以下是為何我覺得這兩筆交易對雲端運算和網路的未來很重要的原因。這並非來自我的空想,我曾經是第一家網路虛擬設備公司的技術和行銷副總裁(Zeus Technologies,現在被Riverbed所併購)。我在Citrix的虛擬化業務部門進行策略規劃,就在他們併購NetScaler之後(這家網路公司已經成為Citrix雲端網路加速產品的骨幹)。我也曾經參與過兩家網路虛擬化的早期廠商 – Vyatta和3Leaf(Xsigo的前競爭對手之一)。而我關於雲端網路的書戶會在六個月左右推出。

在六月中旬,VMware技術長Steve·Herrod(我在去年RSA的雲端安全聯盟大會上介紹他上台),告訴CIO Journal軟體定義網路代表「想要虛擬化資料中心所需要的巨大改變,可以減少需要分別管理的的設備。」這代表不再需要更多Juniper和Cisco的路由器和交換器了,而是各種直接在雲端資料中心內運作的設備。

事實上,我曾在2007年的馬爾他NetEvents大會上說過類似的話:

我對未來資料中心的願景非常非常的龐大,將不再會有交換器,而是許多的虛擬設備。這一定會發生,因為變動虛擬設備要比變動交換器內建硬體要來得快的多。當你想要升級虛擬設備,就只是另一次的設備定期更新而已,你就有一套完整的內建網路安全功能了。

我真的非常高興VMware會快速地做出這項投資。Nicira交易看起來會讓軟體定義網路的世界由VMware作主,直到一分鐘後出現了Oracle/ Xsigo的新聞。

Nicira交易的影響

首先,幾個VMware收購事件必須注意的關鍵:

  • Nicira最大的幕後推手之一是Andreessen Howorwitz的Ben Horowitz。這並不令人驚訝,Ben從LoudCloud(又名Opsware)起家,他跟我一樣了解網路設定帶來的問題。我在Exodus Communications所做的初期雲端產品跟LoudCloud的初期雲端服務(也是基於Exodus資料中心)是互相競爭的。人們如果想將網路變得跟伺服器軟體一樣的有彈性,在撞過幾次牆之後通常都會想到一樣的結論! 繼續閱讀

假拉票真詐騙~我朋友參加攝影比賽,幫忙一下…別上當!!手機簡訊認證碼詐騙新招「網路投票」

「嗨嗨~可以用你的手機收一下簡訊嗎?」這招已經不流行了,最新招術是→冒充 facebook 臉書朋友,要你幫忙參加”Yahoo 攝影聯合會”的攝影作品投票~~~趨勢科技已確認該網站並非 Yahoo 官方網址,而是用來從事網路詐騙的網路釣魚(Phishing)網站

有網友表示收到臉書朋友傳來如下訊息:

投票啦~我朋友參加攝影比賽,幫忙投票@https://www.voXXXyahoo.com/page/index.php
這是網址,有三張圖片,編號是…..每張幫他投一票….不要投錯哦….拍謝….打擾到抱歉

若不疑有他點選上述貌似 Yahoo 的網址連結,會進入一個攝影作品投票網站:

《拉票啦~我朋友參加攝影比賽,幫忙一下…別上當!!手機簡訊認證碼詐騙新招「網路投票」》
《拉票啦~我朋友參加攝影比賽,幫忙一下…別上當!!手機簡訊認證碼詐騙新招「網路投票」》

趨勢科技提醒您請不要在投票過程中輸入❶手機號碼❷手機認證碼,以免【被申請大量網拍人頭帳號】或成【小額付費詐騙受害者】
✔立即免費下載試用PC-cillin 雲端版 ,避免成為”手機認證碼“系列詐騙受害者

下圖是Facebook 出現的第一代手機簡訊詐騙,注意注意!!不要把手機號碼輕易給”朋友”,提醒大家不要用傻瓜密碼或被證實容易破解的密碼,以免帳號被盜用,又被駭客用來欺騙朋友

朋友變得怪怪的~原來是臉書被盜
Facebook 出現的第一代手機簡訊詐騙

《詐騙集團要你的手機認證碼,做什麼?》

1.申請大量網拍人頭帳號
:
警方調查發現,由於成為網拍賣家,只需要手機簡訊認證,流程不夠嚴謹,因此,詐騙集團大肆利用駭客手法盜取民眾的臉書和即時通帳號,再冒充被害人帳號發送訊息給親朋好友,誘騙親友提供手機簡訊認證碼,歹徒也就靠著這批認證碼,向拍賣網站申請大量網拍人頭帳號,供日後犯罪使用。
相關報導: https://news.msn.com.tw/news2757399.aspx

2.「小額付費」詐騙!:

王小姐收到表弟傳遞MSN訊息給她,說網路購物需要手機接收認證密碼,但電話螢幕突然壞了,請她提供手機門號及身分證字號,以幫忙代收簡訊。王小姐詢問為何代收簡訊還須提供身分證字號,她遂不疑有他…後來王小姐收到電信公司傳來小額付費1,000元扣款成功的簡訊通知,得知該筆款項將列入她下個月電信帳單內支付
https://www.cib.gov.tw/news/news02_2.aspx?no=855

@延伸閱讀:
Facebook 臉書帳號被偷時該怎麼辦?

安裝這個可以拿到別人的 facebook 臉書密碼?!是詐騙!

六個常在 Facebook上犯下的錯誤與案例(詳盡案例說明)

想免費下載“暗黑破壞神三(Diablo 3 free download)” ,請先分享至臉書?搜尋找麻煩,個資竟分享給駭客!

三步驟防護Facejacking:即使有人知道你的Facebook密碼,也無法登錄的必學設定

答應她的臉書Facebook 交友邀請,個資被看光

測試你的密碼:更多的密碼外洩事件(含複雜密碼,簡單記憶法設定教學)

“電子郵件帳號被入侵,還好裡面沒重要的東西?! “事實上,裡面是大有東西在。
從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?

關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站