資安趨勢部落格 – 第 736 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

< 線上信譽 >在網路上留給人家探聽!16個讓老師和雇主為你加分的方法

2014 年 06 月 26 日2014 年 12 月 17 日趨勢科技 TrendMicro

打造你專屬的數位品牌:線上信譽

在英國百分之四十的雇主在徵人之前會先在社群媒體上篩選過。而80％的大學錄取決策者會參考Facebook。他們都會看你的數位朋友。

一項由網路安全公司 Proofpoint 在2009年完成的研究估計，有8％的公司解僱員工的理由是「濫用」社群媒體。

根據英國商業社交網路公司Viadeo曾經公布的一份研究報告指出幾個有趣的數據：

1. 五位受訪雇主中就有一位會上網查詢應徵者的資料

2. 約有6成雇主會因為這些資料影響雇用意願

3. 有四分之一的面試主管會根據查詢到的應試者的部落格、上傳影片，或Facebook等相關資料,刷掉某些應徵者。

4. 好消息是有13%的人力資源主管根據線上查詢結果而決定雇用應試者

快速瀏覽一下16個讓老師和雇主為你加分的方法:

由趨勢科技 Trend Micro 貼文。

1.    透過全功能的網路安全防護來保護你的網路隱私。

2.    橫跨社群平台和應用程式來更新你的隱私設定。

3. 讓你的社群網路小一點 – 小小小一點

4.    Google你的名字。

5.    當你在網路上發現什麼時，進行信譽審核。

6.    無法修復的話就停用帳號。

7.    刪除跟性有關、攻擊性和非法的照片和影片。

8.    刪除有褻瀆字眼的文章。

9.    更正文法、拼寫和標點符號錯誤。

10. 刪除你或別人留下的負面評論。

11. 不要用看起來愚蠢或令人反感的暱稱。

12. 上傳突顯成就、興趣和建設性關係的照片。

13. 將孩子氣的個人資料照片換成成熟的一張。

14. 分享描述志工生活的影片。

15. 加入你所認同的支持非營利組織的網路團體。

16. 建立LinkedIn個人資料。

你的網路信譽可能會變成可怕的怪獸，如果沒有加以好好照料的話。它會成長或下跌同樣地也取決於你的文章、人際網路大小和裡面的人，以及這些人如何回應你的文章。

雖然我們通常會建議在網路上的分享要集中跟最少化，我們瞭解到兒童和青少年有時會用更寬鬆的方式來提升他們的數位品牌。

這裡有一張16步驟的檢查清單讓你可以和孩子分享，或作為指南讓你幫他馴服野獸，並取回被野放的網路信譽。

首先第一件事：注重網路隱私

你數位品牌的健康狀況和你如何小心保護個人資料緊密地聯繫在一起。

1. 透過全功能的網路安全防護來保護你的網路隱私。

最好的網路隱私保護包括了可以捕捉間諜軟體、網路釣魚（Phishing）和資料攻擊的防毒軟體，避免它們去損害你的信譽。

附加價值：全功能的網路安全防護也會檢查你的Facebook、Twitter和Google+帳號，確保你有利用它們的客製化隱私設定來保護自己。

2. 橫跨社群平台和應用程式來更新你的隱私設定。

社群網路的隱私設定經常改變，所以需要不斷地加以關心。繼續閱讀

具備時間炸彈的PlugX遠端存取工具,利用Dropbox更新指揮與控制設定

2014 年 06 月 25 日2015 年 01 月 07 日趨勢科技 TrendMicro

監視網路流量是IT管理員用來判斷網路內是否有進行中之APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的方法之一。遠端存取工具（或稱RAT）常見於針對性攻擊活動，用來建立指揮與控制（C&C）通訊。儘管這些遠端存取工具（如Gh0st、PoisonIvy、Hupigon和PlugX等等）都有已知的網路特徵且可被偵測，惡意份子還是能夠有效地將這些工具用在針對性攻擊中。

趨勢科技在五月發現攻擊台灣政府機構的APT攻擊。在此波攻擊中，惡意份子所用的PlugX遠端存取工具會利用Dropbox來下載C&C設定。Dropbox被濫用就非新聞，之前就有攻擊利用此一平台來放置惡意軟體。然而，在我們所分析過的APT攻擊裡，還是第一次看到利用Dropbox來更新C&C設定。

在過去幾周內，趨勢科技報導過其他威脅（像是Cryptolocker和UPATRE）會利用此公共儲存平台以擴散惡意活動。我們所取得的樣品由趨勢科技偵測為BKDR_PLUGX.ZTBF-A和TROJ_PLUGX.ZTBF-A。

當BKDR_PLUGX.ZTBF-A被執行，它會執行各種來自遠端使用者的指令，包括記錄按鍵、進行端口映射、遠端Shell等，進而導致後續的攻擊階段。在一般情況下，遠端shell讓攻擊者可以在受感染系統上執行任何指令以破壞安全防護。

這後門程式也會連到特定網址以取得其C&C設定。使用Dropbox有助於在網路中掩蓋其惡意流量，因為這是個用來儲存檔案和文件的正常網站。我們也發現這惡意軟體有個觸發日期為2014年5月5日，代表它從該日開始運行。可能這樣做也可以讓使用者不會馬上懷疑其系統上有任何惡意活動。

這是個第二型的PlugX變種，具備第一型之後的新功能和修改。其中一個改變是使用「XV」作為標頭，而非之前的MZ/PE標頭。這可能是種反鑑識技術，因為它一開始載入「XV」所以二進位檔不會運行，除非XV換成MZ/PE。此外，它還具備來自攻擊者的認證碼，在此案例中是20140513。不過，PlugX的一個共同特點是用普通應用程式載入惡意DLL的預載技術。這惡意DLL接著會載入包含主要行為的加密組件。此外，它會攻擊某些防毒產品。繼續閱讀

“48小時內支付贖金，否則你手機上的所有資料將永久被破壞！”又一手機勒索軟體現身

2014 年 06 月 25 日2014 年 06 月 23 日趨勢科技 TrendMicro

Android勒索軟體利用Tor隱藏C＆C通訊

不久前我們介紹過不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶,最近出現在行動威脅環境的勒索軟體現在有了新發展：利用TOR（The Onion Router）匿名服務來隱藏C＆C通訊。

根據趨勢科技偵測為AndroidOS_Locker.HBT的樣本分析，我們發現這惡意軟體會出現畫面通知使用者設備已經被鎖住，需要支付1000盧布的贖金來解鎖。該畫面還指出，不支付將會導致在行動設備上的所有資料被破壞。

我們所看到會出現這些行為的應用程式樣本出現第三方應用程式商店，盜用名稱像是Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本應用程式可以從各種不同應用程式商店下載。

底下是顯示給使用者的警告訊息，使用的是俄文：

圖一、給使用者的警告訊息（點擊放大）

下面是警告訊息的粗略翻譯：

因為下載和安裝軟體nelitsenzionnnogo，你的手機已經依照俄羅斯聯邦軍事準則民法第1252條加以鎖住。

要解鎖你的手機需支付1000盧布。

你有48小時的時間支付，否則你手機上的所有資料將永久被破壞！

1.      找到最近的QIWI終端支付系統

2.      使用該終端機器，並選擇補充QIWI VISA WALLET

3.      輸入號碼79660624806，然後按下一步

4.      會出現留言視窗 – 輸入你的號碼去掉7ki

5.      將錢放入終端機，然後按支付

6.      收到付款後的24小時內，你的手機將會被解鎖。

7.      你可以透過行動商店和Messenger Euronetwork支付

注意：試圖自己解開手機會導致手機完全被鎖住，所有消失的資料沒有機會回復。

繼續閱讀

Google Play更新改變了權限模式，變得更令人駭怕

2014 年 06 月 24 日2014 年 06 月 24 日趨勢科技 TrendMicro

Google Play更新改變了權限模式，但不是變得更好

以前，如果一個應用程式更新需要新的權限，使用者必須明確地審查權限和加以允許，就彷彿是安裝新的應用程式一樣。但現在已不再是如此。現在，如果所要求的權限是使用者已經授予存取的同一群組，就不再需要另外批准。如果應用程式自動更新開啟，該應用程式可以在背景更新，而使用者不會意識到權限變更。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶 — Google Play更新改變了權限模式，變得更令人駭怕

手機作業系統（如iOS和Android）比桌面系統更加安全的原因之一是它們對應用程式權限有著非常強大的控制。每個應用程式向使用者和作業系統所要求的權限，理論上來說，僅限於它們所需的部分。

不過並非總是這樣。應用程式開發人員往往會要求比所需還要更多的權限；使用者不會總是加以注意，而且也幾乎會允許任何要求。儘管如此，權限系統雖不完美但可以接受，對於會特別注意應用程式權限的使用者來說，它還是個有用的工具來做些事情。

然而不幸的是，Google已經用很根本的方式來改變其Android的權限模型，顯著地降低使用者的可見性和易用性。它讓惡意應用程式開發人員有更多空間來更新他們的應用程式，將具備潛在風險的權限加到他們的應用程式。

這是如何做的？在各個Android論壇的開發者發現Google Play的更新（在五月中旬推出）也改變了對權限和應用程式更新的處理，而且不是用很好的方式。

以前，如果一個應用程式更新需要新的權限，使用者必須明確地審查權限和加以允許，就彷彿是安裝新的應用程式一樣。但現在已不再是如此。現在，如果所要求的權限是使用者已經授予存取的同一群組，就不再需要另外批准。如果應用程式自動更新開啟，該應用程式可以在背景更新，而使用者不會意識到權限變更。

這些權限群組都記錄在Android開發者網站。群組和功能種類有關；比方說，所有處理地理位置服務的權限都在同一群組。桌布相關的權限都在另一群組；處理儲存的權限又在另一群組。根據開發者文件的定義有31個群組，有13個在Google討論此一問題的常見問答中被明確地提出來。

原意是好的，它簡化了權限程序，讓它對使用者來說更加簡單。然而，它也可能非常地有問題。現在很容易就可以建立一個應用程式，一開始用明顯「無害」的權限，然後再整合潛在惡意行為所必需的權限。比方說，使用閃光燈和錄製聲音/影片是在同一群組。也就是說，一個手電筒應用程式可以很容易地更新成為一個錄音/監控的應用程式，而使用者不會注意到其改變。其他屬於同一群組的權限包括：

讀取外部儲存裝置的內容
修改或刪除外部儲存裝置的內容
格式化外部儲存裝置
載入或卸載外部儲存裝置繼續閱讀

該是將受感染電腦隔離的時候了

2014 年 06 月 23 日2014 年 06 月 10 日趨勢科技 TrendMicro

威尼斯語的「quaranta」，意思是「40」。檢疫的目的是要將可能曾經暴露於某種疾病但卻仍然健康的人或動物分開並限制其行動，以便看看他們是否會發病。其 40 天的觀察期為了找出當年的鼠疫 (也就是黑死病) 帶原者而設定，以免帶原者上岸之後造成傳染病擴大。雖然非常時期需要非常手段，但這個概念已廣泛普及，且延續至今。

不過，今日資訊安全產業已完全誤用「檢疫」一詞，指的是將已知感染的檔案或系統移至受保護的區域等候進一步檢驗和清除。這種作法更精確說法應該是「隔離」，因為大多數的情況下我們已經知道它們遭到了感染或入侵。不過，這還是達到了防止入侵擴大與後續損害、防止系統遭人用於散布垃圾郵件(SPAM)、防止敏感資訊遭到竊取、防止感染繼續擴大等重要目的。

今日的執法機關、資訊安全廠商 (如趨勢科技) 以及網際網路服務業者之間前所未有的聯合打擊行動，讓我們有機會檢驗一下這樣的觀念有多普遍，以及如何運用這個概念來打擊網路犯罪。非常時期的確需要非常手段。

參與 GOZeuS 及 Cryptolocker 圍勦行動的網際網路服務業者可利用執法機關的情報來發掘他們有哪些客戶遭到感染，然後通知客戶並協助他們清除。難道這不應該當成一種未來應建立的標準嗎？已知遭到入侵的系統應該隔離到清除為止。

如今日所見，當我們發布全球警示以及推動一波教育行動時，成果或許看似斐然，尤其是對於參與的資訊安全相關人員：11個執法單位、一長串的資訊安全廠商、記者會以及全國和國際媒體報導。但事實上，對於絕大多數網際網路使用者來說卻有如耳邊風一樣。教育計劃的效果基本上還是信者恆信，不信者恆不信 (我們去年拍攝的《2020》系列影片正是為了擴大對話)。

我們必須採取一些行動來讓一般網際網路使用者真正了解其行為及毫無作為的後果，因為即使是駭人的頭條新聞，明天過後就會被大家遺忘。更何況，在一樁又一樁的資料外洩事件之後，人們對這類警告早已痲木不仁。

網際網路服務業者應持續利用資訊安全產業所提供的情報來發掘有哪些受感染的系統連上他們的網路。這些系統應該移至隔離區域，並且通知帳號使用者，告訴他們如何清除系統並矯正這樣的情況。在感染清除之前，這些電腦可存取的網際網路資源應該受到限制。使用者將被迫必須在乎。

同樣的作法對車輛已行之有年。車輛每年都要接受定期檢驗，如不通過就無法上路，直到改善為止，因為不合格的車輛將對駕駛人和其他用路人造成危險。非常時期的確需要非常手段。

◎原文來源: https://countermeasures.trendmicro.eu/its-time-to-quarantine-infected-computers/