資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

MalumPoS 惡意程式,可針對任何POS系統發動攻擊

2015 年 06 月 10 日2015 年 06 月 23 日趨勢科技 TrendMicro

趨勢科技發現了 MalumPoS 這個專門攻擊 PoS 系統的新惡意程式，就目前看到的情況，它會攻擊採用 Oracle® MICROS® 平台的 PoS 系統，竊取其中的資料，此PoS平台是飯店、餐飲及零售業廣泛使用的系統。

Oracle 表示全球有約 330,000 個客戶據點正在使用 MICROS 平台，他們大多集中在美國，一旦此 PoS 記憶體擷取程式成功入侵他們的系統，這些知名的美國企業和其顧客都將陷入危險當中。

MalumPoS 這類 PoS 記憶體擷取程式，一般來說是專門竊取被感染系統記憶體內的信用卡資料。每當櫃台人員幫顧客刷信用卡時，惡意程式就會偷取磁條中的持卡人姓名、卡號等等資訊。偷到這些資料之後，惡意程式會傳回給幕後犯罪集團，犯罪集團再用來製作偽卡，或用於線上購物詐騙。

MalumPoS 在設計上已內建設定彈性，也就是說，未來還能隨時修改或新增其他攻擊程序和攻擊目標，例如加入攻擊 Radiant 或 NCR Counterpoint PoS 系統的程序，到那時，使用這類系統的企業都將陷入危險。

其他重要特點

MalumPoS和其他過去出現的 PoS 記憶體擷取程式相比，有幾項有趣的特點：

偽裝成 NVIDIA 顯示卡驅動程式：當植入系統當中時，MalumPoS 會使用「NVIDIA Display Driver」或「NVIDIA Display Driv3r」的名稱來偽裝成顯示卡驅動程式。雖然一般的 PoS 系統並不需要安裝 NVIDIA 顯示卡驅動程式，但 NVIDIA 在使用者之間的知名度很可能讓使用者不疑有他。

圖 1：MalumPOS 偽裝成系統服務 繼續閱讀

巨集惡意程式：老技倆依舊有效

2015 年 06 月 10 日2018 年 08 月 30 日趨勢科技 TrendMicro

巨集病毒曾經是最熱門的話題, 它主要是利用軟體本身所提供的巨集能力來設計病毒, 所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能, 如Word, Excel,都相繼傳出巨集病毒危害的事件, 在台灣最著名的例子正是1996 年現身的Taiwan NO.1 Word 巨集病毒。以下我們先分享幾個台灣本土巨集病毒發作的畫面:

現在，我們該好好重溫一下 Microsoft Word 下面這個安全性警告訊息為何重要：

圖 1：Microsoft Word 巨集安全性警告

今天下午，我在同事之間詢問了一下這個問題：「你能不能馬上想到任何一個有效的巨集惡意程式？若是透過電子郵件散布就更好。」我得到的第一個答案是1999年3月26日，導致全球大企業的 Email Server大當機的「Melissa」，但另一位較資深的同事則說1995年的第一隻文件巨集病毒「WM Concept」和 1996年的Excel巨集病毒「LAROUX」。接著我又問其他同事能不能舉出 2005 – 2008 年左右的熱門巨集惡意程式，結果大家開始聊起 2000 年代巨集病毒瘋狂的年代，也想起當年 Microsoft Office 將預設安全性改成高安全性之後對惡意程式情勢有多大改變，以及現在將如何歷史重演。

「舊瓶裝新酒」

我們在一年前就開始發現巨集惡意程式重返的跡象，當時看到的是 W97M_SHELLHIDE.A 和 TSPY_ZBOT.DOCM 的合體。一開始，我們以為只是偶然的案例，但根據趨勢科技有關 BARTALEX 的最新報告指出， DRIDEX、ROVNIX 及 VAWTRAK 等惡意程式也再度利用巨集來散布惡意程式，並且從 2014 下半年延續至今年。

不但如此，趨勢科技也注意到巨集惡意程式這次重現江湖的目標非常明確，那就是：企業機構。而且企業也因遭受一波垃圾郵件散布的巨集惡意程式攻擊而嚴重受創。繼續閱讀

10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!

2015 年 06 月 09 日2016 年 06 月 24 日趨勢科技 TrendMicro

【人,是最大安全漏洞】員工誤開有毒信,成為重大資安新聞事件共通點

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊,登上媒體版面;報導指出美國遭遇史上最大宗聯邦僱員個資遭駭案;可能導因於駭客將病毒電郵偽裝成同事間電郵，誘使收件人開啟,導致400萬筆個資遭竊;無獨有偶員工誤開有毒郵件，日本國民年金機構外洩125萬筆個資！日本國民年金機構對外證實，由於職員使用電腦時開啟含病毒的電子郵件，導致機關內保存的國民年金相關個資外洩，目前已確定有125萬筆國民個資外洩。

最近大舉入侵台灣的勒索軟體 Ransomware 也經常使用類似的社交工程（social engineering ）信件的手法,達到綁架電腦的目的。比如趨勢科技部落格報導過的這篇勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件。”員工滿意度調查”、”免費星巴克”、”個人簡歷”….都是過去曾機發生過的網路釣魚信件主旨。(詳見本文誤點率高的十個網路釣魚主題類型 )

不要以為只有大咖會被攻擊,一般用戶也得在點擊滑鼠前三思

員工信箱是 APT 目標攻擊最佳掩護攻擊的進入點,比如攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件;電子偽裝成來資訊部門的系統更新通知….,這則新聞 CNN：俄羅斯駭進白宮得手歐巴馬非公開行程也是以釣魚信件成功入侵白宮電腦系統。不要再以為只有大咖會被攻擊 ,本文將介紹10 個誤點率高的網路釣魚類型,如果你是中小型的企業，你不能指望免於這類型的攻擊。除了要確保員工的安全教育，中小型組織應該要找到結合郵件安全和終端防護的組合方案。一般用戶,也得在點擊滑鼠前三思而後行,因為以好奇心為誘餌的社交工程（social engineering ）就在你身邊。繼續閱讀

圖像隱碼術(Steganography)與惡意程式：原理和方法

2015 年 06 月 09 日2015 年 08 月 28 日趨勢科技 TrendMicro

能夠躲避偵測的威脅，是今日所面臨最危險的威脅。而那些最令人頭痛的資安問題也都具備這樣的特性，例如「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）和零時差漏洞攻擊。駭客只要能不被發現，就能立於不敗之地，也因此，這項能力一直是他們不斷追求的目標。在這一系列的部落格文章當中，趨勢科技將探討網路犯罪集團用來躲避偵測及分析的技巧。

在第一篇當中，我們首先將介紹所謂的圖像隱碼術 (Steganography)，我們將說明何謂隱寫術，以及今日惡意軟體如何利用這項技術。希臘文中的 steganos 一詞代表隱藏的意思，而惡意程式就是喜歡偷偷暗藏東西。對於駭客來說，這真是天上掉下來的禮物。

當然，隱寫術也能應用在真實生活當中。例如將秘密訊息暗藏在特別的地方 (下文就是一篇有趣的例子)，不過，此處我們要討論的是資料檔案，以及歹徒如何利用這些檔案。

圖 1：當年的加州州長阿諾史瓦辛格回覆加州議會的信函，解釋為何他在某議員於演講中羞辱他之後否決了議會的一項決議。其實這是一篇藏頭文，只要將正文的每一行第一個字圈出來就會看到隱藏的訊息：I Fuck You.

繼續閱讀

< APT 攻擊 >透過自動啟動機制，攻擊者在一亞洲政府內部取得立足點

2015 年 06 月 08 日2015 年 06 月 08 日趨勢科技 TrendMicro

一個亞洲的政府單位陷入了危機，因為攻擊者針對了他們網路內部的伺服器。這起攻擊顯示出對方對單位內部網路架構、使用工具和軟體的熟悉及深入的了解，能夠存取他們的目標伺服器並安裝惡意軟體。之後，他們不只將入侵的伺服器作為其網路的閘道，也用來做為C&C伺服器。這起攻擊從2014年以來就一直持續活躍著。

攻擊者試圖修改安裝在伺服器上的應用程式將讓自己在網路內繼續存在。上述應用程式的某些檔案（通常是作業用軟體、安全軟體和系統工具）被篡改以載入惡意DLL檔案。這些應用程式被篡改的共同點是會在系統啟動時自動執行。這說明了應用程式被修改以確保所安裝的惡意軟體會在伺服器每次啟動時執行。

伺服器是首要目標

我們的調查顯示有五個應用程式被攻擊者修改：

Citrix XenApp的IMA安全服務（exe）
EMC的NetWorker（exe）
HP系統管理主頁（exe）
IBM BigFix客戶端（exe）
VMware工具（exe）

根據我們的監測，攻擊者一開始攻擊了兩個伺服器，然後在網路中繼續移動以尋找更多目標。這一直進行到2015年初，影響了更多的伺服器。一些受影響的電腦是網路管理伺服器，這代表它們能夠存取子網路內所有的系統。我們沒有發現攻擊者是如何去利用對網路這樣等級的存取能力，但我們認為他們會用此權限來維持其在網路中的存在及竊取資料。

使用目標的環境來對付目標

攻擊者能夠識別安裝在伺服器的應用程式並加以修改以執行惡意程式碼。目標應用程式的導入表被修改以載入一個惡意DLL（DLL的名稱各不相同以符合目標應用程式）。當修改過的應用程式執行時就會載入惡意DLL。