網路犯罪分子跟攻擊者正在利用 Google Drive 網站和其品牌名氣來躲避雷達,避免被偵測。前不久有一起針對性攻擊利用 Google Drive 來從其受害者身上獲取資訊。而這一次,網路網路釣魚(Phishing)攻擊利用變造過的 Google Drive 登錄頁面來竊取電子郵件帳號認證資訊。這起攻擊可以視為是今年早些時候要求多重電子郵件地址之攻擊的改良版本。
假 Google Drive 網站
使用者會收到一封電子郵件,內容包含會導到假 Google Drive 網站的連結。
圖一、包含會連到假網站連結的垃圾郵件
釣魚網站讓使用者可以用不同的電子郵件服務帳號登入,這很不尋常,因為 Google Drive只能用 Google 帳號登入。該網站還提供語言選項,不過無法正常運作。
圖2、假 Google Drive網站
為了要讓使用者認為沒有發生任何奇怪的事情,釣魚網站將使用者重新導向一投資相關網站的PDF檔案。不過重新導到一個關於投資的網站可能還是會讓人們起疑,因為電子郵件本身沒有提到會有關於金融財務的「文件」。 繼續閱讀
假日季節正在接近了,你們有些人或許已經提早進行假日採購了–檢查錢包來趕上購物熱潮。假日季節也帶來了每年都會在這段時候出現的網路犯罪活動:
此一系列的文章著重於一特定銀行惡意軟體,被偵測為TSPY_BANKER.DYR。在深入瞭解惡意軟體本身後,我們會將這惡意軟體威脅放入整個生態系,加上其連結的的垃圾郵件,甚至包裹騾子詐騙(指將包裹寄送到別的地方的人,就跟「驢子」一樣)。這些人很容易落入騙局,因為打著「容易致富」的名號。
關於DYR的一切
這被偵測的惡意軟體跟DYRE(也被稱為DYREZA,DYRANGES或BATTDIL)有關。TSPY_BANKER.DYR跟DYRE變種有許多相似之處,可以從其行為看出:
趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功,就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己,這很有可能是潛伏在雷達之下而不被偵測的方法。
下圖描述了攻擊的週期。
圖一、SMTP攻擊圖解
可能有漏洞的郵件伺服器
趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。
.qmail是控制電子郵件傳輸的UNIX設定檔,也負責去執行Bash shell指令。可以設定它去啟動程式,一旦它呼叫了Bash,攻擊就算成功了。(這攻擊需要qmail MTA上有效收件者具備.qmail檔,而且.qmail檔包含任意派遞程式)。
從第四版的exim開始,pipe_transport不會呼叫Shell來擴展變數和組合指令。
Postfix沒有明顯的Shellshock漏洞。然而procmail(一種郵件傳遞代理程式)本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式,導致了可被攻擊的Shellshock漏洞。
注:Debian/Ubuntu的Postfix預設將procmail設在main.cf的mailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。
攻擊分析
根據趨勢科技的分析,如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行,攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式:
到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案,只是名稱不同。
圖2、「JST Perl IrcBot」下載的程式原始碼
「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制(C&C)IRC伺服器。殭屍程式會執行以下行為,危害受影響系統的安全:
這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。
圖3、存取惡意軟體網站最多的國家
行動作業系統的競爭正在升溫,Apple的 iOS 8和 Google的 Android Lollipop在激烈的競爭中,大眾會發現這些作業系統的特色和可以為自己做些什麼。而且有顯著的變化和重大的改進出現在這些版本中,特別是在其預設設定。
預設加密似乎是兩個作業系統的主要賣點。因為資料保護和消費者對於自己的設備要有更好隱私和安全的要求意識在日益高漲,兩個主要的手機作業系統在行銷其安全功能時,處在勢均力敵的競爭中。
Apple:TouchID和加密
Apple 現在允許第三方應用程式開發人員使用Touch ID,給予他們更多權力來驗證他們的使用者。iPhone 使用者還可以看到應用程式如何追蹤位置的重大改變。在較舊的iOS版本中,定位選項僅限於「總是開啟/總是關閉」。現在「取用位置設定」中加入了新選項 – 「使用App期間」,提供使用者更多自由度和控制度讓應用程式追蹤他們的行蹤。
甜蜜焦點
而 Google 在另一方面,Android L會自動加密行動裝置上的資料,而非手動設定(像是之前的Android版本)。任何運行Android L的智慧型手機內資料將必須有使用者的密碼才能解開,跟 Apple 的 iOS 8 非常類似。
可以遠端定位遺失或被竊的智慧型手機並將其重置為出廠設定。提供了額外的安全防護給不想讓陌生人利用任何他們所儲存在其設備中資料的消費者;使用者還可以讓電話變得幾乎毫無用處,因為運行 Android L 的手機如果沒有註冊所有者的密碼就不能再被重置為出廠設定,防止它被變賣。
還有許多比表面上所能看到的更多功能針對現在的行動威脅情勢。iOS 8內多層次的安全功能以及 Android L 更棒的改進。想知道更多行動作業系統內防護措施的詳細資訊,請參考我們的每月行動報告 – 「iOS 8和Android Lollipop新的安全功能」。”
趨勢科技透過安全達人來保護使用者免於行動威脅,能夠提供給iPhone、iPod Touch和iPad使用者以及Android智慧型手機和平板電腦的使用者。Android使用者可以到這裡下載此安全應用程式,而Apple使用者可以到這裡下載。
@原文出處:New Mobile OS Versions Improve Security作者:Sheila Ong(趨勢科技技術交流)
