網路威脅如何掩飾自己的流量

趨勢科技 TrendMicro

attack

  網路威脅已經進化到會嘗試去預先繞過分析和偵測。安全廠商每天所做出的進步,都會有網路犯罪份子加以反擊。拿Stuxnet做例子,為其他威脅開創使用LNK漏洞的方法。Conficker蠕蟲/DOWNAD讓網域生成演算法(DGA)變成流行。現在也被其他惡意軟體家族所使用,包括ZeroAccess和TDSS。 這些閃躲技術的目標很簡單:避免早期偵測和讓攻擊者可以建立目標電腦上的立足點。 在我們的報告 – 「網路偵測閃躲方法」裡,我們將討論威脅如何透過夾雜在正常網路流量中來阻礙偵測。包括連線到Google和微軟更新,還有流行即時通所產生的流量,像是Yahoo即時通。下面是一些我們所看到,會用這種方法來防止被偵測的遠端存取木馬(RAT):

  • FAKEM。這個遠端存取木馬通常出現在魚叉式網路釣魚郵件,被發現會將自己的網路通訊偽裝成Windows Live Messenger、Yahoo即時通和HTML等網路流量。
  • Mutator。或Rodecap,據稱和Stealrat殭屍網路有關。它會下載Stealrat模組或元件,並且在某些情況下,會假造自己的HTTP標頭,利用「google.com」來和正常流量混合在一起。

雖然名單並不是特別長,而且方法很簡單,這篇報告顯示出網路犯罪份子可以去適應並提升自己的技術能力。再次強調他們是如何不斷地改進自己的方法和策略,以繞過網路安全,企圖去接管系統,並且在安全研究人員前隱藏自己。想知道更多關於這些威脅的資訊,以及如何有效地偵測惡意網路流量,你可以參考完整的文章 – 「網路偵測閃躲方法:和正常流量混合」。

 

@原文出處:How Threats Disguise Their Network Traffic作者:Sabrina Sioting(威脅反應工程師)

「比特幣採礦」惡意軟體猖獗 台灣名列第6大受害國

趨勢科技 TrendMicro

比特幣 (Bitcoin)使用者請妥善保管錢幣  以避免個資被竊

過去的幾個禮拜對於比特幣(Bitcoin)的擁有者和投機份子來說都非常的刺激,價格曾經被推高到一比特幣兌換超過1200美元。由於比特幣等同貨幣、具有交易價值的特性,更引發駭客的高度興趣。趨勢科技發現針對比特幣採礦的惡意軟體開始蔓延,且台灣已經名列第6大受害國!針對比特幣用戶,趨勢科技提醒:當比特幣被竊時,用戶個資很可能一併洩漏,建議消費者應採取「個別錢包」與「離線管理」方式,可降低受害機率。

有些評論家(包括前美國聯準會主席葛林斯潘)都在呼籲比特幣的價格會變成「泡沫」,而一位前荷蘭央行行長也將它與16世紀的鬱金香狂熱相比。其他的網路貨幣,像是萊特幣(Litecoin),也都出現類似的漲幅(我們過去在部落格中已經討論過許多次比特幣,包括在今年初的時候)。

不管會不會變成泡沫,比特幣都有相當的價值。這也是為什麼有越來越多比特幣的相關威脅出現。受害者可能會被利用來開採比特幣,或是被偷走自己所擁有的比特幣。

這「泡沫」也讓竊取比特幣可以獲得更大的利益。比方說,位在深層網路內的Sheep地下市場在本月初關閉 – 使用者損失了高達一億美元的比特幣。

從九月至十一月,來自主動式雲端截毒服務  Smart Protection Network的資料顯示,全球有超過12,000台電腦感染了比特幣採礦惡意軟體。

而最近比特幣的大漲,可能又會讓網路犯罪份子想要故計重施。雖然利用CPU,甚至是GPU來進行採礦的採礦程式,現在都在使用專用積體電路(ASIC)的專門採礦機面前黯然失色,後者在進行雜湊運算的速度要比前者要高上好幾個級別,即便使用的是高階的電腦硬體。然而,因為任何被開採出來的比特幣現在的價值都如此的高,所以就算是「慢」速採礦機,對網路犯罪份子來說也都很值得。

趨勢科技病毒防治中心目前偵測到3隻名為BKDR_BTMINE, TROJ_COINMINE 及HKTL_BITCOINMINE專門偷竊比特幣的惡意軟體,在消費者不知情的狀況之下,受感染的電腦將會為不法人士進行採礦,並將所得到的比特幣傳送至其設定的電腦,成為不法人士的虛擬資產。且至目前為止,全球已有超過12000台電腦遭比特幣惡意軟體入侵,造成電腦效能嚴重變差的情形。趨勢科技資深技術顧問簡勝財表示:「目前比特幣惡意軟體的全球受害災情,50%的感染電腦來自於日本、美國和澳洲,台灣名列第六。趨勢科技將持續觀察此波災情,也提醒台灣用戶多加注意。」

以下是趨勢科技統計出來的全球比特幣受害國排名:(以遭感染電腦數量計算)

 

簡勝財更提醒,將惡意軟體安裝在受害者的電腦內來幫忙不法份子採礦,已成為新一波的網路不法行為。由於比特幣採礦相當耗費電腦資源,所以遭感染的電腦其作業系統速度會被拖慢、CPU的負荷增加,並且電腦的電力消耗也會變快。

  如何保護比特幣?

對於那些腐敗的網站或交易商來說,除了避免跟他們打交道外並不能做些什麼。使用者可以做的是要看緊自己的個人比特幣錢包。 繼續閱讀

最受網路犯罪份子青睞的五種線上購物商品

趨勢科技 TrendMicro

網路購物 5-most-popular-online-shopping-items-for-cybercriminals 1

圖片來源:「使用有觸控螢幕的輕薄筆電上網購物」,來自IntelFreePress。根據創用授權2.0使用

想在網路上買到想要的東西?在你啟動瀏覽器前,先看看哪些商品面臨最多網路威脅會特別設計來加以利用。

透過搜尋受歡迎購物網站希望清單內的熱門商品,再和大型連鎖商店的清單加以交叉比對,並利用我們的主動式雲端截毒技術加以運算,我們可以知道,當使用者在網路上搜尋時,可能會遇到多少網路威脅。

  一、平板電腦和智慧型手機

從網路購物最受歡迎的產品開始 – 行動設備。是的,智慧型手機和和平板電腦是現在最熱門的產品,所以網路犯罪份子會在網路上佈滿針對搜尋這些東西使用者的特製威脅也就毫不奇怪了。


網路購物 手機 5-most-popular-online-shopping-items-for-cybercriminals 2圖片來源:「在House of Fraser所展示的兒童玩具」,來自Elliot Brown。根據創用授權2.0使用

 

二、玩具

最受歡迎產品的第二名是 – 玩具!網路犯罪分子知道許多家長願意花大錢在這些東西上,他們也想要來分一杯羹。這在搜尋引擎結果出現的網路威脅佔了第二大宗。

網路購物 禮物 5-most-popular-online-shopping-items-for-cybercriminals 3

圖片來源:「在House of Fraser所展示的兒童玩具」,來自Elliot Brown。根據創用授權2.0使用

 

三、數位單眼相機

可以肯定,這是個昂貴的產品,網路犯罪份子也認為數位單眼相機非常的受歡迎,有許多人想要去購買這樣的電子產品。它們在搜尋時會遇到多少網路威脅的排名裡名列第三!

網路購物 相機 5-most-popular-online-shopping-items-for-cybercriminals 4

圖片來源:flomar / 維基共享資源 / 公共領域 繼續閱讀

針對日本和中國,可客製化攻擊的 EvilGrab 產生器

趨勢科技 TrendMicro

趨勢科技最近發表對一起新攻擊活動的調查結果,這起攻擊活動稱為EvilGrab,一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者,我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。

hacker with hat

在現在現實世界的EvilGrab產生器

帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊(请修改指正).doc.exe。檔名是用簡體中文(它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1,趨勢科技將其偵測為BKDR_EVILOGE.SM)。它會連到命令和控制伺服器(203.186.75.184和182.54.177.4),分別位在香港和日本。它還會將自己複製到啟動資料夾,並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。

然而,有些被加入的註冊碼有著特殊意義:

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment

這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似,這惡意軟件會對騰訊QQ(一個流行的中國即時通系統)進行相同檢查。

雖然惡意軟體本身並沒有特別不尋常的地方,但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在,而且命名為Property4.exe

我們可以看到攻擊者可以輸入好幾個欄位。其中包括了:

 

  • 指定命令和控制(C&C)伺服器(IP地址或網域名稱),端口和連接時間間隔。
  • 選擇檔案圖示(安裝檔案圖示,檔案夾圖示和文件圖示)
  • 刪除自己
  • 鍵盤記錄
  • 按鍵記錄

 

另外,在這產生器的第二選項頁內,攻擊者可以選擇試圖繞過的防毒產品:

圖二、繞過防毒軟體

 

測試EvilGrab產生器

這時候,我們決定要測試這產生器的功能,並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。

首先,我們打開產生器,輸入一些基本設定來產生測試版的EvilGrab。

圖三、EvilGrab產生器

我們的輸出選擇使用微軟Word檔案圖示,檔名為New.doc.exe,如下圖所示。請注意,這微軟Word檔案圖示描繪得很精確。

圖四、EvilGrab測試樣本

除了製造惡意檔案外,還會產生一個包含連線詳細資料的設定檔。

圖五、EvilGrab設定檔 繼續閱讀

APT目標攻擊使用JPEG檔案

趨勢科技 TrendMicro

趨勢科技最近看到一些來自SOGOMOT和MIRYAGO家族的惡意軟體會用不尋常的方式來更新自己:它們會下載包含加密過設定檔案/二進位程式的JPEG檔案。不僅如此,我們認為這手法至少從2010年中就開始了。我們所看到的這惡意軟體最值得注意的地方是它會隱藏自己的設定檔。這些JPEG檔案放在亞太地區的網站上,並且被用在針對這地區的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊上。

APT

 分析JPEG更新

雖然JPEG檔的內容加密過,我們還是可以解密並分析這些檔案的內容。我們可以將它們分成三類:

 

  • 設定檔案(A型)
  • 設定檔案(B型)
  • 二進位內容(無論是DLL或EXE檔案)

第一種設定檔(A型)跟我們在其他惡意軟體所看到的類似。它包含讓惡意軟體可以執行來自攻擊者指令的資訊,更改設定/模組,並進行自我更新。這些設定內有其他惡意JPEG檔案的網址。此外,這些檔案顯示攻擊者可能已經成功入侵了目標組織,因為有些資料涉及特定的機器或個人。

第二種設定檔(B型)似乎和防毒軟體有關。它包含來自不同廠商的多種防毒產品程序名稱,以及目標網路內的主機名稱資料。這裡是一份B型檔案的部分,解碼後為:

Virus=*avp.exe*,*kavmm.exe*,*klserver.exe*|Kaspersky|*nod32kui*,*ekrn.exe*|ESET|*frameworkService*,

*mcshield*|McAfee|*smc.exe*,*rtvscan.exe*|Symantec|*kwatch.exe*,*kxeserv.exe*,*kxescore.exe*|Kingsoft|

*ravtask.exe*,*ravmond.exe*|Rising|*avguard*,*sched.exe*|Avira|*kvsrvxp*|jiangming|*avgrsx.exe*,

*avgwdsvc.exe*|AVG|*tmlisten*,*ntrtscan.exe*,*tmntsrv*|Trend Micro|*360sd.exe*|360sd|

*zhudongfangyu.exe*|360safe|*qqpcrtp.exe*,*qqpctray.exe*|QQPCMGR|

 

這個設定檔比遠小於A型設定檔。此設定內的某些值也證明了感染已經到了攻擊的第二階段。

除了設定檔案外,JPEG格式檔案也包含了可執行檔案,可能是惡意軟體本身的更新,或是想要安裝到受影響系統上的新惡意軟體。

JPEG檔案託管和外觀

這些JPEG檔案放在許多網站上,大多分佈在亞太地區。有某些網站看來是合法的內容,意味著可能是被入侵後託管這些檔案。

下面是我們所看到部分JPEG檔案的截圖:

APT目標攻擊使用JPEG檔案

APT目標攻擊使用JPEG檔案

趨勢科技已經獲得這些JPEG檔案的多個樣本,並且基於這些樣本,我們認為這種更新模式最早用在2010年6月,並且使用至今。更新的頻率也都大不相同:有些幾乎是每日更新,有些的更新間隔會隔了數月。

繼續閱讀