資安趨勢部落格 – 第 776 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

APT 攻擊晉升 64 位元版本

2014 年 08 月 07 日2014 年 08 月 07 日趨勢科技 TrendMicro

Google 在6月發表 64 位元 Chrome 瀏覽器時提到，升級至 64 位元版本的主要動機就是絕大多數的 Windows 使用者現在都已使用 64 位元作業系統。儘管 64 位元 Windows 作業系統的普及率比 Microsoft 原先預期的稍慢一點，但卻一直有穩定成長，而且軟體開發廠商的支援度也有顯著提升。但不幸的是，駭客也同樣跟進，推出 64 位元惡意程式。

趨勢科技已記錄了多個擁有 64 位元版本的惡意程式，包括 64 位元版本的 ZeuS 在內，而同樣的情況也出現在鎖定APT 攻擊/目標攻擊上。事實上，根據我們的「2013 年下半年鎖定APT 攻擊/目標攻擊趨勢」報告指出，在所有鎖定目標相關惡意程式當中，有 10% 僅能在 64 位元平台執行。

KIVARS：早期版本

趨勢科技所發現的64 位元惡意程式其中之一就是 KIVARS。根據我們的發現，該惡意程式的早期版本僅會影響 32 位元系統，並且是透過 TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) 這個惡意程式來植入系統。不過請注意，所有版本的 KIVAR 都會利用這個下載程式來安裝載入程式和後門程式。

當 TROJ_FAKEWORD.A 執行時，它會在系統植入 2 個執行檔以及一個密碼保護的 MS Word 文件，此文件的作用只是當成誘餌：

%windows system%\iprips.dll – TROJ_KIVARSLDR
%windows system%\winbs2.dll – BKDR_KIVARS
C:\Documents and Settings\Administrator\Local Settings\Temp\NO9907HFEXE.doc – 誘餌文件

圖 1：TROJ_KIVARSLDR 會安裝成名為「iprip」的服務。

TROJ_KIVARSLDR 會將 BKDR_KIVARS 載入記憶體中執行。BKDR_KIVARS 具備下列能力：

下載\上傳檔案
操控\執行檔案
列出所有磁碟機
解除安裝惡意程式服務
擷取螢幕畫面
啟動\關閉鍵盤側錄程式
操控前景視窗 (顯示、隱藏)
觸發滑鼠左鍵、右鍵點選以及點兩下
觸發鍵盤輸入

TROJ_FAKEWORD.A 會利用「強制由左至右書寫」(RTLO) 技巧並結合 MS Word 文件圖示來讓使用者誤以為它只是個一般的文件檔案，這兩項技巧之前就曾經出現在 PLEAD。繼續閱讀

《CTO 觀點》資料蒐集是一把雙面刃

2014 年 08 月 07 日2014 年 07 月 31 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

今日的科技真是日新月異，才一、二十年前，我們還在使用像磚塊般大小的行動電話，而網際網路的速度也只不過今日的百分之幾。現在，我們口袋裡就帶著一台強大的電腦，連手錶都是電腦，而且只需一點時間，就能將整套圖書下載到電腦上。

然而這些好處是要付出代價的。其中之一就是這些方便服務背後的廠商將如何透過這些服務蒐集關於客戶的資料：客戶使用服務的方式、時機、地點、對象及動機。事實上，廠商從不透露他們這些行為，通常是靠著某個用心的使用者才得揭發，因此經常轟動一時，甚至演變成醜聞。

資料蒐集是否真的那麼讓人不安？每家公司都會這麼做。例如，Amazon 會記住您的購買、瀏覽和搜尋記錄，然後在您登入時提供一些建議，節省您的時間和力氣。甚至咖啡店也會記住客人的點餐習慣，並且親切地詢問客人是否要和「平常」一樣。如果他們所蒐集的資訊有助於改善服務，而非用於其他祕密或不法用途，那麼，資料蒐集真的對我們不利嗎？

坦白說，我並不覺得，只要在適當的條件下即可。請參考我探討這項敏感議題的影片。

若您喜歡這篇文章，請訂閱我的 RSS 頻道！

◎原文來源:資料蒐集是一把雙面刃 (Data Gathering Is a Two-Way Street)

垃圾郵件數量相對於去年上半年成長了60％,夾帶惡意軟體的郵件數量增加了22％

2014 年 08 月 06 日2014 年 08 月 06 日趨勢科技 TrendMicro

夾帶惡意軟體的郵件數量增加了22％,其中40％以上歸因於感染DOWNAD的電腦。雖然DOWNAD蠕蟲在2008年就出現，但它在今日仍是影響企業和中小企業的前三名惡意軟體之一。

我們也看到股票垃圾郵件在過去六個月的飆升。常見檔案儲存平台（如Dropbox）被濫用來放置惡意軟體, 在五月， UPATRE相關垃圾郵件利用了Dropbox連結，不僅是當作社交工程誘餌的一部分，也用來下載惡意檔案。

具有新聞價值的事件、電影和問題仍然是最有效的社交工程（social engineering ）誘餌，用來誘騙使用者打開垃圾郵件，慣用手法是截取CNN和BBC的新聞頭條，將這些新聞片段加入垃圾郵件本文,藉著複製新聞的部分文章加上標題來繞過垃圾郵件過濾器。

在今年上半年，垃圾郵件數量相對於去年（2013）上半年成長了60％，趨勢科技將其歸於幾個因素：DOWNAD的普及率以及惡意軟體相關電子郵件加上垃圾郵件發送功能（如MYTOB）。熱門威脅像是UPATRE和Zeus/ZBOT也都利用垃圾郵件作為感染媒介來派送惡意軟體。在我們對2013年垃圾郵件情勢的檢視中，趨勢科技預測垃圾郵件會被繼續用來散播惡意軟體，這點仍然為真。

圖1、2014年第二季的垃圾郵件數量

垃圾郵件攻擊針對德國使用者

趨勢科技所分析的垃圾郵件中，有幾乎83％以上使用英文，還有17％的非英文語言。最常被垃圾郵件使用的非英文語言是德文，其次是日文。我們注意到有德文垃圾郵件夾帶主控台惡意軟體（CPL）。CPL惡意軟體最初是在今年初攻擊了巴西使用者。此外，在2014年第二季後段，我們看到EMOTET的出現，這是一種銀行惡意軟體，可以監聽網路活動來竊取使用者資料。它也同樣是透過主旨為快遞收據和銀行對帳單等電子郵件到達。根據我們的調查，德國的一些銀行被列在此一威脅的監控網站列表中。

圖2、垃圾郵件所使用的前五名語言

引人好奇的圖片和加味垃圾郵件案例

根據趨勢科技的蜜罐（honeypot）來源，前三名垃圾郵件類型為惡意軟體相關（20％），保健相關（16％），以及商業和股票垃圾郵件（11％）。我們也看到股票垃圾郵件在過去六個月的飆升。一個垃圾郵件樣本是關於提供使用者交易技巧來幫助他們快速致富的股票交易垃圾郵件。垃圾郵件技倆方面，我們觀察到之前會加入隨機無意義的文字到HTML中，但如今他們會在郵件本文加入新聞剪輯讓它看似正常以繞過垃圾郵件過濾器。此外，垃圾郵件發送者也結合了不那麼新的技術，像是圖片加入新聞剪輯的垃圾郵件，而非單純圖片。這樣可以避免被垃圾郵件過濾器偵測。

圖3、最常見的垃圾郵件類別

繼續閱讀

《 IoT 物聯網安全趨勢》介紹智慧型電表

2014 年 08 月 06 日2016 年 01 月 25 日趨勢科技 TrendMicro

雖然穿戴式技術可能是物聯網（IoT ,Internet of Things）最為人所知的項目，但最被廣泛使用的可能是智慧型電表（包括水表、瓦斯表等）。

智慧型電表到底是什麼？它是公用事業（電力、煤氣或水）的記錄器，記錄這些公用事業的消費量，並將其透過某種形式來雙向跟供應商溝通。（包括使用無線網路、電力網或用戶自己的網路服務連線。）不只是簡單的住家監控，智慧型電表可以收集資料作為遠端公用事業報表之用。

單單一個智慧型電表的用途有限。但如果大多數電表都是「智慧型」，就會對公用事業產生較大的效益。有了大規模智慧型電表所提供的額外資訊，公用事業可以根據需要來調整服務，以提升服務的效率、可靠性、成本效益和持續性。

部署和使用方法

有些人可能會認為智慧型電表只是種理論。然而，它們已經在某些國家廣泛使用，可以想見在未來幾年內會變得更加普遍。

讓我談談我所知道的世界 –歐洲。比方說之前義大利的電力獨佔企業 – 義大利國家電力公司（Enel）已經推出智慧型電表給它幾乎所有的3600萬個客戶。此外，義大利國家電力公司已經部署稱為Telegestore的遠端管理系統，讓公用事業公司能夠透過智慧型電表來採取動作，不然就需要進行實地訪問。3.3億次電表讀取和超過一百萬次的其他遠端操作，讓一切對客戶和義大利國家電力公司來說都更加容易。義大利國家電力公司還擁有西班牙公用事業公司Endesa公司的92％股份，並且推出同類產品到市場中。

義大利和西班牙並不是唯一帶頭採用智慧型電表的歐洲國家。其他被歐盟認定為智慧型電表「動態推動者」的國家包括愛沙尼亞、芬蘭、法國、愛爾蘭、馬爾他、荷蘭、挪威、葡萄牙、瑞典和英國。這些國家裡的監管機構和公用事業都會做出必要動作來對推動採用智慧型電表。

技術標準與風險

有多個產業團體和協定正在推動智慧型電表技術。這也相當程度地反映出智慧型電表有多種部署和使用方式：不同的應用可能需要不同的技術。然而這也代表智慧型電表使用種類廣泛的技術標準。

其他類似的利基設備 – 如住家自動化設備和連網路由器 – 都已被證明有嚴重的安全問題。電燈開關有漏洞是一回事。但公用事業電表和控制有漏洞就是另外一回事了。智慧型電表和智慧型電網還沒有對潛在性安全隱患做過完整的測試和審查；我們必須要考慮到當這些設備出現漏洞時會產生什麼可能的狀況 – 因為這是必然會發生的。

下面的影片介紹了些可能的情景。在未來的部落格文章裡，我們會探討其中一些場景的細節和討論可能導致這些問題的情況。

繼續閱讀

[快訊] 台灣之光！趨勢科技贊助之 HITCON 團隊,打敗中日韓俄法，奪全球駭客大賽第二名

2014 年 08 月 05 日2015 年 08 月 18 日趨勢科技 TrendMicro

【捷報!!】由趨勢科技贊助支持的台灣強隊 HITCON 217 首度取得全世界最強駭客攻防大賽 DEF CON 22 CTF（搶旗攻防戰）全球 20 強決賽，前進美國拉斯維加斯與世界各國高手較勁,在強敵環伺下經過不眠不休的廝殺後，終於打敗中日韓俄法,戰果輝煌,於今日拿下全球駭客大賽第二名!!

(2014/8/11 更新)

==============================================================

趨勢科技多元投注提升台灣軟實力,贊助 HITCON 團隊進軍全球駭客競賽總決賽強化培育台灣資安人才資訊系所建教合作、學生團隊競賽贊助即日起開放申請

【2014年8月5日台北訊】全球資訊安全領導廠商趨勢科技長期致力於培養台灣軟體人才，積極鼓勵台灣學子站上國際舞台，繼今年贊助台灣團隊攻佔百度杯後，台灣強隊HITCON 217首度取得全世界最強駭客攻防大賽DEF CON 22 CTF（搶旗攻防戰）決賽資格，趨勢科技將繼續支持HITCON217 前進美國拉斯維加斯與世界各國高手較勁，比賽將在美國時間8月7日至8月10日舉行，期許HITCON團隊除了能有佳績之外，更重要的是藉此機會與各國資訊人才切磋交流，開拓國際視野！

此外，趨勢科技持續於軟體教育領域向下扎根，即日起開放台灣資訊相關系所申請建教合作，並歡迎台灣學生申請贊助參加國際級資安競賽，透過多元管道強化台灣資安產業競爭力！

趨勢科技台灣暨香港區總經理洪偉淦表示：「趨勢科技積極鼓勵台灣優秀資安人才站上國際舞台，很開心本次HITCON團隊能代表台灣與世界各國人才交流，希望能透過實質贊助讓團隊無後顧之憂專心準備賽事，拓展視野並傳承全球實戰經驗。同時，趨勢科技打造多元管道，包括在台設立全球研發總部及開放相關職缺、深耕校園提供學生與業界接軌機會，以及舉辦亞太區程式競賽等等，期望透過多元化方式、全方位提升台灣軟實力！」

HITCON領隊李倫銓表示：「非常感謝趨勢科技一路以來的情義相挺，無論是實質贊助或技術面的顧問諮詢，對於我們在軟體知識上的學習，和參與賽事的準備上有相當大的挹注，讓我們能全力以赴備賽。希望今年DEF CON 22 CTF首度出賽能有好的發揮，並藉由這次實戰經驗分享，將更多國際資安經驗帶回台灣。」

趨勢科技擴大資安人才培育管道資訊系所建教合作、學生團隊競賽贊助開放申請

趨勢科技持續提供多元途徑培育台灣資安人才，無論是在校學子或在職資安人才都能有機會能升級再深造。除了目前正在舉辦的Trend Micro Codinsanity 2014亞太區程式競賽及暑期實習方案之外，台灣趨勢科技目前並提供針對大學以上資訊相關系所申請建教合作，讓同學將在校所學與業界實務進行驗證結合。同時，趨勢科技即日起開放台灣學生申請參加世界級資安競賽贊助，凡就讀大學(含以上)之台灣學生參加國際級資安領域競賽[1]，並已晉級決賽，即可申請趨勢科技的贊助，鼓勵台灣學生參與國際級資安競賽、勇敢秀出台灣的軟實力！(註: 趨勢科技將針對建教合作及競賽贊助申請進行相關資格及贊助方案審核)