資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

智慧型手錶等智慧型裝置，如何處理它們所蒐集到的資料嗎？談 IoT 物聯網裝置牽涉的層次與通訊協定

2014 年 10 月 13 日2016 年 01 月 25 日趨勢科技 TrendMicro

當我們在戴上或操作智慧型手錶、智慧型電視以及其他智慧型裝置時，我們只看到「酷」的一面。但您知道這些裝置如何處理它們所蒐集到的資料嗎？還有，這些資料最後都傳送到哪裡？

大多數 (儘管並非全部) 的智慧型裝置都會連上網際網路，並且將智慧型裝置所接收和發送的資料保存在雲端。不過，在資料到達雲端之前，會先經過好幾個層次：

連接層 – 智慧型裝置傳送和分享資料的地方。在這一層，資料會透過 Wi-Fi、乙太網路、RFID 以及藍牙等通訊協定在不同裝置之間分享。
路由器層 – 亦稱為智慧型集線器層，這是所有智慧型裝置連上網際網路的集中管道。
連線階段層 – 當您使用智慧型裝置的 App 程式時 (如 FitBit)，程式傳送和接收的資料就是由這一層負責管理。HTTP 和 HTTPS 是這一層常用的通訊協定。
網際網路層 – 亦稱為雲端層，這是資料最後到達的地點。若您使用的 App 有對應的網站登入介面 (例如Runtastic 健身記錄器程式)，您就會看到裝置記錄的「步伐數」會幾乎同時地更新到網站上。

繼續閱讀

AppLock漏洞,可變動 Google Ad 設定檔

2014 年 10 月 09 日2014 年 10 月 06 日趨勢科技 TrendMicro

我們之前討論過有些上鎖應用程式沒有適當的隱藏檔案。趨勢科技最近看到另一個上鎖應用程式 – AppLock 有相同的問題。只是這應用程式並不只是沒有隱藏好檔案，還包括了讓其他應用程式能夠變動它的設定檔。設定檔內包含了應用程式的偏好設定、登錄密碼和電子郵件，甚至包括 Google Ad Publisher ID，這被用在 Google 的 AdSense 帳戶。

存取設定檔

當使用者試圖「鎖住」或「隱藏」一個檔案時，應用程式只會將其從原本的位置搬到SD卡上的特定位置 – 位在/sdcard/.MySecurityData/dont_remove/下的子目錄。「隱藏」的檔案既沒被加密也沒有用任何方式進行編碼。和此檔案相關的資料，像檔案名稱、副檔名和時間戳記都被塞入SD卡上一個全域可讀的資料庫，路徑是/sdcard/.MySecurityData/dont_remove/6c9d3f90697a41b。因為這資料庫是全域可讀，所以任何應用程式都可以讀取或存取此資料庫。

惡意份子可以利用這一點來操弄此應用程式的設定檔。一種操弄檔案的方式是改變應用程式的 Google Ad Publisher ID。如上所述，此 ID 用於 Google 的 Adsense，用來產生廣告所帶來的收入。攻擊者可以藉由鎖住一個檔案開始來存取資料庫。

因為資料庫儲存在SD卡上，無須特殊權限來編輯檔案。只需要一般用於讀寫檔案的權限 – android.permission.MOUNT_UNMOUNT_FILESYSTEMS和android.permission.WRITE_EXTERNAL_STORAGE。

圖1、讀取資料庫

攻擊者接著可以建立一個假的 Google Ad 設定檔，然後將其放到一特定路徑。然後可以更新資料庫以指向此路徑，透過應用程式的「解鎖」功能來觸發。如下面截圖所示，該設定檔被成功地變更。

圖2、成功插入假的 Google Ad 設定檔

繼續閱讀

9 個社群媒體常見詐騙伎倆

2014 年 10 月 08 日2021 年 07 月 07 日趨勢科技 TrendMicro

「您的帳號可能不是真的，如果你不馬上確認，帳戶將被停用」，提醒 FB 用戶小心不要被山寨釣魚頁面騙了!手機簡訊詐騙有一陣子流傳 “被偷拍的是你麼” , 這類社交工程手法有應用在臉書等社群網路 : facebook 流傳的長髮美胸女孩圖 ,「嘿！有人張貼關於你的壞話」小心這個Twitter網路釣魚騙局,或是…,臉書流傳艾瑪華森（Emma Watson）外流影片連結,這是一個假的 youtube 網站,會要求網友升級到最新版的 flash player ,一旦升級就會被安裝木馬 TROJ_FEBIPOS.OKX,你的臉書就會開始散播這個惡意連結,並且自動幫特定粉絲團按讚。即刻免費下載 PC-cillin 雲端版,掃毒

由趨勢科技 Trend Micro 貼文。

每個人在社交媒體上都有屬於自己的一片天空，Facebook、Twitter、Instagram、Google + 和許多其他熱門社群網站，都是我們能盡情揮灑的數位世界，但也附帶產生一些危險，尤其是當您使用不當或者缺乏必備的常識和安全防護時。

為了避免您也成為詐騙受害者，我們在此特別列出九種您最可能遭遇到的重要社群媒體詐騙手法，以下分別說明其詐騙方式以及應該如何防範。

1.裸體影片 Facebook 詐騙

任何形式的裸體影像基本上都令人趨之若鶩。大多數人都會因為好奇而觀看，但事實上這已構成一種犯罪，也是一種隱私權侵犯。「裸體影片」Facebook 詐騙通常以廣告或貼文的形式出現，一旦點選連結，使用者將被導向一個假的 YouTube 影片。而假網站會顯示一個訊息說您的 Adobe Flash Player 已經損壞，必須安裝更新。接著，假的 Flash Player 安裝程式就會讓您的電腦受到感染，其惡意程式 (通常是木馬程式) 則會安裝成瀏覽器外掛程式。此惡意程式就能存取您的 Facebook 照片，然後對您的好友重施故技，邀請他們觀賞這些假的裸體影片。

如何防範：避開所謂的八卦影片。採用一套可靠的網路安全軟體來為您把關，防止順道下載 (drive-by download) 攻擊，並且定期掃瞄您的電腦來確認沒有不肖軟體在偷偷執行。

2.Facebook主題顏色更換工具

告別單調的藍色介面，迎接全新的粉紅色個人主題。Facebook 主題顏色更換程式是一個會讓您連上網路釣魚（Phishing）網站的詐騙誘餌，而且會騙您將它分享給好友，或者透過觀看教學影片讓您點選廣告。雖然它看來可讓您變換不同顏色，但其實您等於讓駭客進入了您的個人檔案，並且對您的好友散發垃圾訊息。此外，您的行動裝置還可能感染它所挾帶的惡意程式，提供使用者假防毒軟體。延伸閱讀:為你的 FACEBOOK 換顏色?當心被網路釣魚

如何防範：儘管 Facebook會隨時根據威脅最新發展而推出安全功能，但您自己還是應該了解該拒絕哪些 App 程式。定期更換您的密碼並刪除不必要的 App 程式來提升自己的安全性。切勿信任第三方來源的通知訊息，並且確認您追蹤的消息是可靠的。

3.誰看過您的 Facebook 個人檔案？

繼續閱讀

加密勒索軟體:用比特幣贖回你的檔案!!

2014 年 10 月 07 日2014 年 10 月 07 日趨勢科技 TrendMicro

Cryptolocker，勒索軟體 Ransomware的一個分支，具備了檔案加密的功能，在2013年10月開始出現在現實世界。它從被發現開始就不停地演變，加入了新策略和手法來避免被偵測以及說服無辜使用者支付贖金好換回自己的檔案。

Cryptographic Locker勒索軟體

我們最近發現一個自稱為https://blog.trendmicro.com.tw/?s=Cryptolocker的勒索軟體變種。趨勢科技將其偵測為TROJ_CRITOLOCK.A。這被稱為Cryptographic Locker的勒索軟體 Ransomware – TROJ_CRITOLOCK.A用MSIL編譯包裝，意味著它需要.NET Framework來加以運作，這和之前的Cryptolocker不同。

TROJ_CRITOLOCK.A會加密副檔名為DOCX、PSD、RTF、PPT、PPTX、XLS、XLSX和TXT以及其他等各種的檔案。接著會將這些加密過的檔案更名為{原始檔名和副檔名}._clf。它使用一特定版本的Rijndael對稱演算法，這跟Cryptolocker使用非對稱演算法不同。

圖1、TROJ_CRITOLOCK.A在中毒系統上出現此桌布

根據趨勢科技的分析，一旦TROJ_CRITOLOCK.A加密中毒系統上的檔案，就會出現以下訊息來通知使用者檔案已被加密。接著它會要求使用者用比特幣（Bitcoin）支付贖金以取得使用者加密檔案的「私鑰」。比特幣價格來自C&C伺服器所送出包含比特幣位址的封包。在測試的時候，我們收到了0.2比特幣的勒索贖金。

圖2、要求使用者用比特幣支付贖金 繼續閱讀

APT 攻擊: 64位元版本的 MIRAS 被用在針對性攻擊

2014 年 10 月 06 日2014 年 09 月 30 日趨勢科技 TrendMicro

MIRAS 惡意軟體家族最近和歐洲 IT 公司的攻擊事件出現關聯性。分析顯示 MIRAS或 BKDR64_MIRAS.B（一個64位元的惡意軟體）被用在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的資料竊出階段。MIRAS可以在32位元（BKDR_MIRAS.B）和64位元（BKDR64_MIRAS.B）的Windows作業系統上運作。

分析BKDR64_MIRAS.B

簡單概述MIRAS，其後門功能主要包含檔案/系統方面的操作，這也代表攻擊者知道受害者的身份資訊。

除了後門程式的資訊竊取行為，它看來特別針對連接到遠端桌面工作階段主機（Remote Desktop Session Host）的系統。它使用遠端桌面服務API – WTSEnumerateProcesses而非一般的程序狀態API – EnumProcesses。攻擊者還可以列出正在執行的程序，我們可以從而推測出他們知道目標使用者如何登錄到工作站（即透過遠端桌面工作階段主機伺服器）。

圖1、BKDR64_MIRAS.B使用遠端桌面服務API – WTSEnumerateProcesses

惡意軟體的檔案和磁碟管理模組在獲取檔案相關資訊方面非常全面。透過指令Enumerate all logical drives（列出所有邏輯磁碟）和Get logical drive’s drive type and disk space（取得邏輯磁碟的磁碟類型和磁碟空間），攻擊者能夠知道受害者系統上什麼時候出現重大的改變。

攻擊者也能夠知道他們的目標檔案是否更新。MIRAS的程序管理模組在針對性攻擊的資料竊出階段扮演另一個重要角色。這模組給了攻擊者關於程序建立日期和時間的詳細資訊。這很重要，因為知道建立日期和時間就可以知道此程序已經建立了多久。舉例來說，程序在系統存在的時間長短可以了解此程序的關鍵程度。

後門功能還讓攻擊者可以知道其他程序正在使用的模組全貌。攻擊者也就能夠加以利用，比方說，DLL劫持攻擊或漏洞攻擊要看目標受害者系統上有哪些模組。

遠端Shell模組讓攻擊者可以做出遠端Shell所能做的一切事情，他們會具備當前登入使用者的權限。

我們可以確認惡意軟體的C&C伺服器 – 96[.]39[.]210[.]49位在美國。此C&C伺服器早在 2013年11月就開始使用。

看到更多攻擊針對64位元平台

攻擊者使用相容64位元系統的惡意軟體攻擊案例也回應著我們在2013年下半年針對性攻擊趨勢報告中的有將近10%針對性攻擊相關惡意軟體完全針對64位元平台。隨著64位元平台的普及率上升，我們會繼續研究攻擊者最近用幾個版本的KIVARS來實作64位元相容的惡意軟體。

防禦可能的針對性攻擊

因為這些攻擊通常會被設計成幾乎不留任何痕跡，所以IT管理員能夠知道哪裡可以找到淪陷的可能指標或「異常現象」就非常的重要。異常現象可能是未知的大檔案，通常是資料外洩的跡象而可能需要檢查是否包含從網路內偷來的資料。攻擊者通常會在資料竊出階段將這些檔案儲存在他們的目標系統內。MIRAS出現在系統內的另一個指標是出現了檔案 – %System%/wbem/raswmi.dll。

為了對抗像MIRAS威脅所帶來的風險，企業應該要部署趨勢科技的客製化防禦，這是一個可以讓IT管理員快速偵測、分析和回應攻擊與進階威脅的安全解決方案。在它們造成更多傷害前先加以處理。

有關各種針對性攻擊及企業最佳實作的詳細資訊，可以參考我們的針對性攻擊威脅情報資源。

＠原文出處：64-bit Version of MIRAS Used in Targeted Attack作者：Abraham Camba（趨勢科技威脅研究員）