網路犯罪 - 資安趨勢部落格

法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」

2016 年 09 月 22 日2016 年 09 月 19 日趨勢科技 TrendMicro

有別於多數，法國地下市集的服務對象比較偏向小型隨身武器的買家、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關，還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

不信任感讓法國地下市場瀰漫著猜忌

圖 1：法國網路犯罪地下市集獨特的一點是所謂的「autoshop」，這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎，因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。

現在我們知道法國網路犯罪集團絕大多數都在深層網路 (Deep Web) 活動，尤其是在所謂的「黑暗網路」(Dark Web)。不過每隔一陣子，網路犯罪集團就會浮上表層網路 (Surface Web) 刷一下存在感。例如，目前已經消失的網路犯罪市集「當駭客們互駭 – 在法國地下世界上演的戲碼」前一陣子就在 YouTube 上刊登廣告。而巴西和北美的地下市集則是利用社群媒體平台來宣傳自己的非法業務。那麼法國有何獨特之處？

若要說法國地下市集有何獨特之處，那就是瀰漫著一股極端謹慎的氛圍。所有論壇/市集的經營者都對新進成員保持戒心。任何有興趣進入論壇/市集的人，都必須先繳交一筆蠻大的會費，甚至要接受一番調查。新進成員獲得的待遇有別於已獲同儕信任的成員。論壇的系統管理員只允許取得一定聲望值的人積極參與活動。會員所從事的網路犯罪交易越成功，其聲望值就越高。

這種瀰漫在市集間的不信任感，也助長了成員之間的猜忌。因此，第三方代管 (Escrow) 服務是確保交易順利進行的必要機制，如同俄羅斯和德國的市集一樣。挺諷刺的是，每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關，還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

圖 2：有別於大多數的市集，法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

繼續閱讀

網路黑暗動機：網路犯罪集團和恐怖組織的共通點比我們想像的更多

2016 年 05 月 27 日2016 年 05 月 31 日趨勢科技 TrendMicro

繼續閱讀

執法的長鞭：多位網路犯罪分子伏法入獄

2016 年 05 月 26 日2016 年 05 月 25 日趨勢科技 TrendMicro

2016 年 4 月有多位網路犯罪分子終於判刑入獄。4 月 12 日，惡名昭彰的 Blackhole 漏洞攻擊套件作者 Paunch 被判刑七年，關進俄羅斯監獄。緊接著，SpyEye 的作者 Aleksandr Panin 也被美國聯邦法院判刑九年半。其同夥 Hamza Bendelladj 則被判刑十五年。

最新的一個案例是 Esthost，該集團最近一位伏法的是 Vladimir Tsastsin，他將在獄中待七年以上，此外，還將被沒收 250 萬美元以上的財產。

Esthost 是知名的 DNS Changer 殭屍網路的幕後集團，專門篡改受害電腦的 DNS 設定。Tsastsin 和其同夥的獲利方式是在這些殭屍電腦上顯示廣告、暗中攔截並修改其搜尋結果，以及在受害電腦上植入更多惡意程式。

[延伸閱讀：趨勢科技協助 FBI 破獲史上最大殭屍網路始末: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得 ]

當此殭屍網路在 2011 年被破獲時，還曾經是有史以來破獲的最大殭屍網路。趨勢科技經過多年的努力，累積了相當多有關 Esthost 整個集團的活動資料。我們將這些資訊提供給執法機關，成為 Tsastsin 和其共犯重要的犯罪證據。

至於 SpyEye，我們幾乎是在它一開始成為 ZBOT 競爭對手時就盯上它，不過後來因為對手的知名度較高，因此選擇和對手合併。多年來，各種駭客都利用它來竊取使用者的存款，金額高達數百萬美元。我們的調查最後終於追查到 Panin 和 Bendelladj，兩人也在 2013 年被捕。

[延伸閱讀：為什麼 FBI 將 SpyEye 定罪是件大事? ]

路程漫長，但一切都值得

將歹徒繩之以法是一條漫漫長路。研究人員和執法人員通力合作，花費了數年的時間蒐集了所有起訴的必要證據。此外，還有律師和外交官也花費了同樣長的時間來完成引渡手續，將這些罪犯帶回美國受審。

這中間的過程真是相當困難，也相當耗時，而我們真心希望整個過程可以更快、更簡單一點，但無庸置疑地，這一切都是值得。

這些入獄的罪犯並非一般寫寫程序碼的小毛頭。他們都是頭號罪犯 繼續閱讀

網路黑暗動機：網路犯罪集團和恐怖組織共同青睞的技術

2016 年 05 月 20 日2016 年 11 月 07 日趨勢科技 TrendMicro

網路上的工具和服務總是無法避免地會被網路犯罪集團所濫用，這類案例不勝枚舉，而且無所不在。從攻擊軟體、網站及網站應用程式的漏洞，利用雲端服務來散佈惡意程式元件，到利用社群網站貼文和連結引誘不幸使用者掉入詐騙陷阱等等。不管未來將出現什麼樣的技術或服務，永遠都可能會遭到不當濫用。

在研究網路犯罪的過程當中，趨勢科技發現有一群人和網路犯罪集團一樣擅長利用合法的服務來從事不法行動，那就是恐怖組織。這些人可說本身就是網路犯罪分子，因為他們在網路上同樣也是從事違法行為。不過，這兩群人的動機截然不同：網路犯罪分子的動機是錢，恐怖分子的目標則是宣揚理念，而非散播惡意程式。

本文將探討網路犯罪分子和恐怖分子在利用網路科技與平台來達成目的時有何共通之處，並且著重於他們採用的方法、運用的服務，以及他們自行開發什麼樣的輔助工具，來方便追隨者更容易參與他們的行動。

避免在網路上留下可追查的蹤跡和身分,傳授「隱匿技巧教戰守則」

這兩種集團一向擅長利用原本專為有正當理由必須隱藏身分的使用者所開發的工具和服務。繼續閱讀

令 IT 管理者頭痛的可客製化攻擊工具:Lost Door遠端存取木馬

2016 年 05 月 19 日2016 年 05 月 16 日趨勢科技 TrendMicro

趨勢科技最近發現一起網路攻擊使用被稱為Lost Door的遠端存取木馬（RAT），這是個在社群媒體網站就有提供的工具。讓我們對此遠端存取木馬（偵測為BKDR_LODORAT.A）最驚訝的是它會利用路由器的端口轉發（Port Forward）功能。這功能可以讓遠端系統連到內網裡特定的電腦或服務。但當其被作為惡意使用時，就可以被遠端攻擊者用來掩蓋自己在網路內的活動，避免被偵測。因為這個遠端存取木馬很容易客製化，即使是入侵指標（IoC）也可能無法阻止這威脅。像Lost Door這樣容易客製化的遠端存取木馬很難被偵測和防禦，對IT管理者來說是個頭痛的問題。

在YouTube和 Facebook等社群網站明目張膽宣傳,而非網路犯罪地下市場

不像其他攻擊工具大多只會出現在網路犯罪地下市場，Lost Door很容易取得。它就在社群媒體網站上進行宣傳，像是YouTube和Facebook。它的開發者「OussamiO」甚至有自己的Facebook網頁提供開發細節。甚至有專門部落格（hxxp://lost-door[.]blogspot[.]com/）來提供遠端存取木馬使用教學影片和說明。任何網路犯罪分子和有心人士都可以購買並使用這遠端存取木馬進行攻擊。

繼續閱讀