Cybersquatting 域名搶註

網路詐騙常用騙術之域名搶註(Cybersquatting)域名搶註 (Cybersquatting) 指的是網路詐騙使用的一種手法,他們利用使用者難以分辨真假的網址的弱點,讓使用者誤認為偽造或惡意的網站就是真正的網站。

其中最常見的一種作法就是使用近似的網域名稱設下陷阱,等待在瀏覽器網址列中不慎拼錯網址的使用者自投羅網。下表中列出了近年發現的一些利用近似的網址,在使用者不慎拼錯網址時將他們轉向其他網站的案例:

  

拼錯網址可能導致使用者誤入惡意網站

Google 的響亮名聲使它經常成為這類攻擊手法利用的對象。存取該網站的使用者多達數百萬人,其中必定有些人會拼錯網址,此時他們所看到的假網頁通常就是一連串資安威脅的開端。

一些原本已停用網站,在古塔夫風災發生之後,一些看似與救災活動有關的網域名稱,立即就被人註冊。後來其中部分網域還被用於騙取使用者的捐款。

騙徒在古斯塔夫風災之後,利用搶註域名的手法向不知情的使用者訛詐金錢的案例:

@延伸閱讀:
看似拼錯的網域名稱 竟可賣100英鎊!(含更多真假網址一覽表)

PC-cillin 網路商店 線上購買 最優惠

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin 真的不一樣>100字推文

趨勢科技行動安全防護 for Android(手機 平板)

@開箱文與評測報告

防毒也防失竊 趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

免費下載防毒軟體:歡迎試用下載瞭解與試用

◎ 歡迎加入趨勢科技社群網站

檢查Andorid Market 上真假 Angery bird 憤怒鳥的 4 種方法

憤怒鳥 Angery bird

上週六趨勢科技於台北辦公室舉辦家庭日活動,除了七百位員工之外,更有近兩百位小小趨勢人到場與三位創辦人同樂,讓大小員工一同周末放輕鬆,在雲端防毒基地- PC-cillin 研發總部樂翻天! 趨勢科技台灣團隊運用巧思,融合現下潮流智慧型手機遊戲Angry Bird、海賊王,以及經典童話艾莉絲夢遊仙境等主題,打造專屬趨勢科技眷屬的雲端遊園地。風靡無數大人與小朋友的非 Angry bird主題館莫屬了。

憤怒鳥熱潮,使得惡意應用程式趁機作亂,比方說,真正的憤怒鳥在Android Market 網頁上顯示是由Rovio Mobile所開發的,但是惡意程式版本的開發者是Rovio Mobile

有些標榜免費的「Angry Birds(free)」是真的憤怒鳥嗎?假Angry Bird “免費”應用程式, 會偷偷收取簡訊費,即使Google目前移除了這些應用程式,但不排除未來在以不同的名稱出現。以下這篇文章趨勢科技要教你分辨真假憤怒鳥的方法。

憤怒鳥 Angery bird 大人小孩都瘋狂 圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡
憤怒鳥 Angery bird 大人小孩都瘋狂 圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡

作者:趨勢科技Kervin Alintanahin(威脅分析師)

 Android Market又再次被惡意軟體給入侵了,有些加值服務濫用程式(被趨勢科技偵測為ANDROIDOS_RUFRAUD.A)被偽裝成合法應用程式上傳到網站上。只有少部分使用者在Google將它們下架前安裝了這些惡意應用程式 – 這麼快的動作是因為有警覺的使用者和資安公司的快速回報。

 雖然這個惡意應用程式目前已經被Android Market給移除了,我們還是必須持續的戒備著,以防止惡意應用程式在以後又用新的面貌出現。特別是Android提供特賣以慶祝他們的10億次下載,使用者更容易因為低價而去安裝其所提供的應用程式。

 為了讓使用者可以在他們的Android上安裝更多很酷的應用程式又不會被惡意軟體所害,趨勢科技提出一些安裝應用程式之前要先記得的關鍵事項:

1. 檢查開發者的名稱

網路犯罪分子經常會利用某些應用程式的流行而去偽裝成它們。但是,因為它們不能以原始開發者的名義發佈,所以開發商的名稱可以說是合法軟體的好指標。比方說,真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的,但是惡意程式版本的開發者是Logastrod 

真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的
  繼續閱讀

打開員工滿意度調查 PDF 附件,後門程式在裡面!!

作者:趨勢科技Erika Mendoza(威脅反應工程師)

當我看到這篇部落格文章時,我最先想到的是:「這是另一次的目標攻擊擊嗎?」我看了一下這文章內所提到的PDF檔案,它看起來像是給某國防承包商員工的員工滿意度調查。趨勢科技產品會將這惡意PDF檔案偵測為TROJ_PIDIEF.EGG。下面是這文件的截圖。

惡意PDF檔案:TROJ_PIDIEF.EGG

 

在我看來,網路犯罪分子的目標是這間國防承包商的員工以獲得該公司的資料,甚或是它客戶的資料。趨勢科技還發現到他們的客戶包括了許多廣為人知的聯邦政府機構。

 

這個PDF漏洞攻擊碼跟其他常被使用的漏洞攻擊碼類似。裡面夾帶了惡意JavaScript以執行shellcode來解開並安裝內嵌在PDF內的二進位檔案。下面是被嵌入的二進位檔案,趨勢科技將其偵測為BKDR_SYKIPOT.B

夾帶了惡意JavaScript 嵌入PDF內二進位檔案

 

繼續閱讀

十個不虛擬化的理由 系列5-5

 趨勢科技雲端安全副總裁 Dave Asprey

 這是系列文章中的第五篇,也是最後一篇。根據我和大型企業還有服務運營商合作進行虛擬化超過十年的經驗,加上曾經長時間在最大的兩家虛擬技術廠商之一負責策略與規劃。我會在這系列文章中列出十種你需要考慮是否不要去虛擬化應用程式的可能狀況。

 理由九:如果你是為了省錢而去虛擬化所有的個人桌面

 伺服器的成本要比便宜的個人電腦來得高。而且你還是得購買個人電腦或是精簡型電腦,這些也都需要管理跟安全防護。虛擬桌面對於安全防護和法規遵循方面非常有用,但它並不是降低員工成本的選項。

 理由十:如果要運作的程式是虛擬化平台元件

 如果你的虛擬化平台和虛擬機器管理程序(Hypervisor)需要有Active Directory或DNS伺服器才能運作,而這些伺服器也被虛擬化,那就會陷入荒謬的兩難狀況。你無法啟動虛擬機器管理程序,因為它在等待它所管理的伺服器上的服務先起來。噢…糟糕了。你還需要確認你的虛擬化管理程式(如vCenter)是否能夠而且也應該要可以在它所管理的伺服器上運作。

 所以現在你已經有了可能無法虛擬化應用程式或伺服器的十個理由。再來複習一遍,以下列出全部的十個理由:

  繼續閱讀

超限戰專家:攻擊伊朗核電廠病毒 Stuxnet 與其煙幕彈 Conficker

作者:趨勢科技全球安全研究副總裁 Rik Ferguson

我剛剛讀了篇路透社的新聞報導,裡面有關於備受推崇的「超限戰專家」 – John Bumgarner談到 Conficker 是個掩蓋 Stuxnet 針對伊朗核電廠攻擊的煙霧彈 。

Bumgarner聲稱,一開始的偵查階段是在2007年透過 Duqu去確認之後 Stuxnet 的攻擊目標。到了2008年11月,Conficker 開始散播全球盡可能的感染更多電腦。當這些 Conficker中毒電腦回報時,如果受害者電腦是位在特定的位置(伊朗),就會被標記起來做為以後 Stuxnet的目標。他進一步指出,Conficker 對伊朗之外的電腦並沒有造成損害,而 4 月1 日這惡名昭彰的「發動日期」(出現在2009年3月的第三個變種)是用來將 Stuxnet植入那些位於伊朗位置的目標機器內。

0401

以下是Bumgarner用來佐證他說詞的證據,但是它們對我來說都不夠有力:

1. Stuxnet 和 Conficker 都是「前所未見的複雜」,所以他認為它們是有關連的。

2. Stuxnet和 Conficker都用一樣的系統漏洞來感染電腦( MS08-67

3. 沒講明的「關鍵日期」出現在沒講明的「不同版本」的 Conficker 和 Stuxnet 的時間戳記內是重疊的,也「讓他可以確認攻擊發動的日子是2009年4月1日」。
4. 2009年4月1日是伊朗伊斯蘭共和國宣布建國30週年紀念日。其他未講明的日子也和「伊朗總統內賈德說他的國家將不顧國際社會反對,繼續追求核計劃」還有「他在紐約哥倫比亞大學發表爭議性演講」等日子有關。

至於這攻擊是如何做收尾的,最終的目標機器還坐落在它該在的地方 –核電廠裡面,Bumgarner也說在這時候惡意軟體還沒有進到目標機器上。因此為了要跨過這最後一道鴻溝,Stuxnet被設計來感染隨身碟,然後期望某人會拿著曾經插入 Conficker/Stuxnet中毒電腦的隨身碟,然後將它插到位於核電廠隔離網路的機器上。走到這一步時,Bumgarner說:「這就將軍啦」。

唉,這什麼跟什麼呀!我實在沒有辦法相信這些說法。讓我列舉幾個原因

1. 如果在伊朗以外的目標都是多餘的,那為什麼第一代的 Conficker 會只排除烏克蘭的電腦?為什麼這個限制之後被拿掉?為什麼不一開始就只感染伊朗的電腦?而且說感染 Conficker 的電腦沒事也是不正確的。Conficker曾被用來派送假防毒軟體,而且 它跟Waledac殭屍網路也有關係

2. Conficker和 Stuxnet 的複雜程度出現在不同的地方。原始版本的 Conficker只用了一個已經被修補的Windows系統漏洞來散播,第二個變種加上了透過隨身碟和用常見密碼清單來做暴力密碼破解來散播,這些作法都不大複雜。這惡意軟體複雜的地方在於它會隨機產生網域來做為可能的C&C伺服器位置。但是這些都可以很快的被反組譯和破解。而到了 Conficker的第三個變種,這些傳播方法都被拿掉了,直到第四個變種才再次加回來。Stuxnet 相較起來就複雜得多,它利用了零時差弱點攻擊,而且還需要有SCADA系統和核電廠的專業知識。

3. 關於為什麼 Stuxnet病毒的製造者也選擇用 MS08-67系統漏洞,我有一個理論。因為有強烈的事實證明它很有效,Conficker 在出現三年之後還是企業網路中最常見的病毒感染。不但你幹嘛製造兩種惡意軟體使用相同的漏洞來散播,卻還是要用其中一個來下載另外一個呢?

4. 4月1日的「發動日期」直接寫在Conficker的第三個變種的程式碼內。並不需要未講明檔案上的未講明時間戳記來告訴你。

5. 4月1日同時也是很多國家的愚人節,它也是Apple成立的日子,英國內政部重大組織犯罪署(Serious Organised Crime
Agency)成立的日子,愛爾蘭的生日,東德軍隊封鎖西柏林的日子。你知道我的意思嗎?至於什麼伊朗總統內賈德說他的國家會繼續追求核計劃,當然了,隨便任何一天也都可以掰出個對應的事件出來…

最後還有這艱難的結尾方式,依靠不知名的人,將隨身碟插到感染 Confuxnet 的電腦上,在毫無所覺的情況下再將同一個隨身碟插到核電廠的可編成控制器(PLC)上?看看我們談到的這一切「前所未有的複雜性」,這成功的機會不會太渺小了點嗎?也太靠運氣了些。

抱歉了,Bumgarner先生,它可能是真的,當然它的確可能。也可能是你被報導錯誤了,但是看看你到目前為止列出的那些證據,我就是無法接受。

如果我是一個擁有這麼多資源的政府組織,那麼我不會直接找特務拿著裝有 Stuxnet病毒的隨身碟去目標設施就好了嗎?

我知道,這篇文章並沒有出現Aliens(外星人)。

@原文出處:Conficker, Duqu, Stuxnet, Aliens, Confuxnet!

 

@延伸閱讀:

Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦

資訊安全廠商趨勢科技2010 年 10 月 6 日針對一隻已經危害全球各地許多電腦、名為Stuxnet的蠕蟲惡意程式提出嚴重警訊。該惡意程式的特徵是會自動自我複製,其主要攻擊目標是例如發電廠、煉油廠中的自動化生產與控制(SCADA)系統,同時SCADA系統的主要製造商西門子公司亦已警告客戶該隻惡意程式會藉由 USB設備和網路共享進行漫延。

趨勢科技資深技術顧問簡勝財指出,這是世界上首隻攻擊西門子SIMATIC WinCC與PCS 7系統的病毒,目的在取得WinCC SQL Server登入SQL資料庫的權限。其利用了微軟所公告一可允許遠端執行程式碼的MS10-046 Windows 系統漏洞進行散佈。建議用戶盡快更新部署,若無法立即更新者,可參考微軟所提供解決方法

簡勝財進一步表示若為趨勢科技的用戶,只要是病毒碼已經更新至7.353.00以上或在趨勢科技「主動式雲端截毒技術」(Smart Protection Network) 的保護下即能避免被攻擊。請參考: 搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊 。提醒民眾不要隨便在網路搜尋該病毒名稱「Stuxnet」,因為發現有駭客利用搜尋引擎優化的手段,將有內含病毒的網頁連結放在檢索結果之最前面幾筆以吸引點選,除非是受信任的網站否則切勿輕易點選連結。

Stuxnet 的一系列惡意程式,已經在全球各地造成許多感染。趁著 Stuxnet 的新聞熱潮,其他的網路犯罪者也發動了一波 Black_Hat SEO 搜尋引擎毒化攻擊行動,讓 Stuxnet 搜尋結果中的一些連結指向惡意網站,這些網站有些會下載假防毒軟體( Fake AV),有些則專門攻擊 JAVA、Flash、Windows、PDF 等等的漏洞。

Stuxnet 是一個蠕蟲型的惡意程式,可透過已感染的 USB 等可卸除式裝置進入電腦,專門攻擊 Windows Shell 當中的一個漏洞 (請參考 Microsoft 資訊安全公告 MS10-046)。此漏洞會讓惡意程式入侵一些所謂的「監控與資料擷取」(SCADA) 系統,如電力公司或能源煉解廠用來控制生產和營運的系統。

Stuxnet 的最主要目標是電力公司的 SCADA 系統,因此,SCADA 系統的主要製造商西門子 (Siemens) 已經對使用者發出此病毒的警告通知,因為它也會攻擊西門子的 WinCC 系統。

趨勢科技使用者只要是使用7.359.00 以上的病毒碼版本就能防止這項威脅,此外,也還可透過趨勢科技 主動式雲端截毒服務 SPN( Smart Protection Network)的檔案信譽評等服務來防止此攻擊相關的所有惡意程式執行。

趨勢科技強烈建議所有使用者務必安裝 Microsoft 的安全更新來防堵此漏洞。至於無法立即套用修補程式的使用者,Microsoft 也提供了一個替代方案,詳情請參考這篇文章

趨勢科技建議使用者養成下列二點習慣來防止電腦感染 Stuxnet 蠕蟲:

  • 在使用可卸除式裝置或提供給他人使用之前,務必先加以掃瞄,以防止惡意程式擴散
  • 僅從可信賴的來源取得 Stuxnet 的相關資訊


Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦
2010年重大資安事件回顧:Stuxnet的喧擾與真相
搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊
DOWNAD/Conficker 冬眠了嗎?超過一億個 IP 蠢蠢欲動

假微軟名義發送的 Conflicker.B病毒警告信,真中毒
DOWNAD/Conflicker是愚人節的惡作劇?

繼DOWNAD/Conflicker 之後,又有蠕蟲攻擊同一漏洞

DOWNAD/Conficker一歲生日回顧