最便宜的雲端運算破解MD5法是利用Google,而非Amazon雲端服務

趨勢科技 TrendMicro

趨勢科技雲端安全副總裁 Dave Asprey

不斷地有關於如何利用雲端運算來破解資訊安全的新聞出現,甚至有用「弱點攻擊即服務(Exploit-as-a-Service)」模式來提供付費入侵的雲端服務。雲端技術可以提供幾乎無上限的運算能力,讓我們必需重新思考一些像是雜湊(hashing)這樣的核心安全技術。

而在今日,有研究人員表示他可以利用雲端服務來破解MD-5雜湊碼,這是一個破解相對比較困難的雜湊演算法。他使用的是Google,而且幾乎不需要花費任何運算時間。聽起來很不可思議,但它優雅的地方就在於它真的很簡單。用著非常跳脫框架的作法,就跟駭客有著一樣的思考模式。

我們看過利用Amazon雲端服務(AWS)來做無線網路的密碼破解攻擊,透過Amazon的「GPU叢集運算服務(Cluster GPU Instances)」你可以拿到許多NVIDIA顯示卡建立的高速運算能力加上10 Giga的網路存取速度跟22 GB的記憶體。比自己建立一個網格雲(這裡的例子是用殭屍網路)要來的更容易的多。

這研究人員用了一個叢集GPU虛擬主機,在不到一小時內破解了超過10個SHA-1編碼的密碼。每個密碼只花費了差不多0.2美元的CPU運算時間。

繼續閱讀

關於手機應用程式Carrier IQ的真正問題

趨勢科技 TrendMicro

最近網路上一直在討論Carrier IQ(一個被預載在手機裡用去監控網路和手機性能的應用程式)和跟它有關的個人隱私問題。

在關於Carrier IQ的報導裡提出了許多問題,關於它所收集的資料,它不經由使用者同意就預裝在某些手機的情形,還有使用者可以怎麼去處理它。

跟據這些報告,Carrier IQ會記錄像是收發簡訊、進行網路搜尋和被鍵入的電話號碼等資訊。這些行為都在Trevor Eckhart所發表的影片內被證實,他是最先對Carrier IQ提出質疑的研究人員。

全都是服務的一部分

讓我們想一想Carrier IQ的目的。它是設計來監看網路和手機性能的應用程式。這些電信業者可以經由是否正常提供服務來評估自己的表現,像是簡訊、電話、網路還有其他的服務。

以這為前提,我們可以說收集跟上述手機功能相關的使用情況是很有道理的,甚至對電信業者來說是必要的,才能有效地監控他們所提供的服務跟解決任何問題。

我們就這問題跟趨勢科技的研究人員Rik Ferguson討論過,他指出Eckhart的影片是在詳細除錯模式下進行的,並不真正代表Carrier IQ真正被安裝在手機上的行為。根據開發商的說法,Carrier IQ的確會記錄發簡訊時的按鍵,但是Carrier IQ只是去辨認按鍵順序以用來執行本地端命令。像是當你打電話給技術支援時,鍵入「現在上傳診斷結果」。它還可以監控傳入的簡訊,不過是針對電信商傳來的訊息以讓Carrier IQ執行指令。 繼續閱讀

你累了嗎?狂歡後,眼睛疲勞,小心按錯鍵,電腦成犯罪集團操​縱的傀儡電腦

趨勢科技 TrendMicro 98 筆留言

作者:趨勢科技全球安全研究副總裁 Rik Ferguson

你累了嗎?眼睛疲勞和手指倦怠的網路消費者,有可能成為網路犯罪者的目標。有成千上萬知名網路商店名稱的錯誤拼法版本網址都已經被犯罪份子給註冊了,他們希望粗心的消費者會在無意間連上來。而知名網路零售商(像是John Lewis,Debenhams和Argos)的客戶都是目標之一。

犯罪份子的網站通常會跟正版網站長得一模一樣。這個複製站台主要是透過假商品來將訪客導到可賺錢的廣告連結,或是在「購買」行為發生時收集訪客的個人和金融資料。還有一些例子是這些錯誤拼法版本的網站會出現令人反感的內容,甚至是導到含有漏洞攻擊碼的網站來讓受害者的電腦感染資料竊取惡意程式或是變成殭屍網路/傀儡網路 Botnet的一員,這是犯罪份子控制下的受害電腦所組成的網路。

延伸閱讀:

什麼是「Botnet傀儡殭屍網路」?

如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?

DNS服務商 Dyn遭遇的大規模DDoS攻擊,會是最後一次嗎?

誤植網域(Typosquatting)幾乎是從有WWW開始就出現了。事實上,美國的相關立法可以追溯到1999年,「反搶註消費者權益保護法(Anticybersquatting Consumer Protection Act)」包含了一個特定條款(第3a條)旨在打擊這種現象。在過去,已知有許多公司花了大筆金錢來告這些搶註網域的人。比方說樂高,先前已經花了五十多萬美元,利用統一網域名稱爭議處理政策(Uniform Domain Name Dispute. Resolution Policy, UDRP)來告這些搶註網域者(像是網域legoworskhop.com),以努力保護自己的品牌。

繼續閱讀

打開金正日相片,木馬尾隨而來,殭屍大軍伺機招募

趨勢科技 TrendMicro

北韓領導人金正日的死訊讓世界各地的人表現出不同的反應。有些人痛心於他的過世,有些人則是非常高興,認為金正日是個「高壓統治者」。

但在另外一方面,網路犯罪份子對這事件只有一個反應,就是利用它。

趨勢科技的研究人員發現了主旨提到金正日死訊的垃圾郵件。這垃圾郵件內文刻意在開頭標註CNN,只有簡單的一行文字,提到金字日的死訊”(CNN)North Korean leader Kim Jong died of a heart attack at the age of 69,state medis have announced”,但其夾帶的PDF檔案(brief_introduction_of_kim-jong-il.pdf.pdf)。被偵測含有木馬TROJ_PIDIEF.EGQ,恐讓電腦成殭屍網路/傀儡網路 Botnet的一員。

TROJ_PIDIEF.EGQ,會引發遠端控制電腦的動作。TROJ_PIDIEF.EGQ會刻意開啟另一個非惡意的PDF檔案,內含金正日照片,讓使用者以為自己開啟的是正常的檔案。

繼續閱讀

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

趨勢科技 TrendMicro
 

 又有一起APT進階持續性威脅(Advanced Persistent Threats, APT(註)

上禮拜所報導的Adobe Reader零時差漏洞(CVE-2011-2462)已經被用在從11月開始的目標攻擊惡意PDF檔案經由電子郵件發送給目標,而郵件內文還會引誘目標去打開看似員工滿意度調查的惡意附件檔。一旦開啟之後,惡意軟體BKDR_SYKIPOT.B就會被安裝到目標的電腦上。已知的受害目標包括美國國防工業和政府部門。

              APT 進階性持續威脅:目標攻擊常用媒介之給員工的信件

目標攻擊通常是有組織有計劃的攻擊行動。這攻擊行動是從對各個目標做一連串攻擊開始,然後持續一段時間,並不是各自獨立的「破壞搶奪」攻擊。雖然每個單一事件的資料可能都不完整,但時間久了,我們也就能把每塊拼圖給組合起來(攻擊媒介、惡意軟體、工具、基礎網路架構、目標),就會對一次的攻擊行動有了全盤的了解。

 Sykipot攻擊行動在這幾年來已經有了許多名稱,它的歷史可以被追溯到2007年,甚至是2006年。

 一次跟這次類似的攻擊發生在2011年9月,它利用美國政府醫療給付文件做誘餌。而這次攻擊利用了Adobe Reader的零時差漏洞(CVE-2010-2883)。在2010年3月,則是利用Internet Explorer 6的零時差漏洞。所以在過去兩年內就用了三次零時差攻擊。

 其他的攻擊還發生在2009年9月,利用漏洞CVE-2009–3957加上跟國防會議有關的資料,和使用一個著名的智囊團身份當做誘餌。在2009年8月,另外一次針對政府員工的攻擊用應急應變管理的劇情跟聯邦緊急事務管理總署(Federal Emergency Management Agency,FEMA)的身分當做誘餌。而這次攻擊裡所使用的命令和控制(Command and Control,C&C)伺服器也被用在2008年的攻擊裡。

 最後,則是發生在2007年2月的攻擊,它利用惡意Microsoft Excel檔案漏洞(CVE-2007-0671)來植入惡意軟體,這惡意軟體的功能跟BKDR_SYKIPOT.B很像,所以也很有可能是它的前身。而這次攻擊中所使用的C&C伺服器的歷史則可以追溯到2006年。  繼續閱讀