下載到惡意 Zoom 和執行真正的Zoom安裝程式比官方Zoom安裝程式要來得慢。因為惡意版本在執行Zoom前會先解開惡意組件,因此需要花費更多時間執行。
網路犯罪份子正在利用”新常態”(員工需要遠端工作的狀況以及易用網路工具的普及)來讓惡意程式濫用或偽裝熱門應用以感染系統。趨勢科技發現兩個偽裝成Zoom安裝程式的惡意檔案,解碼後發現裡面包含了惡意程式碼。這些惡意假安裝程式並非來自Zoom的官方管道。其中一個樣本會安裝後門讓駭客可以遠端執行惡意行為,而另一個樣本則會在裝置上安裝Devil Shadow殭屍網路。
網路犯罪分子也可能會利用其他視訊會議軟體來綁入惡意軟體。因此趨勢科技正密切監視其他平台、行為和樣本是否出現篡改或捆綁惡意軟體的跡象。為避免遭受這些惡意假安裝程式感染,請只從可信任來源(像是Google Play store、Apple App store和https://zoom.us/download)下載Zoom或其他應用程式。
繼續閱讀
北韓常被認為是單向的網際網路:駭客對外攻擊,沒有東西可以進去。各種事件如2014年的 Sony影業被駭以及一連串的全球性銀行網路劫案都被報導是來自北韓駭客所為。一部分的公開證據是因為網路連線來自北韓IP地址。該國被認為嚴格地掌控網際網路,所以有人可能認為這樣的網路內系統不會被入侵。但外國犯罪集團用來發送垃圾郵件的殭屍網路怎麼能夠在北韓活躍一年多呢?北韓電腦是否也可能遭受一般的惡意軟體感染?分配給北韓的IP地址空間是否都被用在該國?這些問題的答案對於將攻擊歸因給北韓駭客有什麼影響?
本文會總結我們對進出北韓網路流量所進行研究的發現。它檢視了這包含1024個IP地址的網段。北韓也使用國外的基礎設施。我們同時發現註冊為北韓使用的一些IP地址實際是由虛擬專用網路(VPN)服務商所使用,顯然是想欺騙Geo IP服務將外國的網路基礎設施標記為北韓。
我們會介紹來自該國垃圾郵件殭屍網路的垃圾郵件活動,對北韓網站的DDoS攻擊和它們與真實世界事件的關連,以及北韓網站所經常出現的水坑攻擊。就像是我們之前關於北韓發動針對性攻擊的部落格文章,我們的目標是揭開常見迷思的真面貌。
北韓的網際網路
北韓網際網路空間是經由中國上游服務商連到網際網路的4組Class C IP範圍(總共1024個IP地址)。從2017年10月1日開始,一家俄羅斯公司提供相同IP範圍第二條路徑。因為某些歷史原因,北韓有額外使用一組分配給中國聯通的Class C IP地址(256個IP)。該國也可能透過衛星網路連到網際網路。許多電信商都有提供此服務,但我們不知道到底有誰被允許使用衛星網路。
有數個IP範圍看似由北韓使用,如果你相信Geo IP定位服務以及Whois註冊資料來的IP地址資料。
| IP網段 | IP數量 | Whois註冊國家 | GeoIP | 真正國家 | 附註 |
| 175.45.176.0/22 | 1,024 | 北韓 | 北韓 | 北韓 | 分配給平壤的Star Joint Venture Co., Ltd. |
| 210.52.109.0/24 | 256 | 中國 | 中國 | 中國 | 借自中國聯通 |
| 5.62.56.160/30 | 4 | 北韓 | 北韓 | 捷克 | “PoP North Korea” – 由VPN服務商HMA使用 |
| 5.62.61.64/30 | 4 | 北韓 | 蒙古 | 捷克 | “PoP North Korea” – 由VPN服務商HMA使用 |
| 45.42.151.0/24 | 256 | 北韓 | 北韓 | N/A | Manpo ISP (Roya hosting) |
| 46.36.203.81 | 1 | 北韓 | 北韓 | 荷蘭 | VPN服務商 “IAPS Security Services” |
| 46.36.203.82/30 | 4 | 北韓 | 北韓 | 荷蘭 | VPN服務商 “IAPS Security Services” |
| 57.73.224.0/19 | 8192 | 北韓 | 北韓 | N/A | SITA-Orange |
| 88.151.117.0/24 | 256 | 北韓 | 俄羅斯 | 俄羅斯 | LLC “Golden Internet” |
| 172.97.82.128/25 | 128 | 北韓 | 北韓 | 美國 | “North Korea Cloud” – 由VPN服務商HMA使用 |
| 185.56.163.144/28 | 16 | 北韓 | 北韓 | 盧森堡 | VPN服務 |
表1、與北韓有關的IP範圍
有些虛擬專用網路(VPN)服務商聲稱擁有在北韓的出口節點(如例1、 例2)。這表示這些VPN服務的客戶可以選擇經由北韓出口節點瀏覽。這看起來是讓願意嚐鮮的使用者從北韓角度來體驗網際網路的奇特機會。但據我們所知,VPN服務商的說法並不正確。“北韓”出口節點實體位置是位於像盧森堡、捷克和美國的西方國家。該VPN服務商讓Geo IP服務相信他們有一台電腦伺服器在北韓,可能是將北韓國家代碼輸入到特定IP地址範圍的公共Whois資料。雖然VPN服務商可能會覺得這是個無傷大雅的行銷噱頭,但會讓依賴Geo IP服務的系統管理員在檢視系統上攻擊相關日誌檔時下了錯誤的結論。
圖1、HMA VPN服務表示它們有一個出口節點在北韓,但實際上這出口節點位在捷克。
趨勢科技資安專家也將於 INTERPOL World 2015 世界大會發表演講
【台北訊】全球資安軟體領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 長久以來致力提倡全球公私部門合力打擊網路犯罪,今日公開表示參與了國際刑警組織 (INTERPOL) 的 SIMDA 「Botnet傀儡殭屍網路」
破獲行動,與其他資安及科技領導廠商共同協力鏟除一個大型的「Botnet傀儡殭屍網路」。除參與這項行動之外,趨勢科技專家也將於 4 月 14 至 16 日在新加坡舉行的第一屆 INTERPOL World 2015 大會當中,為全球執法及安全機關介紹最新的防護技術。
趨勢科技執行長暨共同創辦人陳怡樺表示:「想要掌握並遏止有特定組織在背後支持的縝密網路犯罪攻擊,最重要的關鍵就在於科技、資安與執法專家之間的協同合作。SIMDA 殭屍網路破獲行動再次突顯我們長久以來盡力與其他機關團體建立聯合陣線的主張,共同防止科技被用於不當用途。除此之外,我們也很榮幸能參與 INTERPOL World 2015 這場冠蓋雲集的歷史盛會,為建立一個更安全的資訊交換世界的理念而努力。身為資安威脅防禦專家,我們將繼續分享我們的知識和經驗來支援打擊網路犯罪的行動。」
SIMDA 破獲行動鏟除了一個感染超過 770,000 台電腦的大型全球「Botnet傀儡殭屍網路」。SIMDA 是一個能讓網路犯罪集團從遠端存取電腦的工具,可讓歹徒竊取銀行帳號密碼等個人資訊,而且還能安裝並散布其他惡意程式。所謂的殭屍網路,是一群感染惡意程式的電腦所組成的動態網路,可從遠端遙控並發動網路攻擊或散發垃圾郵件。要鏟除殭屍網路需要掌握精密的技術和時機,才能確保威脅不會擴散。除了趨勢科技和 INTERPOL 之外,共同參與這項聯合行動的還有 Microsoft 和 Kaspersky Labs。
在去年十二月,微軟和某些執法單位合作,宣布剷除了ZeroAccess的運作。然而,這也意外地影響到另一個著名的殭屍網路/傀儡網路 Botnet – TDSS。
TDSS和ZeroAccess
ZeroAccess是世上最著名的殭屍網路/傀儡網路 Botnet之一,其惡意軟體以Rootkit能力聞名。它通常會偽裝成盜版軟體,透過點對點網路(P2P)來下載。同樣地,TDSS也是以利用Rootkit技術來閃躲偵測而著稱,並且會散播其他惡意軟體,如假防毒軟體和DNS變更木馬。這兩種殭屍網路都和點擊詐騙( clickjack)有關
在趨勢科技之前的文章裡,我們提到特定的ZeroAccess變種如何導向到和TDSS相關的網址,顯示出這兩個殭屍網路共享了部分的命令與控制(C&C)基礎設施。由於我們在監控兩個殭屍網路之間的連結,因此發現ZeroAccess客戶感染和通訊數量在剷除行動後的第二天有顯著地下降。在這些感染ZeroAccess的系統裡,只有2.8%嘗試(但失敗了)跟其C&C伺服器進行通訊。
圖一、2013年11月到12月的ZeroAccess活動
