專售電腦存取權限, Emotet 殭屍網路死灰復燃

趨勢科技在 2022 年第 1 季發現大量感染 Emotet 最新變種的案例,這些變種結合了新、舊技巧來誘騙受害者點選惡意連結並啟用巨集內容。

 

Emotet 殭屍網路是資安界非常知名的惡意程式,因為它擅長利用垃圾郵件來進入受害電腦,然後將受害電腦的存取權限包裝成服務來販賣,這就是它最有名的惡意程式服務 (Malware-as-a-Service,簡稱 MaaS)。一些其他知名惡意程式,如 Trickbot 木馬程式 、Ryuk  和  Conti  勒索病毒在過去都曾經在攻擊時用到此類服務。

2021 年 1 月傳來了Emotet 集團遭破獲的好消息,這是由加拿大、法國、德國、立陶宛、荷蘭、烏克蘭、英國、美國等多國執法機關共同合作的「Operation Ladybird」瓢蟲行動,這起行動關閉了 Emotet 的基礎架構。但事實證明,這個殭屍網路生命力堅強,在當年的 11 月便死灰復燃。根據  AdvIntel 研究人員指出,他們之所以能夠東山再起,有很大原因是 Conti 駭客集團非常希望能跟 Emotet 繼續合作,因為殭屍網路對於勒索病毒集團突破企業防線扮演著不可或缺的角色。

在 2022 年第 1 季期間,趨勢科技發現有許多地區 (圖 1) 和各種不同產業 (圖 2) 感染了大量的 Emotet 最新變種。根據我們的監測資料,絕大部分的感染案例都集中在日本,其次是亞太地區以及歐洲、中東與非洲 (EMEA) 地區。這很可能是 Emotet 駭客集團為了吸引其他駭客使用他們的 MaaS 服務而針對一些獲利較高的產業發動攻擊,例如製造業與教育產業。

繼續閱讀

從 MITRE ATT&CK 手法、技巧與程序 (TTP) 的角度探討 IoT Linux 惡意程式的演進

我們的研究使用 MITRE ATT&CK 框架的手法、技巧與程序 (TTP) 來描述惡意程式的功能和特性,並從這個角度探討 IoT Linux 惡意程式的演進。

在這篇部落格中,我們將分享有關物聯網(IoT ,Internet of Thing)Linux 惡意程式的一些研究發現,並探討這些惡意程式家族的演進。我們使用 MITRE ATT&CK 框架的手法、技巧與程序 (TTP) 來描述惡意程式的功能和特性。

我們的研究顯示,IoT Linux 惡意程式一直都在不斷演進,尤其是 IoT 殭屍網路惡意程式。除了增加新功能之外,它們也會隨時間而淘汰一些原有的功能。值得注意的是,「資料外傳」與「橫向移動」兩項功能的發展似乎不太成功,所以近來這類惡意程式已經開始將重心放在感染系統。

「表 1」列出我們蒐集到的惡意程式最常具備的 10 種功能 (也就是技巧)。

繼續閱讀

430萬筆帳號被入侵的 Emotet 殭屍網路被瓦解後

年初歐洲刑警組織與8國警方合作拿下Emotet殭屍網路,2021對網路安全界來說有個好的開始,一次全球性的協力行動(Operation Ladybird)瓦解了這個被媒體形容為全球散播最廣、「最會裝」的木馬。它的相關事蹟有:
-偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊
以Windows更新作為誘餌
散播Nozelesn勒索病毒載入程式
在全球建立了721個非重複的 C&C 伺服器

趨勢科技作為從2014年第一個偵測並持續分析該木馬程式的資安廠商,我們特別高興能夠看到這個結果。並持續盡己所能地支援打擊網路犯罪執法部門的工作。

但誰也沒有把握這會不會是Emotet上新聞版面的最終回。

繼續閱讀

捲入地盤之爭:防止物聯網裝置成為殭屍網路爭奪地盤的受害者

網路犯罪集團競相建立強大的殭屍網路,藉此爭奪主宰地位,使用者務必了解殭屍網路惡意程式的運作方式以確保自身裝置的安全,避免捲入歹徒的地盤之爭。

防止物聯網裝置成為殭屍網路爭奪地盤的受害者

下載「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭:殭屍網路爭奪 IoT 地盤) 一文

殭屍網路(botnet)是由一群感染了惡意程式的裝置 (殭屍) 所組成的網路,駭客會利用這些裝置來發動攻擊或從事其他惡意活動,因此殭屍網路的裝置數量是決定其威力的主要關鍵。物聯網(IoT ,Internet of Thing) 的問世,正好讓殭屍網路駭客集團找到了可征服的全新戰場,但他們在開疆闢土的同時,卻也面臨了其他殭屍網路的競爭。這一場「蠕蟲戰爭」正在默默上演,但不論最後由哪個網路犯罪集團勝出,不知情的使用者永遠是這場戰爭的輸家,憑空失去了裝置的掌控權。

因此,使用者務必了解駭客利用何種工具來建立殭屍網路,以及他們如何將一般 IoT 裝置 (如路由器) 變成殭屍。在我們的研究報告「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭:殭屍網路爭奪 IoT 地盤) 一文中,我們深入剖析了 IoT 殭屍網路的生態。在這篇文章裡,我們分析了三個殭屍網路惡意程式的原始程式碼來說明其主要功能,這些程式碼是許多殭屍網路惡意程式變種的源頭以及後續領土之爭的基礎。

Kaiten

Kaiten (又名 Tsunami) 是三者之中最古老的一個,它採用 IRC通訊協定來與幕後操縱 (C&C) 伺服器通訊,所以被感染的裝置會從某個 IRC 通道接收駭客的指令。Kaiten 的腳本可在多種硬體架構上執行,因此對網路犯罪集團來說用途相當廣泛。此外,Kaiten 近期的變種還會剷除其他惡意程式好讓自己能夠獨占裝置資源。

繼續閱讀

XORDDoS 和 Kaiji 殭屍網路病毒鎖定暴露的Docker伺服器

趨勢科技最近偵測到兩種會攻擊暴露Docker伺服器的Linux殭屍網路病毒;它們是XORDDoS惡意軟體(趨勢科技偵測為Backdoor.Linux.XORDDOS.AE)和Kaiji DDoS惡意軟體(趨勢科技偵測為DDoS.Linux.KAIJI.A)。

將Docker伺服器當作目標是XORDDoS和Kaiji的新發展。XORDDoS已知會攻擊雲端環境內的Linux主機,而最近出現的Kaiji最初被發現是針對物聯網(IoT ,Internet of Thing裝置。攻擊者通常會掃描開放的SSH和Telnet端口,再來用殭屍網路進行暴力攻擊。現在它們會用暴露端口2375來搜尋Docker伺服器。端口2375是Docker API使用的兩個端口之一,用於未加密和無身份認證通訊

但這兩種惡意軟體的攻擊方法有著顯著差異。XORDDoS攻擊會入侵Docker伺服器來感染所有託管的容器,Kaiji則會部署自己的容器來放DDoS惡意軟體。

這些惡意軟體可以用來進行分散式阻斷服務攻擊HYPERLINK “https://blog.trendmicro.com.tw/?p=16497” (DDoS)攻擊,這是種封鎖、破壞或關閉網路、網站或服務的攻擊。利用眾多系統所產生的流量來癱瘓目標系統,讓其他使用者無法連上。

繼續閱讀