標籤: 殭屍網路

FBI警告:小心駭客假借15個品牌之名,投放 Google關鍵字廣告,散播 IcedID 殭屍網路

趨勢科技 TrendMicro

趨勢科技分析了某起利用 Google 點擊付費 (PPC) 廣告散播 IcedID 殭屍網路的惡意廣告,IcedID 能讓駭客執行高破壞力的後續攻擊來侵害系統,例如:竊取資料或使用勒索病毒癱瘓系統。


IcedID 殭屍網路假冒15個知名品牌及應用程式,刊登Google 點擊付費廣告,  散播惡意程式

在密切追蹤 IcedID 殭屍網路的活動期間,趨勢科技發現其散播方式出現重大改變。從 2022 年 12 月起,我們觀察到它開始在 惡意廣告攻擊中使用 Google點擊付費 (PPC) 廣告來散播 IcedID。趨勢科技將此 IcedID 變種命名為「TrojanSpy.Win64.ICEDID.SMYXCLGZ」。

Google Ads 之類的廣告平台可讓企業瞄準特定對象投放廣告,以便衝高流量和提升買氣。使用惡意廣告來散播惡意程式的駭客集團就是利用這類機制,針對特定的關鍵字來投放惡意廣告,引誘不知情的搜尋引擎使用者下載其惡意程式。

趨勢科技的研究發現,IcedID 駭客集團會製作模仿合法企業與知名應用程式的冒牌網頁,然後再搭配惡意廣告來散播 IcedID 惡意程式。最近,美國聯邦調查局 (FBI) 發布一份警告指出網路犯罪集團如何利用搜尋引擎的廣告服務偽裝成合法品牌將使用者帶到惡意網站來獲利。

本文從技術面詳細說明 IcedID 殭屍網路的最新散播方式與使用的最新載入器。

繼續閱讀

專售電腦存取權限, Emotet 殭屍網路死灰復燃

趨勢科技 TrendMicro

趨勢科技在 2022 年第 1 季發現大量感染 Emotet 最新變種的案例,這些變種結合了新、舊技巧來誘騙受害者點選惡意連結並啟用巨集內容。

 

Emotet 殭屍網路是資安界非常知名的惡意程式,因為它擅長利用垃圾郵件來進入受害電腦,然後將受害電腦的存取權限包裝成服務來販賣,這就是它最有名的惡意程式服務 (Malware-as-a-Service,簡稱 MaaS)。一些其他知名惡意程式,如 Trickbot 木馬程式 、Ryuk  和  Conti  勒索病毒在過去都曾經在攻擊時用到此類服務。

2021 年 1 月傳來了Emotet 集團遭破獲的好消息,這是由加拿大、法國、德國、立陶宛、荷蘭、烏克蘭、英國、美國等多國執法機關共同合作的「Operation Ladybird」瓢蟲行動,這起行動關閉了 Emotet 的基礎架構。但事實證明,這個殭屍網路生命力堅強,在當年的 11 月便死灰復燃。根據  AdvIntel 研究人員指出,他們之所以能夠東山再起,有很大原因是 Conti 駭客集團非常希望能跟 Emotet 繼續合作,因為殭屍網路對於勒索病毒集團突破企業防線扮演著不可或缺的角色。

在 2022 年第 1 季期間,趨勢科技發現有許多地區 (圖 1) 和各種不同產業 (圖 2) 感染了大量的 Emotet 最新變種。根據我們的監測資料,絕大部分的感染案例都集中在日本,其次是亞太地區以及歐洲、中東與非洲 (EMEA) 地區。這很可能是 Emotet 駭客集團為了吸引其他駭客使用他們的 MaaS 服務而針對一些獲利較高的產業發動攻擊,例如製造業與教育產業。

繼續閱讀

從 MITRE ATT&CK 手法、技巧與程序 (TTP) 的角度探討 IoT Linux 惡意程式的演進

趨勢科技 TrendMicro

我們的研究使用 MITRE ATT&CK 框架的手法、技巧與程序 (TTP) 來描述惡意程式的功能和特性,並從這個角度探討 IoT Linux 惡意程式的演進。

在這篇部落格中,我們將分享有關物聯網(IoT ,Internet of Thing)Linux 惡意程式的一些研究發現,並探討這些惡意程式家族的演進。我們使用 MITRE ATT&CK 框架的手法、技巧與程序 (TTP) 來描述惡意程式的功能和特性。

我們的研究顯示,IoT Linux 惡意程式一直都在不斷演進,尤其是 IoT 殭屍網路惡意程式。除了增加新功能之外,它們也會隨時間而淘汰一些原有的功能。值得注意的是,「資料外傳」與「橫向移動」兩項功能的發展似乎不太成功,所以近來這類惡意程式已經開始將重心放在感染系統。

「表 1」列出我們蒐集到的惡意程式最常具備的 10 種功能 (也就是技巧)。

繼續閱讀

什麼是 IoT 殭屍網路?

趨勢科技 TrendMicro


所謂的「IoT 殭屍網路」是由一群物聯網(IoT ,Internet of Thing)裝置所組成的網路,其中有些裝置是感染了惡意程式 (尤其是 IoT 殭屍網路惡意程式) 而被駭客集團操控的路由器。駭客利用 IoT 殭屍網路的方式之一,就是針對特定機構發動分散式阻斷服務攻擊 (DDoS),進而癱瘓其營運和服務。由於路由器在網路上扮演著關鍵的角色,因此也讓駭客有機會利用 IoT 殭屍網路發動更具破壞性的攻擊。目前地下市場上有許多出售 IoT 殭屍網路的廣告,顯示駭客集團要取得殭屍網路是多麼輕而易舉的事。

殭屍網路的威力大致上取決於它所曾操控的裝置數量。正因如此,這類惡意程式大都是專為不斷感染更多裝置而設計,而且還會清除競爭對手的殭屍網路。

一般來說,殭屍網路的背後是靠一台幕後操縱 (C&C) 伺服器來操控,所有被感染的裝置 (也就是殭屍) 都連上這台伺服器。不過,有些殭屍網路採用點對點 (P2P) 網路的設計,因此不需仰賴 C&C 伺服器,而這也讓這類殭屍網路更加難纏。

延伸閱讀: P2P物聯網殭屍網路興起,使得保護家用路由器與桌機/筆電一樣重要

IoT 殭屍網路惡意程式基礎程式碼


目前我們已發現三套 IoT 殭屍網路惡意程式的基礎程式碼 (codebase),今日多數的 IoT 殭屍網路都是從這些程式碼衍生而來。這三套基礎程式碼之間都有一些共同的特質,我們可藉此觀察 IoT 殭屍網路的實際樣貌以及它們的運作方式。由於它們都是開放原始碼惡意程式,所以至今已衍生出非常多的變種,而這些變種就構成了今日的 IoT 殭屍網路版圖。

繼續閱讀

P2P物聯網殭屍網路興起,使得保護家用路由器與桌機/筆電一樣重要

趨勢科技 TrendMicro



本文探討物聯網殭屍網路(botnet)加入P2P技術後,如何變成企業和一般用戶需要提高警覺的更強大威脅。
P2P物聯網殭屍網路因為缺乏可關閉的中央伺服器,造就可能無法消滅的殭屍網路,可能會從根本上改變物聯網惡意軟體。

物聯網(IoT ,Internet of Thing為殭屍網路開發者創造競爭和發展的新領域。它們現在已經會在持續感染受害者時彼此爭奪裝置的控制權。而知名的檔案共享技術 – 點對點(P2P)網路的加入可能會讓事情變得更加複雜。

P2P物聯網殭屍網路興起,使得保護家用路由器與防護桌機/筆電一樣重要

典型的物聯網殭屍網路由連到命令與控制(C&C)伺服器的眾多受感染裝置(bot)組成,網路犯罪份子由此來運作整個殭屍網路。這代表關閉C&C伺服器會讓殭屍網路無法運作,不管它由多少裝置組成。而引入P2P網路技術將會讓此作法失效。

因為P2P網路允許電腦相互連接而無需中央伺服器。在實作中,這代表如果要關閉P2P物聯網殭屍網路,防守方將不得不清理每個受感染的裝置 – 這是件繁瑣且幾乎不可能完成的任務,因為通常一般殭屍網路會達到數千台以上的裝置。

我們在技術簡報裡討論了過去出現過的五個P2P物聯網殭屍網路,同時比較了Windows和物聯網環境間將P2P網路技術用於開發惡意軟體的速度。在此我們會討論P2P物聯網殭屍網路的含義及網路犯罪分子會如何繼續來利用此種威脅。

繼續閱讀