深層網路 - 資安趨勢部落格

在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

2017 年 08 月 08 日2017 年 08 月 01 日趨勢科技 TrendMicro

自從執法單位在2013年將Slik Road地下市場關閉之後，深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失，這是駭客可以交流、分享惡意程式碼和攻擊手法的地方，並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊，深網(Deep Web)內含藏著驚人的資料量 – 7,500TB，與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動，網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析，發現了576,000筆不重復網址，收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂，但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料，讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始：什麼是深網(Deep Web)？

在我們要進一步探討網路的這一塊可以教給我們什麼前，先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web)，它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場，裡面充斥著洗錢和非法毒品。因為這些活動，Ulbricht被控販毒和電腦駭客等犯罪行為，被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注，許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下：探索深網(Deep Web)”所指出，深網(Deep Web)或有時也被稱為暗網(Dark Web)，一開始的建立目的是提供使用者免於審查，可以自由發言的安全空間，它最終成為網路犯罪的避難所。

“深網(Deep Web)擁有超過20萬個網站，5,500億筆文件。”

槍支、僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼？ 繼續閱讀

《勒索病毒》RaaS 加入了 CaaS 的行列,企業該如何防範新一代網路犯罪?

2016 年 09 月 20 日2016 年 09 月 12 日趨勢科技 TrendMicro

作者：趨勢科技網路安全長 (Chief Cybersecurity Officer,CCO ) Ed Cabrera

多年以來，「網路犯罪服務」(Cybercrime as a Service，簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰)，只要向一些老手購買 CaaS 工具和服務，就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)、網路釣魚（Phishing）或其他惡意攻擊行動，一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗，就連只會寫寫腳本的初階駭客也能上手，但卻可以帶來高報酬。

而最新的「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS) 毫不意外地，這項最新的服務，已造成新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的數量大增，光是2016 上半年就比去年一整年暴增 172%，而 RaaS 的出現，也讓原本大多針對個人使用者的攻擊，現在也開始對企業造成嚴重威脅。

企業的資料和商譽陷入前所未有的危險當中，最終甚至可能危及企業的生存，因為有了 RaaS 之後，網路犯罪分子就能發動多起勒索病毒攻擊，有助於他們在地下論壇打響名號。他們的目標就是挾持企業最寶貴的資產，包括：重要的連絡人資訊、業務資訊或是企業關鍵檔案。企業一旦損失這些數位檔案，將帶來嚴重的後果，包括：營業損失、營運中斷、法律賠償以及商譽損失。

企業的資安長 (CISO) 與 CXX 級高階主管，有責任採取必要的安全措施來妥善保護企業的寶貴資訊，並充分教育員工認識這項威脅。勒索病毒並非只有一種行為模式，因此資安對策也不能只靠單一防護。趨勢科技的多層式防護能協助企業降低風險，不讓攻擊進入系統，不論經由何種入侵點。我們提供了四層的防護來協助您降低風險：

電子郵件閘道和網站閘道：趨勢科技 Deep Discovery Email Inspector 可防止勒索病毒經由電子郵件閘道、網站閘道或是 Office 365 進入您的使用者端。
端點：趨勢科技 Smart Protection Suite 採用行為監控、應用程式控管和漏洞防護來偵測端點上的勒索病毒，避免企業必須為了救回資料而被迫支付贖金。
網路：趨勢科技 Deep Discovery Inspector 可偵測並攔截網路上的勒索病毒，防止它擴散至其他端點和伺服器。
伺服器：趨勢科技Deep Security能保護實體、虛擬及雲端伺服器，防止駭客取得企業最寶貴的資料。

RaaS 服務背後的犯罪集團，必須靠著他們的「客戶」(也就是使用其服務的犯罪分子) 來入侵企業系統，才能獲得不法利益。因此，他們會盡可能確保攻擊能夠遍地開花。這波風潮短期內應該不會消失，所以，別讓您的企業成為下一個受害者，成為駭客在深層網路上提高聲望的墊腳石。教育您的員工，備份您的檔案，最重要的是：部署一套多層式防護來保護您的資料。最終您會發現，您所花費的時間和金錢，都將值得。

原文出處：Protecting Your Enterprise against a New Generation of Cybercriminals)

這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

2016 年 09 月 09 日2016 年 09 月 08 日趨勢科技 TrendMicro

以神奇寶貝月精靈為名的 Umbreon Rootkit , 攻擊 x86 和 ARM 處理器的 Linux 系統

趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名)，會攻擊 Intel 和 ARM 處理器的 Linux 系統，因此一些內嵌式裝置也可能遭殃。(註：此 Rootkit 還真符合這隻神奇寶貝的特性，因為月精靈喜歡躲在黑漆漆的夜裡，所以與 Rootkit 的特性吻合。)

我們已針對這個 Rootkit 進行了詳細分析，並且將樣本提供給業界來協助資安界攔截此威脅。

編按: Rootkit是一種技術，用途在修改系統核心以便隱藏特定的檔案或是處理程序，甚至是登錄值．也因此常常會被病毒拿來利用作為躲避追查的手法之一

Umbreon 的發展始於 2015 年初，但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法，Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。

Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後，駭客即可經由該程式來遙控受害裝置。

何謂 Ring 3 Rootkit？

Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外，它也可用來開啟一道後門，或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。

這類程式有幾種執行模式，分別具備不同的存取權限：

使用者模式 (Ring 3)
核心模式 (Ring 0)
虛擬化監管程式 (Hypervisor) 模式 (Ring -1)
系統管理模式 (SMM) (Ring -2)

此外，一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit，這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理，但這並不表示 Ring 3 的 Rootkit 就很容易清除。

Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件，但卻會攔截 (hook) 系統的核心函式庫，這些函式庫是一般程式呼叫系統重要功能的介面，例如：讀/寫檔案、產生執行程序、傳送網路封包。因此，就算是在使用者模式下執行，這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。

在 Linux 系統上，當某個程式呼叫 printf() 這個函式時，該函式會再呼叫同一函式庫內一連串的其他函式，如：_IO_printf() 和 vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組)，反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式，不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。

跨平台功能

Umbreon 可在三個不同平台上執行：x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高，因為它並未用到任何綁定平台的程式碼：這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外，純粹是以 C 語言撰寫。

趨勢科技判斷作者應該是刻意這麼做，好讓 Umbreon輕鬆支援前述三種平台。

後門認證機制

Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取，只需透過一個外掛的認證模組 (PAM) 即可。

該使用者帳號的群組識別碼 GID (group ID) 很特別，因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式，因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面：

圖 1：SSH 登入畫面。 繼續閱讀

什麼是深層網路 (Deep Web) ?與黑暗網路(Dark Web) 的區別

2016 年 03 月 31 日2022 年 10 月 19 日趨勢科技 TrendMicro

想買毒品的人會在一般的瀏覽器上輸入關鍵字來搜尋嗎？
想避開政府監控的異議爆料者如何避免在網路留下證據？
他們會透過一些 IP 位址無法被追查的網路來做這件事。而毒販也不會想將他們的網站架設在可被執法單位透過 IP 位址逮人的地方。
除此之外,販賣護照及信用卡等非法犯罪服務，也需要這種能夠確保匿名性的網路。
如果說所有可搜尋的內容都位於地表的話，那麼地底下的部分就是所謂的深層網路：不見天日、不易進入、外表也看不出來。

黑暗網路是深層網路最深邃的部分，需要以特殊的工具或設備才能進入。它們位於地下網路深層的地方，比一般深層網路的內容更需要隱密性。

暗網 Dark web 30元就讓你銀行存款瞬間蒸發的地方 — 深層網路與黑暗網路卻不能畫上等號，因為黑暗網路(Dark Web) 只是深層網路的其中一環。

所謂的深層網路，就是像 Google 這類搜尋引擎基於某種因素無法建立或沒有建立索引、因而搜尋不到的網路內容。可歸納在此定義之下的內容包括：動態網頁、封鎖的網站 (如必須輸入頁面上動態產生的文字才能進入的網站)、未連結的網站、私密網站 (如有密碼保護的網站)、非 HTML內容、周邊輔助內容、程序碼 (script)，以及限制存取的網路。

所謂「限制存取的網路」是指一般標準網路組態下存取不到的資源及服務。歹徒可透過這類網路來暗中活動，讓執法機關很難或根本無法追查，例如一些在不受「網際網路名稱與號碼指配機構」(ICANN) 管轄的 DNS 頂層機構 (root) 下註冊的網域。它們經常使用非標準的頂層網域名稱 (TLD)，因此需透過特殊的 DNS 伺服器才能正確解析出位址。還有一些是完全註冊在另類 DNS 系統 (而非正統 DNS 系統) 的網域名稱，例如我們討論過的比特幣網域 (Bitcoin Domain)。另類網域不僅完全不受 ICANN 的規範，其非集中化而分散的特性，讓它們很難被圍捕 (必要的話)。

此外，架設在這些限制存取網路上的，通常都是黑暗網路 (Darknet) 或是一些需要特殊軟體 (如 TOR) 才能存取的網站。而一般大眾對深層網路的興趣，也大多圍繞在黑暗網路內的活動。

有別於深層網路上的其他內容，搜尋引擎在進行地毯式搜索時並不會涵蓋限制存取的網路，但原因並非技術上的限制，事實上，像 tor2web 這類閘道服務就提供了一個網域來讓使用者存取隱藏在這類網路上的服務。

繼續閱讀