惡意軟體識別工具Yara ,竟被惡意程式用來作弄資安研究人員

對絕大多數資安研究人員來說,Yara 是一個非常寶貴的惡意軟體識別工具,它可建立一些規則來追蹤惡意程式,讓許多資安研究人員的作業流程可以自動化。然而,儘管 Yara 可靠又好用,但卻不應當成監控最新惡意程式變種的唯一工具。

網路上可以找到很多 Yara 的規則,從 Yara-Rules 專案本部落格文章所提供用來偵測惡意程式入侵指標 (IOC) 的 Yara 規則都有。除此之外,資安研究人員還可建立屬於自己的規則來偵測目前正在尋找的特定威脅,有時候並不會輸給網路上所提供的規則。

《延伸閱讀》透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

當 Yara 的某個規則被觸發時,它會產生警示來提醒研究人員採取進一步行動,包括啟動虛擬機器 (VM) 或除錯器和解譯器來查看被觀察的樣本到底試圖做些什麼,這對許多資安研究人員來說,算是家常便飯。

趨勢科技監控威脅的過程當中,有一個惡意程式的樣本 (趨勢科技命名為 JOKE_CYBERAVI) 觸發了許多條 Yara 規則。我們第一次發現這個樣本的時間是在全球標準時間 (UTC) 2017-05-11 14:33:49。當查看該執行檔的 PE 標頭時,我們看到它的時間戳記是全球標準時間 12:57:16。換句話說,我們是在該檔案產生出來後的 90 分鐘左右就發現到該檔案。全部加起來,該檔案我們總共偵測到 26 次。

圖 1:JOKE_CYBERAVI 檔案屬性。

一開始,該檔案看起來還蠻有趣的,因為它似乎內建了某些防除錯機制。這類技巧通常是惡意程式為了防止研究人員利用反向工程加以研究。

圖 2:惡意程式的部分程式碼。

當查看該檔案的 PE 資源時,我們發現到有些奇怪,它有三段資源:RT_MANIFEST、CYB 和 LOL。沒錯,有個叫做「LOL」(放聲大笑) 的資源。 Continue reading “惡意軟體識別工具Yara ,竟被惡意程式用來作弄資安研究人員”

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

強烈建議使用者不要使用Classic Ether Wallet的服務,因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣(古典以太坊,ETC),在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意,古典以太坊與 Ethereum(以太坊,ETH)是不同的,這是因為一次駭客事件讓以太坊社群分裂所造成

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商,進而劫持了該網站

根據 Ethereum Classic的開發者,駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商,進而劫持了該網站(偽裝成高階主管或上級主管是常見的社交工程詐騙手法,常被用來取得寶貴資料)。經由此作法,駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來,讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件,並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告,不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導,數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者,讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限,詐騙者會鎖定受害者,從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難,因為交易在本質上是不可逆轉的。

除了社交工程外,還有其他更加複雜的威脅,尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上,而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年,我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進,有漏洞的物聯網(IoT ,Internet of Thing)設備成為首要目標。從數位錄影機到路由器和連網監控攝影機,惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年,我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統,可能會影響生產力和運作能力,進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統,需要小心警慎和積極作為: Continue reading “古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議”

真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆

儘管網路釣魚是最古老的網路詐騙手法之一,但至今仍是企業和個人頭痛的問題。事實上,其數量似乎仍在不斷成長。根據網路釣魚防治工作小組 (Anti-Phishing Working Group) 的報告,2016 年估計高達 1 億以上的用戶,因為網路釣魚信件而被導向一個散布 Locky勒索病毒 的網站。網路犯罪集團不斷假冒各種知名服務,例如 Netflix 影音網站的用戶即曾經成為 網路釣魚攻擊的目標,許多人都被騙走了帳號和密碼。

⊙延伸閱讀:勒索病毒再度盯上追劇族,利用Netflix 帳號產生器當誘餌

 

有鑑於網路釣魚如此盛行,使用者務必學會如何分辨網路釣魚郵件。儘管犯罪集團會盡可能讓網路釣魚郵件看起來像真的一樣,但使用者仍有一些蛛絲馬跡可循。以下提供幾個假冒全球知名網站的網路釣魚郵件真實案例來說明使用者該注意哪些地方:

案例 1:LinkedIn -歹徒覬覦該社群網站的企業員工個人資訊

LinkedIn是一個專業人士聚集和建立人脈的社群網站,也因此成了網路犯罪集團覬覦的重要目標,歹徒覬覦它擁有上億用戶的企業員工的個人資訊。

Continue reading “真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆”

五個常見的家庭網路威脅

對於一般的使用者來說,要保護好電腦幾乎可以說是不可能的任務。光是要搞清楚得注意什麼可能就是個大挑戰。什麼樣的威脅對一般的使用者來說很重要,又該如何避免?

1.勒索病毒: 遇到「Drive by download路過式下載,瀏覽惡意網頁就會中毒

勒索病毒 Ransomware (勒索軟體/綁架病毒)目前對普通的使用者來說是最大的威脅。這種惡意軟體會加密使用者的資料,並威脅受駭者,除非付出相當於數百美元的比特幣(Bitcoin)贖金,不然就會永久鎖住或刪除檔案。

有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索軟體 Ransomware,並被要求支付約台幣1.7 萬的比特幣(Bitcoin)才可解鎖,更慘的是用公司的電腦 !

Cerber 病毒並沒有銷聲匿跡,近日有許多網友在臉書上求救的幾乎都是 Cerber,一堆”覺得悲傷”哭哭的表情符號”疫”發不可收拾。

還有網友自我解嘲說:

“我發誓! 我真的只有看《師任堂》,難道是李英愛傳染給我的?”

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁就會中毒。

另外,駭客也可能將夾帶勒索病毒的壓縮檔放在非官方的影片下載網站上,除了養成平時備份檔案的習慣,使用防毒軟體 可以未雨綢繆,避免檔案成肉票。

Continue reading “五個常見的家庭網路威脅”

【8個旅遊資安備忘清單】使用公共的手機充電器安全嗎?退役空姐為何建議登機證別亂丟?….

你都怎麼處理登機證?登機前拿著登機證拍照打卡?回國後扔在機場垃圾桶?
退役空姐提醒大家登記證別亂丟,若被有心人拿到,透過訂位系統詳細個資全都露,甚至還能替你更改行程選位、取消網路報到,就連登機證存根也別隨手扔,因為上面有條碼就能解讀。 

出遠門旅行度假時,大多數人都會花點時間去確認房子是安全的。我們可能會請鄰居過來幫忙收信、開關窗簾,並且會全部巡過一遍。我們會鎖好所有的門窗,甚至可能會設定計時器來定時開關燈,讓別人以為房子內還是有人在的。但是當你旅行時,你會同樣精明地去維護數位生活的安全嗎?

請先問自己以下 8 個問題:

  1. 使用公共的手機充電器安全嗎?
  2. 借用別人的 Wi-Fi 上網安全嗎?
  3. 付費的公共無線網路安全無虞?
  4. 著名景點如迪士尼樂園, 紐約時代廣場,Wi-Fi相對安全?
  5. 分享照片在社群網站有可能洩漏居家位置嗎?
  6. 在五星級飯店刷卡會發生個資外洩嗎?
  7. 上飛機前一定要拿登機證,來個自拍上傳 FB ?
  8. 吃大餐時一定也要拍照上傳?

Continue reading “【8個旅遊資安備忘清單】使用公共的手機充電器安全嗎?退役空姐為何建議登機證別亂丟?….”

2016年十大重大網路資安事件

最麻煩的惡意程式:Mirai

分散式阻斷服務 (DDoS) 攻擊是2016年最受矚目的焦點,因為2016年出現了多起大型攻擊案例,而其幕後的幫兇就是 Mirai 惡意程式。這個 ELF 惡意程式會將受害裝置變成可用來發動 DDoS 攻擊的殭屍裝置。ELF 是 Linux 與 UNIX 系統共通的一種檔案格式,也就是說今日許多物聯網 (IoT) 裝置都有可能成為受害者。

在 Mirai 殭屍病毒原始程式碼在去年公開流傳之後,沒多久就被駭客用來刺探各種智慧家庭裝置,並且以預設的帳號密碼登入這些裝置,使得成千上萬的智慧裝置淪為殭屍網路的成員,幫助駭客發動多起史上最大規模的分散式阻斷服務攻擊 (DDoS)攻擊。其中一起攻擊據說曾經一度中斷了非洲國家利比亞的網路。不過,最受矚目的受害案例是 Dyn 這家DNS 服務廠商,該公司一些知名客戶的網站因而無法瀏覽,例如: Twitter、Reddit、Spotify 以及 SoundCloud。


Continue reading “2016年十大重大網路資安事件”

使用公共的手機充電器安全嗎?連假旅遊的 10 個資安備忘清單

出遠門旅行度假時,大多數人都會花點時間去確認房子是安全的。我們可能會請鄰居過來幫忙收信、開關窗簾,並且會全部巡過一遍。我們會鎖好所有的門窗,甚至可能會設定計時器來定時開關燈,讓別人以為房子內還是有人在的。但是當你旅行時,你會同樣精明地去維護數位生活的安全嗎?

以下是 10 個資安備忘清單:

出門前

1.將你要帶著旅行的筆電/平板/手機等設備,都下載並安裝所有的建議更新

2.確保你所帶的每個設備都有設密碼保護和遠端清除功能以防遺失/被竊

3.將所有設備內的資料確實做好備份
4.使用公共的手機充電器要留意,偽裝成充電器的盜錄裝置

5.下載旅行相關 APP請註意,只從官方來源(Apple Store,Google Play)下載應用程式

6.下載 APP 時,如果應用程式要求過多權限要提高警覺

 旅遊期間:

7.出遊打卡,就像是在你家屋頂上架一個超大的霓虹燈,亮著「沒人在家」

8.不要在公用電腦或 Wi-Fi上處理任何敏感事務, 關閉藍芽功能

9.確保所有的設備上都安裝來自信譽良好公司的防毒軟體

10.不要使用房間號碼當房間保險箱密碼

 旅行 機場 登機證

Continue reading “使用公共的手機充電器安全嗎?連假旅遊的 10 個資安備忘清單”

盤點 2016 十大資安數字-企業機構篇

2016 年發生了哪些你印象深刻的資安事件? 讓我們用一些資安數字來回顧相關新聞:
上一篇盤點 2016 十大資安數字-一般用戶篇 ,我們分享了以下數據:

  1. 雅虎 5 億用戶資料外洩
  2.  一天8篇文就能推測出你住家位置
  3. 全台每8秒一個裝置受到勒索病毒攻擊!
  4.  48%的人會將撿到的隨身碟插入電腦
  5.  41-45 歲的熟女最易被騙

接下來我們繼續看以下五則:

  1. CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍
  2. 歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式
  3. ATM自動吐鈔,遭盜領8千萬
  4. 光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得
  5. 逾14萬台網路攝影機發動史上最大DDoS攻擊

CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

 

✅入侵出納人員電子郵件帳號
✅ 攔截預定好的轉帳交易
✅ 假借高階主管名義寄發郵件
✅下令執行新的轉帳交易
這就是所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)。FBI 預估遭受變臉詐騙攻擊形式的受駭企業平均損失金額為美金130,000,高達四百萬台幣 !

延伸閱讀: CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式

最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)
最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊歹徒多半只需用到一般的後門程式 (網路價格不到 50 美元) 以及搜尋找到的受害目標及其員工背景資料,及可進行社交工程詐騙。

變臉詐騙案件規模逐年擴張成長,根據最新FBI 6月14日發佈的報告指出, 自2015 年1月以來,企業機構通報的變臉詐騙損失金額成長13倍,造成全球近31 億美元的損失,其中資料顯示多數詐欺性轉帳皆流向位於中國與香港的亞洲銀行。

趨勢科技提供企業6個小秘訣,杜絕變臉詐騙找上門!

  1. 仔細檢查所有的電子郵件:小心來自高階主管的不尋常郵件,詐騙郵件最常使用簡短而含糊的主旨,有時甚至只有一個字,這些都可能為詐騙份子誘騙的動作。此外,針對要求資金轉移的電子郵件需加以確認是否為正確郵件。
  2. 提升員工防詐意識:員工往往是企業資安環節中最脆弱的一環,積極做好員工訓練,仔細審視公司政策,並且培養良好的資安習慣。
  3. 任何廠商變更的匯款資訊,皆必須經由公司另一位人員複核。
  4. 掌握合作廠商的習慣:包括匯款的詳細資料和原因。
  5. 使用電話做為雙重認證機制:透過電話撥打原本已登記的慣用電話號碼,做為雙重認證機制,而非撥打電子郵件當中提供的連絡資訊。
  6. 一旦遇到任何詐騙事件,立即報警或向165反詐騙專線檢舉。

Continue reading “盤點 2016 十大資安數字-企業機構篇”

盤點 2016 十大資安數字-一般用戶篇

2016 年發生了資安事件? 讓我們用一些資安數字來回顧相關新聞:
本系列另一篇:盤點2016 十大資安數字-企業機構篇

1.雅虎 5 億用戶資料外洩

今年九月底Yahoo發生了大規模資料外洩事件。這家網路先驅最近承認5億筆帳號相關資料是兩年前竊自它的網路,只是最近才發現。這可能給了壞人很長一段時間來侵害你的資料,如果你是Yahoo使用者的話。
這是一連串網路巨擘出現資料外洩事件的其中一起,其他還包括了LinkedIn、tumblr、MySpace、成人交友網站 FriendFinder Networks 等等。但它是目前以來的最大咖,可能也是外洩最嚴重的一次。

其中 11 月成人交友網站 FriendFinder Networks逾4億成人網站帳號曝光外洩的用戶資料中,有高達99%的密碼是清晰可見的明文。前五名最常用密碼依序是123456、12345、123456789、12345678、1234567890。相關報導

信件 網路釣魚Mail

 

⊙延伸閱讀:

Yahoo驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題

Dropbox 超過 6,000 萬帳戶資料被盜 /刷卡機加裝側錄機 過卡2次個資恐外洩

 

2.一天8篇文就能推測出你住家位置

據英國《每日郵報》報導,美國麻省理工學院和英國牛津大學專家指出,每天8則發文,即便是沒有任何技術和相關知識,也可以精確的指出發文者的工作地點甚至住家位置。研究報告指出, 65%測試者可以大致知道使用者住家位置,而70%能推算出工作位置,甚至能有85%的能夠精準掌握其公司所在地。

延伸閱讀:愛發文打卡者請注意! 一天8篇發文,就能推測出你住家和辦公室位置

周末愉快~小提醒:打卡不要將別人拖下水▼請看:安全打卡 8 要點▼blog.trendmicro.com.tw/?p=2950

Posted by 趨勢科技 Trend Micro

 

3.全台每8秒一個裝置受到勒索病毒攻擊!

趨勢科技針對台灣勒索病毒最新現況提出警訊:全台平均每8秒就有一個裝置受到攻擊!其中有高達4成是針對一般消費者的電腦裝置進行攻擊。在日漸頻繁的勒索病毒攻擊下,網路大數據顯示消費者最心痛的遭勒索經歷前三名依序為:舊時照片找不到、拯救電腦要花錢以及重要文件打不開,再再都造成消費者難以計算的精神與金錢損失。 Continue reading “盤點 2016 十大資安數字-一般用戶篇”

Fun 暑假,這十件事跟防曬係數一樣也值得你關心

放暑假囉!全家計畫出遠門旅行度假時,大多數人都會花點時間去確認房子是安全的。我們可能會請鄰居過來幫忙收信、開關窗簾,並且會全部巡過一遍。我們會鎖好所有的門窗,甚至可能會設定計時器來定時開關燈,讓別人以為房子內還是有人在的。但是當我們旅行時,我們會同樣精明地去維護我們數位生活的安全嗎?

同場加映:放暑假宅在家的孩子們,都在網路上做些什麼事呢?忙碌的父母們該如何確認孩子們不會掉入網路陷阱?

以下是十個小測驗,如果你無法明確知道答案,請按連結看詳細說明:

  1. 使用公共的手機充電器安全嗎?
  2. 借用別人的 Wi-Fi 上網安全嗎?
  3. 付費的公共無線網路安全無虞?
  4. 著名景點如迪士尼樂園,紐約時代廣場,Wi-Fi相對安全?
  5. 分享照片在社群網站(如 Instagram)有可能洩漏居家位置嗎?
  6. 在五星級飯店刷卡會發生個資外洩嗎?
  7. 旅途中打卡拍照上傳要注意哪些事?
  8. 上飛機前一定要來個自拍上傳 FB ?
  9. 吃大餐時一定也要拍照上傳?
  10. 家有宅童,忙碌的父母該如何確保兒童上網安全?

Continue reading “Fun 暑假,這十件事跟防曬係數一樣也值得你關心”