解析 Ngrok 曲折的攻擊程序

2020 年 09 月 29 日2020 年 09 月 25 日趨勢科技 TrendMicro

趨勢科技 Managed XDR 託管式偵測及回應服務團隊最近處理了一樁客戶資安事件，歹徒在該事件中運用了一種特殊的攻擊技巧，增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

採用 端點偵測及回應 (EDR) 資安解決方案的一項主要好處就是，能讓維護及分析企業網路防禦狀況的資安團隊能掌握自身環境的可視性來提早偵測攻擊，並透過視覺化方式了解正在發生的資安事件。雖然像這樣的技術確實讓網路資安產業整體都有所提升，但歹徒的工具和技巧卻也同樣因應這樣的發展趨勢而演進。

趨勢科技 Managed XDR託管式偵測及回應服務團隊最近處理了一樁客戶資安事件，歹徒在該事件中運用了一種特殊的攻擊技巧，增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

初步調查

2020 年 7 月，我們經由趨勢科技Apex One在客戶環境觀察到以下可疑的系統事件：

Process: c:\windows\system32\reg.exe CommandLine:REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d “\”c:\Windows\system32\<random name>\”” /f

此事件有幾點值得注意：首先，該指令所建立的系統登錄數值的名稱是根據某個資安廠商來命名。其次，登錄數值的名稱 (在 <value> 部分) 出現了一個拼字錯誤 (也許是故意的，此處為了保密暫不顯示)。最後，在系統目錄當中有一個隨機命名的執行檔。這所有因素加在一起，讓我們直覺認為這是一項警訊。

結果這個執行檔確實是一個鍵盤側錄程式，它會將側錄到的滑鼠與鍵盤輸入傳送到某個 Gmail 帳號。我們在二進位檔案中發現了一些寫死的資訊，證明它是專為某個目標機構而量身訂製。不僅如此，我們也從二進位檔案中得知，駭客對該機構有相當程度的了解。

我們用這個鍵盤側錄程式的檔名和雜湊碼在系統記錄和事件當中搜尋之後發現以下情況：

繼續閱讀

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

2016 年 10 月 07 日2016 年 10 月 06 日趨勢科技 TrendMicro

Android手機用戶請小心， Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒，恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路，因此，若裝置連上的是企業網路，其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長，趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service，簡稱 MARS) 截至 2016 年 8 月為止，已偵測到 1,660 萬個行動惡意程式，較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊，尤其，某個稱為「DressCode」的家族從四月份起便一直暗中持續散布，直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路，因此，若裝置連上的是企業網路，其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A，並且至少發現了 3,000 個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集，在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分，因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件，到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅，該公司也已採取適當行動，將受感染的應用程式下架。

圖 1：根據 Google Play 上的資料，該程式的安裝數量在 100,000 至 500,000 之間。 繼續閱讀

最新「Ghost Push」變種宛若幽靈,暗中威脅Android 用戶,同一作者發行逾 600 惡意應用程式

2015 年 10 月 02 日2015 年 10 月 08 日趨勢科技 TrendMicro

Ghost Push 背後很可能是一個有組織的網路犯罪集團，因為他們對於惡意程式產業非常熟悉。除了 Ghost Push 之外，該集團到目前為止總共發行了 658 個非重複的惡意應用程式 (共 1,259 個不同版本)，皆透過非官方應用程式商店流傳。其中，有一個惡意程式感染了 100,000 多個裝置；有兩個感染了 10,000 多個裝置；有七個感染了 1,000 多個裝置。

萬聖節還沒到，但 Android (安卓)使用者已經開始遭到幽靈騷擾，也就是 Ghost Push 惡意程式可以取得手機最高權限,並且下載有害的廣告和應用程式。它經常包裝在非官方應用程式商店下載的 App 中。Ghost Push可監控任何可能通知使用者的執行程序，因此可肆無忌憚地從事惡意活動。

Ghost Push 惡意行徑還包含:強制關閉手機 Wi-Fi 功能，改用行動數據連線來下載惡意程式、在螢幕開啟時啟動應用程式和廣告、竊取裝置上的個人資訊、更新已安裝的惡意應用程式等等。

根據趨勢科技對 Ghost Push 的深入調查，其近期變種較先前版本更進化，會利用下列方式來讓它更難被偵測和移除：

將其 APK 和 Shellcode (漏洞攻擊程式碼) 加密。
直接執行惡意的 DEX 檔案 (Android 執行檔) 而不產生通知。
加入了保護機制來監控其執行程序是否正常執行。
將惡意程式的 .APK 檔案 (Android 應用程式安裝包) 重新命名。
啟動新的系統活動。

目前網路上流傳的 Ghost Push 變種大約有 20 多個，以下是幾個已知會散布這些變種的網址：

{blocked}.{blocked}dn.com /testapk/[sample name].apk
{blocked}.{blocked}ecdn.com/testapk/[sample name].apk
{blocked}.{blocked}dn.com/testapk/[sample name].apk
{blocked}.{blocked}n.com:80/testapk/[sample name].apk

Ghost Push 從今年 4 月起即活躍至今，但 9 月份出現的變種數量明顯高於前幾個月。

圖 1：Ghost Push Android 惡意程式變種數量變化 (2015 年 4 月至今)。

繼續閱讀

惡意 Android應用程式駭入RFID 支付卡

2014 年 11 月 27 日2014 年 11 月 26 日趨勢科技 TrendMicro

趨勢科技最近偵測 ANDROIDOS_STIP.A的高風險 Android 應用程式。這個應用程式透過論壇和部落格散播，可以用來駭入使用者的 RFID ( Radio Frequency IDentification -感應式電子晶片)公車卡加以儲值。這背後的機制是什麼，RFID 支付卡的一般安全風險是什麼？

如今透過 RFID 卡來進行支付變得越來越受歡迎，也有更多行動裝置加入NFC(Near Field Communication，近距離無線通訊）支援。銀行、商家或公共服務都會發行RFID卡給他們的客戶，並且可以儲值。

注意：下文中所討論的惡意軟體樣本不能從 Google Play 商店取得。

RFID卡的安全問題

由於它被廣泛的使用，所以RFID卡成為攻擊目標也就毫不奇怪。比方說最近智利的Tarjeta bip!卡被駭事件。這些卡是基於MIFARE的智慧卡；MIFARE指的是被廣泛用在非接觸式智慧卡和感應卡的晶片家族。