本文從技術面分析一個偽裝成不同應用程式來誘騙遊戲玩家與社群媒體使用者的最新 SolidBit 變種。SolidBit 勒索病毒集團似乎打算透過這類假冒應用程式並吸引勒索病毒服務加盟夥伴來拓展經營規模。
趨勢科技研究人員最近分析了一個專門瞄準熱門遊戲與社群媒體使用者的最新 SolidBit勒索病毒 樣本。此惡意程式被上傳至 GitHub,它會假扮成不同的應用程式來吸引受害者上當,包括一個英雄聯盟 ( League of Legends) 帳號檢查工具 (圖 1) 以及一個 Instagram 追蹤者殭屍程式。
這個 GitHub 上的英雄聯盟帳號檢查工具 (圖 2、圖 3) 內含一個說明檔案來介紹該工具如何使用 (圖 4),但其假冒程度也僅止於此:該程式並無圖形使用者介面 (GUI) 或任何其他應有的功能。一旦不知情的受害者執行了這個程式,它就會自動執行惡意的 PowerShell 程式碼並在系統上植入勒索病毒。勒索病毒還伴隨著另一個名為「Source code」的檔案,但看起來似乎與其組譯好的二進位檔案不符。
勒索病毒即服務(RaaS)為那些原本受限於技術能力與專業知識的攻擊者提供了發動攻擊所需的彈藥。所造成的結果就是讓勒索病毒快速地散播到更多目標。RaaS到底是什麼,有哪些勒索病毒家族和技術和它有關?
勒索病毒 Ransomware (勒索軟體/綁架病毒)即服務(RaaS)可以被認為是勒索病毒攻擊迅速擴散的主因之一。簡單地說,RaaS會向買家出售或出租勒索病毒。
在過去,勒索病毒攻擊主要是由勒索病毒組織發起。不過當RaaS出現後,它讓即使是沒有什麼技術專業的人也更加容易對目標發動勒索病毒攻擊。
從本質上,我們可以觀察到使用RaaS的團體進行組織化的分工。因為此一發展,網路犯罪生態系對各類任務有了更高的熟練度和專業化,有些人專注於滲透網路,而有些則專注於運作勒索病毒或與受害者進行贖金的談判。
這樣的專業化,再加上精煉的勒索技巧和技術策略,讓現代勒索病毒成為惡名昭彰的威脅。隨著威脅範圍不斷的擴大,預計勒索病毒攻擊在未來十年內可能造成數十億美元的損失。
繼續閱讀安全研究人員發現一個名叫ShurL0ckr的新勒索病毒據説可以繞過雲端平台的偵測機制。就跟Cerber和Satan一樣,ShurL0ckr操作者將這勒索病毒經營成外包服務,讓其他網路犯罪分子也可以分一杯羹,從受害者贖金中抽取佣金。
《延伸閱讀 》 散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅
根據研究人員對ShurL0ckr的分析顯示,它可以躲避雲端應用程式偵測來進行擴散。跟其他勒索病毒一樣,網路釣魚(Phishing)和路過式下載「Drive by download」是最可能的感染媒介。
ShurL0ckr的出現也顯示出另一個更大的問題:網路犯罪分子對合法平台和服務的濫用。研究人員指出,使用雲端應用程式的企業有44%或多或少受到惡意軟體影響。事實上,他們發現至少有三家企業級軟體即服務(SaaS)應用程式感染了惡意軟體。研究人員還發現,惡意腳本、可執行檔以及木馬化的Office文件和圖片檔是最常用的進入點。
[相關新聞:Google Apps Script的安全漏洞能讓駭客透過SaaS平台散播惡意軟體 ]
勒索病毒不會很快就消失。事實上,隨著企業越來越採用新興技術來開拓業務,勒索病毒和數位敲詐可以預見會是網路犯罪的主流。 繼續閱讀
Yara 是一個資安研究人員所使用的開放原始碼工具,可根據預先定義好的規則來偵測及分類惡意程式樣本。前不久,一位同事請我撰寫 Yara 規則來偵測 Stampado 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的樣本。Stampado 算是一個相對較新的勒索病毒服務 (Ransomware-as-a-Service,簡稱 RaaS) 威脅,不久前剛進入趨勢科技的監控名單。當時我手上只有幾個樣本,原本我打算在這些樣本之間找找看有沒有共同的字串,但沒有成功。後來我比對了各檔案之間的結構發現,每一個檔案末端都有一段有趣的內容,從位移 0xde000 處開始:
圖 1:Stampado 勒索病毒樣本內容以十六進位碼顯示。
檔案末端明顯列了一個電子郵件地址。我向同事詢問是否知道此事,他立即告訴我 Stampado 會提供一些使用說明給購買該套件的駭客,說明中有提到這件事:
圖 2:給 Stampado 買家的使用說明。
我判斷 Stampado 的開發者應該是在每個檔案末端多加了一個位元組,數值為 0x0d (這在 ASCII 字碼表上是返回開頭的 CR 符號),然後叫使用者利用一般的文字編輯工具在最後一行空白下方 (也就是在 CR 符號之後) 加入自己的電子郵件地址。正確來說 CR 符號並不是這樣用,因為在 DOS/Windows 系統下,如果要換行的話,正確的方式是 0x0d 0x0a (也就是 CR + LF:返回開頭並前進一行),至於從 Unix 衍生的作業系統則是只需要 LF 符號。不管怎樣, Stampado 的樣本檔案末端都會帶著一個 CR 符號,這也算是個有趣的特徵,這樣就能建立 Yara 規則來偵測這個惡意程式。 繼續閱讀
作者:趨勢科技網路安全長 (Chief Cybersecurity Officer,CCO ) Ed Cabrera
多年以來,「網路犯罪服務」(Cybercrime as a Service,簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰),只要向一些老手購買 CaaS 工具和服務,就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)、網路釣魚(Phishing)或其他惡意攻擊行動,一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗,就連只會寫寫腳本的初階駭客也能上手,但卻可以帶來高報酬。
而最新的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 毫不意外地,這項最新的服務,已造成新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的數量大增,光是2016 上半年就比去年一整年暴增 172%,而 RaaS 的出現,也讓原本大多針對個人使用者的攻擊,現在也開始對企業造成嚴重威脅。
企業的資料和商譽陷入前所未有的危險當中,最終甚至可能危及企業的生存,因為有了 RaaS 之後,網路犯罪分子就能發動多起勒索病毒攻擊,有助於他們在地下論壇打響名號。他們的目標就是挾持企業最寶貴的資產,包括:重要的連絡人資訊、業務資訊或是企業關鍵檔案。企業一旦損失這些數位檔案,將帶來嚴重的後果,包括:營業損失、營運中斷、法律賠償以及商譽損失。
企業的資安長 (CISO) 與 CXX 級高階主管,有責任採取必要的安全措施來妥善保護企業的寶貴資訊,並充分教育員工認識這項威脅。勒索病毒並非只有一種行為模式,因此資安對策也不能只靠單一防護。趨勢科技的多層式防護能協助企業降低風險,不讓攻擊進入系統,不論經由何種入侵點。我們提供了四層的防護來協助您降低風險:
|
|
RaaS 服務背後的犯罪集團,必須靠著他們的「客戶」(也就是使用其服務的犯罪分子) 來入侵企業系統,才能獲得不法利益。因此,他們會盡可能確保攻擊能夠遍地開花。這波風潮短期內應該不會消失,所以,別讓您的企業成為下一個受害者,成為駭客在深層網路上提高聲望的墊腳石。教育您的員工,備份您的檔案,最重要的是:部署一套多層式防護來保護您的資料。最終您會發現,您所花費的時間和金錢,都將值得。
原文出處:Protecting Your Enterprise against a New Generation of Cybercriminals)