開放原始碼軟體如何變成木馬程式?我們又該如何偵測這類程式?要回答這些問題,讓我們來看一下最近我們針對這類檔案所做的一份研究。
木馬化的開放原始碼軟體很不容易被發掘,因為它們看起來就跟正常的軟體一樣,所以這類程式毫不起眼,因此特別適合用於目標式攻擊。但其實若深入追查,還是可以看到一些可疑的行為,並揭發它的不肖意圖。
趨勢科技在分析一起資安事件時發現了一個名為「notepad.exe」的檔案相當可疑。因為,大家都知道 notepad.exe 是 Windows 系統內建的「筆記本」程式,而有些惡意程式作者就是喜歡偽裝成這類程式來躲避偵測。
這個 notepad.exe 檔案是經由 ntoskrnl.exe (Windows NT 作業系統核心執行檔) 進入系統。它很可能是經由 ntoskrnl.exe 的漏洞或是網路共用資料夾進入系統,不過根據我們得到的監測資料顯示比較可能是後者。接著,我們又利用根源分析 (Root Cause Analysis,簡稱 RCA) 發現,這個不肖的 notepad.exe 檔案會呼叫以下幾個工具來執行一些可疑動作:
繼續閱讀企業至今依然不斷遭受針對性攻擊的襲擊,原因就在於駭客暗中入侵企業網路邊境的精密手法和工具一直不斷向上提升,那麼,您該如何確保自身安全?
儘管今日已有不少進階的資安技術,但針對性目標攻擊( Targeted Attack)對企業來說仍是一項嚴重的威脅。許多企業至今依然不斷遭受針對性攻擊的襲擊,原因就在於駭客暗中入侵企業網路邊境的精密手法和工具一直不斷向上提升。事實上,根據 Accenture 和 Ponemon Institute 所做的一項 2019 年調查指出,平均每家公司因駭客精密攻擊而導致的網路犯罪損失已從 2017 年的 1,170 萬美元上升至 2018 年的 1,300 萬美元。
所幸,除了建置網路資安解決方案之外,企業還可配合一些最佳資安實務原則來進一步提升防禦,如此就能防範針對性攻擊,避免招致災難性的後果。以下是三項能夠防止您網路遭到針對性攻擊的資安建議:
網路基礎架構通常相當複雜,涵蓋了重重的使用者、工作站、伺服器及其他連網裝置。複雜的網路對資安團隊將是一項艱難挑戰,不論在網路的掌握或存取管理方面。因此,強烈建議企業將網路依照部門、地點、安全層級等等,井然有序地細分成較小的單位。
繼續閱讀
全球最大 數位貨幣 交易所之一「Bithumb」在 6 月 29 日發生嚴重的駭客入侵事件。這家位於南韓的交易所是知名的 乙太幣 (Ethereum ) 交易平台之一 (該貨幣在南韓相當熱門)。根據當地媒體指出, 由於該公司某位員工遭駭,使得駭客竊取了 超過 31,000 名客戶的資料 ,包含手機號碼和電子郵件等資訊。該公司隨即在 6 月 30 日通知 客戶有關資料失竊的狀況。
根據媒體報導 ,駭客的手法是實際接洽 Bithumb 的客戶,經由語音網路釣魚手法來取得其錢包。雖然官方並未公布確切數字,但已有南韓使用者分別在 網路論壇上表示自己損失慘重。Bithumb 也 發表聲明表示打算補償使用者的部分損失:每人最高 10 萬韓幣。
《延伸閱讀》語音釣魚(Vishing):這是什麼?如何預防?
目前 韓國網際網路安全部 (Korea Internet and Security Agency,KISA) 以及檢警單位的網路犯罪調查小組正在深入調查此案件。
這是近期發生的第二起乙太幣相關駭客事件,先前我們已發文指出,同一星期,專門以經典乙太幣 (Ethereum Classic,簡稱 ETC) 使用者為對象的「 經典乙太幣錢包」服務,也因社交工程(social engineering )詐騙而遭到入侵。
六個網路帳號和數位貨幣帳號安全的最佳實務原則
隨著數位貨幣相關的駭客事件越來越多,使用者應主動看緊自己的網路錢包與任何其他網路帳號。此外,企業亦應小心保管自己的資料,並採取以下員工裝置安全政策: 繼續閱讀
自從在今年九月第一次寫到關於HDDCryptor的發現,趨勢科技就一直緊密追踪此一勒索病毒Ransomware(勒索軟體/綁架病毒)的演變。它在上個禮拜出現了一個新版本。根據分析,這新變種在最近被用來攻擊舊金山市交通局(SFMTA)。系統被入侵後,所有的電子售票機都出現了「停止服務」或是「捷運(地鐵)免費」的訊息。
⊙延伸閱讀: 勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟
此次攻擊就跟我們在HDDCryptor的其他版本所看到的一樣,勒索病毒會植入一些工具來加密整個磁碟,同時會加密掛載的網路磁碟。趨勢科技認為此次攻擊並沒有用漏洞攻擊套件和自動安裝工具來入侵感染受害者。而是先透過針對性攻擊/鎖定目標攻擊(Targeted attack )或攻擊漏洞等作法取得對機器的存取能力,接著再手動執行惡意軟體。儘管我們沒有詳細資料去解釋這攻擊如何涵蓋SFMTA內的2000台機器,但很有可能是透過管理權限在所有設備上設定排程任務來達成。
孟加拉中央銀行在美國聯邦儲備銀行的帳戶遭網路駭客洗劫的事件,再次突顯網路攻擊對企業、民間機構、甚至是國家可能帶來什麼樣的衝擊。撇開此事件的損失金額、幕後黑手以及政治動機不談,基本上,此攻擊的手法及程序與任何其他網路犯罪攻擊沒什麼不同。
此案例可說是至今最大膽的網路竊盜案件之一。要不是歹徒的一個小小輸入錯誤,受害金額很可能高達 10 億美元以上。不過,歹徒還是匯走了 8 千萬美元以上,並且款項還透過菲律賓的多個賭場來洗錢。目前調查結果指向中央銀行的電腦系統可能遭人植入惡意程式來協助此次搶案。
編按:原本看似天衣無縫的作案手法卻因駭客拼錯字而露出馬腳,只因轉帳時將「foundation」(基金會)誤拼成「fandation」,促使通匯銀行德意志銀行(Deutsche Bank)向孟加拉央行要求驗證,進而阻止這筆交易。
如果真有惡意程式涉案,那麼:
