開啟趨勢安全達人「兒少防護網」,保護孩子的上網安全。
暑假來臨,是孩子們最歡樂自由的時光,但大人卻也繃緊神經,不僅要注意孩子與好友們出遊的安全,每天在網路上瀏覽的資訊更要注意!
雖然每個年代的娛樂方式都不同,但小孩接觸的資訊及行為卻是越來越複雜,對於不良的事物更是防不勝防,除了可能沉迷遊戲、社群軟體甚至有機會誤入色情網站。
根據台灣教育部調查,在平日上課期間,國小學生平均近1小時,國中生近2小時,高中職學生則是超過2小時的時間!
若是週休二日或是暑假時間呢?結果更是變本加厲,國小2小時,國中近4小時,高中職平均已經超過4小時了!隨著年紀越大沉迷的狀況越顯嚴重,而且對於出現瀏覽的內容更是難以掌控。
趨勢安全達人特地為了用戶上網的安全,開發一個「上網防護」的功能
對絕大多數資安研究人員來說,Yara 是一個非常寶貴的惡意軟體識別工具,它可建立一些規則來追蹤惡意程式,讓許多資安研究人員的作業流程可以自動化。然而,儘管 Yara 可靠又好用,但卻不應當成監控最新惡意程式變種的唯一工具。
網路上可以找到很多 Yara 的規則,從 Yara-Rules 專案到本部落格文章所提供用來偵測惡意程式入侵指標 (IOC) 的 Yara 規則都有。除此之外,資安研究人員還可建立屬於自己的規則來偵測目前正在尋找的特定威脅,有時候並不會輸給網路上所提供的規則。
《延伸閱讀》透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara
當 Yara 的某個規則被觸發時,它會產生警示來提醒研究人員採取進一步行動,包括啟動虛擬機器 (VM) 或除錯器和解譯器來查看被觀察的樣本到底試圖做些什麼,這對許多資安研究人員來說,算是家常便飯。
在趨勢科技監控威脅的過程當中,有一個惡意程式的樣本 (趨勢科技命名為 JOKE_CYBERAVI) 觸發了許多條 Yara 規則。我們第一次發現這個樣本的時間是在全球標準時間 (UTC) 2017-05-11 14:33:49。當查看該執行檔的 PE 標頭時,我們看到它的時間戳記是全球標準時間 12:57:16。換句話說,我們是在該檔案產生出來後的 90 分鐘左右就發現到該檔案。全部加起來,該檔案我們總共偵測到 26 次。
圖 1:JOKE_CYBERAVI 檔案屬性。
一開始,該檔案看起來還蠻有趣的,因為它似乎內建了某些防除錯機制。這類技巧通常是惡意程式為了防止研究人員利用反向工程加以研究。
圖 2:惡意程式的部分程式碼。
當查看該檔案的 PE 資源時,我們發現到有些奇怪,它有三段資源:RT_MANIFEST、CYB 和 LOL。沒錯,有個叫做「LOL」(放聲大笑) 的資源。 繼續閱讀
黑暗網路(Dark Web,簡稱暗網)上那些鮮為人知的網站,經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站,充斥著各式各樣的地下市集販賣著琳瑯滿目的商品,包括:網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告,比如「 表面之下:探索深層網路 (Deep Web)」。
然而關於「黑暗網路」(Dark Web,簡稱暗網) 內部的駭客攻擊活動,卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊?黑暗網路(Dark Web,簡稱暗網)內部的攻擊規模和性質又是如何?出乎我們意料,我們發現這些攻擊在黑暗網路當中還算相當頻繁,而且駭客經常是手動進行這類攻擊,其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。
趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作,發表了一篇名為「黑暗網路(Dark Web,簡稱暗網)對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem),並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近,我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。
架設誘捕陷阱來吸引網路犯罪分子
趨勢科技的研究目的是希望深入了解黑暗網路(Dark Web,簡稱暗網)內部的駭客犯罪手法,並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其,我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。
為了達成研究目的,趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後,我們會自動蒐集所有記錄檔,並且將環境復原至乾淨的狀態。
我們的誘捕陷阱包含以下幾種:
圖 1:我們架設的假地下論壇 (誘捕陷阱 #3)。 繼續閱讀
趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。
ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。
值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。
我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。
殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒
ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 繼續閱讀
