資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)

2017 年 04 月 11 日2017 年 04 月 03 日趨勢科技 TrendMicro

趨勢科技發現了一個新的銷售櫃台系統 (PoS) 惡意程式品種：MajikPOS (趨勢科技命名為：TSPY_MAJIKPOS.A)，和許多其他 PoS 惡意程式一樣是專為竊取資訊而設計，但其模組化的執行方式卻相當獨特。我們估計 MajikPOS 的第一個感染案例應該出現在 2017 年 1 月 28 日左右。

雖然其他的 PoS 惡意程式，如：FastPOS (新版)、Gorynych 及 ModPOS 也採用了元件化的設計來分擔各種不同功能 (如鍵盤側錄)，但 MajikPOS 的模組化方式稍有不同。MajikPOS 只需再從伺服器下載另一個元件就有能力擷取系統記憶體 (RAM) 內的資料。

MajikPOS 是根據歹徒所使用的幕後操縱 (C&C) 面板而命名，該面板是用來發送指令並傳送竊取到的資料。MajikPOS 幕後的駭客在攻擊時結合了 PoS 惡意程式和遠端遙控木馬程式 (RAT)，可造成嚴重的傷害。從 MajikPOS 可看出歹徒的手法越來越複雜，讓傳統的防禦顯得毫無招架之力。

入侵點與攻擊過程

趨勢科技從 Smart Protection Network™ 所得到的資料可以判斷出歹徒使用什麼方法從遠端存取受害者的端點，那就是：Virtual Network Computing (VNC) 和 Remote Desktop Protocol (RDP) 兩種遠端支援工具，不過歹徒還必須猜出受害者的遠端帳號密碼，然後再搭配先前安裝在系統上的 RAT 工具。繼續閱讀

《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?

2017 年 04 月 10 日2017 年 04 月 10 日趨勢科技 TrendMicro

我們經常會看到漏洞攻擊套件使用較舊的漏洞，因為這些漏洞仍然存在於被攻擊的系統上。另外,勒索病毒會去利用漏洞攻擊套件來作為主要的感染媒介。

在趨勢科技2016年的資安綜合報告 – 「企業威脅創紀錄的一年」中，我們討論了這一年的漏洞發展形勢和所看到的趨勢。

讓我們來看看在2016年間發生的一些重點。

趨勢科技的零時差計畫（ZDI）在3,000多名獨立漏洞研究人員的支持下，披露了 678個漏洞。可以從下圖看出一些有意思的趨勢：

首先是微軟產品的漏洞在持續減少中。這是個好消息，但對微軟來說不大好的消息是 Edge 漏洞增加了2,100%。這在 2017年的 Pwn2Own 大會中得到進一步的證明，因為 Edge 是競賽中被漏洞攻擊最多的瀏覽器。
其次是整體 Adobe 的漏洞數量下降，不過 Acrobat Reader 在 2016 年被披露的漏洞最多。
零時差攻擊（在修補程式發布前就有針對漏洞的攻擊出現）數量在 2016 年比 2015 年下降。這是個好消息，但我們最近也看到了美國中情局被駭事件，可能有許多零時差漏洞攻擊尚未被披露。
Android漏洞數量大幅地增加（206%）。趨勢科技研究人員在 2016 年向 Google 提交了 54 個安全漏洞。
在2016年被披露的 SCADA（資料採集與監控系統）漏洞增加了421%，鑒於對這些設備進行更新的困難度，這對廠商來說會是件頭痛的事。

繼續閱讀

勒索病毒TorrentLocker 變種,利用雲端服務散布

2017 年 04 月 07 日2017 年 05 月 02 日趨勢科技 TrendMicro

為何 TorrentLocker 勒索病毒最新變種,大多集中在平日出現，周末會暫時消失。上午 9 點至 10 點之間的感染數量會突然飆高?

TorrentLocker 勒索病毒在沉寂了好一陣子之後最近又開始活躍起來，出現了多個新的變種 (趨勢科技命名為 RANSOM_CRYPTLOCK.DLFLVV、RANSOM_CRYPTLOCK.DLFLVW、RANSOM_CRYPTLOCK.DLFLVS 及 RANSOM_CRYPTLOCK.DLFLVU)。這些新的變種會利用 Dropbox 帳號來散布，印證了我們的 2017 年預測：勒索病毒將持續演化出新的攻擊管道。

假冒供應商，寄送含Dropbox 連結的發票下載點

TorrentLocker的最新變種在行為上與趨勢科技之前所偵測到的類似，主要的差異只在於散布方式，以及惡意程式執行檔的包裝方式。

比方說，新的 TorrentLocker 變種在攻擊時，會先假冒受害者的供應商，用電子郵件寄一份發票給受害者。而這份「發票」不是隨信附上，而是透過一個 Dropbox 連結來下載。除此之外，為了增加郵件的真實性，郵件內容還包含了帳單、發票和帳戶編號等資訊。TorrentLocker之所以使用 Dropbox 連結，就是為了躲過郵件閘道防護產品的偵測，因為郵件當中不含附件，而是使用指向正派網站的連結。

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

繼續閱讀

Cerber 已具備躲避機器學習技術的能力

2017 年 04 月 06 日2017 年 04 月 11 日趨勢科技 TrendMicro

自從現身以來即一直不斷演進的 CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)最近又出現新的變種 (趨勢科技命名為：VBS_CERBER.DLCYG、RANSOM_CERBER.ENC、RANSOM_CERBER.VSAGD 及 TROJ_CERBER.AL)，這次它使用了一個獨立的勒索病毒載入程式來躲避機器學習機制的偵測。

一旦偵測到系統正在虛擬機器或沙盒模擬環境上執行, 即終止執行

CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族已開始採用一種讓自己更難被偵測的新技巧：專為躲避機器學習技術而設計的獨立載入程式。這個載入程式可將 CERBER 的程式碼注入某個執行程序當中執行。

CERBER 變種會經由電子郵件進入使用者系統，郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，一旦執行了該檔案，系統就會遭到感染。此勒索病毒包含多個檔案，最值得注意的是一個勒索病毒載入程式，該程式負責檢查目前系統是否在虛擬機器或沙盒模擬環境上執行。除此之外，還會檢查系統上是否安裝了某些分析工具和防毒軟體。一旦發現上述狀況，就終止執行，否則就將勒索病毒載入系統中。

透過這些額外檢查步驟，並且將病毒直接載入執行程序當中執行，CERBER 就能避開機器學習機制的偵測。此設計對於檔案分析靜態機器學習來說將是一大考驗，因為靜態機器學習只會分析檔案的內容當中是否含有惡意行為，而不管檔案的執行方式如何。不過，若遇到多層式惡意程式防護產品，這類勒索病毒依然只能束手就擒，因為多層式防護並非只仰賴機器學習技術。

假冒公共事業機構名義發送電子郵件，內含 Dropbox 連結

一般來說，勒索病毒大多經由電子郵件散布，這個新的 CERBER 家族亦不例外。它曾假冒多家公共事業機構名義發送電子郵件，這些電子郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，提供該檔案的應該是駭客的 Dropbox 帳號。一旦受害者點選郵件內的連結，就會下載檔案，使系統遭到感染。下圖顯示該程式的感染過程。

圖 1：Cerber 的感染過程。

受害者下載的自我解壓縮檔案解開之後會出現三個檔案：一個是 Visual Basic 腳本、另一個是 DLL 檔案、最後一個是看似設定檔的二進位檔案。在趨勢科技所發現的其中一個樣本當中，這三個檔案的名稱分別為：「38oDr5.vbs」、「8ivq.dll」以及「x」，不過並非每個樣本都一樣。繼續閱讀