資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

垃圾郵件舊瓶裝新酒,專挑冷門檔案格式夾帶惡意附件

2018 年 11 月 22 日2018 年 11 月 13 日趨勢科技 TrendMicro

隨著網路資安廠商的防禦能力不斷提升，網路犯罪集團也開始在惡意程式上推出新的花招來因應。最近趨勢科技發現了一些經由垃圾郵件散布的新威脅被包裝在老舊且少用的檔案類型當中。垃圾郵件目前依然是網路犯罪集團最愛的散播途徑之一，垃圾郵件攻擊儘管老派，卻占了全球電子郵件流通數量的 48% 以上。

趨勢科技在 2017 年資安總評報告當中指出，垃圾郵件當中最常出現的惡意附件檔案類型為：.XLS、.PDF、.JS、.VBS、.DOCX、.DOC、.WSF、.XLSX、.EXE 及 .HTML。除此之外，我們也在今年八月發現了會散布 GandCrab v4.3 勒索病毒的 .EGG 檔案。不過，網路犯罪集團仍在不斷翻新其使用的檔案類型。以下說明網路犯罪集團如何利用一些舊的檔案類型來包裝新的威脅，證明他們隨時都在實驗新的技巧以躲避垃圾郵件過濾機制。

趨勢科技近日偵測到近 7,000 個採用 ARJ 壓縮的惡意檔案

ARJ 是「Archived by Robert Jung」的簡寫，這是一個 90 年代出現的檔案壓縮軟體，.ARJ 檔案的用途與 .ZIP 類似，只不過沒有後者那麼流行。儘管 .ARJ 檔案從 2014 年起即成為歹徒散布惡意檔案的格式之一，但我們最近發現使用 .ARJ 格式來散布惡意檔案的情況突然暴增。趨勢科技 Smart Protection Network™ 情報網最近已偵測到將近 7,000 個採用 ARJ 來壓縮的惡意檔案。

圖 1：隨附惡意 .ARJ 壓縮檔案的垃圾郵件攻擊過程。繼續閱讀

挖礦病毒隱身術再進化,利用 Windows Installer 躲避偵測

2018 年 11 月 21 日2018 年 11 月 13 日趨勢科技 TrendMicro

虛擬貨幣挖礦病毒的驚人成長不只是因為它能夠賺錢的潛力，也因為它可以待在系統內不被發現，特別使用了各種混淆技術。對許多駭客來說，讓惡意軟體保持隱形而難以被偵測是必須面對的課題，以趨勢科技發現新的挖礦病毒: Coinminer.Win32.MALXMR.TIAOODAM為例,它便會使用多種混淆和封裝新技術。

安裝行為

圖1、惡意軟體感染鏈

繼續閱讀

Microsoft Office線上影片功能,被散播 URSNIF 資料竊取病毒

2018 年 11 月 20 日2018 年 11 月 16 日趨勢科技 TrendMicro

在10月下旬，Cymulate的安全研究人員展示了一個攻擊邏輯漏洞的概念證明樣本（PoC），讓駭客可以利用 Microsoft Office 的線上影片功能散播惡意軟體。我們在 VirusTotal 上找到一個真實病毒（趨勢科技偵測為TROJ_EXPLOIT.AOOCAI），會利用此手法來散播URSNIF資料竊取病毒（TSPY_URSNIF.OIBEAO）。

惡意軟體的感染媒介為何？

因為此種攻擊使用特製的Word文件，所以它可能會透過其他惡意軟體或作為垃圾郵件附件檔或連結/網址來進入使用者系統。

此漏洞會影響Microsoft Word 2013及後來的版本。概念證明樣本和真實病毒都是用Microsoft Word 的 DOCX 檔案類型，這是種能夠包含文字、物件、樣式、格式和圖片的XML檔案。它們儲存成分別的檔案並封裝成ZIP壓縮的DOCX檔案。

圖1：概念證明樣本（左）和真實病毒（右）感染鏈的比較

概念證明樣本和真實病毒的運作模式？

概念證明樣本和真實病毒利用了Microsoft Office內嵌線上影片功能的邏輯錯誤，這功能可以讓使用者嵌入外部來源（如YouTube或其他類似媒體平台）的線上影片。

概念證明樣本是將線上影片嵌入文件後再修改檔案內的XML完成。如Cymulate所示，它的作法包括：

修改文件副檔名（從DOCX改成ZIP）。
取出壓縮檔內的檔案。
找出XML檔案內的可用來加入惡意腳本或網址的標籤（embeddedHtml）。請注意，修改embeddedHtml參數內的網址後，點擊文件內影片的任何位置都會自動將使用者導到指定的網址。
修改embeddedHtml內的腳本來初始化和部署後續病毒。

繼續閱讀

挖礦惡意程式攻擊 Linux 系統,並利用 Rootkit 自我隱藏

2018 年 11 月 19 日2018 年 11 月 16 日趨勢科技 TrendMicro

隨著虛擬加密貨幣越來越熱門，網路犯罪集團不意外地正積極開發、微調各種虛擬加密貨幣挖礦惡意程式。事實上，這類威脅是趨勢科技最常一直偵測到的惡意程式，而且各種平台和裝置皆有。

最近我們發現一個新的挖礦( coinmining )惡意程式 (趨勢科技命名為 Coinminer.Linux.KORKERDS.AB) 專門攻擊 Linux 系統，而且會利用某個 Rootkit (Rootkit.Linux.KORKERDS.AA) 來隱藏其惡意執行程序，讓監控工具看不到其執行程序。這一點會讓偵測工作變得更困難，因為被感染的系統只會看到效能變差，但卻看不出是誰在消耗資源。除此之外，該惡意程式還可以更新或升級自己的程式和組態設定檔案。

值得注意的一點是，在 Unix 以及類 Unix 系統 (如 Linux) 的檔案權限設定方式下，只要是具備執行權限的檔案都能執行。我們推測，這個虛擬加密貨幣挖礦惡意程式的感染途徑是經由惡意的第三方/非官方或受感染的外掛程式 (如：媒體串流軟體)。當使用者安裝這類外掛程式時，就等於提供它系統管理權限，如果是已經被駭的應用程式，惡意程式就能以應用程式所擁有的權限來執行。這樣的感染方式並非罕見，因為其他 Linux 虛擬加密貨幣挖礦惡意程式也是利用這樣的途徑入侵。

【延伸閱讀:Unix：會徹底改變勒索病毒遊戲規則嗎？】