根據報導,Google Home智慧裝置基礎設施發生全球性的停止運作。這家網路巨頭目前對造成數百萬台裝置無法回應語音指令的故障原因仍然保持沉默,此次故障也導致無法透過行動助理應用程式連上這些裝置。Google已經透過他們的Twitter帳號公告釋出修復程式,會在裝置重新啟動後自動安裝。
[延伸閱讀:了解物聯網 ]
美國使用者在6月27日午夜最先注意到此問題,Chromecast圖示從串流應用程式列表消失,Google Home、Mini和Chromecast 裝置也無法正常運作。而接下來的幾個小時,在Twitter和Google Home討論區出現更多的抱怨聲浪,來自全球的使用者用標籤#chromecast來抱怨停止運作的問題,同時猜測故障原因是因為Google Home裝置安裝西班牙語支援更新而造成。該公司回應正在調查此問題,並且在最後發表聲明說修復程式可以在六個小時內自動安裝。 繼續閱讀
資安研究人員最近發現了一個新的惡意程式並將它命名為「MyloBot」,此惡意程式有精密的躲避、感染與散播技巧,因此其幕後的歹徒很可能擁有豐富的經驗且犯罪基礎建設雄厚。該惡意程式是在一家資料與電信設備一線品牌廠商的系統上發現。研究人員觀察到 MyloBot 具有下列能力:掏空執行程序、Reflective EXE (從記憶體內直接執行 EXE 檔)、程式碼注入、下載勒索病毒 Ransomware (勒索軟體/綁架病毒)以及竊取資料。當它感染某台電腦並將該電腦納入其殭屍網路旗下時,還會刪除系統上的其他惡意程式,並且造成系統嚴重損壞。
雖然研究人員目前尚未查出該惡意程式的感染來源及作者,但惡意程式內採用了一種鍵盤配置偵測的技巧,當偵測到亞洲的某種鍵盤配置時就會停止攻擊。除此之外,MyloBot 還具備以下躲避技巧:
[延伸閱讀:勒索病毒:歹徒到底要什麼?我該如何防範?]
此惡意程式可讓駭客完全掌控被感染的電腦並下載新的惡意程式或從事其他不法活動,如:銀行木馬程式、鍵盤側錄程式、發動分散式阻斷服務攻擊 (DDoS)攻擊。
MyloBot 在安裝時會停用 Windows Defender 和 Windows Update,並封鎖防火牆以方便其部署和進行 C&C 通訊。此外,研究人員也發現,該程式撰寫風格類似 Dorkbot 和 Locky,或許此惡意程式的作者與之前這些惡意程式的作者 (或地下市場賣家) 有所交流。此外,研究人員追溯到其黑暗網路上的 C&C 伺服器也曾用於之前的惡意程式攻擊,因此更提高了這項推測的可能性。
MyloBot 還有一項行為就是會終止並刪除系統上已感染的惡意程式,它會掃瞄 %APPDATA% 資料夾底下的特定資料夾和執行中檔案。研究人員認為,這樣的獨特行為應該是為了排除其他駭客的惡意程式,以盡可能獨占被感染的裝置以提高獲利。
[延伸閱讀:KOVTER 已演化成無檔案式惡意程式]
今日網路犯罪集團不但要對抗資安廠商,還要和同業競爭,因此要應付像這樣的威脅,我們需要更進階、更主動的因應技術來防範數位勒索。以下是企業該如何保護系統和資產的一些建議:
原文出處:MyloBot Uses Sophisticated Evasion and Attack Techniques, Deletes Other Malware
ZeroFont是一種早期駭客發送網路釣魚信件時,用來繞過Microsoft Office 365的電子郵件審查的技術。顧名思義,它以善於操縱訊息的字型,比如將字體大小設為零,收件人看不見,藉以騙過 Office 365的自然訊息處理(一種用來篩選有毒信件的電腦程式)。
根據發現Zerofont的以色列研究人員表示,駭客會寄出嵌入隨機符號與單字的信件,藉此避免過濾器針對可疑的內容做出安全警告的標記。ZeroFont 利用 < span style=”FONT-SIZE:0px” >這串將字型大小標記為零的HTML語法,藉以隱藏嵌入的字詞,讓Office 365郵件過濾器將其視為一些隨機的字母,而無法辨識可疑內容。
圖一,ZeroFont 字母在HTML中的範例(圖片來源: Avanan)
ZeroFont 能繞過Office 365的例子,舉例來說像是:信中帶有“蘋果”或是“微軟”等字句,但其實信件本身並不是從正常合法的公司網域發出來的。但Office 365的過濾器無法對這類信件篩選,因爲字型大小為零的關係,過濾器和一般用户看到的内容完全不同,根本讀不到這類的可疑字句或隨機符號。
透過機器學習(machine learning)演算法趨勢科技發現了BrowseFox大規模的憑證簽章濫用,BrowseFox是被趨勢科技偵測為PUA_BROWSEFOX.SMC的潛在不必要程式(PUA),會非法注入彈出式廣告的廣告軟體外掛。儘管它用的是合法的軟體程序,但廣告軟體外掛可能會被駭客所利用,使用惡意廣告來將受害者導向惡意網站,進而不知不覺地下載了惡意軟體。根據分析,我們從200萬筆已簽章檔案所組成資料集內判斷出有大量的BrowseFox – 這些檔案的有效性和完整性已通過驗證。
我們是在準備2017年BlackHat亞洲大會演講時發現此憑證簽章濫用問題,原本是要展示如何將局部敏感雜湊(Local Sensitive Hashing, LSH)用於智慧/動態白名單(SHA1或MD5等加密雜湊完全不適用於此領域)。
在使用趨勢科技局部敏感雜湊(Trend Micro Locality Sensitive Hashing, TLSH)群集分析200萬筆簽章檔案組成的資料集時,我們確定許多群集(cluster)具有非常特殊和奇怪的特徵:群集檔案由許多不同簽章者(signer)簽章。許多合法軟體也會有這種情形,但跟BrowseFox相關聯的群集有另一個屬性;當我們針對簽章者建立群集圖時,這些群集形成一個約略的二分團。然後我們可以識別與該團相關的檔案,隨後將約25萬筆檔案標記為疑似BrowseFox。我們檢查了VirusTotal上的疑似樣本,發現了5,203筆檔案雜湊,並確定它們確實是BrowseFox。經過進一步的調查,我們發現這些檔案已經由519名不同的憑證簽章者簽章 註[1]。這似乎是BrowseFox的策略 – 建立新簽章實體來取得有效憑證。
正如之前在「探討(惡意)軟體下載的長尾現象」中所觀察到,已簽章檔案並不一定就非惡意。事實上,研究顯示有許多被下載的惡意軟體都是簽章過的。BrowseFox的調查結果進一步地凸顯出駭客如何濫用有效的憑證簽章者來散播惡意軟體。
在我們200萬筆已簽章執行檔所組成的資料集中,有大量檔案(24.4萬筆)屬於BrowseFox的惡意軟體或PUA檔案。這24.4萬筆檔案透過兩個嚴格的條件被識別為BrowseFox:首先,該檔案由這519個惡意簽章者之一所簽章,其次,它屬於其中一個BrowseFox群組。
圖1、在VirusTotal上所看到BrowseFox檔案簽章資訊
圖1顯示從VirusTotal收集的BrowseFox樣本。簽章資訊內的根憑證所有者是VeriSign,它提供程式碼簽章服務。建立這檔案的實體或公司(也就是最終簽章者)是Sale Planet。也就是說這個BrowseFox PUA檔案也是由合法簽章者所簽章。
Mac 最近總是燒燙燙?原來是下載到假的Flash Player,被植入挖礦程式了,詳情請看:Mac 最近總是燒燙燙?原來是下載到假的Flash Player,被植入挖礦程式了
「Mac不會中毒」的神話不再…..
Macbook Air或是 Macbook Pro等的Mac電腦是相當有人氣的。因為Mac一般來說在消費者眼裡存在著「Mac不會感染上病毒」的印象,所以會採取防毒對策的用戶幾乎少之又少。實際上,瞄準Mac的病毒早已存在了。
比如:
專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,
Mac 用戶當心!兩隻遠端存取木馬竊取個資,監看電腦螢幕及記錄鍵盤輸入
首例! Mac 用戶也不能倖免於勒索軟體,「KeRanger」鎖定蘋果 Mac OS X 系統
iWorm為Mac安全防護敲響警鐘?新蠕蟲感染1.7萬台蘋果Mac電腦
WhatsApp 提供 Windows和Mac版?!銀行木馬假好心真詐騙
最近有一則謊稱是蘋果公司將會傳送「用戶的帳號將暫時失效」等的信件,伺機將收件者誘導至類似仿蘋果的登入頁面的釣魚詐騙網站,從去年起已確認到不少不斷地變更各種詐騙的手法了。此時伺機騙取登入Apple Store時或是 iCloud時必須輸入的Apple ID或密碼、個資、信用卡等的資料。 相關報導:將網路用戶誘導至惡意網站,趁機騙取資訊及金錢的網路詐騙已經開始瞄準Mac用戶。 繼續閱讀