美國太空總署遭駭,500MB 火星任務等計畫檔案被竊

NASA 內部調查報告指出,有 500MB 火星任務等內部資料,遭到駭客以一台 Rasberry Pi 電腦接入內網竊走。

根據 NASA 公開的調查資料指出,此起駭侵事件發生在去年四月間;駭客將一台 Rasberry Pi 微型電腦接到 NASA 噴射推進實驗室(JPL)的內部網路中,竊取了近 500MB 的內部資料。

被竊的資料,以火星相關任務的檔案資料為主,共有 23 個檔案。

報告指出,駭客除了取走資料外,同時也入侵了 NASA 所屬的衛星通訊網路;這個通訊網路係用來與 NASA 歷來發射的太空飛行器傳輸資料之用。

去年 12 月,美國司法部控告兩名和 APT10 有關的中國人,涉及駭入 NASA 和美國海軍使用的雲端服務商;資安媒體懷疑這次駭侵事件也和中國政府支持的 APT10 有關。

資料來源:

  1. https://www.zdnet.com/article/nasa-hacked-because-of-unauthorized-raspberry-pi-connected-to-its-network/
  2. https://www.digitaltrends.com/computing/hackers-steal-500-mb-nasa-data-raspberry-pi/

多支 Google Play 店中美肌相機 App 被發現會竊取用戶圖片,甚至導至釣魚網站

趨勢科技發現多支 Google Play 中的美肌相機類軟體,內藏惡意程式,不但會顯示詐騙廣告,將用戶導至釣魚網站,更利用各種刻意隱藏的手法,使用戶難以移除。

趨勢科技發表研究報告,指出在 Google Play 商店中上架的多支美肌相機類 Android App,內藏複雜的惡意軟體程式庫;用戶安裝使用後,會顯示全螢幕的詐騙廣告(例如假冒 Google 名義通知用戶抽中 iPhone X),甚至發送色情圖片,以拐騙用戶到釣魚網站留下個資。

這些 App 還會在安裝後,自已安裝程式清單中將自己隱藏起來,讓用戶難以移除,並且利用各種手段閃避惡意軟體或防毒程式的偵測。

這些 App 的下載用戶,主要以亞洲為最多,特別是印度;其中有三支 App 下載安裝次數超過一百萬次。在趨勢科技報告發表後,Google Play 已移除這一系列的惡意 App。

有鑑於這些 App 防不勝防,資安專家提出建議,用戶在安裝任何 App 前,應該先閱讀 Google Play 中的用戶評鑑,看看有沒有其他用戶反應 App 問題,以免受害。

資料來源:

https://blog.trendmicro.com/trendlabs-security-intelligence/various-google-play-beauty-camera-apps-sends-users-pornographic-content-redirects-them-to-phishing-websites-and-collects-their-pictures/

惡意程式檢測vs防毒軟體 (下)

上期介紹了惡意程式、防毒軟體(靜態分析)以及病毒檢測(動態分析)。靜態分析是透過研究並分析程式碼內容,找出其中唯一的程式碼作為辨識特徵之病毒碼,搭配防毒軟體中之掃描功能,方能自遭受感染的電腦中,找出有問題的惡意程式。

相對於透過特徵值分析惡意程式的靜態分析方法,動態分析方法是將惡意程式放置於沙箱(SandBox)──一個幾乎與實體主機隔絕的環境──中,並於其中促使惡意程式實際執行,觀察該惡意程式的行為並記錄。動態分析本身是著重於惡意程式執行時的行為觀察,即便駭客將惡意程式的程式碼進行更動,則因其執行時仍然進行對受害電腦產生影響的惡意行為,因此不會被混淆分析,仍然可以判斷出該程式為惡意程式。

 

惡意程式vs靜態分析

在此方法中,研究者會先將惡意程式進行反編譯──亦即將惡意程式轉換回程式碼的樣態,並取得惡意程式可能執行的行為及命令等進行相關分析,研究人員會將其中特殊之程式碼片段,指定為特徵辨識用途之病毒碼,彙整之後放入防毒軟體資料庫中供使用者進行病毒防護。若電腦不幸接觸到該惡意程式,則防毒軟體在掃描到惡意程式後,會將其進行反編譯,將程式碼和資料庫中的病毒碼進行比對,若該程式擁有和病毒碼相同之程式片段,則防毒軟體會認定此為惡意程式,並且進行相關處置動作。在以上行為中,研究人員僅是對於惡意程式中的程式碼進行「預測」,判斷此程式是否為惡意程式,因此並未真正執行惡意程式。

而惡意程式為了避免被反編譯、阻止反向工程,在其程式碼中,經常會包含「程式隱匿技術 (Code Obfuscation technique)」,讓解析者無法知道該程式的運作流程和行為。程式隱匿技術原本的作用是用於一般合法軟體中,用來保護程式內容、智慧財產權等,避免軟體的商業機密被他人反編譯後,損害公司之商業利益,或是避免機密性質之內容遭到第三者的竊取和窺視。然而,此種技術卻經常被用於惡意程式中,將自身偽裝成一般正常之程式,規避防毒軟體的偵測。

除了程式隱匿技術之外,阻止軟體被反編譯的還有加殼(Packer)技術,也就是將程式碼用另一段正常的程式碼包裹,保護其中的程式碼不會輕易地被反編譯。在最初,加殼的目的主要是為防止檔案被破解,保護軟體的版權等,但是若此技術被應用於惡意程式中,便是一個防止惡意程式被破解及分析的便利工具。而這樣的加殼,會使得研究人員難以反編譯,進行近態分析動作。

除了以上兩種方法,還有一種透過加密技術(Crypter),將程式碼進行加密,使得惡意程式難以被反編譯以及分析。在加密技術的運行下,會使得研究人員無法順利分析之外,也會因為程式碼經過加密,而規避了防毒軟體的偵測,導致電腦受到惡意程式的侵駭。

雖然靜態分析所需工具和資源較少,並且有一定的準確率,但由於靜態分析並沒有真正執行惡意程式,僅僅是分析程式碼的架構和行為,因此,只要將惡意程式中的惡意行為程式碼隱匿起來,靜態分析便難以準確偵測惡意程式。

 

惡意程式 vs 動態分析

相較於研究程式碼為主的靜態分析,動態分析是實際將程式在幾乎與實體主機隔絕的環境執行,並記錄該程式的行為,若有任何惡意之行為,便可以清楚判斷該程式為惡意程式,可抵禦靜態分析困難的隱匿技術、加殼及加密等,彌補靜態分析的缺陷。在動態分析方法中,多半是以建立沙箱的方式,將惡意程式在其中執行以取得更準確的惡意程式行為。然而,這種方法因需讓惡意程式實際執行,因此所需花費的時間較長,且建立沙箱以及運作所需要的資源和技術都較靜態分析高。此外,若惡意程式裡包含了偵測虛擬環境之功能,則可能被惡意程式偵測到本身處於虛擬環境中,進而不執行或不進行惡意行為以規避研究人員的分析。

為了規避動態分析,最為直接的方式便是偵測程式本身所在的環境是否為虛擬沙箱。由於虛擬化技術往往並非直接與硬體溝通,因此惡意程式便可監測到環境的行為,因而認為自己處於虛擬監測環境中,導致惡意程式停止運作或隱藏其惡意行為,待惡意程式入侵正常電腦後,方開始其惡意行為。

另一種迴避動態分析的方式,是拉長執行時間。有些惡意程式本身會有一定時間的潛伏期,例如電腦遭感染後數天才開始運作、進行惡意行為。由於無從得知、不固定的潛伏時間,即便研究人員將惡意程式放入沙箱中執行,也無法確定該程式是單純的程式或處於潛伏期,待條件滿足後,便會立刻進行竊取或破壞等惡意行為,因此,此種惡意程式對動態分析而言有一定之難度。

除上述兩種規避模式外,還有一種「無檔案攻擊」,顧名思義,這種攻擊一般無實際檔案或下載檔案,而是直接於受害電腦的記憶體中執行。由於此種攻擊無實際檔案,導致研究人員也無實際檔案可供分析,是反制動態分析的一種方式。在動態分析的過程中,一般沙箱會對內部檔案進行隨機掃描,但無檔案攻擊因不使用檔案,使得沙箱無法掃描含有惡意之檔案;並且,此種攻擊不似其餘惡意程式將本身包裝為應用程式,透過應用程式介面(API)進行溝通和惡意行為,無檔案攻擊多半躲藏於系統執行序中,即便沙箱攔截API的資訊,也無從取得惡意程式的訊息;無檔案攻擊通常也包含潛伏之功能,延後惡意行為的執行,招致沙箱有限的觀察時間中,無法順利觀察到惡意程式真正執行惡意行為;甚至此種攻擊往往會移除在記憶體內的感染痕跡,使得研究人員在事後要進行鑑識分析都有其難度。

 

靜態分析 & 動態分析

雖然目前分析技術及設備越來越完備,以及相關工具的進化,針對大部分的惡意程式已可以順利分析。但惡意程式隨著防護及鑑識工具的提升,也會為了避免被分析而增添更多的防護功能。若僅僅透過一種分析方式,難免會因其分析特性的弱點,而產生誤判或無法處理之狀況。因此,必須透過將兩種分析方式結合、互補,方能達到最好之惡意程式防護成效。

靜態分析可能因為隱匿技術而無法判斷,然而,若將該程式放入動態分析環境中,即便該惡意程式經過加殼方式而規避了靜態分析,但該程式要執行時,勢必得自行進行解殼並開始執行,此時,便可以透過動態分析對惡意程式進行分析和判斷,取得準確的判斷結果。

相反地,當惡意程式本身有潛伏期,需數天時間方進行惡意行為。此時,則可以將其程式碼直接進行反編譯,以靜態分析方式觀察並分析,取得其病毒碼,並以此作為判斷之特徵值。

透過靜態分析及動態分析的搭配,可以有效且正確地對惡意程式進行辨識以及後續處理。

為了有效將靜態分析(防毒軟體)與動態分析(沙箱)結合,Virus Check系統透過國家實驗研究院高速網路與計算中心的沙箱以及趨勢科技的防毒軟體,達到全面且完整地對檔案進行分析,減少惡意程式對使用者的威脅。

首先,此系統致力於保護檔案之機密性,由於國際上檢測系統多會將使用者所上傳之檔案分享給付費使用者,導致隱私和機密的流失。

收到檔案後,系統會以防毒軟體進行檢測,同時交予沙箱進行動態分析,將靜態以及動態分析同時且互補地檢驗,以達到最佳檢測成效。

待檢驗完畢後,系統會透過風險值告知使用者該檔案可能為惡意程式之風險為多少,並且附上完整檢測報告供使用者下載。

Virus Check相較於僅進行靜態分析之國際檢測系統,更增添了動態分析之優勢,補足了防毒軟體的不足之處,以獲得完整之分析成果。除此之外,此系統可透過上傳之檔案,建構專屬於台灣之惡意程式資料庫,完整國家資安防線。

為了提高台灣整體資安防護能量、減少感染惡意程式之風險,除了不要下載來路不明之檔案,對於下載之檔案,最好透過檢測系統完整分析,避免電腦遭到惡意程式之威脅。台灣資安能量,需要大家共同參與和努力。

資料來源:

  1. https://www.nccst.nat.gov.tw/ArticlesDetail?lang=zh&seq=1108
  2. http://140.125.45.29/courses/files/network%20security/network%20security%20ch%2016.pdf
  3. https://ithelp.ithome.com.tw/articles/10188209
  4. https://www.itsfun.com.tw/加殼/wiki-9332436-9719216
  5. https://www.itread01.com/content/1551727225.html
  6. https://paper.seebug.org/222/#33
  7. http://speed.cis.nctu.edu.tw/~ydlin/miscpub/indep_study_cywu.pdf
  8. https://www.easyatm.com.tw/wiki/電腦病毒
  9. https://blog.trendmicro.com.tw/?p=49025

銓敘部個資外洩,轉傳個資恐觸法

銓敘部電腦疑遭入侵,59萬筆公務人員個資外洩,相關單位已積極偵辦中。然而,此次個資外洩事件中,據傳有使用者透過Line群組或社群媒體轉傳外洩之個資資料。如此惡意傳遞遭外洩個資,恐觸犯個人資料保護法,請使用者務必小心以免觸法。

在6月22日,行政院收到來自美國、英國、加拿大、澳洲及紐西蘭所組成之五眼聯盟(Five Eyes)之通報,表示由銓敘部外洩高達59萬筆公務員個資,被公告在美國RaidForums網站中,供使用者瀏覽,目前國安局已緊急要求對方將外洩之個資進行下架。

此次外洩之個資,據傳是在2012年6月初即被竊取並外洩,目前個資竊取方式還未能確實掌握,有可能是透過維修人員流出、內鬼所為、甚至遭受駭客入侵等。除此之外,調查人員也發現張貼個資的貼文者,雖使用Google服務中的gmail信箱,但其申請之IP卻來自於中國。由於其中除了一般公務人員的個資外,更包含了情治系統人員的相關資訊,且現今仍有兩萬八千名人員仍在職,影響範圍令相關單位不敢輕忽。

然而,此次個資外洩事件卻引發出了案外案,據傳有使用者收到相關資訊後,將外洩的59萬筆個資透過Line群組等社群媒體進行轉傳,惡意分享個人資訊。實際上,如此傳遞他人個資,恐會觸犯個人資料保護法,即便是家庭或好友等不公開的群體,仍有觸法的疑慮。依照個人資料保護法中第41條,將他人個人資料搜集、處理、利用,意圖為自己或第三人之不法利益或損害他人利益者,恐處五年以下有期徒刑、得併科新台幣一百萬元以下罰金。

因此使用者即使透過管道取得相關個資,建議直接刪除,不可進行其他不法用途,甚至分享給他人,都是觸法之行為。請使用者多加注意,以免在不知情的狀況下觸犯了法律。

Gmail、Google 日曆等服務,已成釣魚郵件與惡意軟體有效散布管道

卡巴斯基發表研究報告,指出用戶眾多的 Gmail 和 Google 日曆等 Google 雲端服務,現在也成為釣魚郵件與惡意軟體散布的有效管道。

資安公司卡巴斯基指出,用戶眾多,使用便利的 Google 各種雲端服務,目前成為駭侵團體發動釣魚郵件並散布惡意軟體的有效管道。

詃公司近來發現,包括 Gmail、Google 日曆、Google 相簿、Google 線上表單、Google Drive 和儲存空間,甚至連網站分析工具 Google Analytics,都傳出駭客利用來散布釣魚垃圾信與惡意軟體的案例。

以 Google 日曆為例,駭客可以透過發送假的行程邀請給受害者,並在邀請中置入惡意軟體連結;通常用戶對於行程邀請的防備心較薄弱,再加上日曆服務不像 Email 一樣多半備有成熟且較精準的垃圾與病毒偵測機制,因此用戶中標比例更高。

同樣的,駭客也會透過共享 Google Photos 相片,來發送夾帶惡意連結的通知信;由於通知信是用 Google Photos 的系統發出,因此用戶不易起疑。

在卡巴斯基的報告中,分享了更多利用 Google 服務發送惡意連結的案例,頗值參考;用戶在收到任何來自 Google 服務的通知或邀請時,也應該仔細檢視發送者,來自不明發送者的邀請不要點開,疑似詐騙或夾帶惡意連結的應立即檢舉。

資料來源:

  1. https://usa.kaspersky.com/blog/spam-through-google-services/17799/

資安研究單位指出,Email 仍是最主要的駭侵攻擊目標

多家資安研究單位共同指出,雖然現今各種駭侵方式日新月異,Email 仍然是最主要且最容易的駭侵管道。

綜合各家資安研究單位針對 Email 易遭攻擊的研究資料,有以下發現:

  • Mimecast 指出,過去一年以來有高達 73% 的公私營單位曾遭假冒身分攻擊並造成損失;其中 55% 的攻擊是釣魚信件。
  • Mimecast 又說,同時也有 53% 的公私營單位曾遭勒贖信件攻擊;一年前的比例是 26%。
  • Proofpoint 表示,2019年第一季觀察到的惡意檔案攻擊,有 61% 和 Emotet 有關;Emotet 是一個能發動各式攻擊的 botnet,會透過垃圾郵件等方式來夾帶惡意檔案。值得注意的是,在郵件中放置惡意檔案下載連結的攻擊方式,五倍於直接夾帶惡意軟體檔案。
  • Proofpoint 也說,愈來愈多攻擊事件透過社交工程發動 Email 攻擊。

資料來源:

https://usa.kaspersky.com/blog/spam-through-google-services/17799/

僵屍網路(Botnet)攻擊布署,由 Windows 轉向 Linux 與 IoT 設備

資安研究指出,駭侵團體布署僵屍網路(Botnet)的主要目標,已逐漸由傳統的 Windows 主機,轉移至 Linux 與 IoT 裝置上。

資安公司 NSFOCUS(北京綠盟科技)近日發表研究報告,指出以僵屍網路發動 DDoS 大規模攻擊的形態正在改變;駭侵團體布署大批僵屍網路的對象,正由過去的 Windows 電腦逐漸轉移到為數更多的 Linux 主機與 IoT 裝置。

NSFOCUS 的報告中含蓋該公司所監測到 2018 年的各種僵屍網路 DDoS 攻擊,並且羅列以下觀察統計數字:

  • 去年該公司偵測到 111,472 次僵屍網路的攻擊指令,遭攻擊的目標共有 451,187 個,較 2017 年增加4%;
  • 美國(2%)和中國(39.78%)是僵屍網路 DDoS 攻擊的全球前兩大受害國;
  • 最容易受到 DDoS 攻擊的網站是線上賭博和色情網站,共遭到 29,161 次攻擊,平均每天被攻擊 79 次;
  • 被植入惡意軟體發動 DDoS 攻擊的平台,由 Windows 快速轉移到 Linux 主機和各種 IoT 裝置。

資料來源:

  1. https://www.helpnetsecurity.com/2019/06/20/botnets-shift/
  2. https://finance.yahoo.com/news/nsfocus-shares-botnet-trends-2018-130000923.html

Telegram 遭受來自中國的大規模 DDoS 攻擊

廣受用戶歡迎的全程加密通訊服務 Telegram,日前遭到來自中國的大規模 DDoS 攻擊;由於某抗議行動參與者大量使用 Telegram 進行溝通協調,資安專家懷疑此次攻擊可能和此相關。

Telegram 在抗議行動擴大時,於其官方 Twitter 上發出警示,表示正遭大規模強力 DDoS 攻擊,部分美洲和其他國家用戶可能會發生連線不穩狀況。

Telegram 也說,該次攻擊明顯是有人發動 Botnet 進行同時大量連線;當天的攻擊時間約持續一個多小時。

據 Telegram 執行長表示,這次攻擊幾乎所有來源 IP 都屬於中國所有,攻擊規模達到每秒 200~400 Gb。

據科技媒體 TechCrunch 表示,四年前當中國開始大規模搜捕人權律師時,Telegram 也曾同步遭到 DDoS 攻擊。

資料來源:

  1. https://twitter.com/telegram/status/1138768124914929664
  2. https://twitter.com/durov/status/1138942773430804480
  3. https://techcrunch.com/2019/06/12/telegram-faces-ddos-attack-in-china-again/

CloudFlare 多個代管網站因 BGP 路由洩露,一度無法連線

全球最大級的 CDN 服務商 CloudFlare,昨日因 BGP 洩露錯誤,導致多個知名大型網站的路由被錯誤導向,服務中斷長達近兩小時。

造成路由洩露錯誤的事主,是美國大型電信公司 Verizon;詃公司在進行 BGP 設定時發生錯誤,導致 CloudFlare 代管的多個大型網站流量,被錯誤導向至美國賓州某家小公司的網站。

這個錯誤導致包括 Overcast、WP Engine、Sonassi、Discord 等知名網路公司的服務中斷長達近兩小時。

這次的 BGP 路由洩露錯誤可能屬於無心之過,但 BGP 可被有心人士用來當做攔截網路流量的攻擊武器。本月初就曾發生過歐洲的行動網路通信流量被錯誤導到中國電信的事件,而且時間也長達兩小時。

資料來源:

  1. https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/
  2. https://www.datacenterdynamics.com/news/bgp-route-leak-causes-cloudflare-outages-aws-issues/
  3. https://www.cloudflare.com/learning/security/glossary/bgp-hijacking/

美國佛州小城為求解開被加密檔案,同意支付六十萬美元贖金

美國佛羅里達州的利維拉市,決定支付駭客六十萬美元贖金,以求解開被勒贖軟體加密的市政相關檔案。

佛州利維拉市約在三星期前遭到勒贖軟體攻擊,原因疑似為一名公務人員誤點釣魚郵件的連結,導致該市市政檔案遭到加密,更造成 Email 系統停擺、政府雇員薪資無法透過轉帳發放,僅能以手開支票支付;另外消防隊也無法透過電腦接聽報案來電。

據報導,利維拉市議會投票通過以比特幣支付六十萬美元贖金,是接受多家外部顧問公司的建議而行。另外議會也決議撥款一百萬美元,購置全新的電腦系統。

近來各公私單位遭勒贖軟體攻擊的案件日趨增加,雖然美國聯邦調查局(FBI)在其網頁呼籲不要繳付贖款,但不少受害單位別無選擇。

美國政府指出,去年有兩名伊朗人涉嫌發動超過二百起勒贖攻擊,造成至少三千萬美元的損失;歹徒不法獲利高達六百萬美元,而且至今依然逍遙法外。

資料來源:

  1. https://apnews.com/0762caec21874fc09741abbdec0f78ab
  2. https://www.techspot.com/news/80595-florida-city-agrees-pay-ransomware-hackers-600000-unlock.html