文/Qmo | 2020-02-12發表
近期有資安公司發現勒索軟體手法再進化;將攻擊手法轉到已經存在兩年的漏洞進行攻擊:此漏洞為CVE-2018-19320,這個漏洞是屬於硬體驅動程式的權限擴張(存在於主機板或顯卡)。攻擊手法說明如下:
1.利用漏洞潛入系統,並關閉驅動程式的簽章查驗。
2.關閉查驗後,植入惡意驅動程式。
3.利用惡意程式,再關閉防毒軟體的檢查。
4.防毒軟體被關閉後,便長驅直入,進行勒索軟體的安裝。
5.勒索軟體啟動,恭喜您中獎了!
此攻擊手法是針對硬體驅動程式,因此不管您的系統為何,皆有可能受影響。目前在Windows 7、Windows 8、Windows 10皆能成功攻擊。因應此攻擊手法,建議您務必重視以下事項:
●作業系統、防毒軟體都要更新。
●要限縮「管理員權限」的使用者。
●一定要養成定期「資料備份」。若資料更新頻率高,備份的頻率也要提高。
文/Qmo | 2019-03-26發表
由卡巴斯基發現,華碩的更新伺服器遭到ShadowHammer (Operation ShadowHammer)的攻擊,並透過利用ASUS Live Update Utility更新程式,散佈惡意的後門程式。此攻擊事件已長達五個多月時間,受影響的電腦應該為數不少。(上圖的圖表是依據使用卡巴斯基的防毒軟體,且是付費的使用者,所統計出來的資料。台灣使用華碩的筆記型電腦數量頗多,但使用卡巴斯基付費的防毒卻非常稀少!所以,上圖表所顯示台灣只佔2%,是肯定有被嚴重低估的狀況!)
此事件是利用由華碩出的更新程式ASUS Live Update Utility,該程式原本是服務性的程式(讓您不用煩惱驅動程式的更新,會自動為您更新到最新狀態。),卻被拿來當作攻擊的工具。因此,只要您的電腦有安裝到ASUS Live Update Utility,就有可能已經受影響。這邊要釐清一下:若您是購買華碩的品牌電腦(桌上型或筆記型電腦),因為品牌電腦會預載安裝ASUS Live Update Utility,所以比較會是受影響的族群。若您的電腦只是有部分零組件,選購到華碩的產品,並沒有安裝到ASUS Live Update Utility,則不受影響的。
倘若您的電腦是受影響的族群,建議您還是要盡早尋求專業人士的協助,以確保您的電腦是安全的。(何謂「後門程式」呢?說明如下:後門程式的種類繁多,其大致上的功能有 1.為您開機 2.為您關機 3.增、刪您電腦上的檔案 4.監看您的螢幕 5.紀錄您打字 6.幫您打字 7.為您安裝程式 8.為您執行程式…)
圖:示意圖
文/Qmo | 2018-05-18發表
由360 TotalSecurity發現一款WinstarNssmMiner的Monero幣挖礦程式,威力強大到三天就橫掃了50萬台PC。
| 惡意程式: | WinstarNssmMiner |
| 攻擊手法: | 攻擊前會先偵測防毒軟體,一旦判定可下手,即會進行感染。感染後,硬體效能會被吃光;若想要移除它,程式會讓您的電腦當機,相當強悍。 |
| 緩解措施: | 建議先把重要資料作好備份,沒中獎的小心為上。 |
圖:示意圖
文/Qmo | 2018-05-02發表
由趨勢科技揭露的FacexWorm惡意程式,其影響地區有:德國、突尼西亞、日本、台灣、南韓及西班牙。其主要目的為:竊取各式服務的憑證、誘導用戶造訪遭植入採礦程式的網頁,以及挾持加密貨幣的交易等,功能算是非常完整多樣!
| 惡意程式: | FacexWorm |
| 攻擊手法: | 1.使用Chrome瀏覽器者:透過Facebook Messenger散佈偽裝YouTube惡意連結,並誘導使用者安裝擴充程式並同意該連結網站存取資料的權限。然後,再竊取您臉書上的好友名單,擴大感染!
2.使用其他瀏覽器者:您從Facebook Messenger收到的惡意連結會導向廣告頁面。(廣告頁面也可能隱藏許多危險。) |
| 防範措施: | 具備良好的資安習慣: 1.注意可疑的訊息 2.分享前要三思 3.社交網站上採用較嚴格的隱私設定。 |
圖1:由賽門鐵克公佈受影響的產業
圖2:由賽門鐵克公佈受影響的國家
文/Qmo | 2018-04-24發表
資安業者:賽門鐵克於4/23日揭露新駭客團體Orangeworm針對醫療產業,和其相關的上游製造業(醫療供應鏈)、提供醫療機構物流服務的業者、提供醫療機構資訊服務的業者都被盯上。
| 木馬程式: | Trojan.Kwampirs |
| 攻擊手法: | 針對目標對象滲透網路系統並植入木馬,之後會隱匿蹤跡並默默地蒐集分析所獲取的資料,若判定為有價值電腦後就會開始感染其他電腦系統。 |
| 應對措施: | 相關的產業應該積極與自己的資訊部門展開清查並做好防範措施。 |
文/Qmo | 2018-04-16發表
資安業者Cyberbit揭露了一款新的程式碼注入方式,命名為「早鳥」(Early Bird)程式碼注入技術。
| 惡意程式: | Early Bird |
| 攻擊手法: | 於執行緒初始化非常早期的階段,在許多防毒軟體還沒部署Hook前就載入惡意程式碼,而能在不被偵測到的狀態下展開惡意行動。 |
| 緩解措施: | 目前無解,靜待防毒進化。 |
圖/Wandera
文/Qmo | 2018-03-03發表
行動資安業者Wandera本周揭露一款全新的間諜程式RedDrop,迄今確定已寄居於53款Android程式中,暗中進行各種惡意行動。其手法過程我們整理如下:
1.於搜尋引擎購買廣告(報告指出目前最大宗在百度搜尋)導向huxiawang.cn(報告指出該組織申請網域高達4000個)
2.誘導使用者下載並使用含RedDrop的各式APP(影像編輯器、計算機、太空探索或語言學習程式等,每一款看起來都像是能帶來有趣或有用的功能,有高超的偽裝能力)
3.一旦安裝並使用後就會開始祕密蒐集各種資訊並儲存在雲端(蒐集裝置上的機密資料,包括紀錄裝置周遭的聲音、照片、通訊錄或檔案等)
4.將蒐集到的資料作為日後勒索並敲詐您的籌碼
RedDrop是迄今最先進的Android惡意程式之一,不只是因為駭客打造了用來包裝RedDrop的各種繽紛程式,還因為RedDrop具備許多難以追蹤的細節設計,以及複雜的散布管道,可說是個非常完善的作品。
(中央社記者潘智義台北31日電)針對電郵機器人竊取全球7.1億個電子郵件帳號密碼,散布含有銀行木馬程式的垃圾郵件,趨勢科技資深技術顧問簡勝財表示,變更密碼還是最好的方法。
蘋果日報報導,資訊專家近日研究發現,全球有高達7.1億個電子郵件帳號,遭一隻電郵機器人「利用」,散布含有銀行木馬程式的垃圾郵件。
簡勝財指出,7.1億個電子郵件遭到電郵機器人攻擊,只因最初電郵機器人竊得電郵帳號密碼後,再利用偷到的帳號密碼,轉寄新的垃圾郵件、惡意程式,竊取新的電郵密碼,不斷重複的操作下,才會造成這麼龐大數量的電郵遭竊。
他強調,電子郵件密碼遭竊,恐連帶造成使用的臉書、推特或其他服務受影響,因為註冊這些服務要輸入電子郵件帳號,而一般人為了好記,常將電子郵件密碼與其他服務設定相同的密碼,因此一旦電郵帳號密碼遭竊,其他服務也跟著遭駭客入侵。
他呼籲,大家不要怕麻煩,應針對電子郵件和其他服務設定不同密碼,甚至開啟雙重驗證功能,當在網路上操作時,一面也會從手機接到簡訊,將簡訊的驗證碼在電腦頁面上輸入,才可進行下一步驟。
他建議,收到奇怪的電子郵件千萬不要打開,因為裡面可能就是病毒、惡意程式,這些郵件常利用人性弱點,把郵件名稱寫得很聳動,吸引人打開來看。當然為了避免電郵遭駭客入侵,還可以安裝防毒軟體,過濾惡意程式。1060831
根據路透社和多個其他消息來源,在烏克蘭開始的大規模新型加密病毒正在攻擊歐洲和美國並蔓延到其他國家。 一開始受到影響的是丹麥航運公司-馬士基和英國廣告公司-WPP。
這個加密病毒似乎與Petya家族有關,目前ESET已經將其檢測出病毒攻擊行為並歸類為Win32/Diskcoder.C Trojan。
【Petya攻擊行為模式】
Petya惡意軟體攻擊電腦的MBR(主引導記錄),而MBP主要的功能是啟動系統的關鍵部分包含有關硬碟啟動磁區的資料,並有助於啟動操作系統。
如果Petya成功感染MBR,它將對整個硬碟本身進行加密。 如果沒有它也會嘗試加密電腦內所有文件檔案,如同:Mischa。
Petya似乎跟WannaCryptor使用同樣的EternalBlue漏洞進行網路連接,然後透過PsExec進行攻擊。
