資安公司趨勢科技統計,近半年內LINE@帳號有超過900個為假冒

根據資安防毒大廠趨勢科技統計,最近4個月內,他們發現臺灣有超過900個LINE@官方帳號是假冒,突顯詐騙集團運用假LINE@帳號詐騙的問題,越來越不容忽視。

即時通訊軟體LINE上的假官方帳號問題頻傳,導致臺灣眾多民眾及品牌店家深受其害,問題不斷重演。

根據趨勢科技防詐達人小組在近半年時間的調查,從今年3月20日至7月9日止,臺灣LINE@帳號累積了超過900個假冒帳號。

在散布的內容上,其中高達一半的比例,是贈送假官方貼圖,也有1/4比例是贈送假優惠訊息。而目前臺灣知名品牌遭盜用的例子,包括像是巴克、王品、中油、全聯、7-ELEVEN與全家便利商店。

儘管這樣的事件,LINE公司與165反詐騙,都向民眾做了不少宣傳,如何辨識不同的LINE官方帳號,畢竟LINE已經是國人普遍使用的通訊軟體,但還是有不少民眾誤信加入後,詐騙集團隨即取得民眾個資。

像是,在上週五至週日期間,一起假冒知名連鎖餐廳與分享券的事件,據該資安公司的防詐達人小組統計,就有超過6萬民眾被騙。

關於LINE官方帳號被假冒的問題,也就是LINE@生活圈帳號被濫用的情形。簡單來說,在LINE官方帳號的機制下,LINE@帳號分為3種級別,包括(一)綠色盾牌的官方帳號、(二)藍色盾牌的認證帳號、(三)灰色盾牌的一般帳號。前兩種需要經LINE@官方審查,但第三種則不會經過審核的程序,由於申請費用皆為免費,因此容易遭到濫用。

例如,詐騙集團免費申請了LINE@的一般帳號,然後取名與某家知名品牌相近,由於不需要經過驗證,因此利用魚目混珠的方式,以及贈送假官方貼圖等手法,進而假冒並詐騙。

由於一般民眾可能不容易分清楚,這些LINE@帳號的差異。因此,LINE公司近年不斷在宣導,告訴用戶如何識別LINE假帳號。但是,由於仍有不少民眾遭受影響。面對這些LINE@帳號遭濫用的情況,官方可能也要祭出更嚴格的手段,來解決這樣的問題。

另外,我們也進一步向趨勢科技詢問,他們是如何掌握這些資訊,畢竟LINE假官方帳號問題頻傳,但很少看到相關統計數據。趨勢表示,為了讓數據更加準確,在來源上參照了不同管道包含刑事局公佈的資訊、各論壇的討論、用戶回報、趨勢團隊搜尋等,匯集所有數據後以提供判別比對。

至於目前勢科技防詐達人小組的成員與背景,他們也有進一步說明。他們目前的成員約十名,包含資安工程師與資料分析師等,絕大部分的成員都是自己或家人曾經是詐騙的受害者,小組草創之初,其實是自發性地想要去做個工具去幫助自己的家人和朋友。關於更深的技術能量部分,他們則表示,由於詐騙集團也會見招拆招,所以不方便透露太多。

(圖片來源:LINE官方部落格)

 

資料來源:資安公司趨勢科技統計,近半年內LINE@帳號有超過900個為假冒

資安業者警告:近5億IoT裝置曝露在DNS重新綁定風險中

由於IoT裝置製造商通常假設同一網路中其它裝置是可靠的,因而這些IoT裝置的預設值都是採用未加密的HTTP服務,同時信賴由瀏覽器所送出的惡意命令,使得駭客可以發動DNS重新綁定攻擊。

致力於消除IoT安全盲點的Armis上周指出,估計有4.96億的IoT裝置曝露在DNS重新綁定(DNS rebinding)的攻擊風險中,包含印表機、監控攝影機(IP Camera)、IP電話、智慧電視、網路設備,以及媒體串流裝置等,由於某些設備於企業中廣泛使用,因此幾乎所有的企業都潛藏DNS重新綁定風險。

DNS重新綁定主要利用了瀏覽器的安全漏洞,允許遠端駭客繞過受害者的防火牆,並以瀏覽器作為與內部網路通訊的媒介。

駭客要執行DNS重新綁定攻擊通常是先替惡意網域設定一個客製化的DNS伺服器,誘導使用者造訪惡意網域之後,瀏覽器就會請求該網域的DNS設定,該DNS伺服器先回覆一個存活期(TTL)極短的IP位址,使得瀏覽器必須再重新提出DNS請求,但這次回覆的卻是惡意的IP位址,只是瀏覽器仍舊以為自己所造訪的是同樣的網域,而形成DNS重新綁定。

之後駭客就能以瀏覽器作為跳板,存取與瀏覽器同一網域中的IoT裝置,包含存取IoT裝置的資訊,或是傳送命令予IoT裝置,繼之就能建立IoT裝置與駭客C&C伺服器之間的通訊管道。

導致駭客能掌控IoT裝置的原因之一為裝置製造商通常假設同一網路中的其它裝置是可靠的,因此這些IoT裝置的預設值都是採用未加密的HTTP服務,同時信賴由瀏覽器所送出的惡意命令。例如企業內部的印表機通常採用預設配置,而成為DNS綁架攻擊的理想目標,一旦被駭,駭客就能下載印表機曾掃描、儲存或緩存的文件。

Armis估計有87%的交換器、路由器或AP,78%的串流媒體裝置,77%的IP電話,75%的監控攝影機,66%的印表機或是57%的智慧電視都曝露在DNS重新綁定的安全風險中,建議企業應清查及檢測內部所有的IoT裝置,進行IoT裝置的風險評估,關閉諸如UPnP等不需要的服務,變更每個IoT裝置的HTTP伺服密碼,以及定期更新軟體等。

資料來源:資安業者警告:近5億IoT裝置曝露在DNS重新綁定風險中

當年,雲端教父如何成功讓Netflix成為第一間完全上雲的大型企業

在2010年10月之前,幾乎沒有人相信,大型企業真的可以全靠雲端,徹底取代資料中心。當時擔任Netflix雲端架構長,而現在是AWS雲端架構策略副總裁的Adrian Cockcroft,他的一場演講,從此改變了許多人的想法。而且,那是他第一次完整揭露Netflix的上雲之旅

關於這趟旅程,起點是2008年8月的一次SAN儲存設備故障事件,足足讓Netflix的關鍵資料庫系統當機2天,當時因為無法查詢訂單資料,一連3天,沒有寄出任何一片顧客租借的DVD影片。大家都在問Netflix怎麼了!Netflix是全美最大的DVD租片服務公司,顧客透過網站租片,過兩天就會在自家郵箱收到,看完再用回郵信封寄回。

這次事件讓Netflix開始反省,就算砸大錢,買來業界最高階的Oracle資料庫系統,搭配最頂級的硬體設備設備,為何還是會出錯?當時Adrian Cockcroft是網站工程團隊的總監,他開始意識到:「服務可用性的主角應該是應用程式,而不是硬體。」而順著這個思路進一步發現,其實,Netflix不見得需要昂貴的硬體,而是可以考慮租用便宜的雲端環境,也許就夠了。

這並不是Netflix獨到的經驗,很多企業資訊主管遇到當機事件時,都會有同樣的反省。但是,「得等到出現外在危機的壓力,企業才會真的願意採取行動,我們也是。」Adrian Cockcroft事後回憶。

Netflxi在2010年4月公開上雲計畫,所有人都不看好,直到年底公開了這張AWS架構圖後,才讓大家意識到,大型企業真的也可以上雲。

 

全球布局的外部壓力浮現,才下定決心上雲端

這個來自外部的壓力,出現在2009年。Netflix除了租片服務,從2007年也開始在美國提供線上影片串流服務,當年2月,Netflix宣布累計出借了10次億份DVD,但他們的串流服務人數,遲遲沒有突破1千萬用戶。

之後,Netflix在2010年進軍國際市場,而為了解決DVD全球寄送的問題,Netflix決定改變,開始主推線上串流服務。這也讓Adrian Cockcroft開始思考,新業務帶來的挑戰有多大。

原有的DVD出租生意,顧客大約每周使用一次Netflix網站來租片,須等到DVD寄到顧客手上看完後,顧客才會再次上站來租片,寄送的時間,往往決定了顧客下次何時再上線挑片的頻率,而這個頻率大約是每人每周一次。

但是,線上串流服務的挑戰完全不同,Netflix串流服務顧客每天大約可以可以觀賞5到6段影片,租片量是DVD租片的10倍以上,而影片還提供個人化瀏覽服務,顧客會花更多時間上站選片,甚至顧客看到一半停下來,網站還要記住他當時所看到的進度,下次再繼續播放。根據Adrian Cockcroft估計,串流顧客與Netflix官網的互動(瀏覽)頻率,大約是租片顧客的100倍。

換言之,租片量10倍成長,顧客互動次數增加100倍,兩者相乘,租片顧客改用串流服務後,每周帶來Netflix資料中心的流量成長,是過去的1千倍。只要有0.1%的用戶改用串流服務,Netflix資料中心承受的流量規模,就要翻倍。

轉移前端系統時,Netflix的策略是,先從最簡單的網頁開始轉移,一次只將網站上的一頁服務搬上雲端。這是Netflix第一個搬上AWS的網頁。(資料來源:Adrian Cockcroft)

 

IT未來要考慮全球顧客的參與度

從IT營運模式的改變來看,Adrian Cockcroft指出,過去IT只需考慮到,以員工人數來決定系統的擴充規模,但未來IT要考慮全球顧客的參與度,以此決定擴充規模。這個數位轉型壓力是根本性的變革,從服務數百、數千人,到服務全球顧客,而且要提供24小時服務。

2009年時,Netflix有兩個選擇,第一是雇用一個世界級資料中心維運團隊,未來需要多少用量,就預先建置多少資料中心。第二個選擇是使用Netflix競爭對手AWS提供的雲。當時的Amazon Prime影片串流服務,是Netflix最大的競爭者。「選擇自己蓋資料中心,還是租用競爭對手的服務,改把錢花在內容和開發者身上。」Adrian Cockcroft表示,這是當年經營高層最頭痛的抉擇。

還有一個難題,促使Netflix最後決定上雲端。那就是進軍全球市場後,Netflix串流服務也會整合到多種播放裝置上,不只是電腦,還增加了iPhone、Wii、PS3和Xbox的版本,未來的成長規模幾乎難以預測。如何滿足至少是1千倍的擴充需求?Netflix決定開始認真評估,了解搬上雲端的風險。

首先,考慮AWS業務和Amazon Prime服務的關連,後來Netflix高層也直接聯繫Amazon創辦人,確定兩者各自獨立運作。其次是要測試AWS的能耐,評估AWS的擴充能力,能否勝過自行建置資料中心的速度。後來,Netflix簽署AWS 第一個企業授權契約,直接上網用信用卡刷卡就完成這件事。

直到2010年4月,Netflix開始公開即將上雲的消息,Adrian Cockcroft表示,大家都覺得他們瘋了,因為他們是第一家這麼做的大企業。不過,早在2009年,Adrian Cockcroft率領的網站工程團隊,就展開上雲轉移的作業。而這個過程的第一步,是先檢視那些不會直接面對顧客的系統,決定先將影片編碼(Movie Encoding)伺服器放上AWS的EC2。因為,這類影片編碼服務需要大量機器來運算,但現有資料中心的空間並不足以擴充。

選定搬遷的目標後,下一步就是要測試EC2的擴充能力,Adrian Cockcroft表示,那次一口氣向AWS提出要求,想在一小時內要取得3千臺EC2虛擬機器,後來,真的拿到了,也才讓Netflix相信,雲端真的可行;接著,就真的把影片編碼的實體主機關了,全部搬上EC2。影片編碼的處理,租用了數千臺EC2實例來組成運算農場,當時還用了不少Windows環境的影片轉碼軟體,處理了上萬部影片,而為此而儲存在S3的資料量,已經高達PB級。

除了影片編碼,第二步則是改將大量的網站存取日誌放上雲端,尤其是所有串流服務的日誌。Netflix有太多想紀錄追蹤的資訊,都改用S3來儲存,這些日誌資料每天的成長量也是TB級。最後,利用Hadoop來分析,還和AWS合作整合Hive SQL來設計資料超市,再整合到Netflix內部資料中心的BI系統上。

2010年初,Netflix就決定不再蓋資料中心了,並且在年初開始也把串流服務的後端系統搬上雲,例如像是DRM金鑰管理、用戶重播書籤服務、高可用設計的「播放」按鈕服務等。

Netflix還決定要在2010年底前,要把前端系統和用戶端設備的API服務,也都搬上雲端。當時,多數後端系統仍部署在資料中心內,不過,前端上雲後,機房就可用於擴充後端系統。

過去IT只考慮服務員工數,來決定系統規模,但未來IT要考慮全球顧客的參與度,來決定擴充力道,這個數位轉型壓力,是根本性的變革。──雲端教父 Adrian Cockcroft

 

2010年底官網前端系統全面上雲

「我們沒有備案!一定要在年底前將網站前端搬上AWS。」那時,Netflix每次經營會議時,都會秀出一張圖,上面有一臺準備起飛的飛機,代表著Netflix,軌道盡頭就是樹林,「到了年底,沒有飛上雲端,就會撞上樹林。」Adrian Cockcroft強調。在2010年12月初,完成官網最後幾頁的轉移,過程沒有發生任何一次當機,Netflix順利飛上了雲端。

原本,Adrian Cockcroft一開始設計了一個漸進式轉移的作法,但他的老闆直接指示:「全部砍掉重練!頂多留下你覺得有用的10~20%,你不要的程式碼,一行都不要留。」他希望趁著重新設計的機會,要求Adrian Cockcroft設計可符合未來5年需求、兼顧效率和生產力的新架構。「因為,我們不想成為一味節省成本的公司,而要追求業務速度。」Adrian Cockcroft表示。

除了重新打造新架構,在轉移前端系統時,Adrian Cockcroft的策略是,先從最簡單的網頁開始轉移,逐次將網站上的一頁服務搬上雲端,並且先從最簡單的API服務開始轉移,其次是轉移對應的頁面,然後再進行下一個API和下一個頁面。同樣的作法,先套用到其他服務頁面,再來,才是轉移其他不同資料來源的頁面。

因為是一頁一頁地轉移上雲端,因此,他們也採取雙軌系統並行。用戶先登入位於資料中心的舊版官網網頁、後端系統和登入服務,再挑選合適網頁,切換成由雲端提供服務的版本給顧客。一旦出現問題,可以馬上切換回來,因為採取標準HTTP轉址來切換,因此,顧客不會察覺。

在資料轉移的策略上,原有系統資料都儲存在Oracle資料庫中,先利用Oracle遠端副本功能,在雲端建立一份副本資料庫,多數用戶只是需要查詢資料,就先由雲端資料庫來提供,只有用戶需要更新記錄時,才連回資料中心的Oracle資料庫來修改。

2011年決定全面上雲端後,新的挑戰是如何備份。過去,Netflix採用磁帶進行離線備份,來保存系統記錄。上了雲端後,Adrian Cockcroft不想把資料再運回本地端資料中心來備份,因此,改而不同的服務區域,建立不同的AWS帳號,利用不同帳號的S3服務,來提供另一個備份。

此外,所有系統記錄資料不會刪除,而是採取每90天自動執行清除程式,將資料壓縮備份到歸檔區的S3帳號,因為可預期這些資料存取頻率不高,壓縮資料的時候,也以縮小容量為主,而不用考慮解壓縮速度來節省空間。後來AWS推出了超便宜的歸檔服務Glacier,就有更彈性的備份策略可用。

後來,Netflix發現,上雲的決定是正確的作法。因為拓展到全球市場後,光是2009年第三季到2010年第三季,一年內串流服務就成長了145%,從原有的1千萬名用戶,增加到1,600萬人。更大的挑戰是,到了冬天,大家都待在家裡看電視,從感恩節到聖誕節期間的串流影片需求,將會大爆發。2011年時,Netflix就決定,全面上雲,連後端和全部資料都要搬上去,不過,仍有少數資料轉移不易,例如,當時有些支付法規遵循的要求,規定資料必須落地。結果,他們花了7年時間,直到2016年1月,Netflix才完成所有雲端轉移工作,並且關閉了資料中心的最後一臺機器。

 

數位轉型三階段:速度、規模,以及策略

從Netflix上雲的經驗,Adrian Cockcroft歸納,企業數位轉型的途徑可分成三階段。第一,是先追求速度,採用新架構,例如將所有JAR元件都微服務化,就不用每隔兩周得關機10分鐘來更新,或是統一服務設計模式,而不是共用一套標準程式碼,同時,還將複雜糾纏的服務API,改為功能分明的分層式架構。這些設計,後來讓Netflix的雲端架構,成為微服務架構的經典參考範本。

「有了速度,下一步才追求規模。」他解釋,例如,透過水平式擴充架構,滿足越來越多服務上雲後的運算需求,還要提高利用率。數位轉型的最後一個階段,就是策略性轉型,目標是徹底取代資料中心,將關鍵應用搬上雲端。

Netflix租用了超過10萬個EC2虛擬機器,來服務遍布全球130多國市場的上億名用戶。根據Netflix統計,從2007年12月到2015年12月為止,每月串流服務播放總時數,成長了1千倍以上。正是因為當年上雲端的決定,才能支撐起這樣的千倍的發展速度。

 

 Profile 

雲端教父 Adrian Cockcroft

1982年:進入劍橋顧問公司擔任軟體工程師,一待就是6年,專責開發即時嵌入式訊號處理和控制系統,後來還兼職擔任Unix系統首席管理員。

1988年:進入昇陽電腦,任職長達16年,直到2004年才離開昇陽,他不只熟諳雲端技術和軟體技術,更是高效能電腦技術的專家,最後成為昇陽高效能工業計算(HPTC)部門的首席架構師。在昇陽期間,也有多本高效能電腦的相關著作,例如他是《Sun Performance and Tuning:Java and Internet》第二版一書的第一作者,這是暢銷的HPC調校參考書之一。

2004年:離開昇陽後,9月轉而進入eBay工作,主要參與多項創新計畫,也是eBay Research Lab創始團隊成員之一。早在iPhone和Android問世之前,Adrian Cockcroft就開始研發自製手機和先進行動應用。

2007年:進入Netflix,擔任網站工程團隊總監,負責Netflix首頁開發,以及打造個人化選片服務,尤其是研發背後的演算法,也參與了Netflix Java系統重構計畫,也就是SOA架構的導入。

2008年8月:一場SAN儲存設備大當機,Netflix開始考慮採用雲端。Adrian Cockcroft是關鍵評估者之一。

2009年:Netflix開始展開雲端轉型之旅,先將內部系統搬上雲端AWS,例如影片編碼。

2010年:進一步將網站前端系統全部放上AWS。

2010年4月:Netflix開始宣布上雲端計畫。

2010年12月:正式完成官網上雲端轉移。

2011年:開始將後端系統搬上雲端。

2013年:Netflix也大方公開了這套轉型上雲端的經驗,甚至打包自己開發的工具和架構設計範本,開源推出了NetflixOSS平臺,這也成了設計雲端原生架構的最佳實務參考之一。

2014年:Adrian Cockcroft離開Netflix,轉而進入Battery Ventures創投擔任技術院士,從更宏觀的角度,來觀察科技產業、網路新創、創新技術的發展。

2016年1月:Netflix最後一批資料搬上雲端,完成了為期7年的雲端之路。

2016年10月:Adrian Cockcroft進入AWS擔任雲端架構策略副總裁,不只帶領AWS的開源推動工作,也開始到各國分享自己一路參與雲端架構發展的經驗。

2018年6月:Adrian Cockcroft首次來臺分享數位轉型經驗和雲端發展策略。

資料來源:當年,雲端教父如何成功讓Netflix成為第一間完全上雲的大型企業

駭客將惡意腳本寫入圖片元資料中,並交由Google伺服器託管

惡意程式碼被圖片原本的功能掩護,安全程序也不會針對圖片元資料進行掃描,資安公司Sucuri還提到,沒有適當的方法向Google檢舉有問題的圖片,這些多是提高惡意圖片存活時間的原因。

資安公司Sucuri揭露,他們發現了一張Pac-Man.jpg圖像中的EXIF資料存在惡意軟體,而這張圖片被託管在Google的伺服器上,Sucuri提到,過去他們也看過類似的手法,但是惡意軟體通常被存在Pastebin和GitHub這類文字型的託管服務上,而要發現文字檔案中的惡意程式碼是比較容易的,圖片中的惡意意圖受到良好的掩護,除非特別檢查元資料,否則難以發現。

Sucuri找到了一個偷取PayPal安全權杖的惡意腳本,這個腳本讀取了一張託管在Google伺服器圖片的EXIF資料,這張Pac-Man的圖片來源不明,可能是駭客以Google帳戶上傳。惡意程式碼隱藏在圖片的UserComment部分,這串資料以Base64編碼,經過解碼後,Sucuri認為這些是一個腳本,可以用來上傳預先定義的Web shell、任意檔案、置換網站頁面,並且透過電子郵件寄送被攻擊成功的網站位置給駭客。

Sucuri提到,在過去的案例,利用圖片的EXIF資料來隱藏惡意軟體,很少會被安全程序掃描,因此駭客們通常都會瞄準那些可靠且受信任的伺服器,在上面託管這些惡意腳本來源,以便可以長久地從任何受駭網站下載這些腳本。之前的例子通常都是在Pastebin和GitHub上被發現,不過文字文件反而容易被發現。

圖片是很好的惡意程式碼載體,由於這些圖片本身就是真實的圖片,惡意程式碼被圖片原本的功能掩護,除非特別去檢視這些圖片的元資料,並且以特定方式解碼,否則完全無法發現其中隱藏了惡意意圖,另外,Sucuri表示,要將googleusercontent.com上有問題的內容,回報給Google非常困難,雖然Google有許多工具可以刪除內容,但是卻沒有一個適當的方法,可以回報圖片中有問題的元資料,多數他們的工具都是要求侵權內容的原始貼文連結、頁面或是評論等。

上述這個Pac-Man圖片並非一個公開的內容,也無法得知是哪一個用戶建立的,也無從得知駭客透過Google的哪一個服務,將這個惡意圖片上傳到googleusercontent.com上,Sucuri認為在Google伺服器上有惡意程式碼的圖片,可能會比Pastebin等類似服務上的文字檔案存活得更久。

 

資料來源:駭客將惡意腳本寫入圖片元資料中,並交由Google伺服器託管

中國製掃地機器人Diqee 360被爆含有安全漏洞

研究人員在掃地機器人上發現兩個漏洞,其中一個可自遠端駭客掃地機器人,控制移動或觀看掃地機器人拍攝的影像,或用於執行分散式阻斷服務攻擊或挖礦。

資安業者Positive Technologies本周指出,由中國業者締奇(Diqee)所生產的360掃地機器人含有兩個安全漏洞,成功地開採將允許駭客自遠端控制掃地機器人,甚至是攔截掃地機器所處Wi-Fi網路上所傳送的資料。

360掃地機器人除了具備自動吸塵、掃地與拖地功能之外,還配備視訊攝影機以提供遠端監控能力,售價為2999元人民幣(約13,750元新台幣)。

Positive在360掃地機器人上發現的第一個安全漏洞為CVE-2018-10987,該漏洞存在於 REQUEST_SET_WIFIPASSWD功能中,它是一個UDP(User Datagram Protocol)命令,駭客可藉由掃地機器人的MAC位址在網路上找到該裝置,並傳送一個UDP請求,就能以Superuser權限自遠端執行命令。成功的開採還必須登入該裝置,不過,許多360掃地機器人用戶並未變更其預設名稱與密碼,而讓攻擊變得更簡單。

此一漏洞允許駭客從遠端控制360掃地機器人,包括讓它移動或觀看掃地機器人所拍攝的影像,也能用它來執行分散式阻斷服務攻擊或挖礦。

第二個CVE-2018-10988漏洞則是藏匿在掃地機器人的更新機制中,不過駭客必須實際接觸360掃地機器人,把惡意程式嵌入microSD卡中的更新文件夾,根據所植入的惡意程式控制掃地機器人,甚至能攔截掃地機器人所處Wi-Fi網路上所傳遞的任何資訊。

研究人員認為,這兩個安全漏洞可能也影響其它與360掃地機器人採用同樣視頻模組的IoT裝置,包含戶外監視器、數位錄影機(DVR)與智慧門鈴,或是其它由締奇代工的掃地機器人。

 

資料來源:中國製掃地機器人Diqee 360被爆含有安全漏洞

駭客利用改版Magniber勒索軟體再度發動攻擊,目標鎖定臺灣等多個亞洲國家

對於勒索軟體多半優先針對歐美國家下手的印象,如今要徹底改觀了。Malwarebytes的研究團隊指出,他們發現新的Magniber勒索軟體樣本,鎖定多個亞洲國家的使用者,當中也包含了臺灣。

一般來說,論及勒索軟體攻擊,不少人的第一印象,可能是這種手法會透過受害電腦橫向感染,然後大肆擴散到全球各地。但其中有些勒索軟體家族,只針對特定的國家才會下手。例如,去年10月出現的Magniber,就僅對南韓的電腦發動攻擊。而這個月月初,Malwarebytes研究團隊發現,駭客再度翻新這個勒索軟體,目標則鎖定在使用中文、韓文或是馬來西亞語的國家,其中包含了臺灣在內。

根據Malwarebytes研究團隊指出,他們針對Magnitude網站滲透工具(Exploit Kit)進行研究,發現駭客近年來利用這套滲透工具,散播多款勒索軟體,例如,去年發現的Magnigate與Magniber,以及今年4月出現的GandCrab等,而最近的新版Magniber勒索軟體,則是結合這些惡意軟體的攻擊特徵,也就是鎖定特定國家的使用者,並且利用時下最新的軟體漏洞。

相較於前述同樣利用Magnitude散播的惡意軟體,Malwarebytes研究團隊表明,新的Magniber樣本還有多個明顯不同的地方。像是程式碼更為精簡,但同時也加入了混淆的內容。而值得留意的是,在執行電腦檔案加密的過程中,這個勒索軟體可離線執行,不再需要連線到C&C中繼站。

新的勒索軟體樣本的攻擊範圍,也不再局限於南韓。在Malwarebytes揭露的細節中,鎖定對象也包含了澳門、新加坡、中國、臺灣、汶萊,以及馬來西亞等國。

Malwarebytes研究團隊分析了新的Magniber勒索軟體,發現它會如圖中檢查受害者電腦所採用的語系,首先依序偵測中文(澳門、中國、新加坡、臺灣),再者判別是否為韓文或馬來西亞語(汶萊、馬來西亞)。如果都不是上述語系版本的作業系統,這個勒索軟體就會終止執行。

這種只限定特定地區目標的做法,在去年的發現Magnigate與Magniber勒索軟體,兩種樣本就出現這樣的特性。其中,Magniber更是專門鎖定南韓,若是受害電腦並非使用韓文語系的作業系統,這個勒索軟體非但不會發動攻擊,還會將自己刪除。

而今年4月的GandCrab,則是在滲透的手法上,利用了相當近期的軟體漏洞,它使用了今年1月發現的Flash零時差弱點CVE-2018-4878。根據Malwarebytes近期的研究發現,他們從Magnitude網站滲透工具中,發現新的Magniber利用的弱點,是最新的IE弱點CVE-2018-8174。雖然上述的弱點,Adobe與微軟都已經提供相關的修補程式,但若是使用者沒有安裝,便還是有機會受到這些勒索軟體攻擊。

Malwarebytes研究團隊認為,雖然他們在程式碼中找到幾處錯誤,然而相較於之前的Magniber,新發現的勒索軟體裡,不再採用舊有的程式碼,以及加入了擾亂調查人員的內容,並且同樣延續鎖定特定對象的做法,因此,駭客發動攻擊時,能更專注在避免偵測的措施上,對於企業而言恐怕會更難防範。

 

資料來源:駭客利用改版Magniber勒索軟體再度發動攻擊,目標鎖定臺灣等多個亞洲國家