勒贖軟體禍害又有新攻擊手法。安全公司BlueCoat發現首批勒贖軟體透過惡意廣告攻擊手法，利用Android 4.0到4.3版漏洞發動掛馬攻擊，並成功在受害者不知情情況下載於裝置，向受害者勒索iTunes禮品卡代碼。

Bluecoat研究人員測試Android裝置時，下載了包含惡意JavaScript的廣告後遭到勒贖軟體勒索，進而發現了這個新的攻擊方式。研究人員發現，惡意廣告使用lbxslt攻擊程式在舊版Android軟體下載了Android開採工具Towelroot，再安裝名為Dogspectus的勒贖軟體。Lbxslt是在義大利駭客工具公司Hacking Team去年遭攻擊而外洩的工具程式之一。

在攻擊過程中，行動裝置並未顯示一般安裝任何Android應用程式時會看到的「應用程式許可」對話框。研究人員表示，這也是目前所知第一次攻擊程式在沒有使用者動作下，成功下載惡意程式到行動裝置上，因為過去Android裝置都是利用社交工程誘騙受害者下載並開啟勒贖軟體。

Bluecoat測試當下使用的Android手機執行CyanogenMod 10 / Android 4.2.2。研究人員表示，Towelroot等包含自動攻擊工具下載惡意程式鎖定4.x版Android作業系統，一些舊款手機及多媒體播放器如同可憐的Windows XP 電腦用戶，因無法獲得修補程式，而在此波攻擊中首當其衝。

Bluecoat根據其受害客戶裝置發出的HTTP呼叫分析，估計至少有224種裝置機型已經被植入惡意程式，這些裝置安裝了4.0.3到4.4.4版的Android。根據Google統計，這些舊版作業系統佔了Android裝置將近60%。5.x到6.x版Android則不在受害範圍。

受害裝置感染Dogspectus時，會出現螢幕變白，僅看到一個Android圖示及一行文字(如下圖，來源Bluecoat)：「馬上更新，請立即閱讀！更新期間手機請勿關閉或重開機。請稍後重試一次。」即使用戶想按Home鍵退出也來不及，接著即會看到勒贖訊息。

還好這次攻擊事件兇猛程度不如一般勒贖軟體。它並非藉由加密檔案來勒索難以追蹤的比特幣，研究人員指出，Dogspectu是鎖定受害系統其他功能，使其僅能向攻擊者支付兩張各100美元iTunes的禮品卡代碼。但理論上，iTunes禮品卡可追蹤使用者，因此調查人員可能追查得出罪犯身份。

而且，BlueCoat發現，裝置受感染還可以連接電腦，存取文件、照片、音樂等檔案以便備份，但是升級新版Android也無法刪除Dogspectus，不過回復到出廠設定即可刪除所有被安裝的應用程式。研究人員指出，一如其他勒贖軟體，做好備份是預防失去珍貴檔案最好方式。

為了讓受害者掏錢,加密勒索軟體 Ransomware紛紛出奇招。趨勢科技最近發現了一個棘手的加密勒索軟體 Ransomware家族叫做「JIGSAW」(電動線鋸)，讓人聯想到Saw《奪魂鋸》這部恐怖電影。此惡意程式會將使用者的檔案加密，然後隨時間逐批刪除。這樣的作法，在某種程度上可以製造使用者心理上的恐懼和壓力，最後受不了而就範。它甚至用上了《奪魂鋸》當中鬼臉木偶比利的圖片，並且搭配紅色數字倒數時鐘。JIGSAW 就像 PETYA 和 CERBER 家族一樣，只不過是近幾個月才新出現的家族。不過,就技術面而言，各勒索軟體 Ransomware家族之間並無太大差異。

根據趨勢科技的分析，JIGSAW 是經由免費雲端儲存服務「1fichier.com」所下載的檔案感染。此服務之前就曾經散布過其他惡意程式，如專門竊取資訊的 FAREIT，以及專門竊取比特幣（Bitcoin） 的 COINSTEALER。趨勢科技已通知 1ficher 有關此威脅的情況，而他們也已移除了相關的網址。此外，此惡意程式也可能從 hxxp://waldorftrust.com 下載，此處的 JIGSAW 大多暗藏在採礦軟體當中。

加密勒索軟體 Ransomware一旦在電腦上執行，使用者就會看到電影《奪魂鋸》裡的木偶比利圖片以及一段勒索訊息。

勒索訊息提到，時間拖得越久，使用者遭到刪除的檔案將越多，贖金也會跟著提高,使用者需支付的贖金大約是 20 至 150 美元起跳。近期的加密勒索軟體 Ransomware都會隨著時間而提高贖金，只不過增加的速度不像 JIGSAW 這麼快。除了贖金提高之外，隨著時間流逝，惡意程式也會逐步增加它所刪除的檔案數量。

JIGSAW 利用受害者擔心自己的檔案被永久刪除的心態，每小時會提高一次刪除檔案數量及贖金,以逼迫受害者因焦急而支付贖金。

JIGSAW是第一個會先將使用者檔案複製並加密成「.fun」檔案然後再刪除原始檔案的加密勒索軟體。不過，其某些變種所使用的副檔名略有不同，如：.KKK、.BTC 和 .GWS 都有。

此外，勒索訊息還提到，若使用者強制將電腦重新開機，就會刪除 1,000 個檔案，而且將不再保留副本。而且使用者若未在 72 小時內付款，所有被加密的檔案都將遭到刪除。

儘管 JIGSAW 看來很恐怖，但其結構基本上還是非常簡單。它並無其他加密勒索軟體 Ransomware所沒有的能力。但 JIGSAW 卻利用一些心理戰來彌補技術上的不足。其嚇人的畫面和逼迫使用者就範的技巧，比其他勒索軟體有過之而無不及。

根據趨勢科技的分析，歹徒除了利用可能有害的程式 (PUA) 和廣告程式散播此勒索軟體之外，還會利用一些色情網站為感染途徑。有一個 JIGSAW 版本使用的並非鬼臉木偶比利的圖片，而是一些色情圖片，然後告訴使用者：「YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY」(你整天沉迷色情網站，別再看這麼多色情影片了。現在你必須付出代價)。而勒索訊息內容則和前述相同。還有另一個 JIGSAW 版本會顯示粉紅色花朵的圖片。

JIGSAW 並非唯一訴諸恐懼的加密勒索軟體。最近還有另一個叫做「MAKTUBLOCKER」的加密勒索軟體，專門透過電子郵件挾帶的惡意檔案感染使用者電腦。其電子郵件能夠得逞的原因，是因為電子郵件當中含有使用者的真實姓名和住家地址，讓使用者不疑有他。很顯然的，加密勒索軟體現在不僅會想盡各種辦法來感染更多使用者，同時也開始發展出新的技巧來逼迫使用者支付贖金。

加密勒索軟體越來越難加以防範。這也正是為何使用者應該定期備份自己的資料，並且遵守「3-2-1 備份原則」來保障資料安全。如此可降低勒索軟體帶來的損害。請注意，支付贖金絕對無法保證歹徒會信守承諾讓您救回檔案。

資料來源：http://blog.trendmicro.com.tw/

近日才傳出孟加拉央行存款盜轉事件的元凶可能是因採用了僅10美元的二手交換器來連接環球銀行金融電信協會(SWIFT)的金融電信網路，又有資安專家跳出來指出SWIFT 提供的軟體也可能遭駭，另方面，SWIFT承認發現數起犯罪訊息透過其系統傳輸。

與英國國防部合作的資安業者BAE Systems接受路透社訪問時表示，SWIFT的軟體可能已經被駭客攻破。SWIFT也坦承知悉有針對其用戶端軟體攻擊的惡意程式存在，並在周一時發布軟體更新以防護惡意程式攻擊，同時提醒全球1.1萬家金融機構用戶加強資安措施。

此最新發展說明孟加拉央行8100萬美元遭盜轉的案例並非獨立事件，且駭客採用多管齊下的手法，並非僅透過孟加拉央行低階、不安全的交換器進行攻擊。

受到惡意軟體攻擊的Alliance Access伺服器軟體是由SWIFT提供給會員銀行，藉以與SWIFT的訊息交換平台連線，用來掩飾先前成功盜轉的帳款紀錄，不過參與調查的BAE專家表示，目前的證據無法解釋假造的轉帳指令是如何生成且傳輸到系統上。

SWIFT坦承的確發現數起疑似詐騙的訊息紀錄，外界解讀這表示盜轉事件背後是規模更大的犯罪計畫。

資料來源：http://www.ithome.com.tw/

荷蘭警方上週五宣布逮捕知名地下網路服務供應商Ennetcom的負責人，並關閉這個擁有1.9萬用戶，被懷疑與多種網路地下經濟、犯罪活動有關的加密網路。

被逮捕的36歲公司負責人Danny Manupassa已被鹿特丹法官下令羈押14天以進行相關調查。荷蘭檢方認為該地下網路應是目前已知被犯罪集團使用的最大規模地下加密網路，同時懷疑該網路與許多洗錢、非法軍火交易有關。

使用加密網路的行為本身在當地並非非法活動，但荷蘭檢察單位發言人表示，Ennetcomm的用戶卻有許多涉嫌參與重大犯罪活動。

↓遭查緝的Ennetcom公司則發表聲明表示，該公司目前被迫要停止所有營運與服務，同時對發生這樣的事件以及對該公司的相關臆測感到遺憾，該公司支持隱私自由。

儘管Ennetcom本身是家荷蘭公司、多數用戶也都位於荷蘭，但荷蘭檢察官表示，該公司多數的伺服器卻位於加拿大，兩國並合作進行相關調查。

Ennetcom主要提供加密的行動電話通訊服務，並採用黑莓機與MacBook Air作為終端裝置，搭配該公司提供的加密網路服務，確保通訊內容的保密性。該公司主打通訊安全，鎖定擔心資料外洩的企業銷售相關產品與服務。

孟加拉央行存放在美國聯準會聯邦儲備銀行紐約分行的存款在今年3月遭到駭客成功盜轉8100萬美元，路透社本周引述孟加拉鑑識培訓中心的負責人Mohammad Shah Alam表示，該行採用了只要10美元的二手交換器來連結SWIFT全球金融電信網路，此一廉價路由器甚至沒有防火牆功能，才讓駭客輕易得手。

駭客集團是在今年2月入侵了孟加拉央行的系統，企圖從該行位於聯邦儲備銀行紐約分行的帳戶轉出9.51億美元，駭客原本打算分數十次盜轉上述基金，但在第五次要轉帳至偽造的斯里蘭卡非營利組織Shalika Foundation時，把Foundation誤打成Fandation，因而引起注意，使得孟加拉央行停止了之後的轉帳，最後駭客只成功轉出8100萬美元到菲律賓的偽造帳戶。

Alam認為孟加拉央行與SWIFT雙方都有疏失，孟加拉央行不應使用缺乏基本安全功能的廉價交換器來連結SWIFT，而SWIFT則未善盡規勸責任。

駭客藉由脆弱的交換器設備於孟加拉央行的系統上植入了惡意程式，以截獲可用來進行轉帳的憑證，還抹去了相關行動的紀錄。

高階交換器的售價可能高達數百美元，孟加拉央行卻使用廉價且低階的二手交換器，Alam說，若有防火牆的保護，駭客應該不容易入侵孟加拉央行的系統。在事件發生後，SWIFT派出工程師造訪孟加拉央行，才建議該行升級系統。

資料來源：http://www.ithome.com.tw/

這也是另類臺灣之光！任職於臺灣資安公司戴夫寇爾（Devcore）資安研究員Orange Tsai，目前也是臺灣科技大學資管所碩士生，他在今年2月臉書舉辦的漏洞通報比賽（Bug Bounty）中，成功挖掘到臉書伺服器被駭客植入後門程式和其他總計7個漏洞，成功通報臉書後，獲得總計1萬美元的獎金。

Orange Tsai表示，這次挖掘臉書漏洞的過程中，意外發現先前有駭客在臉書伺服器植入後門程式的跡象，發現疑似前人留下的Webshel​​l後門，在研究漏洞的幾天內，還記錄到300名臉書員工登入的帳號和密碼。

不過，臉書資安團隊資安工程師Reginaldo Silva在Orange Tsai公佈漏洞挖掘細節後，則對外表示，Orange Tsai發現的並不是由駭客植入的後門程式，而是另外一個參與漏洞通報比賽的研究團隊的足跡。

臉書這樣的說法，是否是為了隱藏伺服器端曾被植入後門程式的隱藏之詞，不得而知，最終只有臉書內部調查才能知道實情。雖然臉書一再強調，並沒有任何使用者的帳號和密碼遭到這個後門程式外洩。不過，其他資安研究員並不相信，這個後門程式是另外一個漏洞通報團隊的足跡。

Orange Tsai從滲透測試的觀點來挖掘臉書網站的漏洞，他表示，對駭客而言，可以掌握伺服器端的漏洞比使用者端的漏洞效益更大，因為駭客就可以直接取得網站權限、為所欲為。

他強調，多數的滲透測試都會先做Google Hacking ，從網路收集目標網站有沒有一些可用資訊，例如：用了幾個B段的IP？幾個C段的IP？Whois的資料為何？反查（Reverse） Whois資料為何？用了什麼域名？內部使用的域名為何？猜測並掃描子域名為何？該公司平常愛用什麼樣技術？有哪些設備？在Github、Pastebin等網站上，是否有洩漏什麼資訊等等。

Orange Tsai表示，類似臉書這樣的大公司，因為伺服器成千上萬臺，對於網管人員而言，網路的防守相對弱勢，因為駭客只要在網路邊界上，可以找到一臺有漏洞的伺服器，就可以進行內網滲透。他說，這是在大公司進行滲透測試時，最容易發現漏洞的地方。

再者，他強調，有許多連網設備往往不會提供下指令的介面，網路管理員只能從設備本身提供的介面去做設定，如果遇到零時差漏洞的攻擊，可能已經從網路設備端被駭客入侵了還不自知。

第三點，「人」其實是資安最大的漏洞。Orange Tsai指出，有越來越多的個資外洩，不論是從公開資料找到公司的員工列表，或者是查詢許多存放大規模外洩個資的資料庫，許多駭客往往只需要查詢這些資料庫，就可以找到某一個目標網站中，有權限登入VPN的員工密碼，就可以開始進行內網滲透。

Orange Tsai先從容易找到漏洞的環節出發，在這個過程中卻發現一個疑似臉書內網的網站：tfbnw.net，而在掃描這個vpn.tfbnw.net 同網段還有哪些其他的伺服器則發現，有一臺第三方Accellion 的Secure File Transfer （簡稱FTA）加密傳輸檔案網站：files.fb.com。FTA 為一款標榜安全檔案傳輸的產品，可讓使用者線上分享、同步檔案，並整合AD、LDAP、Kerberos 等單一登入（Single Sign-on）機制，企業版更支援SSL VPN 服務。

他在這個網站總共找到7個漏洞，包括3個跨站腳本攻擊漏​​洞（Cross-Site Scripting），1個預先驗證SQL注入導致遠端程式執行（Pre-Auth SQL Injection leads to Remote Code Execution）漏洞， 1個已知密鑰導致遠端程式執行（Known-Secret-Key leads to Remote Code Execution）漏洞，和2個本地端權限提升漏洞。

找漏洞的方式除了黑箱的滲透測試外，還有白箱的原始碼檢測，Orange Tsai在此次找尋臉書漏洞的過程中，兩種手法交叉使用。在回報漏洞的過程中，Orange Tsai揭露的漏洞也取得4個獨立的CVE（Common Vulnerabilities and Exposures，通用弱點與漏洞）編號，包括：CVE-2016-2350、CVE-2016-2351、CVE-2016- 2352和CVE-2016-2353。

不過在蒐集漏洞證據的過程中，Orange Tsai在「/var/opt/apache/php_error_log」網站伺服器的日誌（Log）中，發現了一些奇怪的PHP錯誤訊息，看起來像是邊修改程式碼Code邊執行所產生的錯誤。

首先，他看到一些奇怪的PHP錯誤訊息，從錯誤訊息來看似乎像是邊改Code邊執行所產生的錯誤，之後跟隨錯誤訊息的路徑去看，則發現疑似前人留下的Webshell網站後門工具，其中有很多都是標準的PHP一句話木馬，駭客可以以任何型式，在網頁中插入一小段可供特殊語法執行的網頁程式碼。
他發現，其中比較特別的是「sclient_user_class_standard.inc」這個檔案，include_once中「sclient_user_class_standard.inc.orig」為原本對密碼進行驗證的PHP程式，駭客做了一個代理伺服器（Proxy）在中間，並在進行一些重要操作時，先把GET、 POST和COOKIE的值記錄起來。

而駭客做了一個Proxy 在密碼驗證的地方，記錄Facebook 員工的帳號密碼，並且將記錄到的密碼放置在Web 目錄下，駭客每隔一段時間使用wget 抓取。他也說，從紀錄裡面可以看到，除了使用者帳號密碼外，還有從FTA 要求檔案時的信件內容，記錄到的帳號密碼會定時Rotate（循環）。根據Orange Tsai的紀錄，他發現該疑似駭客植入後門程式的跡象時，最近一次的Rotate，是從2月1日～2月7日總共約300比帳號密碼的紀錄，其中大多是@fb .com或是@facebook.com的員工登入FTA的帳號、密碼。其中，一般使用者註冊的密碼經過Hash存在資料庫，由SHA256 + SALT（加鹽）儲存；臉書員工@fb.com則走統一認證，使用LDAP由AD認證。

Orange Tsai表示，從access.log可以觀察到，每隔數日駭客會將記錄到的帳號密碼清空，接著會打包檔案，並對內部網路結構進行探測，使用Shell Script進行內網掃描（但忘記把STDERR導掉），嘗試對內部LDAP進行連接，接著嘗試訪問內部網路資源，並試圖找SSL私鑰（Private Key ）。透過上述種種方式，他才確定，臉書伺服器極有可能遭到駭客植入網路掛馬，也有臉書員工帳號密碼外洩的風險。

對於Orange Tsai，找到網站漏洞並獲得網站主的肯定，是他最大成就感來源。而戴夫寇爾執行長翁浩正則表示，現在有許多國內外大型網站採用Bug Bounty計畫，鼓勵熱血的資安人員勇於告訴企業漏洞的所在，並給予對等的尊重與獎勵，達成資安圈所期望的正向循環，而Orange Tsai從滲透的角度看Facebook Bug Bounty 計畫，就是一種駭客思維的呈現，也是企業資安防禦者所應該學習的角度。

資料來源：http://www.ithome.com.tw/

從2014年9月推出McAfee Endpoint Security（ENS）10.0之後，Intel Security就把所有端點防護功能全部整合在其中，例如防毒、個人防火牆、主機型HIPS、網頁瀏覽防護，並區分成基本平臺（Platform）、威脅預防（Threat Prevention）、防火牆（Firewall）與網頁控管（Web Control）等模組，管理者可從中選擇需要的防護功能，部署到指定的用戶端電腦上。

以Threat Prevention模組為例，包含了該公司最新發展的進階惡意程式掃描功能，可防禦持續演進的目標式攻擊，足以取代使用多年的McAfee VirusScan Enterprise（VSE）企業防毒軟體。至於Firewall模組，能阻擋入埠與出埠的惡意網路流量，能替代掉先前的端點網路防護產品McAfee Host Intrusion Prevention（HIPS）。而Web Control模組主要的作用是預防使用者瀏覽惡意或非經企業批准的網站，可取代McAfee Site Advisor Enterprise。

經過幾年的演進，Intel Security在今年推出了ENS 10.1。在這一版當中，ENS引進更多原本VSE、HIPS就有的功能，力求達到企業級端點防護的完整性。在Web Control整合在瀏覽器的工具列上，10.1也提供新的操作介面。針對用戶端作業系統平臺的要求，微軟去年推出的Windows 10，ENS 10.1正式宣布支援，同時也不再支援Windows XP。

以防毒、防火牆與HIPS而言，ENS 10.1在即時掃描的部分，提供了啟發式偵測功能的設定；而指定掃描、更新、進階工作，現在都可以排程執行；同時，使用者對於存取防護規則，也可自定、新增、例外。針對漏洞攻擊預防的功能，ENS也提供自動阻擋、相關事件舉報與例外設定，並且加入主動式資料分析功能。

網路入侵防護上，ENS新版加入檢測FTP流量的功能，也允許使用者自定阻擋政策，以及設定管制政策與群組管理的時間排程。

10.1版的另一個特色，是整合了Endpoint Security Threat Intelligence（或稱為Threat Intelligence for Endpoint Security，TI ENS），能使安裝相關軟體的個人電腦、網路與資安設備（例如防火牆、網路閘道），以及ePO管理平臺之間，得以快速溝通。而個人電腦的部分，需特別安裝TI ENS或是Threat Intelligence Exchange（TIE）模組。

實際上，TI ENS本身是一個外掛模組，企業若要使用，可透過ePO派送，即可整合在ENS 10.1當中啟用。在先前的VSE裡面，Intel Security也提供了TIE module for VSE，同樣是透過ePO派送。

這樣的機制之所以發揮作用，因為運用了McAfee發展的Data Exchange Layer（DXL）框架──只要當中的系統率先偵測到安全威脅，DXL就會持續追蹤它的去處，並且立即阻止。

不過，TI ENS的使用，需搭配另一套自動偵測與回應威脅的產品──McAfee Threat Intelligence Exchange（TIE），在這臺伺服器上，會儲存檔案與憑證的信譽等級，並且將這些資訊傳送到企業環境裡面的其他TIE系統當中。相對地，由於TIE是透過DXL協定溝通，所以，ENS用戶端電腦還需要加裝DXL Client來支援。

資料來源：http://www.ithome.com.tw/

伺服器虛擬化平臺已成為企業資料中心不可或缺的IT基礎架構之一，越來越多應用系統都建置在虛擬機器裡面，而在這些環境當中，同樣需要具備防護病毒、惡意程式與檔案的能力，因此，企業防毒軟體的發展上，陸續將觸角擴及虛擬化環境──除了調整本身的功能與執行方式來適應之外，像是趨勢科技、Symantec、McAfee/Intel Security、Bitdefender、Kaspersky等防毒廠商，在2012年前後，都已經或宣布推出了專門的版本來對應。而到了今年3月，以NOD32這套防毒產品而聞名的ESET，終於也趕上這股風潮，推出了一套名為Virtualization Security的版本。

在此之前，ESET先在企業防毒軟體，例如，屬於端點防護應用的Endpoint Antivirus 6、Endpoint Security 6，以及防護檔案伺服器的File Security 6、提升Exchange郵件伺服器安全性的Mail Security 6，內建了伺服器本機端的共用快取（Shared Local Cache）。

由於在伺服器虛擬化平臺當中，不同臺的虛擬機器往往源自於同樣的系統映像，因此有許多檔案都是一樣的，若運用Shared Local Cache，只要防毒程式在一臺虛擬機器完成掃描後，在另一臺虛擬機器若出現相同檔案，就不再浪費資源和時間進行重複掃描，將可藉此大幅提升掃毒作業的速度。然而，這樣的作法若要實施，仍須透過部署到每臺虛擬機器的防毒代理程式（Agent-based）來進行。

基本上，這套新產品主要強調的特色，是基於VMware vShield安全防護技術平臺，開始提供無代理程式（Agentless）管控架構的解決方案，當中包含了虛擬應用設備ESET Virtualization Security Appliance（EVS），搭配該廠牌企業防毒軟體所慣用的管理主控臺ESET Remote Administrator（ERA）；而EVS能保護的虛擬機器環境，主要是採用Windows XP到Windows 8.1版本的個人電腦桌面，以及2003到2012 R2版本的伺服器系統。

透過ERA，企業IT人員可以在此直接點選各臺虛擬機器，快速執行病毒掃描與更新特徵碼，以及其他安全管理工作。以虛擬機器的掃毒作業來說，在這樣的無代理程式架構下，這些負載將會透過每臺虛擬機器所安裝的VMware tools，卸載到EVS虛擬應用設備，透過裡面的集中化掃描機制執行。而這臺虛擬設備在使用前，IT人員需預先將其註冊到VMware vShield Manager。若要將ESET這臺安全虛擬應用設備部署到多臺實體伺服器上，可透過ERA的管理介面來幫忙設定。

對於伺服器虛擬化系統的管理而言，ESET企業防毒軟體若能以此方式部署，能避免整臺主機或是當中虛擬機器運作效能受到衝擊的可能性。因為若用傳統的方式，在每臺虛擬機器都安裝防毒代理程式，然後各自執行惡意程式掃描工作，將耗用不少資源來執行這些反覆執行的繁重任務。

資料來源：http://www.ithome.com.tw/

網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年， ZeroAccess  的破獲行動，減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例，但過沒多久，其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況，儘管警方在 2015 年 10 月 查獲 了它多個幕後操縱 (C&C) 伺服器，但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢，並且在去年的 年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件，誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案，感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

DRIDEX 之所以無法斬草除根，主要有兩大原因：第一，其殭屍網路的派送機制效率很高，因此擁有廣大的受害者；第二，其不易斬草除根的點對點 (P2P) 網路基礎架構，讓它很快就能恢復營運。除此之外，根據我們推測，DRIDEX 目前也在 網路犯罪地下市場上兜售， 因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。

DRIDEX之所以能成為一項有效的網路犯罪工具，正因為它的社交工程（social engineering ）技巧都是針對企業缺乏資安意識的員工而設計。DRIDEX 絕大部分的網路釣魚（Phishing）都是假裝寄送發票、對帳單、收據、法律聲明等文件。這些垃圾郵件甚至冒用各種合法企業的網域名稱，讓員工在不疑有他的情況下開啟附件檔案。

此外，DRIDEX還會利用惡意巨集讓使用者在不知情的狀況下遭到感染。它有自己的巨集下載程式，這占了絕大多數的 DRIDEX 偵測數量，而非 TSPY_DRIDEX 惡意程式本尊。今年二月，趨勢科技發現除了傳統的巨集下載程式之外，某些 DRIDEX 二進位檔案還會透過 JS 檔案下載程式來散布。在我們分析到的一個樣本中，巨集下載程式先在系統植入了一個 VBScript 程式，再由這個 VBScript 程式來下載真正的惡意程式。

另一個 DRIDEX之所以猖獗的原因是它會經由一些含有知名漏洞攻擊套件 (如 Angler 和 Rig) 的惡意網路廣告散布。最近趨勢科技在德國即發現一些會在系統植入 DRIDEX 惡意程式的 Angler 漏洞攻擊套件。

受害者大多是使用久未更新的作業系統或應用程式，不然就看到了惡意的網路廣告，進而讓漏洞攻擊套件下載 DRIDEX 到系統上。

根據我們的資料顯示，事實上不論大型企業或中小企業，都受到此惡意程式的嚴重威脅。他們之所以成為受害者，多半是因為歹徒所用的社交工程（social engineering ）技巧所致。

與大型企業相比，中小企業其實更難對抗這項威脅，因為中小企業的安全措施較為薄弱，而且 IT 防護及技術也無法與大型企業相提並論。此外還有一項誘因是，中小企業含有一些歹徒可拿到地下市場販賣或用於其他攻擊的重要資料。

儘管先前的破獲行動確實讓 DRIDEX 受挫了一陣子，但 P2P 網路的特性讓它很快就恢復了生機。在破獲行動期間，資安廠商與美國、英國的執法單位及聯邦調查局 (FBI) 合力查封了歹徒存放竊取資料 (銀行帳號資訊) 的後端 C&C伺服器以及系統管理節點，後者專門負責將「Botnet傀儡殭屍網路」電腦的連線導向 C&C 伺服器，並且發送軟體更新。關閉管理節點理論上就能防止殭屍電腦將蒐集到的資料回傳至 C&C 伺服器。所以，很可能當時並非所有的管理節點都已遭到破獲，或者 DRIDEX 網路犯罪集團早就建立了備份節點。因為，只要外部還有任何感染 DRIDEX 的電腦存在，其 P2P 網路就能繼續運作。

另一方面，模組化的程式架構也讓這個惡意程式可以輕易擴充功能或改變攻擊目標。DRIDEX 採用類似  DYRE 及 ZBOT 等知名銀行木馬程式的架構，除了一個獨立的檔案之外，還有多個可輕易新增或修改的附加元件。而且其設定檔案採用 XML 格式，因此駭客可以很方便地增加更多攻擊目標。

DRIDEX 採用所謂的殭屍網路服務 (Botnet-as-a-service，BaaS) 的經營模式。我們在破獲行動之後仔細研究了這項威脅，雖然 DRIDEX 在去年遭到破獲之後其程式碼已經過一些小幅變動，但整體上這些修改或改進並未改變其感染途徑或殭屍網路的運作方式。這些小幅變動包括：改變系統登錄當中自動啟動機碼的名稱、修改了巨集程式碼，以及更改了植入系統的檔案位置。由於 DRIDEX 背後是由多個分散的團體所組成的單一集團所掌控，因此，各個不同垃圾郵件行動所使用的樣本，只要是同一天釋出的，都是相同的變種和程式碼。這一點可以從其大版本和小版本的編號來判斷。

就功能來看，此惡意程式的 P2P 網路通訊協定似乎沒有任何改變，最可能的原因是這樣的修改將破壞整個 P2P 基礎架構。此外，其網路中的每一台被感染的電腦 (也就是殭屍電腦) 也都有自己的加密金鑰，網路各節點在彼此溝通時會用到這個金鑰。除此之外，其管轄的殭屍電腦依然沿用原本的「殭屍網路識別碼」(botnet ID)，而且通常按地區來劃分，因為不同地區會收到專屬於該地區的設定檔，裡面會有該地區的攻擊目標 (銀行)。

儘管其網路犯罪行動在遭到破獲之後已稍微趨緩，但長遠來看，更有效的解決之道應該是逮捕並起訴幕後的網路犯罪份子。這就是為何建立並維持公私部門合作 (PPP) 越來越重要，例如：趨勢科技即與全球執法單位合作，提供他們所需的威脅情報與網路犯罪研究發現。

今年，DRIDEX 預料將更加猖獗。不過，一般使用者及企業機構可採取一些基本的防範措施來保護自己的系統和資訊。既然 DRIDEX 大多經由垃圾郵件來進入電腦系統或網路，因此我們強烈建議企業員工和一般使用者在開啟電子郵件時應隨時保持警覺，即使看似來自正常的來源也應提防。此外，在開啟可疑的附件檔案時，最好不要啟用 MS Word 巨集以避免惡意程式執行。此外，企業應設定一些政策來封鎖含有附件檔案且來自外部或不明來源的電子郵件。定期安裝修補程式以隨時保持系統更新，也能讓電腦多一層防護來防止專門散布 DRIDEX 的漏洞攻擊套件。

資料來源：http://blog.trendmicro.com.tw/

甲骨文發佈四月重大修補程式更新，共修補包括Oracle Database、MySQL、Solaris、Java及EBusiness Suite、Solaris、PeopleSoft等產品的136項重大漏洞，呼籲用戶儘速升級到最新版本。

這次重大修補程式更新也是甲骨文首次使用該公司通用弱點評分標準（Common Vulnerability Scoring Standard，CVSS）3.0版。同時這次修補的數量也是僅次於一月的安全更新，當時破紀錄修補了248項漏洞。

本季MySQL 漏洞出現31項漏洞，是甲骨文所有產品之冠，包括4個可能遭遠端執行程式碼入侵的漏洞，並有2個CVSS分數高達9.8。

最核心產品Oracle Database修補5項漏洞，其中2個可能導致未授權的遠端程式碼執行，在無需用戶帳密情況下開採。針對Fusion Middle則修補22項漏洞，其中21項可允許未授權遠端程式碼執行，更有7項被甲骨文給予9.8的風險評分（滿分10分）。而Oracle E-Business Suite 7項漏洞中，有6項可能被駭客遠端執行入侵。

甲骨文提醒，由於Fusion Middleware產品必須在Oracle Database上執行，因此Database的漏洞也可能影響Fusion Middleware，而必須安裝前者的修補程式。同樣，Oracle E-Business Suite仰賴Fusion Middleware及Oracle Database，因此最好也安裝兩者的安全修補更新。

Java SE部份，甲骨文繼3月底緊急發佈修補程式，以修補存在於Windows、Soloaris、Linux、Macc OS X 版桌面瀏覽器中的Java SE漏洞 CVE-2016-0636後，本季則修補9項漏洞，甲骨文表示，這些漏洞全部都能被用於非授權遠端執行程式碼攻擊，其中4個被列入9以上的高風險等級。

此外，四月更新還修補18項Sun System的漏洞，其中12個可能被用於遠端執行程式碼攻擊，包括Solaris一個存在於RAM LDAP模組、CVSS風險分數9.8的高風險漏洞。其他修補的產品還包括Peoplesot、JD Edwards、Financial Services、Siebel、Retail Applications及Oracle Linux，其中PeoplesSoft此次也修補了多達15項漏洞，包括2項可被遠端執行程式碼攻擊的漏洞。

甲骨文下次重大修補程式更新預定在7月19日發佈。

資料來源：http://www.ithome.com.tw/