首頁‎ > ‎

資安相關新聞


Chrome與Firefox雙雙在今年10月將終止對賽門鐵克憑證的信賴

張貼者:2018年8月28日 下午8:28黃景煌

來源: https://www.ithome.com.tw/news/125530

Chrome與Firefox雙雙在今年10月將終止對賽門鐵克憑證的信賴

Mozilla已在這個月中釋出的Firefox 63 Nightly測試版中不再信賴所有賽門鐵克憑證,Firefox 63將在10月下旬推出。而預計在10月中旬釋出的Chrome 70也將採取相同政策。

Google與Mozilla都決定在今年10月出爐的瀏覽器版本中移除對賽門鐵克(Symantec)憑證的信賴,其中,Mozilla於本月中旬釋出的Firefox 63 Nightly測試版已作出相關改變,並強烈建議網站業者儘快置換仍在使用中的賽門鐵克憑證。

Google在2015年發現賽門鐵克誤發了Google與其它組織的SSL憑證予錯誤的對象,且在清查之後發現賽門鐵克誤發的憑證數量超過3萬個,2017年3月Google即宣布要逐步淘汰賽門鐵克所發出的SSL憑證,賽門鐵克則是在同年8月宣布將數位憑證業務出售給DigiCert,拋出了手上的燙手山芋。

美國政府正式限制採購卡巴斯基產品

張貼者:2017年11月28日 下午5:18黃景煌

資料來源: https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=15980

美國政府正式限制採購卡巴斯基產品

因懷疑安全產品和俄羅斯駭客活動有關,美國行政事務管理局(U.S. General Services Administration, GSA)將來自俄羅斯的資安業者卡巴斯基實驗室(Kaspersky Lab)從在7/11從美國政府的採購合約名單中移除,美國政府各級機關無法透過GSA採購卡巴斯基的產品。卡巴斯基近期在美國飽受是否可能與俄羅斯政府合作,甚至可能是俄羅斯駭客使用的跳板等疑慮所困。GSA發言人表示,該決定是經過審查與審慎考慮後才做成,並強調該部門的首要任務是要確保美國政府系統與網路的完整性與安全性。
 
對於美國政府的決定,卡巴斯基表示尚未收到GSA與美國政府的文書,同時強調該公司與與任何政府機關都不存在裙帶關係,也從未協助世界上任何政府進行網路間諜活動,並稱該公司僅是地緣政治競合中遭各方利用的棋子。卡巴斯基在全球擁有約4億用戶,但其中半數未必知道自己是卡巴斯基用戶,因為卡巴斯基業務的一大部分,其實來自於將產品授權給其他需要資安功能的廠商。美國政府近期一直擔心俄羅斯駭客可能透過各種方式入侵美國官民組織,在五月份的一場國會聽證會上,多位美國情報單位高官一致表示,基於安全疑慮,不會讓所屬部門使用卡巴斯基產品,但當時這些高層並未提出具體證據,也引發卡巴斯基公司發表聲明抗議。
 
儘管卡巴斯基創辦人尤金卡巴斯基本人一度親上火線,澄清公司乃商業組織,和俄羅斯政府並不存在外界懷疑的關係,但仍解不了美國方面疑慮。在GSA發表將卡巴斯基從共同採購名單上移除的同時,美國彭博商業週刊根據取得的內部電子郵件報導,指卡巴斯基與俄羅斯情報機構FSB有非常緊密的關聯,包括協助FSB研發資安科技,以及有合作專案等,打臉卡巴斯基的聲明。事實上,資安企業與所在國的政府機關保持緊密合作關係幾乎是業界常態,但卡巴斯基可能基於廣大西歐與美國市場考量,一直刻意營造與莫斯科政府保持距離的形象。根據IDC資料,西歐與美國市場佔卡巴斯基營收比例過半,高達59.08%,倘若GSA的做法延燒到美國地方政府與美國友好國家,勢必將對卡巴斯基營運造成重創。

Reference

資料來源:
https://www.reuters.com/article/us-usa-kasperskylab-idUSKBN19W2W2
https://www.theregister.co.uk/2017/07/11/uncle_sam_says_nyet_to_kaspersky/
https://www.bloomberg.com/news/articles/2017-07-11/kaspersky-lab-has-been-working-with-russian-intelligence
http://www.ithome.com.tw/news/115525
國家資通安全會報技術服務中心整理

Publish Date
2017/7/26 0:00:00

新勒索軟體Bad Rabbit

張貼者:2017年11月28日 下午4:42黃景煌

資料來源: https://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16025

新勒索軟體Bad Rabbit

資安業者於10/24相繼警告有一新的勒索軟體Bad Rabbit正在歐洲蔓延,目前受害最嚴重的國家為俄國,另也衝擊烏克蘭、保加利亞、土耳其、日本及德國等。卡巴斯基實驗室(Kaspersky Lab)表示,Bad Rabbit並未使用攻擊程式,而是採用偷渡式下載(Drive-by)攻擊,駭客先危害合法網站,在受害者下載並安裝了偽造的Adobe Flash程式之後,電腦上的檔案就會被加密。

目前所發現所有被用來當作攻擊跳板的網站皆是新聞媒體,駭客向受害者要求0.05個比特幣的贖金,且迄今尚不確定駭客在受害者支付贖金後能否或是否會解密檔案。根據另一資安業者ESET的觀察,受害最嚴重的地區為俄國,佔了65%,而烏克蘭與保加利亞也各佔了12%與10%,亦有6.4%的受害者位於土耳其,及3.8%位於日本。此外,Bad Rabbit也能利用伺服器訊息區塊(Server Message Block, SMB)進行散布,它會掃瞄網路上開放的SMB,透過開源碼工具Mimikatz蒐集憑證,進而感染其他電腦。Bad Rabbit主要針對企業網路發動攻擊,所採用的方法與NotPetya類似,已與WannaCry及NotPetya並列為今年的三大勒索軟體。

Reference

資料來源:
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
http://www.bbc.com/news/technology-41740768
https://www.ithome.com.tw/news/117754
國家資通安全會報技術服務中心整理

Publish Date

2017/11/14 0:00:00

暗網勒索軟體經濟規模於今年成長25倍

張貼者:2017年11月28日 下午4:39黃景煌

資料來源: https://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16013

暗網勒索軟體經濟規模於今年成長25倍

資安業者Carbon Black於10/11公布一份有關暗網(Darknet)中勒索軟體經濟規模的研究報告,指出2017年在暗網中的勒索軟體銷售金額為623萬美元,是2016年25萬美元的25倍。勒索軟體已是今日最大的資安威脅之一,許多受害者選擇支付贖金更讓駭客食髓知味,使得勒索軟體在暗網中大受歡迎。

根據Carbon Black的調查,約有逾6300個暗網市集提供勒索軟體,勒索軟體品項超過4.5萬個,DIY的勒索軟體價格從0.5美元到3000美元不等,中間價格為10.5美元,此外,今年勒索軟體的銷售金額已達到623萬美元,去年同期則只有24.9萬美元,足足是去年的25倍,有些賣家光是銷售勒索軟體一年就可賺進10萬美元,至於促進暗網勒索軟體經濟成長的因素則是匿名網路(Tor)與新興的比特幣(Bitcoins),讓買賣雙方可以在隱匿身分與位址的狀況下完成交易。

根據美國聯邦調查局(Federal Bureau of Investigation, FBI)估計,2016年駭客藉由勒索軟體總計帶來了10億美元的收入。從勒索軟體的銷售量來看,2017年恐怕遠遠超過此一數字。Carbon Black安全策略長Rick McElroy認為,勒索軟體不應再只被視為與綁架資料相關的小型犯罪活動,它已發展成一個基於雲端、且著眼於獲利的黑市經濟,跟企業家一樣,駭客也會避免架構上的巨大投資,因而建立了雲端模式的高獲利經濟。相關單位應正視暗網經濟的蓬勃發展,並思考因應方案。

Reference

資料來源:
https://www.carbonblack.com/2017/10/11/dark-web-ransomware-economy-growing-annual-rate-2500/
https://www.ithome.com.tw/news/117379
完整報告請參閱:
https://cdn.www.carbonblack.com/wp-content/uploads/2017/10/Carbon-Black-Ransomware-Economy-Report-101117.pdf
國家資通安全會報技術服務中心整理

Publish Date
2017/10/20 0:00:00

加密勒索軟體CryptoLocker分析報告(摘要)

張貼者:2016年6月20日 上午2:18黃景煌

資料來源: http://www.cc.ntu.edu.tw/chinese/epaper/0037/20160620_3712.html

加密勒索軟體CryptoLocker分析報告

作者:李美雯 / 臺灣大學計算機及資訊網路中心程式設計師
轉載自臺灣大學計資中心北區學術資訊安全維運中心

前言
近年來加密勒索軟體大舉入台,不僅一般民眾,連政府機關如鄉公所甚至中研院都蒙受其害。很多人以為加密勒索軟體與自己無關,但其實只要你有收發電子郵件且開啟附件,甚至瀏覽網頁都有可能感染,而加密勒索軟體針對的不僅是你的文件檔,甚至已經盯上了各種系統重要的紀錄檔。


圖一 
中研院電腦感染CryptoLocker相關新聞報導(東森新聞)

另外,針對伺服器Linux版本的加密勒索軟體也已開始利用各種主流的CMS(內容管理平台)平台漏洞進行滲透及加密目錄進行勒索

近年來網路上出現的加密勒索軟體,其方式是將檔案加密後,威脅使用者付款以取得解除加密的金鑰,否則使用者將永遠無法開啟檔案或會被公開檔案。
由於此類加密勒索軟體通常會使用RSA-2048加密。已近乎無法破解。且通訊方式和繳付的貨幣都是使用難以追蹤的Tor(匿名網路)及比特幣(網路貨幣),造成了追查上的難度。
以下我們將介紹此類勒索軟體中較為出名的CryptoLocker的運作原理與預防措施。 。

加密勒索軟體CryptoLocker介紹
CryptoLocker通常會偽裝成電子郵件附件,並假冒網站或公家機關的電子郵件以欺騙使用者開啟所附上的檔案,通常是偽裝成PDF檔案。也有利用瀏覽器或是瀏覽器外掛漏洞(如Flash Player或Java)假冒網頁廣告誘騙使用者瀏覽或點擊,或是經由殭屍網路發送的案例。部份情況下也會以宙斯木馬[12]為前導,成功入侵後再下載並安裝CryptoLocker。


圖三 攻擊流程圖

CryptoLocker第一次執行時會以隨機名稱自行安裝於我的文件,並修改登錄檔以便在開機時自行啟動。後續會連接勒索者所控制的伺服器進行報到。報到成功後便會蒐集電腦資訊且加密傳送到伺服器。伺服器利用此資訊產生一組非對稱加密的公鑰以及私鑰,並將公鑰加密回傳給受感染的電腦。
CryptoLocker收到公鑰後,會把整個硬碟與相連結的網路硬碟(僅限支援的網路芳鄰及本身有在系統內存在同步資料夾的網路硬碟服務)中的檔案利用公鑰進行加密。同時也會破壞常見的備份檔案(如Windows內建的還原功能)。加密過程中僅會將特定附檔名的資料檔案進行加密,例如文件、試算表或是簡報檔案、圖檔或AutoCAD檔案。
整個加密的流程結束後,CryptoLocker便會顯示訊息告知用戶檔案已經被加密,必須支付現金或比特幣才能解開這些檔案。並告知付款動作必須在時限內完成,否則會銷毀私鑰、增加贖金或公布持有的檔案。
若被害者妥協付款,則會在確認付款後,讓用戶下載預載用戶私人金鑰的解密程式,以供用戶使用解密檔案,有些變種為了取信用戶,還會分次加密,以在客戶聯繫時,提供解除部分檔案加密的金鑰以取信顧客,好得到解除剩餘檔案加密的贖金。

CryptoLocker預防措施
並非所有的安全軟體都能偵測到CryptoLocker,有些防毒軟體只能在加密進行或完成後才能偵測到CryptoLocker。想要預防CryptoLocker,最好的方式是培養良好的資安觀念。
基本原則是不開啟可疑來源的連結(譬如以短網址或轉址廣告連結呈現的網址)或是附加檔案(譬如沒有給予電子信箱資訊的單位來信並給予附件檔案要求開啟操作)從來源方面來阻擋受感染的可能性。
有鑑於加密勒索軟體也常使用已知的常用軟體或瀏覽器外掛漏洞進行攻擊,平時勤於更新瀏覽器、Flash Player或JAVA等瀏覽器外掛程式以及作業系統也是預防的方法之一。
加密勒索軟體除了偽裝機關來信引誘開啟附檔、以短連結附上錯誤說明欺騙使用者造訪惡意網站或頁面外,也會透過第三方廣告投放系統散播,在日本先前就有出現知名影音網站的內嵌廣告和討論區開啟外部連結會出現的轉址廣告夾帶CryptoLocker的狀況。也因此如果有出現重大的安全漏洞發布但卻還沒得到廠商更新時,可以考慮先以阻擋廣告的方式來避免。
即使安全軟體有時無法偵測到最新或變種的加密勒索軟體,以至於使用者感染加密勒索軟體,使用者若能在加密勒索軟體進行加密一開始時,藉由觀察檔案名稱附檔名出現異常變化或是發覺系統運作效能異常低落等跡象,進而發現中毒並及時斷網關機,惡意軟體有時只會加密到一小部分的檔案。
使用者平時也應養成定期的異地檔案備份習慣(譬如使用外接硬碟儲存重要檔案),這樣即使遭受加密勒索軟體威脅,也可以不用支付贖金,而直接進行磁區或系統還原,或重新安裝作業系統

勒索軟體TeslaCrypt作者良心發現,免費釋出解密金鑰

張貼者:2016年5月25日 下午7:16黃景煌

http://www.ithome.com.tw/news/106064
在2015年2月出現的TeslaCrypt會加密電腦上的系統檔案或遊戲檔案,要求使用者支付贖金。近日其作者似乎良心發現,宣布將結束TeslaCrypt專案,對外道歉,並釋出通用主解密金鑰。

還記得那個鎖定遊戲的勒索軟體TeslaCrypt嗎?TeslaCrypt作者近日免費釋出了TeslaCrypt的通用主解密金鑰,並已有資安業者據此打造出解密程式。

在2015年2月現身的TeslaCrypt會加密使用者電腦上的系統檔案或是遊戲檔案,以封鎖使用者的存取能力,並要求使用者支付贖金,且TeslaCrypt的作者群頗為活躍,經常更新程式碼而讓安全研究人員疲於追逐。FireEye曾統計,去年2到4月間,有163名TeslaCrypt的受害者總計支付了7.6萬美元的贖金。

不過,TeslaCrypt的作者近日似乎良心發現,宣布將終止惡意行為、結束TeslaCrypt專案,還向外界道歉。資安業者ESET的安全分析師則趁此機會透過TeslaCrypt與受害者溝通的介面詢問對方是否願意公布TeslaCrypt的通用主解密金鑰,結果他們答應了。

這使得ESET得以利用此一通用主解密金鑰打造了TeslaCrypt解密工具,可用來解鎖被TeslaCrypt任何版本或變種所鎖住的檔案,並開放使用者免費下載。

33億元消失!紐約銀行遭駭客入侵

張貼者:2016年3月8日 下午8:22黃景煌

紐約聯邦儲備銀行驚傳遭到駭客入侵!紐約聯邦儲備銀行(Federal Reserve Bank of New York)被譽為「世界最大的金庫」,傳於當地時間5日,遭到駭客入侵,竊取了孟加拉政府帳戶中的1億美元(約33億新台幣)。孟加拉政府已準備對紐約聯邦儲備銀行提告。
該消息若屬實,將創下紐約聯儲首次被駭的紀錄,孟加拉財政部長更揚言對紐約聯邦儲備銀行提告。孟加拉央行表示,網路駭客偷到款項後,透過菲律賓賭場洗錢,孟加拉官方已跟菲律賓政府展開調查,菲律賓也已凍結可能遭駭的美國銀行帳戶。
起初,紐約聯邦儲備銀行否認有存款被駭一事,孟加拉財政部長Abul Maal Abdul Muhith則揚言對聯儲銀行提告,而紐約聯邦儲備銀行稍早則再回應指出,自從駭客入侵事件之後,銀行就已和孟加拉央行密切合作,並會盡力提供任何可能的協助。

1-7 of 7