趨勢科技 技術工程師

Bruce Wu 吳俊傑

2016 最新資訊安全威脅 講座

AGENDA

• 近期威脅介紹

• 社交工程威脅介紹

• 勒索病毒介紹

近期威脅介紹

最新LINE詐騙簡訊一覽表！(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…)

這是發生在 竹市副議長LINE被盜用 的真實事件,報導說由於新竹市副議長許修睿平時仗義助人，上百名朋友接到相關訊息,很多好友看到LINE 訊息二話不說，即刻匯款,歹徒見機不可失，將詐騙匯款金額從3000元漲到9000元。當事人接獲朋友電話詢問，才發現手機被駭，並向警方報案。

FB 免費送LINE貼圖

手機簡訊詐騙

你會點嗎？

• 「○○○這是你那晚沒來的照片，我被整慘了…」

• 「○○○我在墾丁拍的照片，你覺得哪張最好看。」

• 「○○○這是上次同學聚會的照片，大家都有來」，

• 「○○○朋友家狗狗參加人氣比拼，幫忙讚一下」

• 「○○○這是上次聚會的照片，你好好笑」

• 「是○○○麼？老同學來看我現在的照片能想起來我是誰嗎..」

• 「○○○看著這些照片，好懷念以前的日子！」

• 「○○○被偷拍的是你嗎?

• 「○○○看看你以前的模樣」

• 「○○○那些年你年輕的模樣」

• 「○○○我們中秋烤肉的照片,好多人喔」

• 「○○○朋友參加攝影比賽幫忙投票」

駭客入侵電視 -你看電視 駭客看你

資料來源 : 2012/12/19 中天新聞 http://www.ctitv.com.tw/news_video_c16v108887.html

網路駭客 截標 8萬美金 訂金飛了

駭客總是跟你一起關心熱門議題

攻擊者將中東呼吸綜合症（MERS）的爆發當作魚叉式網路釣魚（Phishing）郵件的魚餌，發送給日本大型媒體公司的一名員工。使用雅虎郵件免費帳號來輕易地通過防垃圾郵件過濾程式，攻擊者複製網路上的公開資訊，用來引誘收件者去打開郵件。

駭客總是跟你一起關心熱門議題

什麼是「Botnet傀儡網路」？

• Botnet傀儡網路另一個說法是殭屍網路，顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式，即會像傀儡一般任人擺佈執行各種惡意行為，當一部電腦成為傀儡網路 Botnet的一部份時，意味著Bot操縱者可將募集到的龐大網路軍團當作機器人來遠端遙控。

「Botnet傀儡網路/殭屍網路」的組成有哪些？

• Botherder

– 下達指令給botnet 殭屍網路成員的司令官，為駭客本身。

• Botclient

– 被遙控的受害者電腦，受害者通常不會察覺自己已經遭受感染，而成為botnet

殭屍網路的一份子。

• Command and control server (C&C server)

– 負責管理控制整個botnet 殭屍網路的server，並將botherder的指令傳遞給botclient。殭屍電腦自動執行某項工作,如發送垃圾郵件,癱瘓某網站,點擊詐騙,資料竊取,散播惡意程式等。

殭屍電腦 台灣之光

分散式阻斷攻擊

現象

近年來網路掛馬事件頻傳，尤其是資料搜尋下載的重度使用者，難免成為網頁

病毒「中獎」的常客，而這些受害者往往成為發動分散式服務阻斷攻擊

(DDOS)，甚至是資料竊取的傀儡電腦。

植入魁儡程式

被攻擊主機 散播垃圾郵件

駭客 網路釣魚攻擊

網路釣魚

• 透過偽造的電子郵件或是網站騙取使用者資訊

那一個是真的?

帳號 密碼

傀儡 跳板

隱私 受害者

難以想像的地下經濟

駭客

惡意程式 撰寫者

殭屍網路 網軍集團

漏洞訊息

病毒

木馬程式

取得控制權

集中控制

目標

•資料被偷窺

•商業機密被盜

•個人資料被竊

•照片網路上流傳

•發送垃圾郵件

•阻絕服務攻擊

•網站掛馬

•釣魚網站

•代罪羔羊

銷售

目標式攻擊

遊戲 裝備

個人 資料

商業 機密

網站掛馬服務

垃圾郵件服務

釣魚 網站

•銀行帳戶被盜

•網路拍賣詐騙

•遊戲裝備被竊

21

漏洞研究者

社交工程介紹

什麼是社交工程（social engineering ）?

• 通常是利用大衆的疏於防範的小詭計，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取用戶系統的秘密，例如：用戶名單、用戶密碼及網絡結構。

• 社交工程技巧涵蓋許多用以操控人類心理，使他們採取特定行動或透露機密資訊的技巧。利用目前備受矚目的重大事件與新聞作為誘餌，無論是政治、運動、娛樂性質，同時也不分全球性或地區性。

• 目前社交工程大都是利用電子郵件或網頁或手機應用程式來進行攻擊。

社交工程的運作原理~好奇心/免費是最大的安全漏洞

• 比多數侵入式的惡意軟體攻擊更可怕的是，社交工程陷阱攻擊更加難以防禦。為什麼呢？因為他們針對的是你這個人，而不只是系統。

話題新聞 免費程式或貼圖

熱門名人

社交觀念大考驗

資料來源: 蘋果日報 2012/09/15 http://www.appledaily.com.tw/appledaily/article/headline/20120915/34510709

電子郵件+社交工程(傳統版)

你了解APT嗎?

What is APT?!

Advanced

Persistent

Threat

威脅

持續性

深入、熟悉目標特性的 針對性的

APT 隱密持續，鎖定目標，精準打擊

APT 就是一種：

針對性的持續威脅

什麼是APT？

• Advanced Persistent Threat

– 進階且持續性的攻擊

• APT的主要目的

– 偷竊機密資料

• APT的特性

– 組織型駭客：擁有高度技術及豐富資源

– 針對特定目標攻擊：以政府、金融或高科技產業為常見攻擊目標

– 低調、隱蔽且持續的攻擊：由於攻擊的手法非常隱密不易發覺，因此攻擊的時間往往是數個月甚至數年

INTELLIGENCE 情資

APT第一步 : 情報收集

目標的電子郵件信箱?

目標的工作範圍? 目標的興趣?

目標的上網習慣?

目標的喜好?

目標的交友狀況?

目標的私人電子郵件信箱?

目標的廠商關係?

目標的電腦環境?

公司的防護架構?

典型APT攻擊流程

1

夾帶惡意附件的社交工程信件

5

內部網路攻擊與擴散

2

觸發軟體弱點 3 安裝後門程式

4 建立 C&C 通道

攻擊階段 控制階段 活動與擴散階段

目標式持續威脅攻擊示意圖

Core Switch

End Users

Mail Server

Internet

Batch Switch Batch Switch

AD DB File Server Server Farm

1. 惡意郵件投遞到企業郵件主機

2. 用惡意文件攻擊端點程式弱點

3. 控制某些端點後進行內部擴散

4. 透過端點攻擊AD擷取密碼資料

5. 駭客利用停用的帳號或是建立最高權限帳號

6. 用合法帳號存取DB或檔案主機

7. 打包資料並帶走

APT VS. 其他惡意程式

造成系統異常，無法正常工作 (毀損系統 – 業餘駭客)

控制主機，並伺機對外攻擊 (控制權 – 利益導向駭客)

控制主機，並伺機控制其他主機，竊取資料與帳密，直到取得最高權限後帶走所需資料。 (竊取資料 – 組織型駭客)

殭屍病毒

傳統病毒

APT攻擊

內部電腦A

內部電腦C

內部電腦B

內部伺服器A

內部伺服器B

20060309 中國時報 駭客冒新聞局發佈假新聞稿

APT影片欣賞

深入剖析勒索軟體生態

勒索軟體 入侵 為了 $$$

資料來源: 2016 0217 http://www.appledaily.com.tw/realtimenews/article/new/20160217/797129/

勒索軟體 賺上癮了

資料來源: 2016 0301 http://www.ithome.com.tw/news/104205

勒索軟體介紹

勒索軟體演進過程

2006. TROJ_CRYZIP

2012. Reveton

2013. CryptoLocker

2013 ~ . TorrentLocker Family

2014 ~ . CryptoWall Family

2015 ~ . TeslaCrypt Family

為什麼勒索軟體危害嚴重

• 加密 電腦中“有寫入權限“文件檔案

• 加密 電腦中 包含所有網路磁碟機的文件檔案

勒索軟體的特性(1) ：把你的檔案當作人質 “加密”

• 檔案是由AES / RSA 2048 加密演算法加密

• 一經加密即無法破解, 除非取得金鑰

勒索軟體的特性(2) ：文件無法自行解密

• 中了此類病毒後會優先攻擊文件、圖片、影音資料被加密，文件檔案會多一串 「encrypted、exx 、 micro、mp3 、Crypt ……」的字眼

• 所有被加密檔案將無法使用

勒索軟體的特性(3) ：被加密文件將無法使用

彈跳出勒索畫面要求支付贖金

使用Bitcoin交易

通常能復原，維持口碑

勒索軟體的特性(4) ：勒索付錢才給解密鑰匙

勒索軟體攻擊行為剖析

User may encounter ransomware variants via

spam or malicious link. Once installed, it limits access to the system and Show message

prompts forcing users to pay for the Ransom

勒索軟體目前主要的攻擊途徑:

• 惡意郵件

– 釣魚連結和惡意夾檔(zip壓縮檔夾帶js file)

• 網頁掛馬

– 遭駭客入侵的網站

– 惡意廣告

勒索軟體的散播途徑

• 釣魚信件 – 假冒當地的銀行或快遞，連結下載帳單或收據

– 下載的檔案實際為勒索軟體

• 惡意夾檔 – 偽裝成投履歷或寄送發票的信件

– 附件壓縮檔解開後是勒索軟體

惡意郵件攻擊案例

• 從2015年十月開始在台灣劇烈活動

• 第四季的攻擊總數有3.5倍的成長

• 從Q3的43,015次至Q4的152,929次

網頁掛馬攻擊統計

0

2000

4000

6000

8000

10000

12000

14000

16000

18000

20000

2015年7月 2015年8月 2015年9月 2015年10月 2015年11月 2015年12月 2016年1月 2016年2月

每週掛馬攻擊數分布 (台灣)

• 駭客入侵網站後，將惡意程式碼植入網站

• 拜訪該網站的使用者將會執行程式碼

• 在瀏覽網站的同時，也自動被導入駭客的攻擊伺服器

網頁掛馬攻擊流程

被入侵的網站

使用者

被入侵的網站 被入侵的網站

駭客中繼伺服器

漏洞攻擊套件伺服器

勒索軟體

• 惡意連結從遠端下載Exploit

• 攻擊應用程式漏洞 – 網頁瀏覽器 (如IE)

– 瀏覽器外掛 (如Flash)

• 攻擊成功後 – 取得應用程式控制權

– 自動下載並執行勒索軟體

網頁掛馬攻擊行為分析

被攻擊的網頁瀏覽器

勒索軟體

• 惡意廣告與掛馬攻擊

– 駭客假冒廣告業主，上傳惡意廣告到一般廣告平台

– 惡意廣告可透過廣告網路傳遞到各大網站

– 2015年12月全球網頁掛馬攻擊來源分布

萬惡深淵: 廣告進行掛馬攻擊

惡意廣告

88%

遭入侵的

網站

12%

• 主要是被全球性的惡意廣告波及

• 最少有三組不同的惡意廣告集團同時活動

台灣的廣告攻擊案例

勒索軟體感染

隱藏的惡意

中繼伺服器

漏洞攻擊套件

惡意廣告

• 廣告網路複雜

– 難以察覺和追蹤 (廣告可依照地區、時間、喜好來推播)

• 廣告未被檢驗

– 大部分廣告平台沒有能力驗證廣告是否具有攻擊性

– 多層的上下游關係難以驗證

• 更容易進行大量攻擊

– 廣告可以播送到大型網站

– 不需要使用者點擊

為什麼駭客選擇惡意廣告

隱藏的iFrame

可將使用者任意

導入攻擊伺服器

• 持續發現新漏洞是主要原因

– 零時差漏洞

– 快速整合漏洞

駭客攻擊奏效的關鍵

CVE 編號 應用程式 發現日期 整合的漏洞攻擊包 更新公開日期 差距天數

CVE-2016-0034 MS Silverlight 2016-02-22 Angler Exploit Kit 2016-01-12 41 CVE-2015-8651 Adobe Flash 2016-01-26 Angler Exploit Kit 2015-12-28 29 CVE-2015-8446 Adobe Flash 2015-12-15 Angler Exploit Kit 2015-12-08 7 CVE-2015-7645 Adobe Flash 2015-10-29 Angler Exploit Kit 2015-10-16 13 CVE-2015-5560 Adobe Flash 2015-08-28 Angler Exploit Kit 2015-08-11 17 CVE-2015-2444 MS IE 2015-08-25 Sundown Exploit Kit 2015-08-12 13 CVE-2015-2419 MS IE 2015-08-10 Angler Exploit Kit 2015-07-22 19 CVE-2015-1671 MS Silverlight 2015-07-21 Angler Exploit Kit 2015-05-12 70 CVE-2015-5122 Adobe Flash 2015-07-11 Angler Exploit Kit 2015-07-14 -3 CVE-2015-5119 Adobe Flash 2015-07-07 Angler Exploit Kit 2015-07-08 -1 CVE-2015-3113 Adobe Flash 2015-06-27 Magnitude Exploit Kit 2015-06-23 4 CVE-2015-3104 Adobe Flash 2015-06-17 Angler Exploit Kit 2015-06-09 8 CVE-2015-3105 Adobe Flash 2015-06-16 Magnitude Exploit Kit 2015-06-09 7 CVE-2015-3090 Adobe Flash 2015-05-26 Angler Exploit Kit 2015-05-12 14 CVE-2015-0359 Adobe Flash 2015-04-18 Angler Exploit Kit 2015-04-14 4 CVE-2015-0336 Adobe Flash 2015-03-19 Nuclear Exploit Kit 2015-03-12 7 CVE-2015-0313 Adobe Flash 2015-02-02 HanJuan Exploit Kit 2015-02-04 -2 CVE-2015-0311 Adobe Flash 2015-01-20 Angler Exploit Kit 2015-01-27 -7 CVE-2015-0310 Adobe Flash 2015-01-15 Angler Exploit Kit 2015-01-22 -7

越久沒有更新 感染風險越高

勒索軟體行為 Live Demo ： 當你進入了被掛馬的網站

勒索軟體發生 緊急處置

被勒索當下即時處置

• 斷開網路連線

• 馬上關機 （10分鐘內還有殘存資料可以救回.. 看電腦速度)

• 保留電腦 通報資訊人員

• 不要付錢

資訊人員處置事項

• 暫時停止該員電腦網路存取登入權限

• 檢查該員權限可以寫入公用資料夾是否感染

• 資料備份還原 /外接HD救資料

• 查找出勒索程式來源

• T-clean 掃描後送Trend Micro分析

• 安裝啟用 防毒軟體 OSCE11 SP1 防勒索行為控管

如何預防勒索軟體?

三要

– 要安裝啟用OSCE11SP1 防勒索行為控管

– 要定期備份重要的檔案。

– 要定期更新修補作業系統與應用程式的漏洞 Java/Flash/Adobe/Windows update 。更新公開後，四天沒有更新就有危險 (2015年為例)

兩不

– 不要用公用帳號。

– 不要共享資料夾的開放權限，開放 Read only 權限。

一宣導

– 同仁社交工程警覺訓練, 尤其是網站及郵件的相關警覺及認知

– 只打開信任的郵件 不隨意打開未知來源信件的連結以及附件

– 若不慎感染勒索病毒，請立即將受感染的電腦網路拔除，關閉電腦避免災情擴散惡化。

Thank you !