年中報告 網路攻擊趨勢 -...
TRANSCRIPT
年中報告 網路攻擊趨勢
2017 年
目錄 | 2
目錄
簡介 ............................................................................. 3
全球趨勢 ................................................................................ 4
重大網路漏洞 .......................................................................... 5
美洲 ............................................................................... 5
歐洲、中東和非洲 (EMEA). .................................................. 6
亞太地區 (APAC)............................................................... 6
全球惡意軟體統計資料 ............................................................... 7
主要惡意軟體家族 .............................................................. 7
主要勒索軟體 ................................................................ 9
主要銀行惡意軟體 ............................................................. 10
主要行動惡意軟體 ............................................................. 11
各地區的網路攻擊類別 .............................................................. 12
全球威脅指數地圖 ................................................................... 13
其他觀察..................................................................... 14
建議 .................................................................................... 15
附錄 – 惡意軟體家族說明 ........................................................... 16
簡介 | 3
簡介
提到全球網路市場環境,今年似乎承接了去年的情勢。2016 年,我們親眼目睹每個月都有
複雜的新型惡意軟體崛起,展現出透過例如惡名昭彰的 Cerber 勒索病毒服務和釣魚漏洞攻
擊套件 (已經停止運作) 等多個平台,所兜售提供的新的功能、散佈方式和攻擊服務。
而在 2017 年,新的趨勢浮上台面——簡單但極為有效的惡意軟體家族,正在全球快速地造
成破壞。樣本由不明的威脅執行者散佈,並且運用由頂尖的國家級執行者所開發的高階攻擊
工具與技術。除此之外,大規模的竊盜行動,例如聲名狼籍的影子代理人外洩據稱是美國國
家安全局 (NSA) 所開發的工具,導致某些全世界最精巧的惡意軟體,最後流入無需技能的攻
擊者手中。這是我們有史以來,第一次看到諸如「WannaCry」勒索軟體影響世界各地的公
共基礎建設以及醫療設施這種現象。
即使 WannaCry 和 NotPetya 登上世界媒體頭條,大多數機構在攻擊發生之後,仍然繼續依
賴偵測和反應的策略,作為主要的防禦方式。這些著名的攻擊事件中,有許多都是使用已知
的惡意軟體變種,如果事先部署適當的安全措施,就可予以攔截。不幸的是仍有 99% 的機
構,尚未設置能夠防範這些類型攻擊的基本網路安全技術。結論就是:只要採取適當的安全
機制,這些威脅原本應該是可以防範的。
為了提供各機構最高層級的防護,安全專家們必須深入了解不斷變動的環境,以及最新的威
脅和攻擊方式,才能將他們的安全狀況維持在最高標準。Check Point 網路攻擊趨勢報告提
供全面的概述,說明主要的勒索軟體、銀行和行動威脅類別的惡意軟體情況,其依據是從
2017 年 1 月到 6 月間的 ThreatCloud 世界網路威脅地圖所取得的威脅情報資料。
4
全球趨勢 趨勢 1:國家級的網路武器已經落入犯罪者手中
資料洩漏事件的複雜程度、頻率和存取資料量,都有顯著的演變。我們可以在 2017 年上半年的幾個事件中看到,竊取並
隨後提供關鍵的國家級駭客工具,搭配大範圍的零時差漏洞,使得駭客現在無需技能,即可進行手法精細的攻擊活動。
關鍵事件 • 三月:數千份詳細說明 CIA 為了駭入 iPhone、Android 裝置和智慧型電視,而使用的作業及方法的文件
外洩。
• 四月:影子代理人威脅集團發佈包含 NSA 漏洞和駭客工具的傾印檔案,這被認為是迄今為止殺傷力最大
的發佈,因為它暴露出的漏洞數量,以及複雜程度和漏洞種類都最為可觀。洩漏的快取包含將近 300
MB 的資料,其中有針對大多數 Windows 作業系統版本的工具,以及能夠駭入中東最大的 SWIFT 服務
供應商 EastNets 的程式碼。
• 五月:勒索軟體 WannaCry 撰寫得並不完善、沒有經過封裝、沒有經過混淆處理,而且含有奇特的「安
全開關」。但是我們主要從影子代理人的洩漏內容,或是更明確地說,從 Windows SMB 的「永恆之
藍」漏洞得知,這個惡意軟體展現出令人驚嘆的橫向移動能力。洩漏的程式碼讓一個簡單的勒索軟體,
升級成近年來觀察到影響力最大的全球攻擊事件之一,衝擊一大部分的公有和民間設施。
• 六月:在 WannaCry 攻擊中顯現的相同 NSA 功能,又重複使用在 NotPetya – 一場以烏克蘭機構為重
心,癱瘓整個網路的廣泛攻擊。這個事件顯示,雖然威脅執行者會從每一波成功的攻擊中學習,但他們
經常重複使用有效的武器;組織和個人持續忽略某些教訓,拒絕實施可輕易取得又有效的安全措施。
有趣的是,如同 Vault 7 洩漏所顯示的,我們也觀察到相反的趨勢。CIA 用來駭入行動裝置的某些程式碼,是借用自一般
的惡意軟體。使用者必須從中了解到的重要課題,就是所有的網路威脅都彼此相關,無論源頭來自何處。
趨勢 2:廣告軟體和惡意軟體的分界日漸模糊,行動廣告軟體僵屍網路正在崛起
廣告軟體會在受感染的機器上,自動顯示或下載廣告資料,一直到最近以來,廣告軟體都不是我們最大的擔憂對象,因為
它們雖然有時令人心煩,但唯一的目的只是產生營收,而不是造成實際的傷害。然而最近幾個月來,這個避免引起安全社
群注意、低調運作的現狀,是不是已經被打破了呢?惡意軟體 Fireball 是一種瀏覽器綁架軟體,主要目的在於推播廣告,
但也能夠在受害者的機器上,執行所有任意的程式碼。這讓我們大幅改變對於廣告軟體的做法,特別是由規模龐大、看似
合法的機構所擁有的廣告軟體。隨著研究的進行,我們可以指出越來越多複雜的廣告軟體家族,也是以類似的方法運作。
相對的,行動廣告軟體僵屍網路也持續擴張版圖,在行動惡意軟體的領域中稱霸。2017 年的上半年中,我們親眼目睹行
動廣告軟體僵屍網路的散播範圍和技術能力不斷提升。這一年是以 HummingWhale 的通報揭開序幕,這是去年在第三方
應用程式商店中,惡名昭彰的惡意軟體 HummingBad 的新變種。這個新版本不僅開發出全新的策略,以竊取廣告營收,
還突破 Google 的安全機制,在 Google Play 上傳了數十個應用程式。隨後,我們解密了 Judy,這種自動點擊廣告程式
可能是 Google Play 上出現過最大的惡意軟體感染。在全世紀數億台機器遭到廣告軟體感染之際,將這些負載轉變成潛在
的惡意軟體下載程式,可以為背後的公司或執行者產生更龐大的收入。
5
這樣的趨勢隨著 CopyCat 持續演進,這種行動惡意軟體感染了 1400 萬台 Android 裝置,將其中大約 800 萬台改機,在
兩個月中為背後主導活動的駭客,賺進了 150 萬美元左右的謊報廣告收入。CopyCat 使用嶄新的技術,產生和竊取廣告
營收。CopyCat 是開發完善的惡意軟體,擁有眾多功能,包括將裝置改機、建立持久控制,並將程式碼注入 Zygote——
在 Android 作業系統中負責開啟應用程式的常駐程式,讓惡意軟體能夠控制裝置上的任何活動。
趨勢 3:巨集型下載軟體持續演化
隨著惡意軟體不斷演進,它們的傳播方式也同樣地推陳出新。過去的六個月中,我們看到了一些利用 Microsoft Office 檔
案漏洞的新方式,已經不需要受害者啟用巨集為攻擊者開門。
關鍵事件 • CVE-2017-0199:四月時,我們看到了一波武器化的 RTF 檔案,使用未揭露的方式,傳播許多種
類的惡意軟體,從勒索軟體到遠端存取特洛伊木馬 (RAT)。RTF 檔案包含的漏洞,會下載偽裝成另一
個 RTF 檔案的 HTA 檔案,然後透過 Windows HTA 處理程式執行。起初,這個向量被通報為零時差
攻擊,只受到一個惡意軟體家族使用。但是這個漏洞可以輕易地被利用,代表其他人會很快地逮住機
會,開始在其他攻擊中採用這種方法。
• 滑鼠移到上方:大多數惡意的文件必須依靠執行巨集或內嵌物件。六月時,我們發現了利用漏洞的全
新方式——濫用 PowerPoint 的元素定義。威脅執行者可藉由修改投影片的 XML 資料,設定並變更
投影片中不同元素執行的動作。在這種特殊的情境中,受害者會收到一份 PowerPoint 簡報,其中僅
顯示一個超連結。在使用者將滑鼠移動到超連結上方時,就會叫出 PowerShell 腳本,腳本則會下載
並執行惡意的負載。 趨勢 4:GOOGLE PLAY 上新一波的行動銀行惡意軟體
除了在 Google Play 上已經不足為奇的大量廣告軟體活動,新一波的行動銀行惡意軟體,其中大多屬於 BankBot 家族,
設法不受偵測地進入 Play Store 並感染使用者。這是令人警惕的發展,因為銀行惡意軟體會直接危害使用者,而且應該更
容易被偵測出來。只不過,駭客將開放原始碼的銀行惡意軟體程式碼,和複雜的混淆技術結合,成功地一再繞過 Google
的防護機制。
重大網路漏洞
在現實世界中,很不幸的網路攻擊並不是偶發事件。近期的頭條報導證實了網路犯罪的敏捷性、規模與持續性。此外,駭
客還瞄準所有的地理區域進行攻擊。2017 年截至目前為止,所有區域都受到大量的攻擊危害。以下簡要地說明各地區最
重要且廣為人知的攻擊。
美洲
• 2017 年 2 月 23 日:研究人員發現網路安全公司 Cloudflare 的邊緣伺服器中有致命的安全漏洞。一個緩衝區溢位的錯
誤,造成 3,400 個網站的敏感性使用者資訊嚴重外洩,包括 Uber、1Password,和線上約會網站 OKCupid。
• 2017 年 3 月 7 日:在被稱為「Vault7」的外洩事件中,維基解密發佈了超過 8,000 個檔案和文件,據推測應屬於美國
中央情報局 (CIA)。這些文件包含有關數十個各種平台漏洞和弱點的資訊,包括網頁瀏覽器、Windows、Android、
Apple 產品,以及安全產品。洩漏內容還包含據稱是 CIA 使用的實務和方法資訊,其中有一整個部門專精於掩蓋駭客行
為,使其能夠怪罪到其他執行者身上。
重大網路漏洞 | 6
• 2017 年 4 月 7 日:星期五的夜晚,不明的駭客入侵德州達拉斯市的緊急警報系統,反覆啟動全市所有的 156 個警鈴,為
時大約一小時。由於警鈴系統僅使用僅使用無線電通訊,而沒有網際網路連線,因此推測攻擊是以無線電傳輸的方式
進行。
• 2017 年 4 月 14 日:去年年底發佈據稱由 NSA 所擁有的駭客工具的影子代理人集團,洩漏其他一般相信也屬於 NSA
的其他工具,能夠同時利用 Windows 和 SWIFT 銀行系統的零時差漏洞。在這次洩漏之後,才發現 Microsoft 已經在一
次鮮為人知的安全性更新中修補了漏洞。一個月後,也就是 5 月 12 日,藉由使用 Windows 作業系統 SMB
EternalBlue 通訊協定中的一個漏洞,由 NSA 開發而遭該集團洩漏的 WannaCry 勒索軟體,所發動的全球攻擊,感染了
數萬台機器。受害者包括醫院、電信公司、汽車製造廠和其他機構。
• 2017 年 5 月 11 日:位於加州的知名教育科技公司 Edmodo,成為入侵的受害者。屬於學生、家長和教師的約 7700
萬個使用者帳號中,有個人資料遭竊。洩漏的資訊包括電子郵件地址、使用者名稱和雜湊密碼。報導指出,駭客在暗網
的網路討論區提議以 1,000 美元出售這些資料。
歐洲、中東和非洲 (EMEA)
• 2017 年 1 月 7 日:德國電競公司 Turtle Entertainment GmbH 所擁有的熱門電子遊戲社群 E-Sports Entertainment
Association League 遭到入侵,而洩漏了遊戲伺服器資料和使用者的個人詳細資料。據研究人員表示,受到入侵影響的
使用者人數可能高達 150 萬人。
• 2017 年 1 月 12 日:以開發行動鑑識和駭客工具而知名的以色列公司 Cellebrite 遭到入侵,導致 900 GB 的客戶資料
遭竊。其聲明中指出,遭到入侵的網頁伺服器,含有客戶為了收到 Cellebrite 產品的警示和通知,而註冊的客戶基本資
訊,以及尚未遷移到 Cellebrite 新的一般使用者授權管理系統的客戶雜湊密碼。
• 2017 年 4 月 9 日:一家英國的融資公司 Wonga,遭受入侵而影響到高達 270,000 名顧客,其中多為英國居民。
Wonga 表示,洩漏的資料可能包含電子郵件地址、住址、電話號碼、部分信用卡號和銀行帳戶號碼。
亞太地區 (APAC)
• 2017 年 2 月 13 日:麥當勞在印度的應用程式 McDelivery,洩漏了超過 220 萬名顧客的個人資料,包括姓名、電子
郵件地址、電話號碼、住址和社交檔案。這次洩漏是由不安全的公共 API 所造成的。雖然 McDelivery 在 2 月 13 日承
認問題,但直到 3 月 17 日,修正依然尚未完成,應用程式仍在洩漏顧客資料。
• 2017 年 3 月 14 日:日本的付款處理服務供應商 GMO Payment Gateway,證實該公司執行 Apache Struts 2 的系統
中的安全漏洞,導致其兩個客戶的網站上的個人和財務資料外洩:東京都市政府和日本住宅金融支援機構。外洩的資訊
包含超過 100,000 個信用卡號碼和有效日期,以及電子郵件地址、電話號碼和出生日期。
• 2017 年 4 月 13 日:在澳洲網路公司 Melbourne IT 及其子公司的 DNS 伺服器,遭到大規模的 DDoS 攻擊而受害之
後,大約 500,000 個澳洲網站有一個半小時的時間無法存取。攻擊影響到該公司的網站代管、電子郵件平台和客戶管理
入口網站存取。
• 2017 年 4 月 24 日:不明的駭客侵入 由澳洲企業 Atlassian 所經營的團體聊天平台 HipChat。數量龐大的使用者帳號
資訊,包括姓名、電子郵件地址和雜湊密碼,以及聊天室中繼資料,可能遭到竊取。一部份使用者的訊息和聊天室內
容,可能也遭到竊取。
全球惡意軟體統計資料 | 7
全球惡意軟體統計資料 本報告以下各節所顯示的資料比較,是依據從 2017 年 1 月到 6 月間的 Check Point ThreatCloud 世界網路威脅地圖所得到
的資料。每一個惡意軟體家族所顯示的百分比,代表在辨識出的全世界機構惡意軟體攻擊中,該惡意軟體家族佔有的比例。
主要惡意軟體家族 在下圖中,我們顯示全世界機構受到各惡意軟體家族影響的百分比。
全球
25 23.5%
19.7% 20
15
10.4%
10
7.9%
7.7%
7.4%
6.5%
6.2%
6.2%
5.9%
5
0
圖 1:全球最普遍的惡意軟體
我們為下文中的每一個地區顯示兩張圖表:第一張詳細說明該地區最普遍的惡意軟體,接下來則是第二張圖表,詳細說明
相較於其他地方,該地區出現比率最高的惡意軟體家族。例如 RoughTed 在所有地區都很普遍,但是 Winnti 大多集中在
美洲,而沒有遍佈整個歐非中亞或亞太地區。這些圖表合起來能夠提供整體的樣貌——鎖定該地攻擊的惡意軟體圖表,不
只顯現出只在一個國家位居榜首的惡意軟體,而是顯現出顯然瞄準特定區域的惡意軟體家族——此清單是依據各地區惡意
軟體感染率的顯著差異而編排。
美洲 美洲 亞太 歐非中亞
22.8% 18.0%
1
0
0
8
0
8%
12%
8%
20%
7%
40%
17%
31%
15%
37%
60
9.4% 9.3% 9.1%
7.8%
7.6%
6.9%
80% 40
72%
5.6% 5.3% 53% 52% 48%
20
0 Winnti Cloud Hopper
LdPinch Kazy Jaff
圖 2:美洲最普遍的惡意軟體 圖 3:主要鎖定美洲的惡意軟體
全球惡意軟體統計資料 | 8
歐洲、中東和非洲 (EMEA)
23.4%
美洲 亞太 歐非中亞
19.3%
94% 78% 72% 69% 66%
10.9%
8.4%
7.8%
7.0%
6.1%
5.8%
5.5%
5.4%
11%
12%
24%
18%
14%
16%
19%
iSpy Kometaur Cryptoload naKocTb Cerber
圖 4:歐非中東最普遍的惡意軟體 圖 5:主要鎖定歐非中東的惡意軟體
亞太地區
22.8%
100 6%
美洲 亞太 歐非中亞
11% 14% 19% 21%
18.0% 80
9.4%
9.3%
9.1%
7.8%
7.6%
6.9%
60
93%
40
78% 72% 69% 66%
5.6% 5.3% 20
12%
24% 14% 19%
0 RedLeaves Jadtre Dorvku ZergHelper Alman
圖 6:亞太地區最普遍的惡意軟體 圖 7:主要鎖定亞太地區的惡意軟體
主要惡意軟體的全球分析
• 即使 WannaCry 攻擊在全球產生重大影響,此惡意軟體並未進入美國主要惡意軟體家族的排行榜中。此惡意軟體在此排
行榜中缺席,符合大多數受到 WannaCry 攻擊的重要組織,例如 Telefonica、英國國民保健署、日產汽車製造英國公司
和中國石油,都是位於歐洲或亞太地區的實際情況。
• RoughTed 和 Fireball 在三個地區中都名列前茅,因此在全球排名中也是如此。從五月下旬開始,一場大規模的惡意廣
告活動 RoughTed,被用於提供惡意網站和負載的連結,例如廣告軟體、漏洞攻擊套件和勒索軟體。依據我們的資料,
全球所有組織中,有 28% 在六月受到 RoughTed 的活動影響。
• Conficker,最大且最古老的現存僵屍網路之一,在 2016 年的上半年位居我們的全球主要惡意軟體家族榜首,但是一年
後,我們可以看到它在我們的清單中大幅下滑到第 10 名,因為廣泛流傳的新惡意軟體,包括 RoughTed 和 Fireball,
在這段期間嶄露頭角。
全球惡意軟體統計資料 | 9
主要勒索軟體 本報告這一節中的圖表,顯示受到各勒索軟體影響的組織百分比。圖表顯示全球的情勢,以及主要勒索軟體的各地區深
入說明。
全球
美洲
15%
WannaCry
21% Jaff
圖 8:全球最普遍的勒索軟體 圖 9:美洲最普遍的勒索軟體
歐非中東 亞太地區
圖 10:歐非中東最普遍的勒索軟體 圖 11:亞太地區最普遍的勒索軟體
勒索軟體全球分析
• 比較 2016 年上半年和 2017 年上半年,所有三個區域中,來自前三大勒索軟體的攻擊百分比幾乎是倍數成長,從平均
26% 增加到平均 48%。
• Jaff 勒索軟體在我們的全球和地區主要勒索軟體圖表中異軍突起,與主宰勒索軟體情勢超過一年的老牌勒索軟體家族
Cryptowall、Locky 和 Cerber 並列,但 Jaff 卻是在 2017 年 5 月才崛起。此勒索軟體大量散佈的關鍵原因,在於它是
以我們觀察到最大的垃圾電子郵件僵屍網路之一進行散佈,也就是惡名昭彰的 Necurs 僵屍網路。
全球主要勒索軟體
美洲主要
勒索軟體
歐非中東 主要勒索 軟體
亞太地區 主要勒索 軟體
全球惡意軟體統計資料 | 10
主要銀行惡意軟體 在本報告的這一節中,圖表顯示受到各銀行惡意軟體影響的組織百分比。圖表提供全球的情勢,以及主要銀行惡意
軟體的各地區深入說明。
全球 美洲
圖 12:全球最普遍的銀行惡意軟體 圖 13:美洲最普遍的銀行惡意軟體 歐非中東 亞太地區
圖 14:歐非中東最普遍的銀行惡意軟體 圖 15:亞太地區最普遍的銀行惡意軟體
銀行惡意軟體全球分析
• 最著名的銀行特洛伊木馬病毒,也就是稱霸全球主要銀行惡意軟體名單的 Zeus、Ramnit 和 Tinba,自從 2016 年後半
年以來,始終在此榜單上維持地位不墜。不僅如此,名列全球排行榜的惡意軟體也不是新面孔。它在 2016 年就出現
了。有關各個時代最著名的銀行特洛伊木馬病毒的回顧,可以在 Banking Trojans; From Stone Age to Space Era (銀行
特洛伊木馬病毒:從石器時代到太空時代) 報告中找到,這是 Check Point 和 Europol 的聯合報告。
• Zeus 在所有地區都君臨銀行惡意軟體的榜首,而在 2016 年下半年,我們也觀察到 Zeus 佔據類似的稱霸狀態。
• 原始程式碼在 2013 年遭到洩漏的複雜銀行惡意軟體 Carberp,只有在亞太地區進入主要銀行惡意程式排行榜。有趣的
是,趨勢 1 中提到的 CIA 近期洩漏資料顯示,政府機構在 2013 年,向原始程式碼遭到洩漏而公開的惡意軟體程式碼,
借用了一些元素。
全球主要 銀行惡意 軟體
美洲主要 銀行惡意 軟體
歐非中東
主要銀行
惡意軟體
亞太地區 主要銀行 惡意軟體
全球惡意軟體統計資料 | 11
主要行動惡意軟體 聲名狼籍的惡意軟體 HummingBad 在 2017 年初出現新的變種,使得 HummingBad 繼續保持全球行動惡意軟體名單上
的領先地位。
全球
美洲
圖 16:全球主要行動惡意軟體 圖 17:美洲主要行動惡意軟體
歐非中東 亞太地區
圖 18:歐非中東主要行動惡意軟體 圖 19:亞太地區主要行動惡意軟體
行動惡意軟體全球分析
• HummingBad 惡意軟體的新變種稱為 HummingWhale,於 2017 年初興起,使得 HummingBad 在今年的整個上半
年,都躋身全球主要行動惡意軟體之中。HummingWhale 也可以當作病毒植入程式操作,可用於下載和執行其他的應
用程式,但是它也可以在虛擬機器上上傳詐欺應用程式,而且史無前例地進入了 Google Play。
• Xcodeghost 是 iOS 開發人員平台 Xcode 遭到入侵的版本,它遭到修改,因此會在任何使用此平台的應用程式中注入
惡意程式碼,但僅出現在美洲的主要行動惡意軟體排行榜上。依據我們的資料,遭到此惡意軟體攻擊最嚴重的國家是美
國和加拿大。Xcodeghost 也名列全球主要行動惡意軟體之中,和 2016 年的情況相近。
• 這是興起於 2016 年底,主要用於顯示廣告的 Android 惡意軟體 Hiddad,第一次出現在主要行動惡意軟體排行榜上—
—不僅如此,這個相對較新的惡意軟體還出現在全球清單,以及美洲和歐非中東地區的主要行動惡意軟體排行榜上。
全球主要行動惡意軟體
美洲主要行動惡意軟體
歐非中東
主要行動
惡意軟體
亞太地區主要行動惡意軟體
各地區的網路攻擊類別 | 12
各地區的網路攻擊類別
下方的資訊圖表顯示三種主要惡意軟體類別:銀行、行動和勒索軟體,在各地區的散播情況。
圖 20:各地區的攻擊類別
注意:我們沒有包含「其他惡意軟體」類別,因為重點在於這三種最常見的惡意軟體類型之間的比較,以及與 2016 下半年威
脅情報趨勢報告中三種最常見的惡意軟體類型比較。
13
全球威脅指數地圖
Check Point 威脅指數是依據位於某個國家的機器,受到惡意軟體攻擊的可能性而定出。這項資料是衍生自即時追蹤發生在
世界各地的網路攻擊,其攻擊方式和地點的 ThreatCloud 世界網路威脅地圖。下方的地圖顯示全球的風險指數,並且強調
世界各地的主要風險區域——較淺的粉紅色表示低風險,深粉紅色則表示高風險,灰色表示資料不足。
圖 21:2017 上半年世界網路威脅指數地圖
其他觀察 | 14
觀察摘要
2017 年的上半年展示了今日威脅環境的本質。散播到全球的惡意軟體如 Fireball,直
到幾個月前都還默默無聞,現在卻在我們的全球惡意軟體排行榜上居於首位。大規模
攻擊活動,包括 WannaCry 和 NotPetya 勒索軟體,無疑地留下記錄,並且進入了全
球排行榜。相對的,如同 2016 年所見,幾個比較古老的惡意軟體家族,如
Cryptowall 勒索軟體、Conficker 僵屍網路和 Kelihos Botnet,也都奮力維持自己在全
球散佈排行榜上的排名。我們可以推測它們藉由遍佈全球、規模龐大的僵屍網路,維
持大量的散佈,這是它們持續主宰市場的關鍵原因。這些知名的僵屍網路不一定會自
力更生,然後將較小的惡意軟體家族推到一旁,在許多案例中,它們會散佈較新的惡
意軟體——大多為勒索軟體和銀行惡意軟體。這是它們持續出現在主要惡意軟體圖表
上的另一個原因。
在主要勒索軟體清單中,有一個 2017 年 5 月興起的新家族異軍突起。那就是 Jaff 勒
索軟體,藉由惡名遠播的 Necurs 僵屍網路廣為流傳。如同先前的觀察,某些在我們
的 2016 下半年威脅情報趨勢報告中,以霸主之姿表現出眾的著名勒索軟體家族,例
如 Locky 和 Cerber,都展現出長尾分佈,這表示這些少數的家族,造成不成比例的高
百分比攻擊事件,而數千個其他勒索軟體家族則相當罕見。我們也在行動環境中觀察
到類似的「長尾」效應。
Check Point ThreatCloud 是致力於暴露和打擊網路犯罪的最大規模協作網路。它使用
全球威脅感應器網路,提供最新的威脅資料和網路攻擊趨勢。ThreatCloud 資料庫每
日可辨識數以百萬計的惡意軟體類型,並且內含 2.5 億個經僵屍網路檢測程式分析的
位址,以及 1,100 萬個以上的惡意軟體簽章和 550 萬個受感染網站。
建議 | 15
建議
網路犯罪顯然沒有減緩的趨勢。事實上,依據 2017 年截至目前為止的資料,以及
對 WannaCry 和 NotPetya 的分析,最新的趨勢顯示惡意軟體經過重新配置,在
整個組織中橫向散播的效果遠比以前更好,以便快速造成大規模的破壞。沒錯,只
要企業使用目前現成的解決方案和技術,例如適當的網路分段、威脅模擬、威脅萃
取和端點安全,即使是這些類型的精巧攻擊,也可以事先防範。在近日媒體大幅報
導網路風險之下,令人震驚的是只有 1% 的機構實施了必要的解決方案,以積極主
動地預防這些類型的攻擊。
雖然有些組織採取防患未然的做法,但也有許多組織仍然實施點狀解決方案,每項
都只能解決個別的問題。這種方式會造成「裝置紊亂」,並且附帶產生所有相關的
系統複雜度和維護難題。全世界共有將近 1,600 家網路安全公司,點狀解決方案
會導致漏洞和分段,使威脅得以不受偵測地規避安全解決方案。這種分段的方式在
傷害已經造成之後,仍然著重在補救,而非一開始先預防問題。現在該是改變行動
方案,套用新的架構,著重預防而非偵測的時候了。各機構必須改掉目前使用點狀
解決方案和在攻擊發生後減輕傷害的心態,而應該使用著重安全預防,以聯合架構
管理網路、雲端和行動裝置中安全威脅的新做法。
透過了解新興威脅和實施最新的防範技術,各組織即可建立穩固可靠的網路安全防
禦狀況。這種方式讓安全性成為助力,解開創新的枷鎖,孕育毫無漏洞的高效能、
高生產力環境。
附錄 - 惡意軟體家族說明 | 16
附錄 – 惡意軟體家族說明
• Alman - 麥當勞在印度的應用程式 McDelivery,洩漏了
超過 220 萬名顧客的個人資料,包括姓名、電子郵件地
址、電話號碼、住址和社交檔案。這次洩漏是由不安全
的公共 API 所造成的。雖然 McDelivery 在 2 月 13 日
承認問題,但直到 3 月 17 日,修正依然尚未完成,應
用程式仍在洩漏顧客資料。
• Bancos - 竊取財務資訊的銀行軟體,趁受害者在目標銀
行網頁輸入資訊時,使用鍵盤記錄木馬程式記下他們的
機密資訊。Bancos 也可以使用偽造的網頁,補充或取代
真正的銀行登入頁面。此特洛伊木馬病毒主要活躍於拉
丁美洲,特別是巴西,而且大多是以網路釣魚的方式散
播。
• Bosuoa - Android 惡意軟體,將自身偽裝為合法的行動
應用程式,但卻傳送多則付費簡訊訊息到預先定義的號
碼,產生大量收費。
• Carberp - 巧妙的銀行特洛伊木馬病毒僵屍網路,目標鎖
定遠端銀行和付款系統。Carberp 的設計能夠竊取使用
者憑證,並監控使用者的瀏覽活動,採用模組形式,這
些模組可以單獨下載到受害者的機器上。據猜測,此僵
屍網路的程式應該是由技巧高明的俄羅斯執行者所撰
寫。2013 年,Carberp 的原始程式碼遭到洩漏,在各種
網路討論區供人下載。
• Cerber - 這是一種離線的勒索軟體,這表示它在受感染
的機器上加密檔案之前,不需要與 C&C 伺服器進行通
訊。傳播方式大多是透過使用漏洞攻擊套件的惡意廣告
活動,但也會透過垃圾郵件攻擊。此軟體由其作者以勒
索病毒服務的方式操作;作者會招募成員散佈惡意軟
體,以分享勒索的贖款。
• Cloud Hopper - 和被稱為 APT10 的知名中國 APT 集團
有關的惡意軟體活動,它會鎖定受到管理的安全服務提
供者 (MSSP),作為其客戶網路的入口,其目標為取得網
路存取權和持續性,以收集敏感資訊。此惡意軟體是以
遠端存取的方式部署到組織網路,攻擊者則運用取得的
存取權收集敏感資料。
• Conficker - 此蠕蟲允許遠端操作及下載惡意軟體。受感
染機器遭到殭屍網路控制,而該殭屍網路會連結至其命
令與控制伺服器,以接收指令。
• Cryptoload - 下載程式,主要用於將勒索軟體下載到受
害者的機器上。Cryptoload 通常是在垃圾郵件攻擊中,
置於封存檔案內作為附件傳送,過去曾經被用於下載
Cryptowall 勒索軟體、TeslaCrypt 勒索軟體和 Locky 勒
索軟體,以及 Fareit 資訊竊取程式。
• CryptoWall - 此 勒 索軟 體雖 然 以 Cryptolocker
doppelgänger 為雛形,但最終超越了它。勝過
Cryptolocker 後,Cryptowall 成為至今最著名的勒索軟
體之一。CryptoWall 因採用 AES 加密及透過 Tor 匿名
網路執行命令與控制通訊而著名。其透過入侵程式套
件、惡意廣告和網路釣魚活動廣泛散佈。
• Dorkbot - 設計為允許其操作者進行遠端程式碼執行,
並且下載其他惡意軟體到受感染系統的 IRC 蠕蟲,其主
要動機為偷竊敏感資訊和啟動阻斷服務攻擊。它會安裝
使用者模式的 Rootkit,以防止其檔案受到檢視或更動,
並且修改登錄檔,以確保系統每次開機時都會執行它。
它會傳送訊息給受感染使用者的所有聯絡人,或是綁架
現有的執行緒,使其包含蠕蟲副本的連結。
• Dorvku - 目標為 Windows 作業系統使用者的惡意軟
體。Dorvku 會收集系統資訊,並將它傳送到遠端伺服
器。它也會從鎖定的網頁瀏覽器收集敏感資訊,並接受
命令而在受感染的系統上執行惡意活動。
• Dridex - 使用 Microsoft Office 中的巨集,以感染系統
的銀行惡意軟體。電腦一旦受到感染,Dridex 的攻擊者
就會奪取銀行憑證和其他的個人資訊,以獲得使用者財
務記錄的存取權。其傳播是透過惡意垃圾電子郵件,夾
帶 Microsoft Word 文件附件。Dridex 首先會竊取銀行
憑證,然後試圖產生詐欺的金融交易。
• Fireball - 瀏覽器綁架軟體,也可以轉變為功能完整的惡
意軟體下載程式。它能夠在受害者的機器上執行任何程
式碼,產生各式各樣的動作,從竊取機密資訊到植入其
他惡意軟體皆可。
附錄 - 惡意軟體家族說明 | 17
• Gamarue - 用於在受害者的電腦上,下載並安裝新版本
的惡意程式,包括特洛伊木馬病毒和廣告軟體。
• Hacker Defender - 適用於 Windows 的使用者模式
Rootkit,可用於隱藏檔案、程序和登錄機碼,也可以經
由現有服務開啟的 TCP 連接埠進行操作,以開設後門和
重新導向連接埠。這表示我們無法使用傳統的方式找到
隱藏的後門。
• Hiddad - 可重新包裝合法的應用程式,然後將它發佈到
第三方商店的 Android 惡意軟體。其主要功能為顯示廣
告,但也可以存取作業系統中置入的關鍵安全詳細資
訊,使攻擊者能夠取得敏感的使用者資料。
• HummingBad - 此 Android 惡意軟體會在裝置上建立
持續性 Rootkit、安裝詐欺應用程式,並可透過微幅修改
執行其他惡意活動,如安裝鍵盤記錄器、竊取憑證,以
及繞過企業所使用的加密電子郵件容器。
• iSpy - 在各種地下論壇出售的鍵盤記錄木馬程式。iSpy
可擷取密碼、收集網頁瀏覽器中儲存的密碼,並且錄下
網路攝影機和 Skype 的對談。此惡意軟體主要透過攜帶
惡意附件的垃圾郵件攻擊傳播。
• Jadtre - 目標鎖定 Windows 平台的病毒。它可以修改系
統檔案、從受到感染的主機收集私密資訊,並重新導向
遭到入侵的網站,以傳播其他的惡意軟體。此外,Jadtre
能夠提供進入受感染主機的後門存取。Jadtre 通常藉由
免費軟體或垃圾郵件攻擊散佈,並可感染能夠經由網路
磁碟存取的執行檔而自行傳播。
• Jaff - 2017 年 5 月藉由包含內嵌 DOCM 檔案之 PDF 附
件的垃圾電子郵件,開始以 Necrus 僵屍網路散佈的惡
意軟體。在這個惡意軟體初次出現時,是以每小時寄出
約 10,000 封電子郵件的感染率大規模散播。
• Kazy - 設計為將惡意軟體安裝到受感染電腦系統上的病
毒植入程式。Kazy 可被犯罪者用來將任何種類的惡意軟
體,安裝到受害者的機器上,包括銀行惡意軟體、資訊
竊取程式和間諜軟體。
• Kelihos - 主要用於竊取比特幣和濫發垃圾郵件的僵屍網
路。它使用同儕對等網路通訊,讓每個個別節點都能扮
演命令與控制伺服器的角色。
• KINS - 又名 ZeusVM 的 KINS,是聲名狼籍的 Zeus 特
洛伊木馬病毒的變種。這是一種銀行特洛伊木馬病毒,
在已關閉的俄羅斯地下論壇中,作為服務兜售。此惡意
軟體由病毒植入程式和各種模組所組成,例如允許僵屍
網路管理員遠端存取遭入侵機器的遠端桌面通訊協定模
組。2015 年,KINS 建構器和管理面板的原始碼被洩漏
到網路上。
• Kometaur - 以 Windows 使用者為目標的特洛伊木馬病
毒。它會聯絡遠端伺服器,並傳送有關目標系統的資
訊。它也可以嘗試自行更新。
• LdPinch - 以 Windows 使用者為目標的特洛伊木馬病
毒。此惡意軟體的設計會刪除、封鎖、修改或複製資
料,並中斷電腦或網路效能。此惡意軟體會偽裝成合法
的檔案或軟體。
• Locky - 此勒索軟體自 2016 年 2 月開始散佈,並且主
要透過內含下載軟體 (偽裝成 Word 或 Zip 附件) 的垃圾
電子郵件進行傳播,然後下載並安裝會加密使用者檔案
的惡意軟體。
• Lotoor - 入侵 Android 作業系統上的漏洞,在遭到駭入
的行動裝置上取得 Root 權限的駭客工具。
• naKocTb - 下載程式,其程式設計為允許其操作者,以
受害者看不見的方式,下載和上傳檔案到受害者的電
腦。惡意軟體可以透過垃圾郵件攻擊,或隨附於發佈在
可疑網站上的免費軟體安裝程式,而傳送給使用者。
• Necurs - 以含有惡意附件的垃圾電子郵件,傳播惡意軟
體的僵屍網路,這些惡意附件主要是勒索軟體和銀行特
洛伊木馬病毒,例如 Locky 勒索軟體、Jaff 勒索軟體和
Dridex 銀行惡意軟體。
• Nivdort - 多用途的僵屍網路,又稱為 Bayrob,用於收
集密碼、修改系統設定和下載其他惡意軟體。通常是透
過垃圾電子郵件傳播,並將收件人的地址以二進位編
碼,使每個檔案都獨一無二。
• Pykspa - 以傳送即時訊息給 Skype 聯絡人的方式自行
散佈的蠕蟲。它會從機器中擷取使用者的個人資訊,並
使用網域產生演算法 (DGA) 與遠端伺服器通訊。
• Ramnit - 銀行特洛伊木馬病毒,設計為可竊取銀行憑
證、FTP 密碼、工作階段 cookie 和個人資料。受到感染
後,Ramnit 也會在機器連線到網際網路時允許遠端控
制。
附錄 - 惡意軟體家族說明 | 18
• RedLeaves - 攻擊中使用的惡意軟體,以全世界醫療照
護、能源、關鍵製造和資訊安全產業的使用者為目標。
惡意軟體中包含執行檔、載入程式,和從受害者系統收
集各種資訊的遠端存取工具 (RAT),例如系統架構和權
限,並傳送到其命令與控制伺服器。
• RIG 漏洞攻擊套件 - 2014 年首度推出的漏洞攻擊套件。
RIG 能夠提供 Flash、 Java、 Silverlight 和 Internet
Explorer 的漏洞。感染鏈從重新導向含有 JavaScript 的
登陸頁面開始,該頁面會檢查有無易受攻擊的外掛程
式,並利用該漏洞。
• Rootnik - Android 惡意軟體,使用量身訂製、稱為
「Root Assistant」的開放來源改機工具,取得 Android
裝置的 Root 存取權,並安裝數個 APK 檔案,以維持持
續性。接下來此惡意軟體可以從遠端伺服器下載可執行
檔案,並在受感染的裝置上執行以達到各種目的,竊取
敏感的使用者資訊。
• RoughTed - 大規模的惡意廣告,用於提供各種惡意網站
和負載,例如詐騙、廣告軟體、漏洞攻擊套件和勒索軟
體。可用來攻擊任何類型的平台和作業系統,並使用廣
告封鎖程式進行旁路和指紋分析,以確保能夠做出最有
效的攻擊。
• Sality - 此病毒允許其操作者進行遠端操作,及下載其他
惡意軟體至受感染系統。其主要目標是長久存留在系統
中,並為遠端控制及進一步安裝惡意軟體提供途徑。
• Slammer - 常駐型蠕蟲,目標為攻擊 Microsoft SQL
2000。此蠕蟲可藉由快速傳播,在受到影響的目標上造
成阻斷服務的狀況。
• Tinba - 可利用網頁注入 (web-inject) 竊取受害者憑證的
特洛伊木馬病毒,即在使用者試圖登入其銀行網站時啟
動。
• Torpig - 竊取資訊的特洛伊木馬病毒,能夠從受感染的
主機上,收集敏感資訊和銀行憑證,並且在未經使用者
允許下,將此資訊傳送到遠端伺服器。被 Torpig 感染的
機器也會形成龐大的僵屍網路。
• TorrentLocker - 會將使用者的文件、圖片和其類型檔案
加密的勒索軟體。受害者會被要求支付最高 4.1 比特幣
(大約 1800 美元) 給攻擊者,才能將檔案解密。
• Triada - 針對 Android 的模組化後門程式,可將超級使
用者權限授予下載的惡意軟體,協助將該惡意軟體嵌入
系統處理程序。Triada 也會假冒載入至瀏覽器中的
URL。
• WannaCry - 2017 年 5 月在大規模攻擊中散播的勒索
軟體,使用稱為永恆之藍 (EternalBlue) 的 Windows
SMB 漏洞,使其在網路之內和之間傳播。
• Winnti - 在受害者的系統上安裝 Rootkit,並且擱置受
感染 Windows 系統的關鍵功能和系統驅動程式的後門
程式。它會收集系統資訊,並將資料傳送到遠端伺服
器,然後也會從遠端伺服器接收進一步的指示。Winnti
可能將惡意負載注入多種程序,而且已有報告指出,此
後門程式的某些變種可能簽署了合法的認證。
• XcodeGhost - iOS 開發人員平台 Xcode 遭到入侵的版
本。這個非正式的 Xcode 版本已遭到修改,因此會在任
何使用它進行開發和編譯的應用程式中,注入惡意程式
碼。被注入的程式碼會將應用程式資訊,傳送到命令與
控制伺服器,讓受感染的應用程式讀取裝置的剪貼簿。
• Zerghelper - 目標鎖定中國使用者的 iOS 惡意軟體,因
此會依裝置在世界上的位置,而表現出不同的行為。此
惡意軟體能夠繞過 Apple 的安全機制。一旦安裝到位於
中國的裝置上,此應用程式就會使用社交工程,安裝兩
個配置設定檔 (視哪些應用程式沒有通過 Apple 審查而
定),其中可能包含惡意程式碼,可以下載到受感染的裝
置上。
• Zeus - 精巧的銀行特洛伊木馬病毒家族,使用記錄瀏覽
器中間人按鍵輸入和擷取表單內容的方式,竊取銀行資
訊和受害者帳戶。Zeus 的目標為熱門的作業系統,例如
Windows 和 Android,且通常藉由社交工程策略,例如
偷渡式下載和網路釣魚電子郵件,散佈給一般使用者。
• Ztorg - 此特洛伊木馬病毒會在使用者未察覺的情況下,
利用 Root 權限在手機中下載並安裝應用程式。