新的Virobot惡意軟體可以用作勒索軟體、鍵盤側錄程式和殭屍網路

新聞來源：ZDNet

Virobot將使用本機安裝的Outlook向其他用戶發送垃圾郵件，並傳播自己的副本。

一個新發現的惡意軟體是一種可以執行多任務的威脅，除了作為勒索軟體加密用戶的文件，它還可以記錄和竊取用戶的鍵盤記錄，並將受感染的電腦增加到發送垃圾郵件的殭屍網路中。

這個新的威脅被命名為Virobot且似乎還正在開發中，它由多個組件組成，允許它作為殭屍網路、勒索軟體和鍵盤記錄程式等工作。

據這星期發現此威脅的網路安全公司趨勢科技透露，它的勒索軟體組件似乎是一種獨特的病毒，與之前的勒索軟體家族沒有任何關係。

但是，雖然Virobot的勒索軟體組件似乎與任何其他勒索軟體無關，但它的操作模式並不是什麽新東西，與之前所有威脅的操作方式相同。

如果用戶被騙進而下載並運行附在電子郵件文檔中的勒索軟體，勒索軟體透過生成一個隨機加密和解密金鑰來運作，該密鑰還會發送到遠端命令和控制(C&C)服務器。

加密過程依賴於RSA加密方法，Virobot的目標文件副檔名如下:TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF和SWP。
一旦該行動完成後，Virobot會在用戶的螢幕上顯示一張勒索訊息，如下圖所示。這份訊息是用法語寫的，趨勢科技的研究人員發現這很奇怪，因為散佈勒索軟體的活動針對的是美國用戶。

Virobot 的勒索訊息

有趣的是，Virobot並不是唯一一個過去幾周出現與法國有關的勒索軟體。8月底，安全研究人員發現，一種名為PyLocky的勒索軟體，是模仿更為著名的Locky勒索軟體而出現的，它也鎖定了法國，儘管Virobot和PyLocky之間似乎沒有關聯。

至於Virobot的其他模組，趨勢科技提到，鍵盤側錄系統非常簡單，記錄了所有的本機按鍵並將原始數據發送到C&C伺服器。另一方面，殭屍網路模組更強大。這個模組還允許Virobot的受害者從勒索軟體的C&C伺服器下載其他惡意軟體並執行它。

此外，該模組還可以作為垃圾郵件模組，使用本機安裝的Outlook應用程式將垃圾郵件發送到用戶的聯絡人列表。據趨勢科技指出，Virobot將使用這個模塊散播自己的副本或從C&C伺服器下載的另一個惡意文件。

ID Ransomware是一種掃描加密文件以確定是被哪種勒索軟體感染了個人電腦的服務，其所有者Michael Gillespie今天告訴ZDNet，目前還沒有辦法透過他的服務來檢測Virobot的感染。

這是因為勒索軟體組件與其他惡意程式共享常見檢測指標，例如，將.enc副檔名的文
件加密，這是許多其他惡意程式也會使用的副檔名。幸運的是，它的法語版贖金通知足以讓用戶猜測或確定自己感染了Virobot。

據趨勢科技說，目前這種威脅暫時得到了緩解，因為在編寫時Virobot的C&C伺服器已經關閉，這意味著如果Virobot的勒索軟體模組感染了新的受害者，它將不會啟動加密程序。

雖然這是一個新的惡意程式，這很可能是因為大多數惡意軟體經銷商進行的測試，預計勒索軟體的C&C伺服器最終將在未來更廣泛的散播活動中恢復。

Virobot也不是第一個結合了不同組件的惡意軟體。勒索軟體、銀行木馬、鍵盤側錄程式和其他惡意軟體之間的界線在過去幾年變得越來越模糊。

例如，像MysteryBot、LokiBot、Rakhni或XBash這些惡意軟體常常帶有多功能的特性，把從勒索軟體挖礦軟體的所有東西都混合在一起。

也許這就是為什麽一些研究人員現在正在質疑趨勢科技將Virobot歸類為勒索軟體而不是殭屍網路的決定。隨著界線變得模糊，很難再分辨出什麽是什麽了。

參考位址： https://www.zdnet.com/article/new-virobot-ransomware-will-also-log-keystrokes-add-pc-to-a-spam-botnet/

新的殭屍網路藏在區塊鏈的DNS Mist中並會移除加密貨幣挖礦程式

新聞來源：BLEEPING COMPUTER

目前一種新型殭屍網路有著近乎其無害的行為和使用原始通訊通道與其C&C的方法，這種特殊的行為讓研究人員注意到他。

Fbot是Mirai的一個特殊變體，雖然它保留了原來的DDoS模組，但似乎沒有使用它。這還不是最奇怪的事情，它的目的居然是搜索被惡意挖礦軟體感染的設備並清除它們。

Qihoo 360網路實驗室(Qihoo's 360Netlab)的安全研究人員發現了這種新病毒，並注意到它找到了一種名為“com.ufo”的僵屍網路惡意軟體。這是ADB的一個已知變體。在Android設備(智慧手機、智慧電視、機上盒)上挖掘Monero的礦商。

Fbot推出惡意挖礦軟體

Fbot通過掃描開放port 5555的設備散播，這個port在這些Android設備上是被ADB (Android Debug Bridge)服務使用，然後他會通過ADB介面找尋惡意腳本。

惡意腳本的功能之一是卸載com.ufo。惡意挖礦軟體。另一種方法是下載主payload Fbot，它嵌入了聯繫命令和控制(C2)伺服器的詳細資訊。第三個功能是自毀。

Fbot似乎相對針對以前感染過com.ufo.miner的系統來影響。因為它尋找與挖礦活動相關的程式(SMI, RIG, XIG)，並刪除它們。

躲在區塊鏈後

研究人員稱，Fbot為C&C伺服器選擇了一個可以通過分散網域名稱系統(DNS)訪問的功能變數名稱，該系統通過點對點網路共用功能變數名稱，使其更難跟蹤和刪除。

C&C變數名稱musl.lib不是標準的DNS功能變數名稱。它的頂層網域名。lib沒有註冊到ICANN，也不能被傳統的DNS系統決定。

功能變數名稱通過EmerDNS解析，EmerCoin是基於區塊鏈的DNS，該平臺提供從EMC、COIN、LIB和BAZAR名稱空間註冊功能變數名稱，並通過自己的DNS伺服器提供。

EmerCoin現在與OpenNIC(傳統頂層網域名註冊的最大替代品)達成了對等協定，可以解決它們的功能變數名稱問題。

研究人員指出:“Fbot選擇使用EmerDNS除了傳統的DNS很有趣,它提高了安全研究員找到並追蹤殭屍網路的難度(安全系統將會失效如果他們只尋找傳統的DNS名稱),也很難sinkhole C&C domain,至少不適用於ICANN中已經有的”。

Fbot的技術細節很吸引人，目前尚不清楚它是一個善心人士的作品，還是一個希望擺脫其他挖礦程式對手的作品。然而他一些使用的方法卻可能會更受網路犯罪分子的歡迎，他們希望保護自己的業務。目前可以確定的是，Fbot消除了惡意挖礦軟體，並取代了受害者的系統。

發佈日期：2018-09-18

參考位址： https://www.bleepingcomputer.com/news/security/new-botnet-hides-in-blockchain-dns-mist-and-removes-cryptominer/

參考位址：https://www.akamai.com/kr/ko/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf

[攻擊預警:CLDAP 反射式放大攻擊，請各單位注意防範，並避免遭利用

內容說明:

學術網路中發現有不少DDoS攻擊，使用CLDAP反射式放大攻擊 ( UDP port 389)。其中，有不少學校也成為攻擊幫兇，因其LDAP服務的 UDP port 389 (CLDAP)暴露於網路上，進而遭人利用。

其攻擊係透過查詢AD 的rootDSE時，預設情況下不需要權限，並透過UDP類型之protocol：CLDAP (port 389)即可存取的狀況下，偽造來源查詢封包，以攻擊受害者電腦。

影響平台:

使用LDAP服務之主機。

建議措施:

1. 服務主機可架設防火牆進行ACL的控管。
2. 於設定檔中關閉Anonymous Access。
3. CLDAP protocol (UDP port 389)應避免暴露於Internet上。

[參考資料:]

1. https://www.akamai.com/kr/ko/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
2. https://www.us-cert.gov/ncas/alerts/TA14-017A

2018/09/04

影響平台:

Microsoft Edge and Internet Explorer：
● Microsoft Edge installed on Windows (all editions)
● Internet Explorer 9,Internet Explorer 10, and Internet Explorer 11 installed on Windows (all editions)

Microsoft Office：
● Microsoft Excel 2010 Service Pack 2 (32-bit editions)
● Microsoft Excel 2010 Service Pack 2 (64-bit editions)
● Microsoft Excel 2013 RT Service Pack 1
● Microsoft Excel 2013 Service Pack 1 (32-bit editions)
● Microsoft Excel 2013 Service Pack 1 (64-bit editions)
● Microsoft Excel 2016 (32-bit edition)
● Microsoft Excel 2016 (64-bit edition)
● Microsoft Excel Viewer 2007 Service Pack 3
● Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
● Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
● Microsoft Office 2016 for Mac
● Microsoft Office Compatibility Pack Service Pack 3
● Microsoft SharePoint Enterprise Server 2013 Service Pack 1
● Microsoft SharePoint Enterprise Server 2016
● Microsoft SharePoint Server 2010 Service Pack 2
● Microsoft Word 2013 RT Service Pack 1
● Microsoft Word 2013 Service Pack 1 (32-bit editions)
● Microsoft Word 2013 Service Pack 1 (64-bit editions)
● Microsoft Word 2016 (32-bit edition)
● Microsoft Word 2016 (64-bit edition)

Microsoft Windows：
● Microsoft .NET Framework (all editions)
● Windows 10 for 32-bit Systems
● Windows 10 for x64-based Systems
● Windows 10 Version 1607 for 32-bit Systems
● Windows 10 Version 1607 for x64-based Systems
● Windows 10 Version 1703 for 32-bit Systems
● Windows 10 Version 1703 for x64-based Systems
● Windows 10 Version 1709 for 32-bit Systems
● Windows 10 Version 1709 for x64-based Systems
● Windows 10 Version 1803 for 32-bit Systems
● Windows 10 Version 1803 for x64-based Systems
● Windows 7 for 32-bit Systems Service Pack 1
● Windows 7 for x64-based Systems Service Pack 1
● Windows 8.1 for 32-bit systems
● Windows 8.1 for x64-based systems
● Windows RT 8.1
● Windows Server 2008 for 32-bit Systems Service Pack 2
● Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 for Itanium-Based Systems Service Pack 2
● Windows Server 2008 for x64-based Systems Service Pack 2
● Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
● Windows Server 2008 R2 for x64-based Systems Service Pack 1
● Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
● Windows Server 2012
● Windows Server 2012 (Server Core installation)
● Windows Server 2012 R2
● Windows Server 2012 R2 (Server Core installation)
● Windows Server 2016
● Windows Server 2016(Server Core installation)
● Windows Server, version 1709(Server Core Installation)
● Windows Server, version 1803(Server Core Installation)
● Adobe Flash Player
● ASP.NET Core 2.1
● System.IO.Pipelines
● ChakraCore
● Microsoft.Data.OData

Microsoft 發佈09月份安全性公告，Microsoft 軟體存在弱點，遠端攻擊者可利用弱點控制受影響的系統。

目前已知多個軟體版本受到影響，HiNet SOC 建議請管理者/使用者儘速更新，以降低受駭風險。

詳細資訊請參考微軟官方網站

Office 365網路釣魚攻擊，隱藏於SharePoint檔案中的惡意URL

新聞來源：Threatpost

研究人員發現一項針對Office 365用戶的網路釣魚攻擊，主要目的在於蒐集受害者的憑證。該釣魚攻擊稱為「PhishPoint」，通過包含SharePoint檔案和協同邀請的電子郵件傳播，該檔案包含竊取使用者憑證的惡意URL。

「PhishPoint代表網路釣魚攻擊的演變，駭客僅以電子郵件和SharePoint來竊取Office 365用戶的憑證。」Avanan研究人員於周二的網路釣魚攻擊的報告中表示。

Avanan的創始人Michael Landewe於訪問中表示，PhishPoint網路釣魚首次於三週前發現並有大幅的上升，可能是使用預先準備的已洩漏的帳戶列表進行攻擊，或者已有大量的受害者憑證已被竊取。但如此明顯的攻擊行為可能是因為新的組織希望使用相同方法進行攻擊，但卻疏於隱藏自己。

受害者會先收到一封包含SharePoint檔案連結的電子郵件，該郵件偽裝成是一個正常的SharePoint協作邀請。點擊電子郵件的連結後，受害者的瀏覽器會打開一個SharePoint檔案，其內容是仿造OneDrive的權限存取請求。SharePoint檔案中的連結將用戶重新導向到偽裝的Office 365登錄頁面。若用戶嘗試登錄時，駭客就會取得他們的憑證。

Landewe表示：「這次的攻擊更加聰明，如果受害者使用新憑證登入，攻擊者會將檔案上傳到發送者的SharePoint帳號，並從SharePoint發送邀請。」Office 365會掃描電子郵件內文中的連結，找尋是否有列入黑名單或可疑的網域。但是電子郵件中的連結會重新導向到真實的SharePoint檔案，因此並未識別為威脅。

研究人員在報告中表示，這次攻擊的關鍵在於微軟的連結掃描只有掃描第一個層次，但不包括在其他服務上託管的檔案中包含的連結，例如SharePoint。為了識別這種威脅，微軟將掃描共享檔案中的連結以查詢是否有網路釣魚URL，因此駭客能利用它來散播網路釣魚攻擊。

即使Microsoft掃描文件中的連結，也存在一個額外的挑戰。如果他們將Sharepoint檔案的完整URL加入黑名單，駭客依然可以透過上傳類似內容的新檔案簡單的創建新URL。研究人員解釋說。

微軟發言人表示使用者不需要太擔心，Office 365中有多個分層防禦可以檢測到此類攻擊。微軟建議使用者在點擊連結之前檢查連結的真實性，避免在無法識別的發件人的電子郵件中打開連結或訪問不安全的網站。

研究人員認為一些特定的公司成為目標，這些公司可以在Fortune的500家公司找到，另外還包含一些歐洲的小型公司。

最近的網路釣魚攻擊持續增加並採用新策略，而垃圾郵件也相應增加。卡巴斯基實驗室本週發布的一份報告發現，特別是垃圾郵件仍然是散播網路釣魚的主要策略。在2018年第二季，垃圾郵件數量在5月達到峰值，達到51%; 而全球電子郵件流量中垃圾郵件的平均份額為50%。

公司可以採取一些基本的做法，例如檢查電子郵件主題欄位中是否包含以大寫表示的流行語，並對任何顯示於電子郵件的內文中的URL保持懷疑。

發佈日期：2018-08-16

參考位址： https://threatpost.com/office-365-phishing-campaign-hides-malicious-urls-in-sharepoint-files/136525/