新聞來源：https://www.ithome.com.tw/news/158520
新聞名稱：有25%的惡意程式會濫用合法網路服務，Pastebin及Telegram最受駭客青睞

基礎知識

惡意程式家族

• 定義

  • 集合相同程式碼基礎的不同惡意程式版本

• 用途

  • 進行資訊竊取

C2 (Command and Control)

• 定義

  • 用來控制和管理被感染的系統

  • 可以做為取得真正C2的中繼站

• 用途

  • 送出惡意負載

  • 作為滲出(Exfiltration)工具

惡意負載

• 定義

  • 包含惡意軟體的資料或程式碼

• 目的

  • 在目標系統上執行惡意活動或功能

• 步驟

  • 製作

    • 攻擊者撰寫或購買惡意軟體

  • 打包與加密

    • 打包或加密來掩蓋惡意程式的特徵，以避免被防禦設備識別

  • 投遞方式

    • 釣魚郵件、惡意廣告、利用網站漏洞

  • 執行

    • 一旦目標受害者點擊了惡意連結或附件，惡意負載就會被下載和執行，從而初步感染系統

滲出 (Exfiltration)

• 定義

  • 指不被授權的資料傳輸

• 目的

  • 目標系統的敏感資料從受害者的網路非法移動到攻擊者的控制下

• 步驟

  • 資料收集

    • 一旦系統被感染，惡意軟體將開始收集敏感資料，包括個人資料、商業機密

  • 資料打包

    • 收集的資料可能會被打包成一個或多個文件，以便更容易地從受害者的網路中取得

  • 傳輸

    • 這些資料將透過各種方式從受害者的網路傳輸出去，可能使用合法服務來避免被偵測

  • 接收

    • 攻擊者在另一端接收資料，然後可以使用它來進行身份盜用、販賣機密

YARA

• 定義

  • 一種用來幫助研究人員新增和分享惡意軟體定義的工具，用於識別和分類惡意程式

• 特點

  • 可以定義一套規則，描述惡意程式的結構或特徵

• 應用場景

  • 用於惡意軟體研究和檢測以幫助資安人員迅速識別和分析新的威脅

Sigma

• 定義

  • 一種開源格式，能簡單描述日誌事件

• 特點

  • 為研究人員或分析師提供了一種結構化的形式，以描述並分享他們的檢測方法

• 應用場景

  • 常被用於安全資訊和事件管理 (SIEM) 解決方案中，用來描述和匹配特定的日誌模式或事件

資訊竊取程式

• 定義

  • 資訊竊取程式是一種專門用來竊取受害者的敏感資訊的惡意程式

• 特點

  • 隱蔽性：通常會無聲無息地運行，受害者很難察覺其存在

  • 多樣的竊取目標：可以竊取各種資訊，包括但不限於帳號、密碼、信用卡資訊等

• 危害

  • 資料洩露：可以導致個人或企業的敏感資訊洩漏，進而造成經濟損失或名譽損失

行動惡意程式

• 定義

  • 行動惡意程式是針對行動裝置（如智能手機和平板電腦）設計的惡意軟體

• 特點

  • 多元化攻擊方式：可以通過各種方式傳播，包括惡意應用程序、釣魚網站等

  • 涉及財務詐騙：常常用於進行財務詐騙或身份盜用

• 危害

  • 隱私侵犯：可能會竊取受害者的個人資料，對受害者的隱私造成威脅

RAT/木馬程式

• 定義

  • RAT (Remote Access Trojan) 是一種遠端存取木馬，可以讓攻擊者遠端控制受害者的系統

• 特點

  • 隱蔽性高：通常會隱藏在正常的文件與程式中，讓受害者無法察覺其存在

  • 全面控制：一旦入侵成功，攻擊者可以全面控制受害者的系統，進行各種惡意活動

• 危害

  • 系統崩潰：可以導致系統崩潰，資料丟失或其他嚴重問題

Loaders/Droppers

• 定義

  • Loaders 和 Droppers 是用來下載和安裝其他惡意軟體的工具

• 特點

  • 傳播其他惡意程式：主要用來傳播其他更為危險的惡意程式，如 RAT 或勒索軟體

  • 自動化：可以自動下載和安裝其他惡意程式，無需受害者干預

• 危害

  • 傳播更多威脅：可以將受害者的系統變成其他惡意軟體的傳播工具，導致更多的安全威脅

事件整理

調查概述

• 發現者

  • Recorded Future

• 範圍

  • 全球超過 400 款惡意程式家族

• 結果

  • 25% 的程式會濫用合法網路服務

最常濫用服務類型

• 資訊竊取程式（37%）

  • 占比最高

• 其他受影響類別

  • 行動惡意程式（17%）

  • RAT/木馬程式（15%）

  • Loaders/Droppers（14%）

服務被濫用情形

• 服務類別

  • 雲端儲存（43%）

    • Pastebin（26.4%）

      • 原始碼分享平臺，被濫用率最高

    • Google Drive（24.5%）

    • Dropbox（7.5%）

  • 即時傳訊（30%）

    • Telegram（66.7%）

      • 通訊程式，最常被駭客利用

    • Discord（27.8%）

  • 電子郵件服務（14%）

  • 社交媒體（13%）

  • 程式碼儲存庫（9%）

• 合法服務優勢

  • 減少成本

  • 依賴合法服務的可靠性和穩定性

  • 避免被偵測

防禦措施

• Recorded Future建議

  • 封鎖特定服務

  • 調查特定服務的使用情況

  • 使用 YARA 及 Sigma 規則進行偵測

  • 實施 TLS 網路監聽

  • 探取主動威脅偵測

小試身手

C2 是什麼？

• A

  • 惡意程式控制和管理被感染系統的工具

• B

  • 惡意程式用來執行惡意活動的工具

• C

  • 惡意程式用來傳播到其他系統的工具

• D

  • 惡意程式用來竊取資料的工具

• 答案

  • A

    • C2 是指惡意程式控制和管理被感染系統的工具，可以用來下載和執行惡意負載、發送命令和控制被感染系統、收集被感染系統的資料等。

滲出 (Exfiltration) 是什麼

• A

  • 指惡意程式將資料從目標系統傳輸到合法服務的過程

• B

  • 指惡意程式從目標系統傳輸資料到攻擊者的過程

• C

  • 指惡意程式從目標系統竊取資料的過程

• D

  • 指不被授權的資料傳輸

• 答案

  • D

    • 滲出 (Exfiltration) 是指不被授權的資料傳輸。在惡意軟體攻擊中，滲出通常是指惡意程式從目標系統竊取資料的過程，然後將資料傳輸到攻擊者的控制下。

YARA 是什麼？

• A

  • 一種用來幫助研究人員新增和分享惡意軟體定義的工具

• B

  • 一種用來檢測惡意軟體的工具

• C

  • 一種用來分類惡意軟體的工具

• D

  • 一種分析日誌的工具

• 答案

  • A

    • YARA 是一種用來幫助研究人員新增和分享惡意軟體定義的工具。YARA 定義可以用來描述惡意程式的結構或特徵，用於幫助資安人員識別和分類惡意軟體。

根據Recorded Future的調查, 最常被惡意程式家族濫用的服務類型是？

• A

  • 資訊竊取程式

• B

  • 行動惡意程式

• C

  • RAT/木馬程式

• D

  • Loaders/Droppers

• 答案

  • A

    • 根據Recorded Future的調查，資訊竊取程式是最常被惡意程式家族濫用的服務類型，占比達37%。

惡意程式通常利用哪些方式來傳播？

• A

  • 釣魚郵件、惡意廣告、利用網站漏洞

• B

  • 透過電話詐騙

• C

  • 透過傳真機傳送惡意程式

• D

  • 透過無線電波傳送惡意程式

• 答案

  • A

    • 惡意程式通常會使用多種方式來竊取資料，包括利用合法網路服務、利用系統漏洞、利用受害者點擊惡意連結或附件。