電影熱潮 當心駭過頭
鋼鐵人 (Iron Man) 在美國上映第一週票房就達到將近一億美元。沒錯，夏日電影季已經揭開序幕。您知道，每年此時 (即使您不在美國) 所有賣座鉅片無不使出渾身解數爭奪「票房冠軍」的寶座。幾乎每週都會有一部備受期待的新片或續集 (或現在非常氾濫的「第三集」) 在電影院上映，這不僅令影迷們雀躍不已，有時還會引來網路罪犯一起共襄盛舉。
駭客利用電影作為社交工程技巧的誘餌已非新鮮事；事實上，這似乎已成為每年預期都會發生的慣例。因此當我們在閱讀 Entertainment Weekly 當季的「大膽 (fearless)」預測的同時，我們也決定發表我們己的預測。只不過我們將它稱為「膽顫心驚 (fearful)」預測，主要是因為我們希望這些預測最好都不要實現。

1. 垃圾郵件散播者與網路釣客會利用電影票或商品抽獎活動來引誘受害者上當。2005 年，西斯大帝的復仇就成為一個 Yahoo! 網路釣魚圈套的誘餌。去年垃圾郵件散播者散發一份宣稱與辛普森家庭電影有關的簡短問卷調查，試圖藉此收集電子郵件地址。今年若再出現類似的手法也不令人驚訝，因為此時影迷們對於類似慾望城市或者 X 檔案等電影續集的熱切期盼已達到幾近狂熱的程度。而在電玩世界中，當俠盜獵車手 4 推出時便曾發生過類似的案例。

2. 將有惡意程式宣稱提供「獨家」預告片、免費貴賓席電影票或電影的「未刪剪」版。然而，使用者必須先下載所謂的「解碼程式」或「抽獎報名表」。

3. 將有電影官方網站遭駭客入侵。或者是與電影有關的高流量影迷網站或部落格。想要獲得更多電影相關資訊 (如上映時間、影評等) 的使用者必定會按下遭入侵網頁中的連結，然後將許多惡意程式下載到他們的電腦中而渾然不知。此外，由於 SEO 滲透及製作假網頁 (內含大量垃圾資訊連結與關鍵字) 的手法依然盛行，使用者只要在 Google 搜尋關鍵字便可能遭感染。又是 SEO 滲透手法…

4. 「希斯萊傑 (Heath Ledger)」將再度成為遭滲透網頁的熱門關鍵字。有關他在即將上映的黑暗騎士中飾演小丑一角的討論也愈來愈熱烈 — 有人甚至認為這是他演出最成功的角色，應頒給他奧斯卡金像獎 — 想必許多人都會對此感到好奇吧！


更多資訊請至趨勢科技：www.trendmicro.com.tw

事隔一年 改變入侵手法

TrendLabs 在5月初發現了 90 個遭入侵的義大利網站，這可能演變成 2007 年 6 月發生的大規模義大利網站遭感染事件的一週年「紀念」。遭入侵的網站性質各不相同；去年入侵的網站多為旅遊休閒業者，今年則是以影迷網站為主，包含 ：

莫妮卡貝魯奇 (Monica Bellucci，著名義大利演員及模特兒) 官方網站
義大利賓士 (Mercedes-Benz) 俱樂部
Sabrina Salerno (義大利歌星) 官方網站
強尼戴普 (Johnny Depp) 影迷網站
Pearl Jam 歌迷網站

據趨勢科技的分析師表示，整個攻擊行動的流程如下所述：
[attach]240[/attach]

1. 遭入侵的網站內含經過混淆處理的惡意 JavaScript 指令碼 (偵測名稱為 JS_AFIR.A)，會將使用者轉向惡 意網址 http://{省略}f.com/cgi-bin/index.cgi?grobin (已於 4 月 27 日被 Web 信譽評等服務所封鎖)。這段指令碼會檢查 Internet Explorer 的版本及語言，並只針對義大利文版本進行攻擊。

2. 上述網址會將使用者轉向另一個網址：http://{省略}r.com/cgi-bin/index.cgi?grb&js=1。我們發現這兩個惡意網站都位於美國加州聖地牙哥的同一個 IP 之下。

3. 這兩個網站會從同一個網域下載 TROJ_SINOWAL.CB (於 4 月 26 日 GMT 首次偵測到)。接著 TROJ_SINOWAL.CB 會再植入 BKDR_SINOWAL.CF (於 4 月 30 日 GMT 首次偵測到)，然後這個後門程式會在遭感染的 PC 上植入一個 Rootkit。

這個 Rootkit 元件會修改遭感染硬碟上的某些磁區。它還會攔截 Driver.sys 以保護這些磁區，防止防毒/安全防護軟體讀取及寫入。
目前已知 SINOWAL 惡意程式變種會在遭感染的系統中植入資訊竊取程式。TrendLabs 發現這一波入侵行動至少採用兩種不同的攻擊模式：一種是在網站中植入經過混淆處理的指令碼，將使用者轉向特定惡意網址；另一種則是同時運用可辨讀的 iFrame 以及以上這段經過混淆處理的指令碼。

趨勢科技已針對這個資安威脅提供客戶完整保護，防止他們遭受任何損害。Web 資安威脅防護技術自 2008 年 4 月 27 日起也已禁止存取上述網站。這些網址都已加入我們的緊急資料庫中，並且被 WCS (Web Classify Server，Web 分級伺服器) 封鎖，防止我們的客戶存取。此外，RootkitBuster 工具也能掃瞄出這一波攻擊所使用的 MBR Rootk 元件。

SQL隱碼轉向攻擊日本

TrendLabs 接獲報告指出數個日本網站，包括一個熱門音樂下載網站，遭人植入惡意程式碼。

根據過去幾天來的觀察，網站遭入侵的情況愈來愈頻繁，而對於網站經營者而言，這也是一種危險性不容忽視的威脅。更令人擔憂的是，瀏覽這些遭入侵網站的使用者可能因此而落入陷阱，因為駭客植入的程式碼最後會將後門程式與間諜程式下載到使用者的電腦中。
趨勢科技工程師所做的分析顯示這些入侵活動事實上與之前發生的大規模 SQL 隱碼攻擊有關。目前已經辨識出三個不同的網域，三個網域都會導致惡意程式碼下載到受害者的系統中。

這些網址為：
nihaorr1.com
bluell.cn
9i5t.cn

以上這幾個網域都是「已知惡意網域」，因為我們曾發現這些網域涉及先前的亞洲與歐洲大規模攻擊事件，這些攻擊的目標範圍持續擴大，由此可見攻擊者可能利用自動化工具探索含有弱點可利用的網站，藉以將使用者轉向他處。而更令人擔憂的潛在問題是：任何程式設計不夠嚴密的網站都具有風險。
當然，這些網域已經被我們趨勢科技的 Web 資安威脅防護技術所封鎖，其中一個網域甚至早在 4 月 24 日第一次被發現涉及以上惡意活動時，就已經遭封鎖。趨勢科技已針對這波攻擊行動提供客戶完整保護。我們建議其他使用者在上網瀏覽時應提高警覺，並確定他們的端點安全防護產品與安全性修補程式均已更新。

駭客公然拍賣ID、高薪徵才

最近，有關資訊竊賊與資料外洩的新聞總是層出不窮，不僅在日本，世界上其他地區也是如此。但是隨著這類事件發生頻率愈來愈高，歹徒也愈來愈明目張膽。儘管遭竊資訊透過地下論壇、佈告欄、線上聊天室等管道販售的情況早已司空見慣，但現在惡意程式作者似乎根本不在乎他們的活動是否會被人發現。

這類交易活動浮上檯面之後，他們公然在許多知名網站上進行交易 — 形成一種我們稱之為網路犯罪普及化的趨勢。.

二月時，我們曾在日文版的部落格中發佈一篇與類似案例有關的文章，文中提及一家頗受歡迎的韓國網路拍賣公司 Auction, Inc. (www.auction.co.kr) 坦承該網站 1,081 萬使用者的個人資料確實已經外洩。這起規模相當龐大的資訊遭竊案起碼會令網站使用者擔心受害，其中有些群體甚至考慮提起訴訟。

稍後中國的入口網站 O2SKY 也被捲入其中，該網站的免費市場網頁中被發現至少兩個疑似與前述韓國事件有關的廣告：第一個是在 3 月 29 日發佈，第二個則是在 4 月 11 日發佈。這些廣告表示："Naver, I can sell the IDs of Auction, Inc. (Naver，我可以出售 Auction, Inc. 的 ID。)" Naver 是韓國著名的入口網站之一。這些廣告都提供了賣方的電子郵件地址與電話號碼。

以下就是這些廣告的畫面擷取圖：
[attach]249[/attach]

O2SKY 的經營者是位於中國吉林省的 Yan Fan, Inc.。雖然這是一家中國公司，但我們假設這些廣告是韓國使用者刊登的，因為吉林與韓國具有地利之便。

仔細查看其他相關廣告之後，我們還發現一些鼓勵瀏覽者嘗試滲透及入侵網站技巧的內容。這些都是高薪徵求這類技術人才的廣告。這些公開的廣告目的在於招攬心術不正的人，其企圖昭然若揭。

以下就是這些「求才」廣告的畫面擷取圖：
[attach]250[/attach]

在以上描述的兩個案例中，我們有充分理由相信這些活動應被歸類為專業或組織化犯罪。其一就是惡意使用者在幾乎人人都能匿名存取的公開論壇中公然發表他們的個人連絡資訊。

如果這些行為並非出自專業或組織化犯罪集團之手，還有哪些人可能發佈這些訊息呢？可能的來源還包括：

Script Kiddy – 他們通常會使用公開提供的入侵工具竊取資訊，然後轉售給他人。
網路罪犯的「客戶」 – 他們會將向專業罪犯購買的個人資料轉售給他人。
閱讀媒體報導的人 – 這些人會佯裝販售個人資料，但事實上手中並沒有這些資訊。另一種可能是屬於冒險犯難型的讀者，這些人想依據由媒體獲得的資訊模仿罪犯的不法行為。
我們不應忽視所謂的 Script Kiddy 的存在。而上述這些入侵與滲透技巧現在不僅更容易取得，此外也變得更為先進，因此未來要區分手動執行與自動化操作的入侵活動之間的差異將更加困難。

為提昇防禦能力，有些企業會僱用所謂的道德駭客 (Ethical Hacker) 協助補強企業的安全防護措施。孫子兵法的謀攻篇中便透漏了一個要訣：「知己知彼，百戰百勝。」 無論是 (或特別是) 網路犯罪或我們持續推動的打擊行動，都可適用這個基本原則。