GREYCORTEX JOINS EY PROGRAM

GREYCORTEX is happy to announce that we have been selected to be part of the 2018 EY Accelerating Entrepreneurs program. This event, which happens in Amsterdam between the 21st and 24th of April, 2018, brings together companies selected as among the most innovative and advanced, worldwide.  In addition to being one of only 30 companies selected to attend, GREYCORTEX is also the first Czech company in the history of the program to be selected.

As the EY press release notes: “The 2018 class of entrepreneurs represent dynamic businesses that focus on innovative and disruptive fields like artificial intelligence (AI), augmented reality, virtual reality (VR), customer interface, analytics, robotics and the Internet of Things (IoT).”

According to Annette Kimmitt, EY Global Growth Markets Leader, “… This year’s class is already solving big challenges, disrupting their markets and have cutting-edge technologies. We want to prepare these transformative entrepreneurs to expand from their local markets to a position of navigating and leading the world by pursuing their global growth objectives.”

We’re looking forward to joining the other 29 companies and accessing the wealth of information available from EY.


About Version 2
Version 2 is one of the most dynamic IT companies in Asia. The company develops and distributes IT products for Internet and IP-based networks, including communication systems, Internet software, security, network, and media products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

About GREYCORTEX
GREYCORTEX uses advanced artificial intelligence, machine learning, and data mining methods to help organizations make their IT operations secure and reliable.

MENDEL, GREYCORTEX’s network traffic analysis solution, helps corporations, governments, and the critical infrastructure sector protect their futures by detecting cyber threats to sensitive data, networks, trade secrets, and reputations, which other network security products miss.

MENDEL is based on 10 years of extensive academic research and is designed using the same technology which was successful in four US-based NIST Challenges.

ESET NOD32獲選為 「香港最受歡迎品牌2017」

ESET宣布,連續五年榮獲由亞洲品牌發展協會頒發的「香港最受歡迎品牌」獎項。

「香港最受歡迎品牌Famous Brands Hong Kong」選舉由亞洲品牌發展協會於2013年起設立,並與香港特區有實際運營/銷售/出入口貿易行為的品牌,表彰不同企業在品牌發展上的成就,並透過此獎項提升企業產品和服務的附加價值和競爭能力。

今次ESET NOD32防毒軟件的獲選,屬根據大會評審標準,由亞洲品牌發展協會召集,邀請大會評審、傳媒、公眾人士共同提名,經過三輪的篩選後,最終獲確認符合得獎資格。多謝亞洲品牌發展協會頒發上述獎項,ESET NOD32會繼續提供優良的客戶服務,為大家隨時提供資安資訊,希望繼續成為大家心目中最喜愛的品牌。

 

 

關於Version 2 Limited

Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

 

關於ESET

ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。 

24Reader連續五年獲選為 「香港最受歡迎品牌」

24Reader宣布,連續五年榮獲由亞洲品牌發展協會頒發的「香港最受歡迎品牌2017」獎項。

「香港最受歡迎品牌Famous Brands Hong Kong」選舉由亞洲品牌發展協會於2013年起設立,並與香港特區有實際運營/銷售/出入口貿易行為的品牌,表彰不同企業在品牌發展上的成就,並透過此獎項提升企業產品和服務的附加價值和競爭能力。

今次24Reader的獲選,屬根據大會評審標準,由亞洲品牌發展協會召集,邀請大會評審、傳媒、公眾人士共同提名,經過三輪的篩選後,最終獲確認符合得獎資格。

多謝亞洲品牌發展協會頒發上述獎項。24Reader會繼續發展電子書雜誌網,繼續努力及為讀者帶來更完善的產品及服務。

 

 

關於24Reader
24Reader是電子書及電子雜誌綜合平台,目前擁有超過18,000本人氣的中、港、台、日、新加坡書籍及雜誌,而且數量不斷增加,是亞洲區藏書量及用戶最多的電子書平台之一。

24Reader於2008年推出電子書及電子雜誌服務,並與多間出版社、電訊商、智能手機或平板電腦生產商及零售商合作,至今電子書累積下載次數已經超過二百萬次。

ESET Endpoint Security 企業版方案榮獲「最佳企業端點防護方案」

ESET Endpoint Security 企業版方案早前,於《Linuxpilot》舉辦的「Linux & OSS 最佳解決方案編輯大選2018」頒獎禮中,榮獲「最佳企業端點防護方案」。

第十六屆「Linux & OSS 最佳解決方案編輯大選2017」旨在為企業用戶提供具權威的 IT 採購指引,使企業的 IT 投資獲得更大回報。編輯認為ESET NOD32得獎原因是在技術創新方面,做到阻擋不明攻擊、自家開發程式碼及模組等,而在商業效益方面,達致維護業務持續運作、部署時更有效率等功能。

有關「Linux & OSS 最佳解決方案編輯大選2018」詳情,請瀏覽 http://linuxpilot.com/linux-oss-2018

 

 

關於Version 2 Limited

Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

 

關於ESET

ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。 

竊取比特幣的危險惡意程序已棲身Download.com多年

ESET研究人員發現,知名網站download.cnet.com無意間刊登了竊取比特幣的多款內置木馬程序

作者:Michal Poslušný與Peter Kálnai 發文時間:2018年3月14日 – 臨晨02:00

現如今,如您咨詢安全專家保障上網安全的基本策略,他很可能給出的最重要建議之一就是,只從正規網站上下載軟件。但有時,即使是這樣基本而又顯而易見的建議,也無法保證您不會感染惡意程序。我們已在download.cnet.com上發現了三款木馬應用,而根據Alexa網站訪問量排名,這可是全球訪客最多的軟件發布網站之一(排名第163位)。

來自Reddit論壇子板塊/r/monero的用戶Crawsh便是其中的一名受害者,他給我們講述了自己的經歷。幸運的是,對他而言,故事的最終結局卻是圓滿的。

起初他發現有些異常,當他習慣性地向另一地址欄復制粘貼門羅幣地址時,突然開始收到該地址無效的提示。作為一名警惕心強、富有經驗的用戶,很快他便開始懷疑有惡意程序在作祟 – 他的懷疑是正確的:通過對具體原因的進一步調查,最終發現問題的起因的確是惡意程序。復制粘貼的錢包地址,在剪貼板中被惡意程序攔截,並被攻擊者采用硬編碼寫入的比特幣地址所替換。幸運的是,對於Crawsh而言,被替換的地址只針對比特幣有效,將門羅幣地址粘貼進地址欄後便會收到無效提示,幸好他在發送自己的門羅幣之前,被目標應用程序檢測到 – 當然很多其他受害者可沒有這麽幸運,他們感染了同一惡意程序,無意間復制粘貼了自己的比特幣地址,從而導致迄今為止攻擊者已合計收入8.8個比特幣。按照2018年3月13日的市價來換算,其總額約為80,000美元。最終,Crawsh在Reddit子板塊/r/monero上發帖,講述了自己的經歷,並引起了ESET惡意程序研究人員的註意,後者開始著手對問題內幕展開調查,並迅速發現了一些頗有價值的資訊。

通過Google搜索攻擊者的比特幣地址,我們找到了部分受害者。例如,曾有人發表過網站被黑的博文。雖與上文惡意程序竊取者無關,但他在博文中提到,原比特幣地址被替換為惡意程序作者自己的地址,見圖2。據此可以判斷,博文作者有可能已感染比特幣竊取木馬。

 

 

傳播途徑

我們發現,令Crawsh染毒的源頭是,他從download.com上下載的一款名為Win32 Disk Imager的內置木馬軟件。自2016年5月2日以來,該木馬軟件一直棲身於此網站。

ESET將該木馬檢測為MSIL/TrojanDropper.Agent.DQJ的變種之一。上周該木馬從CNET網站的下載數量為311次,合計下載總數為4500次。

 

後來在調查過程中我們發現,Win32 Disk Imager並非download.com上所刊登的唯一一款內置木馬軟件。我們了解到,來自同一作者的至少其他兩款軟件。第一款名為CodeBlocks,已被CNET屏蔽,內含同一木馬機制MSIL/ClipBanker.DF。CodeBlocks是一款知名的開源集成開發環境包(IDE),被很多C/C++開發人員所使用。

 

另一款則是MinGW-w64,在我們調查之初便可下載。其中包含多種惡意機制,既有比特幣竊取木馬也有病毒。MinGW基本上就是GCC(GNU免費軟件匯編套裝)的Microsoft Windows移植版。

兩款軟件下載量的統計數據,詳見下圖(直接從download.com網站獲取的統計數據)。註意在被CNET下架後,CodeBlocks近期下載量為零。確切下架日期無從知曉,但根據遙感數據顯示,下架時間約為2017年3月份前後。

 

接到ESET通知後,CNET迅速從其官網上移除了上述內置木馬軟件。

機制分析

木馬釋放(MSIL/TrojanDropper.Agent.DQJ)

內置木馬軟件的第一階段是利用非常簡單的釋放工具,首先從資源包中提取相應應用軟件(Win32DiskImager、CodeBlocks、MinGW)的合法安裝包及惡意載荷,將兩個文件存儲在%temp%文件夾中並執行。

 

惡意程序在剪貼板中替換錢包(MSEL/ClipBanker.DF)
惡意載荷在簡單程度上與釋放工具非常接近 – 程序將自身復制到%appdata%\Dibifu_8\go.exe路徑,並在註冊表中添加運行鍵值,以確保持續加載。

 

剪貼板中替換比特幣地址,是通過上圖中簡單的4行代碼實現的,即通過正則表達式查找比特幣地址,並將其替換為攻擊者采用硬編碼形式寫入的錢包地址:1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj。

攻擊者並未費太多精力去隱藏其用意,因為即便是釋放工具和ClipBanker的調試符路徑都使其本意昭然若揭。據我們判斷,“SF to CNET”代表SourceForce to CNET,因為所有三款應用程序都在源代碼程序包中不存在惡意進程。

C:\Users\Ngcuka\Documents\V\SF to CNET\Btc Clipboard Rig\WindowsFormsApplication1\obj\x86\Release\WindowsFormsApplication1.pdb

 

還有幾項攻擊特征,值得受害者查找。首先是,在臨時文件夾中,會將惡意載荷和木馬程序包以y3_temp008.exe及Win32DiskImage_0_9_5_install.exe名義釋放並執行。

替換剪貼板中錢包地址的另一款惡意程序(Win32/ClipBanker.DY)

該惡意載荷由內置木馬的MinGW-w64應用軟件釋放。這是略微更復雜的一款變種,使用了類似的常規錢包搜索表達式:

此外,其中還含有采用資源加密形式的更多惡意組件,配套攻擊者名下約達3500個比特幣地址,以密鑰之中的前三個字符為基礎,用以通過類似地址替換受害者的錢包地址(不完整截圖)。

該比特幣竊取工具所內置的更多惡意載荷,也都有PDB路徑。其中之一就是:
C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb。用戶名與第一款比特幣竊取工具PDB路徑中的用戶名相同。至此可以認定,所有上述惡意程序樣本均由同一人開發。

染毒系統殺毒方法

  • 從下載文件夾路徑中,刪除已下載的安裝包win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) from your Download folder location
  • 刪除 exe in the %appdata%\dibifu_8\ 文件夾中的可執行文件 (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
  • 刪除 y3_temp008.exe from %temp%\ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, resp. C758F832935A30A865274AA683957B8CBC65DFDE )
  • 從註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中,刪除ScdBcd鍵值。

我們在調查過程中通知了CNET,後者迅速從官網上刪除了內置木馬的應用軟件,避免了木馬的進一步傳播。

如您懷疑自己已經染毒,請安裝防毒軟件以便自動查殺木馬文件。針對剪貼板替換性攻擊的最有效應對建議是,交易過程中務必仔細核對所復制的地址!

輸入輸出控制:

內置木馬的應用程序:

 

ClipBankers木馬:

鳴謝Reddit論壇上的Matthieu Faou、Alexis Dorais-Joncas、David Jagoš、Robert Šuman、Vladislav Straka以及/u/Crawsh為本次調查所提供的協助。

 

 

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

 

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。