設定不當的容器被用來散播挖礦病毒

趨勢科技最近發現有設定不當導致API端口暴露的Docker遭到惡意利用的案例。有惡意活動會掃描開放端口2375/TCP和2376/TCP,這些是Docker引擎服務(dockerd)所使用的端口。攻擊者接著將虛擬貨幣挖礦病毒(趨勢科技偵測為Coinminer.SH.MALXMR.ATNE)散布到這些設定不當的系統。

Docker會在作業系統層級實現虛擬化 – 也稱為容器化(containerization)。Docker API能夠讓遠端使用者像本地端用戶那樣地控制Docker映像。建議不要開放能夠讓外部存取的API端口,因為這會讓駭客有機會利用此不當設定進行惡意活動。

Docker引擎本身並沒有遭到攻擊,Docker企業版本也沒有受到影響。我們是在Docker社群版本看到這些少見的惡意行為。事實上,Docker技術提供讓使用者可以啟用及設定的安全功能來保護容器和工作負載。Docker也提供了防護Docker社群企業版本的工具、文件和指南。當然,兩者的安全最佳實作都會要求不要開放這些端口。比方說建議運行商業應用程式的企業使用商業用的Docker企業版,能夠提供精確、基於角色的存取控制設定,必須經過身份認證才能使用API。

在我們的研究中,Docker API端口暴露是使用者設定不當的結果,因為我們發現這不當設定是在管理員層級手動設定的。實際上,因為設定不當而讓自身暴露於威脅中並非新鮮事,而這對企業來說也可能是得長期面對的挑戰。事實上,我們透過Shodan搜尋發現有許多人的Docker主機設定不當,特別是在中國。而同時還有美國、法國、德國、新加坡、荷蘭、英國、日本、印度和愛爾蘭也出現設定不當的Docker主機。大多數暴露的系統都是運行Linux作業系統。有意思的是Linux上的服務需要手動設定,而在Windows上直到17.0.5-win8都不是如此,出於安全理由而禁止服務暴露。雖然不當設定廣泛地在各版本都有發生,但根據Shodan的搜尋結果顯示超過一半有此問題的主機運行的是18.06.1-ce版本,這是相對較新的Docker版本。

 

圖1:在端口2375和2376觀察到的惡意活動或因不當設定遭濫用的時間軸(上)和國家/地區分佈(下)

圖2:攻擊不當設定Docker引擎的感染鏈

繼續閱讀

2018年上半年影響企業的最大四種威脅

讓企業能夠更有效地做好資料安全保護以及主動防禦的最佳方法就是了解威脅環境趨勢。

檢視駭客現在所使用的攻擊、入侵和病毒散播策略,就能夠了解在未來會繼續出現的安全問題,讓企業可以準備好正確的資料和資產保護措施。

每一年都有著過去延續下來及新出現的威脅,這些威脅讓安全防護變得更加複雜。所以了解影響最大的威脅(包括過去就盛行的舊威脅以及網路犯罪分子間新出現的攻擊手法)在資料安全領域是相當重要的。

趨勢科技的研究人員檢視了2018年上半年常見的資料保護和網路威脅問題,整理出了2018年年中資安綜合報告:看不見的威脅帶來迫在眉睫的損失

讓我們仔細探討一下這份研究以及今年上半年影響企業最主要的四個威脅。

  1. 影響大量設備的漏洞

Heartbleed早在2014年就已經出現。它是當時最嚴重也影響最廣泛的漏洞之一,大量使用OpenSSL加密程式庫的平台和網站都受到了影響。因為受影響網站的數量龐大,加上它讓駭客有機會讀取到儲存在系統記憶體內的資料,讓此漏洞在當時成為全球的新聞頭條。

而之後還有許多漏洞被找出,包括2018年初的兩個重大漏洞。研究人員發現了CPU的設計缺陷 – 被稱為Meltdown和Spectre。不幸的是,這些還不是今年唯一的知名漏洞。

正如趨勢科技在5月份所報告,在Meltdown和Spectre之後又發現了8個也會影響英特爾處理器的漏洞,其中有4個被認為屬於「高」嚴重性威脅。因為這些處理器被全球企業及消費者所大量使用,因此新出現的漏洞對安全管理員和個人用戶來說都相當值得擔心。 繼續閱讀

Google Play出現假銀行應用程式,進行簡訊釣魚(SMiShing)詐騙

偽裝成行動認證服務的假銀行應用程式 Movil Secure, 會收集簡訊和電話號碼。當安裝者手機收到新簡訊時– 包含行動銀行應用程式用來確認或授權銀行交易的簡訊,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。趨勢科技懷疑取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從銀行客戶身上收集銀行帳密。

有許多銀行都在為自家的行動應用程式提供更多功能及升級,而且也因為銀行應用程式所帶來的便利性,讓全世界有越來越多用戶使用行動銀行服務。不過隨著新金融技術的大量使用以及使用者會尋找自己銀行的應用程式和服務,也為詐騙份子帶來了更多機會。最新的一個例子是應用程式Movil Secure。我們在10月22日在Google Play上發現這個惡意應用程式,是針對西班牙語系用戶的簡訊釣魚(SMiShing)詐騙的一部分。

Movil Secure是個假銀行應用程式,會偽裝成行動認證服務。開發者下了很大的功夫來讓使用者認為這是個合法軟體,包括具備專業外觀的品牌及精細的使用者介面。我們還發現此一個開發者名下有其他三個類似的假應用程式。Google確認了這些應用程式已經從Google Play移除。

Movil Secure在10月19日上架,六天內被下載了超過100次。這可能是因為它聲稱跟跨國的知名西班牙銀行集團Banco Bilbao Vizcaya Argentaria(BBVA)有關,該銀行以專業技術聞名,正版的行動銀行應用程式被認為是業界最好的之一

假應用程式(見下圖1)充分利用了BVVA的知名度,偽裝成該銀行服務用於身份管理和交易授權的行動認證服務。但仔細檢查後發現它並不具備這些功能。

Figure 1

圖1、該應用程式聲稱它是行動認證應用程式

繼續閱讀

《資安新聞周報 》張明正:客戶教會我最重要的兩個經營觀念/亞洲逾8成新購電腦裝盜版軟體 遭病毒侵害/「你看色情片的樣子被拍囉」警:馬上刪信!

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

 

媒體資安新聞精選:

Chrome 71 資安再升級:放置惡意廣告的網站,將被剝奪永久「廣告權」!    科技報橘

日最新研究:數位照片可破解手指靜脈認證       台視全球資訊網

匯豐美國客戶資料 證實遭駭      工商時報

供應鏈攻擊又一例:駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io  iThome

【Zaif 交易所遭駭|事件追蹤】日本資安專家:兇手已曝光       BLOCKTEMPO

Docker  Engine  API 挖礦程式  駭客透過曝露在外的Docker Engine API來部署挖礦程式  iThome電腦報周刊

台灣在內亞洲逾8成新購電腦裝盜版軟體 遭病毒侵害  台灣蘋果日報網

工業4.0高風險?台積電資安事件後,「每個工廠都很害怕!」   天下雜誌網

【釣魚詐騙】「你看色情片的樣子被拍囉」警:馬上刪信!  台灣蘋果日報網

存在4年的LibSSH弱點,可讓駭客無須輸入密碼就能控制伺服器       iThome

10招3步驟 無障礙辨識假新聞 聯合新聞網

比爾·蓋茨談AI時代人類該如何生活  新浪網(臺灣)

王文華:就算不能寫在履歷表上,也要去做的1件事    快樂工作人雜誌

電子連署 唐鳳:卡在資安  人間福報網

【生日片】趨勢科技 30 歲!董事長張明正現身分享「創業 3 招」  INSIDE

資安防護下一步?趨勢科技:展望「ONE VISION全視界」守護網網互連的新世界    T客邦

趨勢科技三十年 創辦人回首第一隻蟲      三立新聞網

趨勢科技董座張明正 「資安市場還有20年好光景」    聯合新聞網

趨勢科技董事長談 30 年創業路:不跟風、正面迎向挑戰,成就台灣一代「資安巨人」        科技報橘網

《科技》趨勢科技董座張明正:台灣軟體業應把握3T商機  富聯網

《科技》趨勢堅持創新,不做Me too       富聯網

趨勢科技董事長張明正:創業 30 年來,是客戶教會我最重要的兩個經營觀念  經理人

【劉世忠專欄】假訊息散播  社群媒體應負責 新新聞 繼續閱讀

不占資源的趨勢科技 PC-cillin 2019 雲端版防毒軟體推薦,安心PAY 線上交易更安全

今天買 PC-Home、明天買MOMO、後天買露天淘寶,現在人在網路上購物的頻率已經非常非常高,但衍生出來的交易安全問題也越來越多,很多人的瀏覽器甚至已經被裝入可疑擴充套件而完全不知,交易這件事情可大可小,但千萬別輕忽!

PC-cillin 2019 雲端版安裝時會在瀏覽器中安裝擴充套件來全面掌握上網時的隱私安全問題,當進入可疑的網站時會自動加以封鎖以免受害,甚至透過顏色標記,在FB、IG、Dcard、PTT 等網站點選連結前就可知道目標網站的安全性。

趨勢科技 PC-cillin 防毒軟體在每年排行榜上都名列前茅,去年硬大跟大家分享過雲端版的特色與功能,今年的 PC-cillin 2019 雲端版因應線上交易安全性,不僅持續強化 AI 智能防毒引擎,對於透過瀏覽器進行交易的行為提供更為嚴密的保護,推出「安心Pay」功能,搭配全天候病毒威脅偵測、重要資料夾監控以及家庭網路安全檢測的特性全面防護我們的系統,今年硬大也向大家推薦 PC-cillin 2019 雲端版防毒軟體。

PC-cillin 2019 雲端版增強與新功能介紹

防毒軟體的主要功能共分為四大項目:電腦防護、隱私安全、資料防護以及家長防護,功能非常多,硬大針對其中的重點功能來跟大家做分享。

更強大的 AI+ 智能防毒引擎

這部分就是大家熟知的電腦防毒功能,最簡單的就是透過更新病毒碼方式讓防毒軟體可以正確的辨識出有病毒特徵的檔案,但在 2019 版中強化了AI防毒技術,能夠以自動學習和分析來抓出未知的威脅,無須等到病毒碼更新就可在第一時間抓到可疑病毒,對於最新的勒索病毒、挖礦病毒甚至無檔案病毒的偵蒐能力相較前一版更為強大。

AI 智能防毒的運作方式是以分析大量病毒樣本後,依據檔案特徵和行為特徵找出潛在威脅。而 AI+ 智能防毒則是藉由現有AI 與檔案特徵來預測病毒的惡意行為。面對現今網路上變種速度極快的病毒,防毒軟體必須有自主判斷能力才能提供最有高效能的防護,不用等到病毒碼來就可以在電腦上先行分析處置,並且把資料回傳病毒/惡意程式分析資料庫回饋所有 PC-cillin 的使用者,最近幾年最經典的案例莫過於各種變種的勒索病毒,日後再跟大家聊聊變種病毒和防毒軟體的故事。

附加:好功能推薦

由於病毒無時無刻都會透過任何管道竄入電腦,加上軟體本身會透過學習來判斷是否有潛在危險,假如使用電腦時不希望被防毒掃描資訊影響可以開啟「無干擾模式」,除非有重要威脅才會彈出視窗。

不占資源的趨勢科技 PC-cillin 2019 雲端版防毒軟體推薦,安心PAY 線上交易更安全 Image-015

如果覺得電腦效率變差,透過功能可以透過掃描潛在安全漏洞、縮短啟動時間、清理垃圾檔案及清除隱私權資料四種管道來優化電腦。

不占資源的趨勢科技 PC-cillin 2019 雲端版防毒軟體推薦,安心PAY 線上交易更安全 Image-011-2

全新「安心Pay」保障線上交易安全

今天買 PC-Home、明天買MOMO、後天買露天淘寶,現在人在網路上購物的頻率已經非常非常高,但衍生出來的交易安全問題也越來越多,很多人的瀏覽器甚至已經被裝入可疑擴充套件而完全不知,交易這件事情可大可小,但千萬別輕忽!

PC-cillin 2019 雲端版安裝時會在瀏覽器中安裝擴充套件來全面掌握上網時的隱私安全問題,當進入可疑的網站時會自動加以封鎖以免受害,甚至透過顏色標記,在FB、IG、Dcard、PTT 等網站點選連結前就可知道目標網站的安全性。

不占資源的趨勢科技 PC-cillin 2019 雲端版防毒軟體推薦,安心PAY 線上交易更安全 Image-011-3

2019 年版新增的「安心Pay」功能是特別針對透過瀏覽器進行網路銀行和線上交易時的安全所設計,支援 市面上常用的Google Chrome、IE (Edge)和 Firefox 瀏覽器。

啟動「安心Pay」功能時 PC-cillin 會另外開啟一個乾淨的且受防護的瀏覽器視窗(有水藍色外框),在此視窗窗除了會關閉所有擴充工具之外,還具備自我保護機制與阻擋惡意程式的功能,確保交易過程不會遭到其他程式竊取資料。

不占資源的趨勢科技 PC-cillin 2019 雲端版防毒軟體推薦,安心PAY 線上交易更安全 image013

安心 Pay 功能使用上其實就跟一般用瀏覽器上網相同,但背後是結合防毒引擎與監控在運作,等於給瀏覽器上了一層防護罩,使交易更加安全。

以下圖在小米網站購物為例,視窗右下角顯示的 logo 就代表交易過程都在安心 Pay 的保護之中,不論在這個視窗裡面瀏覽任何網站,只要外圍有藍色都是可以安心交易的。

 

 

繼續閱讀