《資安新聞周報》防疫遠距上班 家庭網路成企業資安破口/台灣為亞洲地區DevSecOps整合的領頭羊/駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

這張圖片的 alt 屬性值為空,它的檔案名稱為 news-red-TV-1024x683.png

資安新聞精選

防疫遠距上班 家庭網路成企業資安破口 不給錢就公布 竊資型勒索橫行   網管人

不給錢就公布 竊資型勒索橫行   網管人

Trend Micro Cloud One 服務平台新增進階雲端原生容器防護   CompoTech Asia 電子與電腦

SolarWinds公布供應鏈攻擊事故流程,並揭露新發現的惡意程式Sunspot   iThome

駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關   iThome

SolarWinds供應鏈攻擊的肇事源頭為Sunspot惡意程式   iThome

趨勢科技公布2021資安預測 三大重點需注意   CIO IT經理人

2020資安重大事件回顧   iThome

卡普空:去年11月駭客可能取得了39萬用戶資料   iThome

Google揭露串連Chrome/Windows零時差漏洞、Android已知漏洞的攻擊行動   iThome

中國行銷業者「笨鳥」外洩2億名社交網路用戶資料   iThome

歐洲藥品管理局:駭客盜走的COVID-19藥物與疫苗文件已流落網路   iThome

Google內部也用SolarWinds遭駭產品但未受影響   iThome

數位身分證應給人民有自由的選擇   國家政策研究基金會

【2021資安大預測】趨勢10:製造業資安|駭客鎖定製造業發動目標式勒索和DDoS攻擊,成為新常態   iThome

繼續閱讀

剖析FBI 向企業發出警告的DoppelPaymer 勒索病毒

2020 年 12 月初,美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告。該病毒首次出現於 2019 年,在 2020 一整年當中都持續活躍,製造不少讓受害者營運癱瘓的事件。

2020 年 12 月初,美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告,該病毒首次出現於 2019 年,當時一些關鍵的產業都受到了攻擊。2020 一整年,該病毒都一直持續活動,尤其在下半年發動了多起攻擊事件造成受害者營運癱瘓。

DoppelPaymer 是什麼?


DoppelPaymer 應該是從 BitPaymer 勒索病毒  (首次出現於 2017 年) 所衍生出來,因為它們的程式碼、勒索訊息、付款網站都有相似之處。不過值得注意的是 DoppelPaymer 與 BitPaymer 還是有些差異,例如,DoppelPaymer 使用「2048 位元 RSA + 256 位元 AES」加密機制,但 BitPaymer 卻是使用「4096 位元 RSA + 256 位元 AES」加密機制 (舊版則使用「1024 位元 RSA + 128 位元 RC4」)。此外,DoppelPaymer 也改善了 BitPaymer 的加密速度,使用多重執行續來執行檔案加密。

繼續閱讀

2021 年最重要的雲端資安問題

雲端是一個潛力無窮的環境,它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術,但它也並非如表面上看來的那樣美好,就讓本文為您解說未來一年雲端資安最重要的問題。


2021 年最重要的雲端資安問題

雲端是一個潛力無窮的環境,它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術。

現在,您只需要一道指令,就等於可以啟動一整個資料中心,而且還能自動擴充規模來滿足數百萬客戶的需求。而一些高階的機器學習與分析,也只需一道 API 呼叫即可達成。

這使得開發團隊能夠加速創新,他們幾乎只需專注於創造商業價值。

然而,情況不可能總是那麼美好,在一般人的認知,隨著潛力的提升,資安挑戰也變得更大,開發團隊勢必得面對零時差漏洞、漏洞攻擊、影子 IT 等等問題。

事實並非如此。

至少這些都不是最重要的問題,雲端開發人員的首要資安挑戰其實非常單純。

Image 2

那就是服務組態設定錯誤的問題。

繼續閱讀

《重大勒索病毒分析》RansomExx ,為何攻擊企業又快又猛?新變種專門攻擊 Linux 伺服器

拓展範圍、提升速度:RansomExx 勒索病毒新策略

曾導致巴西最高法院慘暫停開庭、攻擊日本影像及光學大廠柯尼卡美能達(Konica Minolta)的RansomExx 勒索病毒,在 2020 年製造了多起知名攻擊事件,本文分析它所使用的技巧,包括:運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。

RansomExx 勒索病毒在 2020 年製造了多起知名的攻擊事件,目前有跡象顯示它仍在持續發展當中,並且相當活躍。最新的報告顯示,它開發了新的變種來專門攻擊 Linux 伺服器,而這等於是將攻擊範圍拓展到 Windows 伺服器之外。

根據監測資料顯示,RansomExx 正在攻擊美國、加拿大和巴西的企業,並且持續發現 Linux 變種的活動足跡。本文詳細說明我們對某起 RansomExx 攻擊的分析,此攻擊本首先利用 IcedID 惡意程式來入侵企業,成功之後再使用 Vatet 來載入 Pyxie 和 Cobalt Strike。經由這整套工具,駭客約只需五小時的時間就能完成整個入侵到植入勒索病毒的程序。

RansomExx 勒索病毒的背後是一個  SecureWorks 命名為「GOLD DUPONT」的駭客集團,該集團從 2018 年活躍至今。根據其最新的攻擊顯示,該集團入侵企業的手法相當迅速有效。他們會使用 Vatet、PyXie、Trickbot 和 RansomExx 等惡意程式,以及像 Cobalt Strike 這類駭客工具,都是該集團常用的攻擊武器。

此勒索病毒之所以值得注意,是因為它運用了 2020 年勒索病毒攻擊常見的技巧,包括運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。 

繼續閱讀

開放原始碼軟體如何變成木馬程式?如何成目標式攻擊武器?

開放原始碼軟體如何變成木馬程式?我們又該如何偵測這類程式?要回答這些問題,讓我們來看一下最近我們針對這類檔案所做的一份研究。

木馬化的開放原始碼軟體很不容易被發掘,因為它們看起來就跟正常的軟體一樣,所以這類程式毫不起眼,因此特別適合用於目標式攻擊。但其實若深入追查,還是可以看到一些可疑的行為,並揭發它的不肖意圖。

研究過程


趨勢科技在分析一起資安事件時發現了一個名為「notepad.exe」的檔案相當可疑。因為,大家都知道 notepad.exe 是 Windows 系統內建的「筆記本」程式,而有些惡意程式作者就是喜歡偽裝成這類程式來躲避偵測。

Fig-1-Telemetry-Data
圖 1:監測資料顯示某個名為「notepad.exe」的檔案相當可疑。

這個 notepad.exe 檔案是經由 ntoskrnl.exe (Windows NT 作業系統核心執行檔) 進入系統。它很可能是經由 ntoskrnl.exe 的漏洞或是網路共用資料夾進入系統,不過根據我們得到的監測資料顯示比較可能是後者。接著,我們又利用根源分析 (Root Cause Analysis,簡稱 RCA) 發現,這個不肖的 notepad.exe 檔案會呼叫以下幾個工具來執行一些可疑動作:

繼續閱讀