開放原始碼軟體如何變成木馬程式?我們又該如何偵測這類程式?要回答這些問題,讓我們來看一下最近我們針對這類檔案所做的一份研究。
木馬化的開放原始碼軟體很不容易被發掘,因為它們看起來就跟正常的軟體一樣,所以這類程式毫不起眼,因此特別適合用於目標式攻擊。但其實若深入追查,還是可以看到一些可疑的行為,並揭發它的不肖意圖。
趨勢科技在分析一起資安事件時發現了一個名為「notepad.exe」的檔案相當可疑。因為,大家都知道 notepad.exe 是 Windows 系統內建的「筆記本」程式,而有些惡意程式作者就是喜歡偽裝成這類程式來躲避偵測。
這個 notepad.exe 檔案是經由 ntoskrnl.exe (Windows NT 作業系統核心執行檔) 進入系統。它很可能是經由 ntoskrnl.exe 的漏洞或是網路共用資料夾進入系統,不過根據我們得到的監測資料顯示比較可能是後者。接著,我們又利用根源分析 (Root Cause Analysis,簡稱 RCA) 發現,這個不肖的 notepad.exe 檔案會呼叫以下幾個工具來執行一些可疑動作:
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
駭客鎖定臺灣公部門、研究機構、大學發動網釣攻擊,並在網頁郵件系統注入惡意JavaScript竊密 iThome
【2021資安大預測】趨勢10:製造業資安|駭客鎖定製造業發動目標式勒索和DDoS攻擊,成為新常態 HiNet
APT 27 駭侵團體攻擊方式轉向勒贖全球遊戲廠商 台灣電腦網路危機處理暨協調中心
Ryuk駭客靠勒索就賺進價值逾1.5億美元的比特幣 iThome
SolarWinds供應鏈攻擊的肇事源頭為Sunspot惡意程式 iThome
SolarWinds駭客存取了美國司法部3%的郵件帳號 iThome
SolarWinds遭駭事件讓聯邦法院機密文件的存放回歸傳統:紙本文件或隨身碟 iThome
Parler 爆資安漏洞 外媒用駭客 GPS 數據繪製闖進國會的動亂份子 INSIDE
到了2021也別鬆懈,趨勢科技警告Crysis勒索病毒仍在傳播中 電腦王
FBI警告企業Egregor勒索軟體來襲 iThome
針對合勤韌體出現寫死的高權限帳密,傳出駭客已用來嘗試存取網路設備 iThome
【2021資安大預測】趨勢1:後疫資安新常態|遠距與在家上班成主流,疫苗資訊淪網釣誘餌 iThome
刑事局公布前5名網購高風險賣場 momo居首 中央通訊社
繼續閱讀垃圾郵件和惡意簡訊/訊息所引發的攻擊不斷地增加。網路犯罪者正試圖以各種以假亂真手法誘使受害者打開郵件附件檔案或連結,使其感染病毒/惡意軟體。
受害者經由垃圾郵件及惡意訊息感染惡意軟體(病毒等惡意程式的總稱)或被引導至惡意網站的案例層出不窮。媒體積極地報導這些案件及其危險性,警察機關和安全防護相關團體也不斷呼籲、試圖引起關注。那麼為何依然不斷有人受害呢?
最近的垃圾郵件都設計得以假亂真,收信人不會感到任何懷疑。由於內容及用字遣詞幾乎沒有不自然的地方,因此容易讓收件人誤以為是正常的電子郵件。例如,假裝是實際存在的郵購公司或快遞公司,以「安全警報」、「服務延長手續」、「寄送付款通知單」、「商品配送確認」等名義發送看似合理的訊息,讓收件人不疑有他地打開附件檔案或連結。
企業正以前所未有的速度來投資雲端基礎設施和應用程式,好在疫情爆發期間不僅能夠生存下去,還可以更加發展。但是數位化的擴張也擴大了公司的受攻擊面。那麼雲端安全的秘訣是什麼?我們邀請了眾多趨勢科技專家來幫助你制定致勝的策略。
Mark Nunnikhoven(雲端研究副總)
擁抱變化。
資安團隊一直在救火,尤其是在當下,所以不願照業務需要的速度擁抱新的技術。同時,資安團隊也急需減少工作量,所以重複使用相同作法對他們來說更有效率。然而這種態度最終會阻礙企業發揮雲端技術真正的潛力。最終還會因為舊技術與雲端環境動態需求的脫節而導致更糟糕的安全結果。
Jon Clay(全球資安威脅溝通總監):
教育
我們在技術上所面臨的最大挑戰之一是進步的速度。儘管這能夠推動業務創新並改善我們的日常生活,但也可能需要付出一定的代價,也就是資安團隊需要花費額外時間來理解技術以及它可能會如何被攻擊。今日的雲端運算就是如此。IT團隊通常缺乏如何有效部署和保護雲端環境的培訓和知識。
設定不當是駭客能夠入侵雲端基礎設施的最大原因之一。為了改善這狀況,企業需要在部署任何新環境前,先對員工進行雲端技術的教育訓練。並且隨著技術的不停發展,要確保員工持續地接受訓練。
Bill Malik(基礎設施策略副總):
基於安全的設計。
繼續閱讀後端基礎架構是企業應細心守護的一項企業關鍵資產,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
資安是每家企業在 採用與移轉至雲端技術時都必須考量的重要一環。企業必須優先保護的資源包括:網路、端點及應用程式。此外,還有一項企業應該細心守護的關鍵資產就是後端基礎架構,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
企業通常都會採用端點防護與網路防護產品來保護後端環境的伺服器以及負責儲存與處理大量寶貴資料的內部系統。為了盡可能節省成本,有些企業會將後端基礎架構移轉至雲端,或者採用雲端式解決方案在企業內架設私有雲。
不過這樣的作法要非常小心謹慎,才不會讓企業暴露在駭客攻擊的風險中,例如之前發生的多起導致營運中斷、財務損失及商譽損失的供應鏈攻擊。在「雲端運算時代的供應鏈攻擊:風險、如何防範,以及確保後端基礎架構安全的重要」(Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends) 一文當中,我們列舉了各種我們分析過的資安風險,並提出幾項防範技巧給 DevOps 參考,尤其是關於 Jenkins、Docker、Kubernetes 以及 AWS Cloud9 與 Visual Studio Codespaces 等雲端整合開發環境 (IDE)的問題。
後端系統的預設組態設定,即使是在認證啟用的狀況下,還是會帶來相當大的資安風險。軟體開發團隊經常用到的開放原始碼自動化伺服器 Jenkins 就被發現有這樣的風險。