資安長（CSO）洞見：在新常態不只談基礎設施的安全問題

2021 年 01 月 26 日2020 年 12 月 29 日趨勢科技 TrendMicro

DataBank資安長Mark Houpt提供資安洞見，強調從公司和客戶的角度所面臨的挑戰和經驗學習。

新冠狀病毒(COVID-19,俗稱武漢肺炎) 疫情爆發已經持續了數個月，它讓全球企業的經營方式發生了巨大變化。Covid-19為企業和員工所帶來的新現實是 – 嚴重依賴遠端工作來維持企業運作。事實上，員工可能至少要持續這樣的工作模式到2021年中，在某些案例中甚至是永久的。

對DataBank資安長（CISO）Mark Houpt來說，遠端工作並不是件困難的改變。畢竟他在Covid-19出現前就已經這樣做了。但當疫情爆發後，就跟全球無數其他公司一樣，DataBank必須幫助大多數員工安全平穩地過渡到虛擬工作模式。這裡突顯出幾個重要的安全考量，包括持續監控 – 不只是基礎設施，還有（更重要的是）員工的福祉。

Houpt擁有超過25年的資訊安全和資訊技術合規經驗，負責制定和維護網路安全計劃，讓DataBank及其客戶能夠繼續安全地營運。在這次的採訪中，他與趨勢科技分享了一些企業可以考慮的重要安全注意事項，使遠端團隊可以始終保持能見度和安全性在最前線。他還從自己獨特的角度讓企業了解安全該有的樣子，從公司和客戶的角度來強調挑戰和經驗學習。

繼續閱讀

剖析FBI 向企業發出警告的DoppelPaymer 勒索病毒

2021 年 01 月 21 日2021 年 01 月 18 日趨勢科技 TrendMicro

2020 年 12 月初，美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告。該病毒首次出現於 2019 年，在 2020 一整年當中都持續活躍，製造不少讓受害者營運癱瘓的事件。

2020 年 12 月初，美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告，該病毒首次出現於 2019 年，當時一些關鍵的產業都受到了攻擊。2020 一整年，該病毒都一直持續活動，尤其在下半年發動了多起攻擊事件造成受害者營運癱瘓。

DoppelPaymer 是什麼?

DoppelPaymer 應該是從 BitPaymer 勒索病毒 (首次出現於 2017 年) 所衍生出來，因為它們的程式碼、勒索訊息、付款網站都有相似之處。不過值得注意的是 DoppelPaymer 與 BitPaymer 還是有些差異，例如，DoppelPaymer 使用「2048 位元 RSA + 256 位元 AES」加密機制，但 BitPaymer 卻是使用「4096 位元 RSA + 256 位元 AES」加密機制 (舊版則使用「1024 位元 RSA + 128 位元 RC4」)。此外，DoppelPaymer 也改善了 BitPaymer 的加密速度，使用多重執行續來執行檔案加密。

繼續閱讀

2021 年最重要的雲端資安問題

2021 年 01 月 20 日2021 年 01 月 20 日趨勢科技 TrendMicro

雲端是一個潛力無窮的環境，它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術，但它也並非如表面上看來的那樣美好，就讓本文為您解說未來一年雲端資安最重要的問題。

雲端是一個潛力無窮的環境，它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術。

現在，您只需要一道指令，就等於可以啟動一整個資料中心，而且還能自動擴充規模來滿足數百萬客戶的需求。而一些高階的機器學習與分析，也只需一道 API 呼叫即可達成。

這使得開發團隊能夠加速創新，他們幾乎只需專注於創造商業價值。

然而，情況不可能總是那麼美好，在一般人的認知，隨著潛力的提升，資安挑戰也變得更大，開發團隊勢必得面對零時差漏洞、漏洞攻擊、影子 IT 等等問題。

事實並非如此。

至少這些都不是最重要的問題，雲端開發人員的首要資安挑戰其實非常單純。

那就是服務組態設定錯誤的問題。

繼續閱讀

《重大勒索病毒分析》RansomExx ,為何攻擊企業又快又猛?新變種專門攻擊 Linux 伺服器

2021 年 01 月 19 日2021 年 01 月 18 日趨勢科技 TrendMicro

拓展範圍、提升速度：RansomExx 勒索病毒新策略

曾導致巴西最高法院慘暫停開庭、攻擊日本影像及光學大廠柯尼卡美能達（Konica Minolta）的RansomExx 勒索病毒,在 2020 年製造了多起知名攻擊事件，本文分析它所使用的技巧，包括：運用木馬化軟體來散播惡意檔案，以及又快又猛的攻擊方式。

RansomExx 勒索病毒在 2020 年製造了多起知名的攻擊事件，目前有跡象顯示它仍在持續發展當中，並且相當活躍。最新的報告顯示，它開發了新的變種來專門攻擊 Linux 伺服器，而這等於是將攻擊範圍拓展到 Windows 伺服器之外。

根據監測資料顯示，RansomExx 正在攻擊美國、加拿大和巴西的企業，並且持續發現 Linux 變種的活動足跡。本文詳細說明我們對某起 RansomExx 攻擊的分析，此攻擊本首先利用 IcedID 惡意程式來入侵企業，成功之後再使用 Vatet 來載入 Pyxie 和 Cobalt Strike。經由這整套工具，駭客約只需五小時的時間就能完成整個入侵到植入勒索病毒的程序。

RansomExx 勒索病毒的背後是一個 SecureWorks 命名為「GOLD DUPONT」的駭客集團，該集團從 2018 年活躍至今。根據其最新的攻擊顯示，該集團入侵企業的手法相當迅速有效。他們會使用 Vatet、PyXie、Trickbot 和 RansomExx 等惡意程式，以及像 Cobalt Strike 這類駭客工具，都是該集團常用的攻擊武器。

此勒索病毒之所以值得注意，是因為它運用了 2020 年勒索病毒攻擊常見的技巧，包括運用木馬化軟體來散播惡意檔案，以及又快又猛的攻擊方式。

繼續閱讀

開放原始碼軟體如何變成木馬程式？如何成目標式攻擊武器?

2021 年 01 月 18 日2020 年 12 月 21 日趨勢科技 TrendMicro

開放原始碼軟體如何變成木馬程式？我們又該如何偵測這類程式？要回答這些問題，讓我們來看一下最近我們針對這類檔案所做的一份研究。

木馬化的開放原始碼軟體很不容易被發掘，因為它們看起來就跟正常的軟體一樣，所以這類程式毫不起眼，因此特別適合用於目標式攻擊。但其實若深入追查，還是可以看到一些可疑的行為，並揭發它的不肖意圖。

研究過程

趨勢科技在分析一起資安事件時發現了一個名為「notepad.exe」的檔案相當可疑。因為，大家都知道 notepad.exe 是 Windows 系統內建的「筆記本」程式，而有些惡意程式作者就是喜歡偽裝成這類程式來躲避偵測。

Fig-1-Telemetry-Data — 圖 1：監測資料顯示某個名為「notepad.exe」的檔案相當可疑。

這個 notepad.exe 檔案是經由 ntoskrnl.exe (Windows NT 作業系統核心執行檔) 進入系統。它很可能是經由 ntoskrnl.exe 的漏洞或是網路共用資料夾進入系統，不過根據我們得到的監測資料顯示比較可能是後者。接著，我們又利用根源分析 (Root Cause Analysis，簡稱 RCA) 發現，這個不肖的 notepad.exe 檔案會呼叫以下幾個工具來執行一些可疑動作：

繼續閱讀