趨勢科技 TrendMicro | 資安趨勢部落格

Microsoft 揭露支援代理程式憑證遭入侵的資安漏洞

2019 年 04 月 15 日2019 年 04 月 25 日趨勢科技 TrendMicro

Microsoft 通知受影響的 Outlook 使用者，在 2019 年 1 月 1 日到 3 月 28 日之間出現資安漏洞，可讓駭客存取電子郵件帳戶。他們發現這個漏洞是由支援代理程式遭入侵的憑證導致，並停用此憑證以封鎖駭客的存取管道。

駭客可透過這項憑證存取帳戶電子郵件位址、資料夾名稱和電子郵件的主旨行，但尚無法存取這些電子郵件的內容和附件。Microsoft 已進一步向使用者保證，他們的登入憑證和其他個資不會在攻擊過程中遭竊。Microsoft 仍強烈建議受影響的使用者變更密碼，並警告可能的網路釣魚詐騙、索取個資或要求付款的電子郵件。這類威脅通常會伴隨上述的資安漏洞而來。

繼續閱讀

一種專門偵測惡意程式變種的機器學習模型

2019 年 04 月 15 日2019 年 03 月 28 日趨勢科技 TrendMicro

惡意程式要能發揮作用，首先要能躲過資安防禦的偵測成功滲透到系統內部。它要能包裝並偽裝自己，讓自己看起來像一般正常的程式，等到通過資安關卡之後，再顯現出本性。針對不易偵測的惡意程式，或是樣本不足，無法提供有效分析的惡意程式，我們提出了一種採用對抗自動編碼器 (adversarial autoencoder) 並搭配語意雜湊碼 (semantic hashing) 的機器學習(Machine learning,ML)模型來加以偵測。趨勢科技與澳洲聯邦大學 (Federation University Australia) 研究人員共同發表過一篇名為「生成式惡意程式擴散偵測」(Generative Malware Outbreak Detection) 的研究論文。

透視加密編碼的惡意程式

惡意程式作者知道，惡意程式必須不被發現才有機會入侵裝置或網路。所以，他們會運用各種不同工具和技巧來躲避偵測，此外，更會用盡方法來提高惡意程式的偵測難度，包括躲避沙盒模擬分析、反解譯、反除錯、躲避防毒軟體以及變形或多形等技巧。例如先前曾出現在針對性攻擊與網路間諜行動當中的 RETADUP 蠕蟲，後來也演化出變形能力。其新的變種是以 AutoHotKey 程式碼來撰寫，且與其先前的 AutoIt 變種一樣，都是用來發動虛擬加密貨幣挖礦攻擊。

惡意程式一旦經過加密編碼，一般傳統的防毒系統就很難加以偵測。我們曾在一篇文章當中指出，加密編碼的問題可藉由發掘同一惡意程式家族當中不論任何變種都大致維持一致的特徵來加以偵測，例如程式指令序列。本文將延續先前那篇文章，更進一步深入探討對抗自動編碼器如何處理程式指令序列，以及語意雜湊碼在我們提出的模型當中有何用途。

繼續閱讀

為何射頻技術使工業領域置身風險?

2019 年 04 月 12 日2019 年 03 月 26 日趨勢科技 TrendMicro

每個產業都有其獨特的安全風險。以銀行業和健康照護業為例，由於必須處理許多敏感的金融和客戶資料，因此必須採用強健的防護措施來確保安全。

在工業領域則有些許不同。多年來，注重安全的專家都專注於其他產業的安全問題，但在現今的工業環境中，支援各種機械和工作的連線裝置和智慧技術都已到位，新的資料保護風險正在湧現，值得關注。

工業組織的領導者必須明白，員工用以控制施工、製造、採礦和物流等流程的裝置和系統，可能將使企業暴露在特定漏洞之下。其中一項裝置便是用於直接控制機械的射頻控制器。雖然這些簡單的端點控制器類似一般消費使用的車庫門遙控器，但這些 RF 控制器卻可能為惡意活動提供完美的通道。

RF 控制器：使用十分廣泛

毫無疑問的，在工業領域中的工作者將十分熟悉 RF 控制器 (包括小型手持機型到具備按鈕和操縱桿的背負型控制器) 所有潛在不同的應用方式：

在施工活動中，控制器可以用來操作起重機和其他大型機械。
礦業也將 RF 遙控器應用在控制鑽機和幫浦。
在運輸和物流業中，RF 控制用於在不同運輸模式之間，以吊車和起重機移動的大型貨物裝載。
在製造環境中，它們可以控制機器人製造機械、輸送帶等。

礦業也將 RF 遙控器應用在控制鑽機和幫浦。在運輸和物流業中，RF 控制用於在不同運輸模式之間，以吊車和起重機移動的大型貨物裝載。在製造環境中，它們可以控制機器人製造機械、輸送帶等。

某些 RF 控制器可使機器啟動運作，有些能啟用緊急停止功能，一些更先進的機型甚至能滿足以上兩種需求。隨著大規模智慧型機器人技術在工業領域越來越普遍，支援機械系統的 RF 控制器分佈也更趨廣泛。

風險從何而來?

繼續閱讀

Bashlite IoT 惡意程式新增挖礦與後門功能，專門攻擊 WeMo 品牌裝置

2019 年 04 月 11 日2019 年 04 月 08 日趨勢科技 TrendMicro

最近，趨勢科技發現 Bashlite 惡意程式出現新的版本，會將其感染的物聯網（IoT ,Internet of Thing ）裝置收編到某個殭屍網路來發動分散式阻斷服務 (DDoS) 攻擊。趨勢科技將這些惡意程式命名為 Backdoor.Linux.BASHLITE.SMJC4、Backdoor.Linux.BASHLITE.AMF、Troj.ELF.TRX.XXELFC1DFF002 以及 Trojan.SH.BASHDLOD.AMF。根據其採用的 Metasploit 模組來看，此惡意程式專門鎖定採用 WeMo Universal Plug and Play (UPnP) 通用隨插即用應用程式開發介面 (API) 的裝置來攻擊。

Bashlite 惡意程式亦稱為 Gafgyt、Lizkebab、Qbot、Torlus 或 LizardStresser，其最為人知的不良事蹟是 2014 年曾發動大規模分散式阻斷服務攻擊 (DDoS)，如今它甚至開始跨界感染 IoT 裝置。先前的 Bashlite 版本會利用 Shellshock 漏洞來入侵裝置，然後再透過遠端指令遙控被入侵的裝置發動 DDoS 攻擊 (如 2016 年所發生的事件)，或者再下載其它惡意檔案到被入侵的裝置。

這次發現的新版 Bashlite 相當值得關注。首先，其感染方式已不再仰賴特定 CVE 漏洞，而是使用可公開取得的 Metasploit 漏洞攻擊模組。此外，新版也支援更多 DDoS 遠端遙控指令，以及一些虛擬貨幣和後門功能。同時，還會在裝置上植入惡意程式來將競爭對手的殭屍病毒移除。

繼續閱讀