趨勢科技 TrendMicro | 資安趨勢部落格

企業管理數位足跡和資料隱私的六個祕訣

2019 年 02 月 26 日2020 年 02 月 06 日趨勢科技 TrendMicro

新的一年一開始就出現了關於超過20億筆來自過去多年資料外洩事件的大規模使用者帳密資料流出的報告。這份資料（稱為「Collection #1」）包括了純文字格式的使用者帳密及敏感文件，全部為87GB。據報在12月的最後一周就可以下載，在駭客論壇上被積極地交流著。某些報告指出將會有更多資料包在網路上公布和販賣，每份都有比第一份更多的個人帳密和敏感資料。Collection #1已經被拿掉，但對許多資料被流出的人來說，造成的影響才正要開始。

[延伸閱讀：資料外洩101：它如何發生，被偷了什麼及會流到哪裡去]

Collection #1包含了超過7億筆不重複的電子郵件地址和超過2,100萬筆的明文密碼。有了這些資料，線上惡意活動可能會跨界成線下的犯罪活動。如果使用者在不同網站使用了相同帳密，那Collection #1將會造成很大的傷害。從社交工程social engineering ）攻擊（如網路釣魚(Phishing)和詐騙）到身份竊盜和勒索郵件，個人甚至於企業的損失都會呈等比級數增加。發生資料外洩事件的企業不僅可能因GDPR或其他法規而被罰款，還可能會失去客戶的信任、收益和商譽。個人也會成為詐騙和網路攻擊的目標，且因為不安全感而讓自己在網路上的活動受限。

現在越來越多的新科技讓人們可以無時無刻的保持連線，也因此製造了大量的數位足跡和資料儲存，網路犯罪分子的攻擊媒介也在增加。這代表使用者和企業都必須優先考慮網路隱私和資料安全。

[延伸閱讀：2018年的三大資安故事]

企業的積極保護措施

企業仍是網路犯罪份子想獲取最大利潤的首選目標。一次成功的企業系統入侵事件就讓駭客有可能存取到資料的寶庫：內部伺服器、專有資料、公司資產、第三方供應商和客戶記錄。以下是企業保護資料及使用者和客戶隱私的六個做法和原則：

繼續閱讀

無檔案惡意程式(Fileless Malware)五種運作方式

2019 年 02 月 22 日2019 年 02 月 15 日趨勢科技 TrendMicro

無檔案惡意程式早已不是什麼新聞，但目前卻有日益增加的趨勢。事實上，根據報導，在針對企業的攻擊得逞案例當中，有 77% 都是使用無檔案惡意程式。這類惡意程式不像傳統惡意程式那樣容易被發現，而且會利用各種技巧來長期躲藏在系統內部，因此隨時可能對企業流程或營運基礎架構造成危害。

以下詳細說明無檔案式威脅的幾種運作方式以及如何加以防範。

一.經由文件漏洞攻擊來啟動惡意程式

無檔案式威脅也有可能經由傳統方式進入系統，例如經由 JavaScript 或 VisualBasic (VBA) 惡意巨集腳本並內嵌在 Office 文件、PDF 檔案、壓縮檔或看似無害的檔案內部。這些巨集一旦執行，就會運用一些正常的工具 (如 PowerShell) 來進一步啟動、下載和執行更多程式碼、腳本或惡意檔案。這些巨集腳本通常也是經由 PowerShell 之類的工具來執行，並且會經過加密編碼，讓資安軟體無法輕易偵測觸發其執行的關鍵字。

這些腳本可利用 PowerShell 來讀取並執行本機系統上的執行檔，或者直接執行已經在記憶體中的程式碼。但即使是後者也不算完全的無檔案式攻擊，因為歹徒還是需要先透過檔案挾帶巨集來入侵系統。

無檔案式威脅透過文件漏洞發動攻擊的過程。

一般使用者可藉由培養一些良好的資安習慣並提升職場的資安意識，來盡可能避免遭受這類攻擊的威脅，例如：針對一些不請自來的郵件或檔案應提高警覺，尤其是在開啟時會要求使用者啟用巨集或腳本功能的檔案。

至於企業，則可採用一些端點防護產品來防範這類經由垃圾郵件散播的無檔案式攻擊，例如：趨勢科技Smart Protection Suites及 Worry-Free Business Security 這兩套解決方案都能妥善保護企業和使用者，偵測相關的惡意檔案和垃圾郵件，攔截所有相關的惡意連結。此外，還有趨勢科技Deep Discovery進階網路安全防護可提供電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。趨勢科技Deep Discovery進階網路安全防護可偵測從遠端執行的腳本，即使它並未下載到端點裝置上。繼續閱讀

躲在系統四個月沒被發現?駭客竊取資料的五個隱身術

2019 年 02 月 21 日2019 年 03 月 19 日趨勢科技 TrendMicro

研究人員發現，光金融產業，每 1 萬個裝置就有大約 23 個「隱藏管道」管道，並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。

Equifax Inc. 資料外洩事件就是一個例子，駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法,讓歹徒在該公司的系統上躲藏了四個月以上。

提升您的資安態勢：認識網路犯罪集團神不知鬼不覺的技巧

保護企業關鍵資料、系統與資產的安全，是一項日益艱難的挑戰。不僅企業的數位足跡不斷隨著新增應用程式而擴大，而且駭客也在不斷提升能力來暗中入侵企業系統並長期躲藏不輕易讓 IT 團隊發現蹤跡。

駭客一直在利用各種技巧來掩蓋自己的足跡，以便能夠長期潛伏系統內部以持續竊取資料。根據趨勢科技的一項最新研究顯示，這類技巧正日益精密、精進，且越來越危險。

企業提升自身資安狀況最好的方法之一，就是主動掌握敵人的動向並主動出擊。以下將探討網路犯罪集團暗中潛入企業而不被發現的各種技巧。掌握了這些知識，IT 團隊就更能發掘駭客入侵相關的異常活動。

駭客如何掩蓋自己的足跡？

如同獵人會盡可能不被獵物發現一樣，駭客也會盡量避開 IT 人員與網路防護及應用程式防護的偵測。

正如趨勢科技研究人員在最新的年度預測報告「映對未來：對抗無所不在的持續性威脅」當中預言，駭客將其惡意活動融入企業正常流量的中的作法在未來只會更加普遍、也更具威脅性。

該報告指出：「為了因應資安廠商推出的新技術，尤其是機器學習(Machine learning,ML)在網路資安領域重新獲得青睞，網路犯罪集團將運用更高的技巧來『魚目混珠』。歹徒將不斷開發出所謂「就地取材」的技巧，也就是將一些日常運算裝置用於原本設計之外的用途，並且在網路上分享。」

目前，研究人員發現的幾種歹徒最常使用的五個策略包括：

1. 使用非傳統的副檔名來偽裝惡意程式:
今日大多數的惡意程式碼都不再經由傳統的執行檔來散布，因為使用者已經被訓練到很容易對這類檔案起疑。現在，駭客會使用一些較為罕見的檔案格式來包裝其惡意程式碼，例如.URL、.IQY、.PUB 與 .WIZ 等副檔名的檔案。這會讓使用者失去戒心，因而較容易受騙上當，開啟附加的檔案，進而遭到感染。

2.最小程度的修改:
駭客很快就學會避免做出一些使用者和資安軟體會列為可疑活動的行為，例如修改一些正常的檔案來感染系統。為此，網路犯罪集團現在都盡可能不要動到系統，只修改一些絕對必要的檔案或系統組態，只要能達成其目的即可。

3.新的惡意程式啟動方法:
不僅如此，網路駭客現在也開始改變其啟動惡意程式的方法，改用像 Mshta、Rundll32、Regasm、Regsvr32 等機制。

4.採用經過數位簽章的惡意程式:
該報告指出，採用經過數位簽章的惡意程式已經是一種駭客普遍的作法。未來，這仍將是一項嚴重的威脅。這項技巧非常有效，因為有了數位簽章之後，駭客的惡意程式看起來更像一般正常的應用程式，也更容易躲過資安產品的偵測。

The Hacker News 特約記者 Swati Khandelwal 解釋：「駭客使用知名機構外洩的數位憑證來簽署惡意程式，如此可避免惡意程式被企業網路或消費者裝置的資安軟體偵測。

5.無檔案惡意程式

除了前述幾項技巧之外，駭客也開始逐漸採用無檔案病毒(fileless malware)來躲避傳統以檔案掃瞄為主的資安產品。根據本部落格(資安趨勢部落格)文章指出，無檔案惡意程式基本上是利用軟體或系統的漏洞來避免引起使用者或資安軟體的注意。

一種作法就是利用 PowerShell 這類 Windows 內建系統工具或 Microsoft Word 巨集來偷偷執行惡意指令以入侵系統。其執行的指令可隨駭客希望達成的目標或希望在系統內逗留的時間而變化。

趨勢科技研究人員指出：「今日的資安產品大多根據惡意檔案的特徵來偵測惡意程式。然而，由於無檔案惡意程式在感染系統時並非透過檔案的形式，因此資安產品便無從偵測。」

所以，無檔案惡意程式不但特別危險、也特別不易偵測 (但也並非不可能)。

隱藏管道

The Wall Street Journal 特約記者 Adam Janofsky 在一篇報導中指出，駭客越來越常利用所謂的「隱藏管道」將其活動暗藏在正常企業應用程式流量與通訊協定當中，暗中傳送竊取的資料。目前，這項威脅對金融機構的威脅最大，因為駭客可經由這類管道避開存取控管與入侵偵測系統。但事實上，隱藏管道的威脅不論對任何產業都是一項威脅。

Janofsky 表示：「這類管道通常都暗藏在一些會經由企業網路對外連接的應用程式，例如：第三方資料分析工具、雲端金融業應用程式以及股價即時資訊系統。」

駭客一旦進入企業系統，就有機會竊取大量敏感資訊與智慧財產，並利用更多技巧來隱藏其活動。駭客通常不直接竊取大型檔案，而是將資料切割成較小單位，以避免觸動企業資安產品的警報。

根據 Ventra Networks Inc. 的一項報告，這些隱藏管道比一般人想像還多。研究人員發現，光金融產業，每 1 萬個裝置就有大約 23 個這類管道，並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。

躲避偵測來提高資料竊盜的影響與損害

歹徒希望能躲避偵測的最大原因之一就是希望延長其行動與資料外洩的持續時間。Janofsky 解釋，Equifax Inc. 資料外洩事件就是一個例子，駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法。這樣的作法讓歹徒在該公司的系統上躲藏了四個月以上。

駭客暗中躲藏的能力不論對任何產業都是一項重大威脅。面對這樣的威脅情勢，企業最好的應對方法就是主動出擊，隨時吸收最新的駭客手法，並針對其手法隨時注意各種相關的蛛絲馬跡。

如欲深入了解如何採用最新的資安策略來提升您的資安態勢，請立即與趨勢科技資安專家聯繫。

原文出處：Informing Your Security Posture: How Cybercriminals Blend into the Background

繞過Mac內建保護機制的 Windows惡意執行檔，會下載資料竊取病毒跟廣告軟體

2019 年 02 月 20 日2019 年 02 月 19 日趨勢科技 TrendMicro

EXE是在Windows的執行檔格式，這代表它們只在Windows平台上執行，這也是種安全的作法。在預設情況下，在 Mac或 Linux作業系統上執行 EXE檔只會顯示錯誤訊息。

但趨勢科技發現一個 EXE 檔會繞過 Mac的內建保護機制（如Gatekeeper）來進行惡意行為。能夠繞過 Gatekeeper是因為EXE不會檢查，可以繞過程式碼簽章檢查和驗證，因為 Gatekeeper 只檢查原生Mac檔案。雖然沒有看到特定的攻擊模式，但我們的監測資料顯示英國、澳洲、亞美尼亞、盧森堡、南非和美國的感染數量最多。

行為

我們所分析的樣本是Mac和Windows上常見的防火牆應用程式（Little Snitch）安裝檔，可以從各種 torrent 網站下載。用.NET編譯的 Windows執行檔名稱如下：