作者: 趨勢科技 TrendMicro

《概念驗證》惡意軟體如何利用Intel的SGX Enclaves躲避防毒軟體偵測 ?

趨勢科技 TrendMicro

惡意軟體可以利用Intel 的軟體保護擴展(SGX)功能來躲避防毒(AV)軟體偵測。格拉茨科技大學的研究人員Michael Schwarz,Samuel Weiser和Daniel Gruss在最近證明了這一點。

SGX在2015年隨著第六代Intel Core處理器推出,存在於Intel的Core和Xeon處理器並支援各種硬體。它是中央處理器(CPU)指令集的架構擴展,用來保護資料不被洩露或修改。作法是讓應用程式能夠分區和分配記憶體區域,加密內容(如密碼、使用者資料)及限制對它們的存取。這是種非對稱保護,也就是說,作業系統或使用者應用程式不能存取安全區(enclave,Intel稱為指定位址空間)資料,但安全區(enclave)可以存取外部虛擬空間。

[相關新聞:SgxPectre可以從Intel SGX Enclaves取出資料]

根據研究人員的說法,駭客可以利用安全區(enclave)來隱藏惡意軟體。例如將勒索病毒的加密金鑰藏在記憶體內,讓系統更難修復。還可以用來執行未經授權的操作,如發送網路釣魚(Phishing)郵件和啟動分散式阻斷服務攻擊(DDoS)攻擊。駭客可以將惡意程式碼(如下載器)藏在受保護的安全區(enclave),讓惡意軟體解決方案無法觸及,同時可以下載並執行加密過的任意惡意程式碼。

繼續閱讀

【防毒軟體推薦/排名 】趨勢科技 PC-cillin 榮獲 AV-TEST 頒發 年度「最佳防護獎」(Best Protection Award)

趨勢科技 TrendMicro
這張圖片的 alt 屬性值為空,它的檔案名稱為 avtest_award_2018_best_protection_trendmicro_is.png

假使防毒軟體的價值取決於它是否能夠妥善保護您的電腦,幫您防範網站與電子郵件威脅以及惡意程式和病毒的話,那麼趨勢科技 Internet Security (即為趨勢科技 PC-cillin 雲端版 ,以下皆稱為
PC-cillin 雲端版 ) 的客戶及準客戶應該會很高興聽到該軟體最近才剛榮獲德國知名資安獨立測試機構 AV-TEST 頒發 2018 年「最佳防護獎」(Best Protection Award)。AV-TEST Institute 擁有全球最大的惡意程式樣本資料庫之一,其測試結果在全球有一定的公信力,不受外界及評測者的個人偏好所影響。

該獎的得獎條件是,必須在受測的一整年當中皆達到所屬類別的最高效能。由於 AV-TEST 測試方法的核心要素之一就是測試網路上出現的真實威脅,因此,光要測完市場所有主要資安產品 (通常約 18 至 20 個) 就要花上一整個月的時間。然而,該獎最重要的條件是要能在全部 12 個月當中皆展現一致優異的成績。趨勢科技 PC-cillin 雲端版 能在每個月皆有新的惡意程式不斷出現的情況下勇奪「最佳防護獎」榮耀,證明 PC-cillin 雲端版) 確實值得日常使用者信賴,更是超越其他表現起起伏伏的競爭對手。

從 18 個防毒軟體中選拔出最優異的產品

簡而言之,今日頒給趨勢科技 PC-cillin 雲端版 以及其他四家產品的 AV-TEST 的 2018 年最佳防護獎,是根據客觀、科學的評測方式在長達 12 個月的期間,從所有 18 個競爭產品當中選拔出最優異的產品。因此我們可以很自豪地說,趨勢科技 PC-cillin 雲端版是最棒的防毒軟體,AV-TEST 的 2018 年最佳防護獎就是最有力的證明。

如需更多有關趨勢科技消費性防護產品的更多資訊,請參閱趨勢科技個人防護頁面。

立即免費體驗這套最棒的防毒軟體

原文出處:Trend Micro Internet Security Wins a “Best Protection” Award for 2018 from AV-TEST

🔴 PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用

企業管理數位足跡和資料隱私的六個祕訣

趨勢科技 TrendMicro

新的一年一開始就出現了關於超過20億筆來自過去多年資料外洩事件的大規模使用者帳密資料流出的報告。這份資料(稱為「Collection #1」)包括了純文字格式的使用者帳密及敏感文件,全部為87GB。據報在12月的最後一周就可以下載,在駭客論壇上被積極地交流著。某些報告指出將會有更多資料包在網路上公布和販賣,每份都有比第一份更多的個人帳密和敏感資料。Collection #1已經被拿掉,但對許多資料被流出的人來說,造成的影響才正要開始

[延伸閱讀:資料外洩101:它如何發生,被偷了什麼及會流到哪裡去]

Collection #1包含了超過7億筆不重複的電子郵件地址和超過2,100萬筆的明文密碼。有了這些資料,線上惡意活動可能會跨界成線下的犯罪活動。如果使用者在不同網站使用了相同帳密,那Collection #1將會造成很大的傷害。從社交工程social engineering )攻擊(如網路釣魚(Phishing)和詐騙)到身份竊盜和勒索郵件,個人甚至於企業的損失都會呈等比級數增加。發生資料外洩事件的企業不僅可能因GDPR或其他法規而被罰款,還可能會失去客戶的信任、收益和商譽。個人也會成為詐騙和網路攻擊的目標,且因為不安全感而讓自己在網路上的活動受限。

現在越來越多的新科技讓人們可以無時無刻的保持連線,也因此製造了大量的數位足跡和資料儲存,網路犯罪分子的攻擊媒介也在增加。這代表使用者和企業都必須優先考慮網路隱私和資料安全。

[延伸閱讀:2018年的三大資安故事]

企業的積極保護措施

企業仍是網路犯罪份子想獲取最大利潤的首選目標。一次成功的企業系統入侵事件就讓駭客有可能存取到資料的寶庫:內部伺服器、專有資料、公司資產、第三方供應商和客戶記錄。以下是企業保護資料及使用者和客戶隱私的六個做法和原則:

繼續閱讀

無檔案惡意程式(Fileless Malware)五種運作方式

趨勢科技 TrendMicro

無檔案惡意程式早已不是什麼新聞,但目前卻有 日益增加的趨勢。事實上,根據報導,在針對企業的攻擊得逞案例當中,有 77% 都是使用無檔案惡意程式。這類惡意程式不像傳統惡意程式那樣容易被發現,而且會利用各種技巧來長期躲藏在系統內部,因此隨時可能對企業流程或營運基礎架構造成危害。

以下詳細說明無檔案式威脅的幾種運作方式以及如何加以防範。

一.經由文件漏洞攻擊來啟動惡意程式

無檔案式威脅也有可能經由傳統方式進入系統,例如經由 JavaScript 或 VisualBasic (VBA) 惡意巨集腳本並內嵌在 Office 文件、PDF 檔案、壓縮檔或看似無害的檔案內部。這些巨集一旦執行,就會運用一些正常的工具 (如 PowerShell) 來進一步啟動、下載和執行更多程式碼、腳本或惡意檔案。這些巨集腳本通常也是經由 PowerShell 之類的工具來執行,並且會經過加密編碼,讓資安軟體無法輕易偵測觸發其執行的關鍵字。

這些腳本可利用 PowerShell 來讀取並執行本機系統上的執行檔,或者直接執行已經在記憶體中的程式碼。但即使是後者也不算完全的無檔案式攻擊,因為歹徒還是需要先透過檔案挾帶巨集來入侵系統。


無檔案式威脅透過文件漏洞發動攻擊的過程。

一般使用者可藉由培養一些良好的資安習慣並提升職場的資安意識,來盡可能避免遭受這類攻擊的威脅,例如:針對一些不請自來的郵件或檔案應提高警覺,尤其是在開啟時會要求使用者啟用巨集或腳本功能的檔案。

至於企業,則可採用一些端點防護產品來防範這類經由垃圾郵件散播的無檔案式攻擊,例如:趨勢科技Smart Protection Suites及   Worry-Free Business Security  這兩套解決方案都能妥善保護企業和使用者,偵測相關的惡意檔案和垃圾郵件,攔截所有相關的惡意連結。此外,還有趨勢科技Deep Discovery進階網路安全防護 可提供 電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。趨勢科技Deep Discovery進階網路安全防護 可偵測從遠端執行的腳本,即使它並未下載到端點裝置上。 繼續閱讀

躲在系統四個月沒被發現?駭客竊取資料的五個隱身術

趨勢科技 TrendMicro

研究人員發現,光金融產業,每 1 萬個裝置就有大約 23 個「隱藏管道」管道,並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。

Equifax Inc. 資料外洩事件就是一個例子,駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法,讓歹徒在該公司的系統上躲藏了四個月以上。

提升您的資安態勢:認識網路犯罪集團神不知鬼不覺的技巧

保護企業關鍵資料、系統與資產的安全,是一項日益艱難的挑戰。不僅企業的數位足跡不斷隨著新增應用程式而擴大,而且駭客也在不斷提升能力來暗中入侵企業系統並長期躲藏不輕易讓 IT 團隊發現蹤跡。

駭客一直在利用各種技巧來掩蓋自己的足跡,以便能夠長期潛伏系統內部以持續竊取資料。根據趨勢科技的一項最新研究顯示,這類技巧正日益精密、精進,且越來越危險。

企業提升自身資安狀況最好的方法之一,就是主動掌握敵人的動向並主動出擊。以下將探討網路犯罪集團暗中潛入企業而不被發現的各種技巧。掌握了這些知識,IT 團隊就更能發掘駭客入侵相關的異常活動。

駭客如何掩蓋自己的足跡?

如同獵人會盡可能不被獵物發現一樣,駭客也會盡量避開 IT 人員與網路防護及應用程式防護的偵測。

正如趨勢科技研究人員在最新的年度預測報告「映對未來:對抗無所不在的持續性威脅」當中預言,駭客將其惡意活動融入企業正常流量的中的作法在未來只會更加普遍、也更具威脅性。

該報告指出:「為了因應資安廠商推出的新技術,尤其是機器學習(Machine learning,ML)在網路資安領域重新獲得青睞,網路犯罪集團將運用更高的技巧來『魚目混珠』。歹徒將不斷開發出所謂「就地取材」的技巧,也就是將一些日常運算裝置用於原本設計之外的用途,並且在網路上分享。」

目前,研究人員發現的幾種歹徒最常使用的五個策略包括:

1. 使用非傳統的副檔名來偽裝惡意程式:
今日大多數的惡意程式碼都不再經由傳統的執行檔來散布,因為使用者已經被訓練到很容易對這類檔案起疑。現在,駭客會使用一些較為罕見的檔案格式來包裝其惡意程式碼,例如.URL、.IQY、.PUB 與 .WIZ 等副檔名的檔案。這會讓使用者失去戒心,因而較容易受騙上當,開啟附加的檔案,進而遭到感染。

2.最小程度的修改:
駭客很快就學會避免做出一些使用者和資安軟體會列為可疑活動的行為,例如修改一些正常的檔案來感染系統。為此,網路犯罪集團現在都盡可能不要動到系統,只修改一些絕對必要的檔案或系統組態,只要能達成其目的即可。

3.新的惡意程式啟動方法:
不僅如此,網路駭客現在也開始改變其啟動惡意程式的方法,改用像 Mshta、Rundll32、Regasm、Regsvr32 等機制。

4.採用經過數位簽章的惡意程式:
該報告指出,採用經過數位簽章的惡意程式已經是一種駭客普遍的作法。未來,這仍將是一項嚴重的威脅。這項技巧非常有效,因為有了數位簽章之後,駭客的惡意程式看起來更像一般正常的應用程式,也更容易躲過資安產品的偵測。

The Hacker News 特約記者 Swati Khandelwal  解釋:「駭客使用知名機構外洩的數位憑證來簽署惡意程式,如此可避免惡意程式被企業網路或消費者裝置的資安軟體偵測。

5.無檔案惡意程式

除了前述幾項技巧之外,駭客也開始逐漸採用無檔案病毒(fileless malware)來躲避傳統以檔案掃瞄為主的資安產品。根據本部落格(資安趨勢部落格)文章指出,無檔案惡意程式基本上是利用軟體或系統的漏洞來避免引起使用者或資安軟體的注意。

一種作法就是利用 PowerShell 這類 Windows 內建系統工具或 Microsoft Word 巨集來偷偷執行惡意指令以入侵系統。其執行的指令可隨駭客希望達成的目標或希望在系統內逗留的時間而變化。

趨勢科技研究人員指出:「今日的資安產品大多根據惡意檔案的特徵來偵測惡意程式。然而,由於無檔案惡意程式在感染系統時並非透過檔案的形式,因此資安產品便無從偵測。」

所以,無檔案惡意程式不但特別危險、也特別不易偵測 (但也並非不可能)。

隱藏管道

The Wall Street Journal 特約記者 Adam Janofsky 在一篇報導中指出,駭客越來越常利用所謂的「隱藏管道」將其活動暗藏在正常企業應用程式流量與通訊協定當中,暗中傳送竊取的資料。目前,這項威脅對金融機構的威脅最大,因為駭客可經由這類管道避開存取控管與入侵偵測系統。但事實上,隱藏管道的威脅不論對任何產業都是一項威脅。

Janofsky 表示:「這類管道通常都暗藏在一些會經由企業網路對外連接的應用程式,例如:第三方資料分析工具、雲端金融業應用程式以及股價即時資訊系統。」

駭客一旦進入企業系統,就有機會竊取大量敏感資訊與智慧財產,並利用更多技巧來隱藏其活動。駭客通常不直接竊取大型檔案,而是將資料切割成較小單位,以避免觸動企業資安產品的警報。

根據 Ventra Networks Inc. 的一項報告,這些隱藏管道比一般人想像還多。研究人員發現,光金融產業,每 1 萬個裝置就有大約 23 個這類管道,並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。

躲避偵測來提高資料竊盜的影響與損害

歹徒希望能躲避偵測的最大原因之一就是希望延長其行動與資料外洩的持續時間。Janofsky 解釋,Equifax Inc. 資料外洩事件就是一個例子,駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法。這樣的作法讓歹徒在該公司的系統上躲藏了四個月以上。

駭客暗中躲藏的能力不論對任何產業都是一項重大威脅。面對這樣的威脅情勢,企業最好的應對方法就是主動出擊,隨時吸收最新的駭客手法,並針對其手法隨時注意各種相關的蛛絲馬跡。

如欲深入了解如何採用最新的資安策略來提升您的資安態勢,請立即與趨勢科技資安專家聯繫

原文出處:Informing Your Security Posture: How Cybercriminals Blend into the Background