趨勢科技 TrendMicro | 資安趨勢部落格

藏在PNG圖檔內的木馬, 鎖定醫療保健業

2015 年 07 月 01 日2015 年 08 月 28 日趨勢科技 TrendMicro

美國醫療機構受Stegoloader木馬影響最為嚴重

根據觀察，大多數Stegoloader木馬（最近活躍在新聞上）的受害者都來自北美的醫療機構。這被稱為TROJ_GATAK的惡意軟體自2012年起就一直活躍著，利用圖像隱碼術（Steganography）來將組件藏在PNG檔內。

縱觀近來的Stegoloader惡意軟體受害者，在過去三個月內所看到的大多數受感染電腦都來自美國（66.82%），其次是智利（9.10%）、馬來西亞（3.32%）、挪威（2.09%）及法國（1.71%）。

在同一期間，受到影響最大的產業是醫療保健、金融和製造業。

圖1、過去三個月內各產業的TROJ_GATAK感染程度

值得注意的是，所有受此惡意軟體影響的醫療機構都來自北美。趨勢科技的研究人員目前正在研究網路犯罪分子如何去利用這狀況來進行有組織的攻擊，雖然還在尋找證據中。

最近有幾起成功的資料外洩事件洩漏了數百萬筆醫療機構的客戶資料，像是Anthem和Premera Blue Cross。雖然才出現在攻擊中，圖像隱碼術（Steganography）可能成為未來網路犯罪分子攻擊醫療機構時外洩醫療紀錄的新技術。

資料隱匿技術，間諜用圖片

在之前關於圖像隱碼術（Steganography）（Steganography）和惡意軟體的文章中，我們指出在圖片檔中嵌入惡意程式碼以躲避偵測的技術會變得更加普及，特別是有著勤奮的惡意軟體團體存在。

TROJ_GATAK的再度出現及其明顯針對某些地區和產業顯示出網路犯罪分子在持續地試驗資料隱匿技術（Steganography）的創意用途以擴散威脅。

當趨勢科技在2014年1月第一次於部落格中提到此惡意軟體時，TROJ_GATAK.FCK變種捆綁著各種應用程式的金鑰產生器，而最終會帶來假防毒軟體。

而這惡意軟體最新的三個樣本最終會帶來TROJ_GATAK.SMJV、TROJ_GATAK.SMN和TROJ_GATAK.SMP（在分析中）。

要注意的是，這變種在過去幾年的行為保持不變。該惡意軟體被相信其為金鑰產生器或註冊機的使用者從網路上下載。一旦下載，它偽裝成跟Skype或Google Talk相關的正常檔案。最終會下載照片，嵌入了其大部分的功能。以下是惡意軟體用來嵌入惡意組件的照片樣本：

圖2、TROJ_GATAK所下載的圖片樣本

這惡意軟體具備防虛擬機器和防模擬功能，讓它可以避免被分析。繼續閱讀

趨勢科技「資安鐵人三項」熱血開賽近千名工程師一拚高下

2015 年 06 月 30 日2015 年 06 月 30 日趨勢科技 TrendMicro

駭客攻防、千題知識王挑戰、最大室內密室逃脫展現強大團隊精神

打造開放、多元工作環境與交流機會激盪人才創新力

【2015年6月30日台北訊】全球雲端資訊安全領導廠商趨勢科技致力培養軟體研發人才，提供開放、多元文化的工作環境，也透過系統化教育訓練強化內部人才的戰力。為激盪內部同仁的創新力，趨勢科技今日於台大體育館舉辦年度工程體驗日−Trend Micro Engineering Day，將台灣近千名的資安軟體工程師匯聚一堂，以「防護防駭」為主題設計了創意有趣的「趨勢科技資安鐵人三項」競賽，藉以訓練台灣在地資安人才的創新研發、邏輯推理與團隊合作力，打造全球首屈一指的資安防護防駭超強團隊。

趨勢科技為活化資安人才戰力舉行「趨勢科技資安鐵人三項」競賽

趨勢科技共同創辦人暨文化長陳怡蓁表示：「『創新』是趨勢科技創立以來相當堅持的企業精神，隨著全球資安威脅型態變得更為多元與複雜，趨勢科技認為新一代資安人才必須更勇於創新、擁抱變革，因此企業更需要不斷培育、提升員工能力並激發其創造力，以提供客戶更全面防駭防護的服務。今年趨勢科技針對台灣工程師團隊舉辦年度研習活動，特別設計一系列有別於以往的創意關卡，讓台灣在地千名工程師分組發揮團隊精神爭取最高榮譽，相當期待透過本次活動能驅動趨勢人才不停追求自我卓越，打破思考框架，一同激盪出令人耳目一新的創新思維！」

「資訊安全已從早期傳統防毒防禦轉型轉變為全方位防駭防護，因此資安人員的防駭能力需時時刻刻提升，並研發出更全方位的資安產品與服務，以捍衛客戶們每一筆重要的資料。」趨勢科技全球研發暨大中華區業務執行副總張偉欽分享。張偉欽也表示：「知己知彼百戰百勝，趨勢科技透過整天的高強度防駭活動訓練，可以培養工程師的換位思考能力以突破盲點，無論是從駭客的觀點檢驗產品漏洞，或是從使用者觀點審視產品功能，讓同仁們能盤點自身的不足，更能夠進而自我精進並找出最具效益的團隊合作新模式，有助於未來能研發出更貼近使用者經驗的產品、服務和解決方案！」

資安鐵人三項戰況激烈趨勢人攜手鬥智闖關拼腦力

別開生面的「趨勢科技資安鐵人三項」競賽內容設計相當豐富刺激，從第一關峰迴路轉的駭客攻防戰，到第二關題庫包羅萬象的千題資安知識挑戰，讓現場工程師們腦筋急速轉動，鬥智力拼反應。壓軸登場的全台最大室內密室逃脫，則以駭客出任務為主題，設計八道關卡考驗工程師們的邏輯推理與團隊合作默契，其中一間密室的情境設計，更以趨勢科技辦公室做為故事主軸發想核心，讓工程師們大呼超有臨場感、超刺激，誓言發揮百分百的戰鬥力與團隊一同過關斬將勇奪最高榮譽！

第一份工作即加入趨勢科技，任職已滿五年的正妹工程師吳珮慈表示：「在這五年中參與過趨勢科技舉辦過的大小活動，如Engineering Camp，運動會等，深感趨勢科技是一間有活力且重視員工成長人才培養的公司，也加深我們願意與公司一起攜手前進的信念！今天透過趨勢科技Engineering Day，不僅認識更多優秀的趨勢同仁，也在互動關卡中一同交流不一樣的資安知識，並有跨團隊的合作機會，非常開心公司打造這麼趣味活潑的教育訓練，讓我們挖掘自己的更多潛能，未來我也將把這樣的能量回饋於產品研發，帶給用戶更好的使用者體驗！」繼續閱讀

OPM(美國人事管理局)受駭事件：O代表「Owned」

2015 年 06 月 30 日2015 年 06 月 30 日趨勢科技 TrendMicro

關於美國人事管理局（OPM）遭受駭客攻擊的細節不斷地浮現出來。一些資訊並不令人意外 – 像是受影響員工數量從400萬人遽增到了1800萬。隨著調查的進行，受害規模加大並非不尋常。而這起攻擊可能關連到去年針對Keypoint Government Solutions的攻擊也毫不奇怪。精密性的攻擊會有多個階段，往往從攻擊外部供應商開始，然後向內移動。

雖然受害者的數量可能令人震驚，但其實現在這起攻擊或其規模大小都不會讓我感到驚訝了，只因一個簡單的事實 – 攻擊者取得網路的管理權限。簡單地說，這代表著一敗塗地，攻擊者可以在其網路上為所欲為。

在資安的世界裡有一個術語，我們有時會用它來形容管理權限淪落：「owned（擁有）」（也寫作「0wn3d」）。當我們說一個系統或一個網路被攻擊者所「擁有」，我們的意思是他們擁有完整而沒有限制的存取控制權限。攻擊者可以為所欲為，系統和網路在他們全面而徹底的掌控下。

如果報導正確，攻擊者取得了OPM網路和系統的管理權限，那網路就真的已經被「擁有」了，在這樣的情況下，不管記錄是否加密都已經不重要了，因為在設計上，管理者可以解密大多數系統內的加密資料。不幸的是，想將攻擊者驅逐出網路可能無法成功，因為他們可以利用其管理權限在網路內為自己建立看不見的藏身之地。最後這點似乎真的發生在OPM一案中，根據報導，網路犯罪分子已經在網路內出現一年多。

我們可能永遠無法知道此一事件的全貌或發生原因。但此一事件已經成為另一個（痛苦的）教訓，讓我們知道系統和網路管理權限淪陷可能會導致多大的破壞。值得記住的是斯諾登資料外洩事件也據稱是因為他可以取得對系統的管理存取權限。

這次的教訓對組織來說很明確：管理權限可能很危險。要採取的行動更加明瞭：今天就開始花時間來檢視和限制擁有網路管理權限的人。這個簡單的變化可能造成你能控制你的系統或讓網路犯罪分子「擁有」之間的差別。

＠原文出處：The OPM Hack: “O” is for “Owned” 作者：Christopher Budd（全球威脅交流）

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接

技術長觀點：防範來自企業內部人員的攻擊

2015 年 06 月 30 日2015 年 06 月 30 日趨勢科技 TrendMicro

Raimund Genes (趨勢科技技術長，CTO)

若您讀過不少犯罪小說，或者看過不少動作影片，您對這樣的情節應該不會感到陌生：一位內部人員因為多年前所受到的屈辱而對企業展開報復，導致企業蒙受重大損失。企業內部人員通常站在正義的一方，但有時也會站在邪惡的一方。

這道理不難理解，因為內部人員非常清楚企業的做事方法、寶貴資料，以及遭受攻擊時的因應方式。誰能比內部人員更知道該如何攻擊企業本身？

然而這是假設「內部人員的威脅」無可避免。所幸，大多數人都不會想要毀掉自己所任職的企業。大多數人都希望自己所屬的機構能夠成長、茁壯。因此，除非您待的是國防單位，否則這點通常不是您要擔心的問題。

不過問題是，並非所有「內部人員的威脅」都是來自蓄意。內部人員也有可能因為不小心而造成資料外洩。社群網站為人們提供了許多新鮮有趣的溝通方式，但不幸的是，有時候也會讓一些「不該」透露的機密資訊外流。

若人們已經將資訊洩漏在網路上，那麼您還能利用社交工程（social engineering ）從別人身上套出什麼更多資料？所謂的社交工程技巧，就是利用一些人際之間手段來讓別人照著您的意思去做。這是數千年來流傳已久的一門藝術，因此歹徒擅長這門藝術也就不令人訝異。

幾乎所有「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）一開始都是利用某種形態的社交工程技巧。因此，儘管不易，您應該盡可能防範這類攻擊。繼續閱讀

奈及利亞駭客新手法「鷹眼」勒索全球中小企業

2015 年 06 月 29 日2015 年 07 月 24 日趨勢科技 TrendMicro

中小企業主應採「管家式」防毒服務保護交易不受駭

【2015年6月29日台北訊】趨勢科技發現2個奈及利亞駭客集團，專門勒索全球開發中國家的中小企業，不只是竊取資訊、而是進一步攔截受害企業的交易行為，讓企業或客戶把款項付給歹徒所持有的帳戶。趨勢科技呼籲台灣中小企業主，為了避免金錢與商譽受損，需立即強化資安防禦機制，除了安裝資訊安全軟體之外，兼具專家服務及主動式防護的「管家式」防毒服務，可隨時監控異常的病毒行為，即時提出被駭警示，可幫助中小企業在有限的人力與預算內能享有最佳防護。目前趨勢科技也免費提供替中小企業主量身打造的雲端防毒服務試用機會，請看詳情。

趨勢科技資深技術顧問簡勝財表示，不是只有進階惡意程式才可能危及企業營運，駭客現在只需要一個簡單的後門程式就已足夠。趨勢科技旗下的「前瞻威脅研究團隊」，日前密切監控了兩個奈及利亞詐騙集團的行動（代號分別為 Uche 和 Okiki），這兩個行動專門攻擊開發中國家的中小企業，它們不光竊取資訊，還會攔截受害企業與其合作夥伴之間的交易資訊。而歹徒採用的就是一個只需 35 美元就可取得的簡易後門程式：鷹眼（HawkEye）。

簡勝財指出，儘管歹徒使用的惡意程式很簡單，但其手法卻不單純。Uche 和 Okiki 已不再是以往常見的一人犯罪集團，也不再只是單純地將竊取到的資訊轉賣給他人而已，他們會善用竊取的資訊，來設法從受害企業身上榨出更多利潤。

例如，一般網路犯罪集團偏愛「快速掠奪」的技倆，例如散布一波挾帶惡意附件的垃圾郵件，一有受害者上鉤就把握機會好好敲詐一番，但 Uche 和 Okiki 的攻擊卻是採用另外一種手法慢慢地與受害者互動以建立信任。歹徒專門鎖定中小企業用來回覆外部詢問的電子郵件信箱，首先發送不帶任何惡意附件或陷阱的詢問信件到這些信箱，然後積極地透過郵件往返與這些中小企業互動，等到取得目標企業的信任，就藉由先前溝通的情境寄送後門程式「鷹眼」(HawkEye) 給目標企業，以感染並滲透對方的電腦。

駭客的目的，不在竊取網路銀行或社群網站等帳號的登入資訊，而是更大的目標：公司的電子郵件帳號控制權！這種手法的轉變，為歹徒製造了更多機會，因為這樣就能看到中小企業與合作夥伴或客戶之間的電子郵件往來、交易以及所有其他資訊。有了這些資訊，駭客就能想出更多詭計，包括：攻擊受害企業的相關機構、或藉由橫向移動滲透到母公司、或是利用「供應商資訊變更」進行詐騙等。

繼續閱讀