趨勢科技 TrendMicro – 第 728 頁

《趨勢專家看雲端運算》網格雲端儲存：更便宜，更可靠，但是安全性如何？

2012 年 02 月 29 日2012 年 02 月 13 日趨勢科技 TrendMicro

作者：趨勢科技雲端安全副總裁Dave Asprey

看看SHYPERLINK，他們是網格雲架構進化的真實例子。他們每GB的儲存成本甚至比iCloud都還要少上一個量級，這是下一個最有效率的雲端儲存產品（至少在某些類型的檔案上更有效率，像是音樂）。

Symform的總部位在西雅圖，但它不像Amazon或是Google一樣依賴著西北太平洋邊上的水力發電資料中心。Symform組成了一個網格雲，可以利用他們客戶的本地磁碟來儲存。

當我還是Trinity Ventures負責雲端與虛擬化技術的駐點創業家（Entrepreneur in residence）時，我看到Symform募集資金的提案（還是來自他們的競爭對手…）。當時我很感興趣也有想要去投資他們，因為這種作法可以大量的節省服務提供成本。不過我們（更有經驗）的創投公司合夥人卻不看好，因為擔心消費者會對於分享自己的硬碟跟（加密過的）資料覺得不大穩當。

以下是Symform的運作模式：

首先要安裝Symform軟體
從你的電腦出來的資料會被切成每塊64MB的大小，每一塊都會用256位元的AES來加密。
每個64 MB區塊都被打破成1MB的小塊
每一組的64個小塊都會分配檢查碼，分段的方式就跟磁碟陣列的作法是一樣的（這會增加50％的資料大小，但也讓它變成高度可用性）
產生出來的96個分段（每個1 MB）會分散儲存在其他的Symform客戶電腦上，在今天主要集中在美國和歐洲

當你從雲端要求資料時，它就會從所儲存的各個地方取回。如果有些機器無法存取，就會利用檢查碼來重建資料，這也造就了一個非常高冗餘的儲存模式。這種資料是你無法到資料中心去刪除的。

最酷的事情是，這樣一來集中式資料中心的使用量趨近於零，這也意味著服務成本是驚人的低，和舊式的集中式雲端儲存技術像Dropbox或Box.net比其來，幾乎低到了不可思議的地步。Symform對於前200GB的儲存量並不收費。這是Dropbox所免費提供的2GB的100倍。做到100倍的容量差異絕對是顛覆性的技術，這也是為什麼我相信網格雲會破壞掉集中式雲端技術，讓我們以一個雲端架構的口頭禪當成結語：

如果可以就分散它

必要的時候才集中它

一切集中控管。

繼續閱讀

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

2012 年 02 月 24 日2015 年 08 月 28 日趨勢科技 TrendMicro 56 筆留言

去年，資訊安全廠商接獲一連關於「Nitro Attack」此 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)通報。它所採用的後門程式為 PoisonIvy，亦稱 BKDR_POISON。網路上可以找到此後門程式的產生器。當時，資訊安全場商已採取反制措施來協助客戶對抗這項威脅並防範未來類似的感染。但是，從最近發現的一些匿蹤機制來看，對抗該惡意程式的戰鬥尚未結束。

當趨勢科技第一次分析這個惡意下載程式時，原本以為它沒有什麼驚人之處。它是一個由 Visual Basic 編譯出來的執行檔案，所做的事情不過就是透過 HTTP GET 來開啟某個 HTML 網頁。

當趨勢科技透過瀏覽器連上該網頁時，表面上看起來也是一個無害的網頁，但是經過詳細解碼之後裡面卻大有文章。

如同微軟所指出，此惡意下載程式有別於其他程式。它不會下載二進位檔案來執行，但它會執行已下載檔案當中看似無害的一些代碼。要達成此目的，惡意程式會將文字內容轉成可執行的程式碼，然後呼叫 DllFunctionCall 來執行。

而它所執行的程式碼其實就是 BKDR_POISON 惡意程式家族的變種，此惡意程式家族涉及了去年多起鎖定特定目標攻擊。

BKDR_POISON 背景簡介

BKDR_POISON 惡意程式家族亦稱為 PoisonIvy (毒藤)，已經在網路上肆瘧多年。原因是它的產生器很容易使用，而且可從其網站免費下載。其自動啟用機制以及 mutex 和惡意檔案名稱皆可透過產生器輕易設定，因此，每一個產生出來的樣本，其行為可能不盡相同。

BKDR_POISON 的後門程式功能包括：鍵盤側錄、聲音/影像側錄、畫面擷取、處理程序和服務管理，檔案存取或上傳、以及其他等等。簡而言之，它基本上可讓其使用者完全存取受感染的系統。

此外，BKDR_POISON 也很容易整合至其他惡意程式，因為其後門程式產生器也提供了選項讓使用者產生一段 shellcode 攻擊程式碼，而非完整的執行檔。

在前述的 Nitro Attack 惡意下載程式案例中，一旦它執行了 BKDR_POISON 的 shellcode，就能因而繼承其後門程式特性。

由於 shellcode 不像獨立的二進位執行檔可單獨偵測並分析，它必須和繼承其特性的執行檔一併分析才看得出端倪。因此，資訊安全研究人員若沒有拿到配對的 shellcode 和執行檔 (例如，執行檔經過加密或隱藏)，那麼很可能就不會偵測到 shellcode。

繼續閱讀

趨勢科技宣布開放間諜程式防護軟體Hijack This 原始碼

2012 年 02 月 23 日2012 年 02 月 23 日趨勢科技 TrendMicro 58 筆留言

獲得該程式原作者 Merijn Bellekom 背書 廣受各大知名線上論壇好評

【2012 年 2 月 22日台北訊】全球雲端安全領導廠商趨勢科技 (東京證券交易所股票代碼：TYO: 4704) 今天宣布釋出HijackThis作為開放原始碼應用程式。趨勢科技此舉獲得Hijack This原作者 Merijn Bellekom背書並廣獲各大知名資安論壇與討論區好評。 HijackThis程式原始碼以 Visual Basic 撰寫，現在已正式公布於以下網址：https://sourceforge.net/projects/hjt/。

趨勢科技自 2007 年買下由荷蘭資訊安全高手 Merijn Bellekom發明的「 HijackThis」間諜程式防護軟體後，便以免費下載的方式提供給大眾。截至今日，該程式已累積超過一千萬次下載，亦為 Castlecops.com、Majorgeeks.com 與 Spywareinfo.com 等知名線上討論區及論壇的常用工具。

HijackThis ^[1]可分析使用者電腦系統設定是否曾經受間諜程式、惡意程式或其他不肖程式侵入與修改。其產出深度報表的功能，可協助資訊安全專業人員修復受感染的電腦。許多資訊安全社群都使用 HijackThis 記錄檔功能，協助使用者判斷電腦是否受感染並協助其移除遭感染的檔案。HijackThis 產生的記錄檔可作為一般入門使用者於論壇討論並尋求協助的資訊。

趨勢科技開放原始碼 展捍衛資訊安全決心 廣獲專業論壇好評

Hijack This原作者 Merijn Bellekom表示：「Hijack This原始碼的公佈提供大眾一個開發專屬個人的惡意程式防護工具的基礎。」繼續閱讀

從 Koobface 看殭屍網路的百變戲法

2012 年 02 月 23 日2012 年 02 月 13 日趨勢科技 TrendMicro

俗話說得好，戲法人人會變，各有巧妙不同。在做資安事件調查時，也會用上許多不同的方式來進行，加上各種的專業知識。特別是在調查使用多個組件的惡意軟體加上難搞C＆C網路的攻擊事件時。

但即使分析方法會改變，可能透過反向工程或是殭屍網路/傀儡網路 Botnet分析，但最重要的還是要了解威脅本身。

趨勢科技在監控KOOBFACE活動和技術分析上交出很棒的成績單。讓我們對這殭屍網路有密切的了解，也使我們可以快速反應，並且用適當的解決方案來保護我們的客戶。

Koobface的高峰期

在高峰期時，KOOBFACE最為人所知的就是（在當時）會透過急速成長的社群網路Facebook來傳播。但是當然，還不止於此。

在2008到2009年間，Facebook剛剛成為社群網路的主導者，也正開始和其他同類型的社群網站拉開距離（像是MySpace、Twitter、Friendster和myyearbook等等）。

我們對Koobface的第一份研究報告提供了詳細的說明，KOOBFACE並不只是在Facebook上散播，在這段期間還會利用其他流行的社群網站。趨勢科技的報告還指出，一旦系統被KOOBFACE惡意軟體所感染，會被安裝另外的惡意軟體到系統內，然後利用受駭使用者的網路流量來賺錢，或是將這受駭電腦變成Koobface殭屍網路/傀儡網路 Botnet的一部分。

Koobface和它的C＆C網路

趨勢科技的新發現讓我們發表了第二份研究報告，更深入的探討C＆C網路和通訊過程。在這裡，我們發現了 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息，到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令。

繼續閱讀

《趨勢專家看雲端運算》巨量資料如何到來還缺少什麼

2012 年 02 月 22 日2012 年 02 月 22 日趨勢科技 TrendMicro 50 筆留言

作者：趨勢科技雲端安全副總裁Dave Asprey

看到Sumo Logic在最新一輪的融資裡拿到了來自Sutter Hill Ventures，Greylock和Shlomo Kramer的一千五百萬美元資金是件很棒的事情。Sumo Logic打敗了另外兩家我也很看好的公司：Splunk和Loggly。

Sumo Data的創辦人是Kumar Saurabh和Christian Beedgen。這對令人印象深刻的企業家夫婦是從Arcsight出來的。我很高興能有機會在他們成立公司後一個月跟他們見面。當時是2010年四月，他們還待在位於聖塔克萊拉大美洲路上的TechMart辦公中心。有意思的是，他們也搬到當我還是Zeus Technologies（如今已是Riverbed的一員了，或者該說是一整隊）行銷副總時的同一個辦公室。這個世界真小呀。

在當時，我是Trinity Ventures負責雲端與虛擬化技術的駐點創業家（Entrepreneur in residence，EIR），但Sumo Logic還未達到創投公司所要求的標準。不過當我遇上他們時還是非常開心，因為一直以來我都很看好這塊領域。

長期以來，其實我投資過一家最早期的部落格檔案管理公司 – Addamark。或許太超前於它的時代而無法生存，所以他們後來變成了SEIM廠商 –SenSage，因為從2000年中期開始。安全變成日誌管理的主要用途。接著，我和其他投資人繼續支持SenSage的創辦人成為世界最早的雲端日誌管理和巨量資料處理。它利用AWS代管服務，早在其他SaaS公司之前就開始了。雖然有些成果，像是Playdom，但是再一次地，它也太超前於它的時代了。不然就是我是個很糟的投資者，因為我一直都是在時機來臨前就想要去做些什麼。