趨勢科技產品 - 資安趨勢部落格

< 影片 > 誠懇又專業的她,果然讓馬克上鉤了!

2014 年 10 月 28 日2014 年 11 月 13 日趨勢科技 TrendMicro

如果一個看起來很專業的陌生人在路上攔住你，你會將銀行帳戶資訊提供給他嗎？很顯然的是不會，但是有成千上萬的人每天都這麼做 – 只不過是透過電子郵件和有說服力的橫幅廣告。

它被稱為網路釣魚（Phishing），它是身份竊賊用來拿到你個人資料的最好方法。比方說，你收到一封冒充來自你的銀行或信用卡公司的電子郵件，要求你確認某些資訊或檢查你的帳戶明細。你按一下電子郵件內的連結，它將你帶到一個登錄頁面，你發現它是假的 – 不過是在你輸入帳號和密碼之後。

很令人驚訝的，這些騙局很容易騙到人。經由趨勢科技PC-cillin 2015雲端版的幫助，你可以完全放心地不會成為這些騙局的受害者。我們還會封鎖更多的線上威脅，而且反應快速。

Mark沒有聽從我們的忠告。看看他發生了什麼事。

注意。來看看趨勢科技的「不要成為這傢伙」系列影片。

@原文出處：Phishing schemes: Don’t take the bait! 作者：Shannon McCarty-Caplan（消費者安全宣導者）

趨勢科技PC-cillin 2015雲端版，可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

POODLE漏洞讓網路交易陷入危險

2014 年 10 月 24 日2014 年 10 月 23 日趨勢科技 TrendMicro

Google的研究人員 – Bodo Möller、Thai Duong和Krzysztof Kotowicz發表了SSL 3.0一篇報告討論的一個嚴重漏洞，讓攻擊者能夠進行中間人攻擊和解密網站伺服器和使用者間的通訊。

比方說，如果你在網路上使用信用卡購物，你可能會認為你的資料是安全的，但因為這個漏洞（被稱為POODLE），它實際上可能是危險的。攻擊者可以劫持你的交易，取得你的信用卡資料，甚至變更你的訂單。

下面總結了此漏洞的一些關鍵要點：

CVE編號：CVE-2014-3566
一般稱為：POODLE（Padding Oracle On Downgraded Legacy Encryption的縮寫）
漏洞：SSL 3.0降級漏洞
攻擊方式：中間人攻擊

POODLE攻擊如何運作？

根據該報告，關鍵問題是填充SSL 3.0區塊密文的完整性問題。協定並沒有驗證該填充。這會讓能夠成功劫持使用者和網站伺服器連線的攻擊者有辦法去修改SSL密文的最後一個區塊。導致攻擊者能夠成功地解密任何他們所能截取的加密流量。

SSL 3.0是一種舊的加密協定，已經有15年了。它已經由TLS（現在是1.2版）所取代。然而，如果連線有任一方不支援最新版本的話，TLS用戶端和伺服器將降級到較早版本的協定。

想想下面的可能狀況。瀏覽器支援到TLS 1.2版。在進行第一次握手（handshake）時，瀏覽器使用它所支援的最高版本（TLS 1.2）。如果這次握手失敗，瀏覽器會用較早的版本（TLS 1.1，然後TLS 1.0）繼續嘗試。攻擊者就可以讓瀏覽器降級到使用SSL 3.0，此時POODLE漏洞就可以被利用來解密雙方之間的任何通訊。

圖1：攻擊者可能會迫使用戶端和伺服器間的通訊從TLS降級到SSL 3.0，好能夠解密網路通訊

對策

禁用SSL 3.0協定就可以避免此漏洞。網站管理員可以從他們這邊禁用支援。例如這裡有說明介紹如何在Apache進行。繼續閱讀

台灣為全球最常遭受鎖定攻擊第一名,企業缺乏資安防護意識

2014 年 10 月 21 日2014 年 10 月 21 日趨勢科技 TrendMicro

趨勢科技企業 APT 整合式防護平台 Deep Discovery 全新推出系列產品「電子郵件防護」與「端點裝置防護」

【2014年10月20日台北訊】傳統安全防禦已被證實無法有效偵測、預防APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊。趨勢科技2014上半年資訊安全總評指出，台灣以超過六成的攻擊事件發生占比成為全球最常遭受鎖定攻擊之國家，大幅領先居次的日本(22%)及美國(5%)，企業資訊安全危機四伏；然而，趨勢科技最新調查顯示近六成台灣企業雖擔心遭受APT及鎖定目標攻擊，卻有六成五企業不夠了解此類攻擊造成的災害，七成三企業也表示未有相關資安防護佈署計畫，顯示台灣企業高度缺乏資安防護意識，面對猖獗的 APT攻擊 /目標攻擊仍然毫無抵抗能力！

全球雲端資安領導廠商趨勢科技打造 Deep Discovery 平台，整合閘道、網路、電子郵件、端點裝置等多元防護，能即時偵測、辨識不易發現的威脅並提出解決方案因應，榮獲 NSS Labs 整體入侵偵測率第一，有效對抗先進 APT 威脅及鎖定目標式攻擊。為強化企業電子郵件與端點裝置防護，全新推出 APT 防禦系列產品： 企業電子郵件防護 Deep Discovery Email Inspector以及企業端點裝置防護 Deep Discovery Endpoint Sensor，可偵測並攔截傳統防護無法發現的鎖定目標攻擊之電子郵件、追蹤記錄端點與伺服器活動，方便企業調查攻擊並搜尋入侵徵兆，讓資安防護增添多一層保障！

趨勢科技資深產品經理吳韶卿表示：「APT與鎖定目標式攻擊已證明可躲過傳統安全防禦，造成企業資料外洩、營收短少、商譽受損等嚴重傷害。企業急需改變原有的安全防護，採用特殊的威脅偵測技術及主動式即時威脅管理來因應。趨勢科技Deep Discovery平台可即時偵測及發掘潛藏威脅，提供企業分析情報來預防並因應攻擊。趨勢科技研究指出，九成APT攻擊始於內含惡意檔案或網址的網路釣魚郵件，因此除了在Deep Discovery平台提供整合式防護，也分別針對電子郵件及端點防護推出Deep Discovery Email Inspector及Deep Discovery Endpoint Sensor兩大解決方案，讓企業最關鍵的位置都能部署更進階的威脅防禦。」

從減少數位足跡開始保護隱私 – 網路安全的關鍵

2014 年 10 月 20 日2014 年 10 月 29 日趨勢科技 TrendMicro

讓我們面對現實。今日要保持線上隱私非常地困難。但就算再難，你也要盡可能地保護你的個人資訊。

在美國，每三秒就會出現一名新的身份詐欺受害者。身份資訊竊賊並不只是要看你舊郵件內的垃圾，他們會挖掘你的社群網路，看看是否能找到東西幫他們偷你的錢。

除了竊盜以外，我們也常常在新聞裡看到有人毫不在意地張貼個人意見、照片和私人資訊，結果可能導致名譽受損，或更糟的是，讓你無法進入你想要的工作或夢想中的學校。

儘可能地減少你的數位足跡

高科技企業家同時也是億萬富翁的Mark Cuban最近說道，「儘量減少我們的數位足跡是很重要的，因為社群媒體上一則脫序的留言可能會毀掉職業生涯甚或更糟。」註1

有太多在網路上過度分享而導致不幸後果的例子。有名人也有不知名的人（後來都惡名在外了）：

高科技公司高層在他的Linkedin個人檔案上提到他公司計劃「未經披露的詳細資訊」
餐廳員工批評他的老闆，結果老闆是她「朋友的朋友」而在Facebook上看到，導致她被解雇
十幾歲的女孩在Twitter上推文自己正獨自在家，不幸遭攻擊失去寶貴生命

給你的「朋友」過多資訊

如果你上網不只是單純地瀏覽網站，你就可能會揭露個人和私人資訊給任何連接網路的人。比如說，你到像Facebook、Twitter或LinkedIn等社群網路上，開始留言關於你的約克夏 – Bootsie要在下一次的西敏寺犬展拿到大獎。

你可能提供了你社群網路「朋友」或「朋友的朋友」用來破解你財務資訊或其他敏感帳戶密碼所需的資料。

有可能你所建立的密碼就包含了你家的狗，像「Bootsie123」或「Bootsie #1」。而且即使你的「朋友」不能找出你的密碼，還有一些密碼破解軟體可以幫忙。或至少，你的「朋友」會知道你在狗展比賽期間不會在家，而有機會去闖入你的地方。繼續閱讀

Windows 零時差弱點 CVE-2014-4114,被用來從事網路間諜活動 ,別輕易開啟陌生人寄來的PowerPoint檔案

2014 年 10 月 16 日2014 年 10 月 22 日趨勢科技 TrendMicro

更新:【新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊已現身台灣

微軟 Windows 作業系統零時差弱點 CVE-2014-4114

微軟在週二發布的例行性安全公告，其中由 iSights 所發現的零時差漏洞 CVE-2014-4114，此漏洞影響 Vista 之後所有版本的 Windows作業系統與 Windows Server 2008及2012。據趨勢科技調查顯示，一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動(Sandworm) ，目標是竊取與攻擊北大西洋公約組織 (NATO)與歐盟等企業與重要人士的資料。這項漏洞存在於Windows作業系統中的OLE Package Manager，透過Office PowerPoint文件觸發該漏洞，會下載並執行特定的INF檔案，並下載任意程式碼。根據報導，一群名為「Sandworm Team」(沙蟲小隊) 的駭客利用此漏洞 (CVE-2014-4114) 來從事網路間諜活動。據稱，此漏洞從 2013 年 8 月開始即已流傳至今：「主要是製成特殊的 PowerPoint 文件當成武器使用」。此漏洞的詳細內容如下：

此漏洞存在於 Microsoft Windows 系統與伺服器當中的 OLE 封裝管理程式。
OLE 封裝程式 (packager) 可下載並執行 INF 檔案。「在所觀察到的案例中，尤其是在處理 Microsoft PowerPoint 檔案時，封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案，如 INF 檔案。」
當攻擊得逞時，此漏洞可讓駭客從遠端執行任意程式碼。

趨勢科技產品已經可以偵測利用此漏洞的病毒程式，病毒名稱為” TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後，會下載一個INF檔惡意程式(被偵測為” INF_BLACKEN.A”)，並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式。詳細病毒資訊請參考下列連結。

TROJ_MDLOAD.PGTY
https://about-threats.trendmicro.com/malware.aspx?language=en&name=TROJ_MDLOAD.PGTY
INF_BLACKEN.A
https://about-threats.trendmicro.com/malware.aspx?language=en&name=INF_BLACKEN.A
BKDR_BLACKEN.A
https://about-threats.trendmicro.com/malware.aspx?language=en&name=BKDR_BLACKEN.A

由於此一攻擊方式並不特別複雜，很有可能導致駭客們大量濫用，趨勢科技所提供的Smart Protection Network可即時偵測透過本漏洞所執行的惡意程式。

趨勢科技 Deep Security 客戶建議措施：

趨勢科技的 APT 防護解決方案已可針對此漏洞進行防護，透過”惡意文件指紋偵測引擎” (ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。

另外趨勢科技用戶請盡快更新最新防毒元件，以偵測此病毒程式。若有使用TrendMicro Deep Security與OfficeScan IDF plug-in的用戶們可套用下方DPI規則進行偵測。

1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
1006291 Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

此外，我們建議用戶盡快針對此一Windows作業系統的漏洞進行修補，在完成修補前，不要隨意開啟陌生人寄來的PowerPoint檔案，以降低被攻擊的風險。

◎ 原文參考出處：MS Zero-Day Used in Attacks Against European Sectors, Industries