中小企業資安 - 資安趨勢部落格

如何阻止勒索病毒滲透企業網路和在內部蔓延?

2016 年 09 月 26 日2016 年 09 月 30 日趨勢科技 TrendMicro

這是探討勒索病毒 Ransomware (勒索軟體/綁架病毒)四部曲中的第三部。這個系列文章會探討勒索病毒用來攻擊使用者和企業的各種技術。同時也說明了，如果想減少勒索病毒所帶來的風險，最好的辦法是在企業網路的各個部位實施多層次防護 – 閘道、端點、網路和伺服器。

可以到這裡閱讀之前的文章：

勒索病毒 Ransomware (勒索軟體/綁架病毒)已經成為影響數百萬使用者並且掠取數百萬美元的嚴重問題。本系列之前的文章探討勒索病毒進入系統的方式及加密的行為。在本篇文章中，我們將研究勒索病毒如何使用網路及可能的解決方法。

檢視網路連線相當有用，因為網路活動是企業內部惡意活動進行的指標。反之，如果企業對網路沒有適當的能見度，就可能因為未受管理的設備（它們不一定受到閘道安全軟體的保護）或可信任設備來的未經授權連線而造成勒索病毒的感染。

受感染的企業內部電腦在勒索病毒攻擊中可能扮演兩種角色：

成為通訊中繼站
變成病毒擴散到其他系統和伺服器的幫兇

角色＃1：命令和控制（C&C）

對勒索病毒來說，網路最重要的用途是連接攻擊者的命令與控制（C&C）伺服器，因為勒索病毒通常需要這連線來取得加密檔案用的金鑰。

金鑰會由C&C伺服器送到中毒電腦用來加密目標檔案。如果連線建立完成，多數勒索病毒會從C&C伺服器取得公共金鑰，並用它來加密目標檔案。對應的私鑰會一直留在攻擊者那邊。公鑰可以隨時加以改變，而不會在惡意程式碼中發現任何金鑰。

如果無法建立與C&C伺服器的連線會發生什麼事？大多數勒索病毒（像是CryptoWall）不會去加密任何檔案。不過也有些變種可以自己進行加密的動作。一個例子是CrypXXX，在程式碼中內嵌了預設金鑰。Cerber變種通常會在本機產生金鑰，讓安全研究人員比較容易進行逆向工程，並替使用者製造解密工具來回復加密檔案。新的變種偏好使用來自C&C伺服器的金鑰，讓使用固定金鑰的解密工具無用武之地。

角色＃2：擴散

勒索病毒還可以在企業內部透過網路分享散播。當勒索病毒在中毒系統上執行時，多數都會加密本機磁碟和網路磁碟上的檔案。結果就是病毒會更快地在企業內部散播，結果本來只是單機的中毒問題，造成讓整個企業都停擺的後果。

如前所述，勒索病毒也能夠經由未授權的連線來侵入網路。比方說，Cryisis勒索病毒會利用遠端桌面協定（RDP）的暴力破解攻擊。在2016年3月，Surprise勒索病毒據報會使用偷來的TeamViewer登錄憑證來感染系統。

繼續閱讀

《勒索病毒》RaaS 加入了 CaaS 的行列,企業該如何防範新一代網路犯罪?

2016 年 09 月 20 日2016 年 09 月 12 日趨勢科技 TrendMicro

作者：趨勢科技網路安全長 (Chief Cybersecurity Officer,CCO ) Ed Cabrera

多年以來，「網路犯罪服務」(Cybercrime as a Service，簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰)，只要向一些老手購買 CaaS 工具和服務，就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)、網路釣魚（Phishing）或其他惡意攻擊行動，一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗，就連只會寫寫腳本的初階駭客也能上手，但卻可以帶來高報酬。

而最新的「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS) 毫不意外地，這項最新的服務，已造成新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的數量大增，光是2016 上半年就比去年一整年暴增 172%，而 RaaS 的出現，也讓原本大多針對個人使用者的攻擊，現在也開始對企業造成嚴重威脅。

企業的資料和商譽陷入前所未有的危險當中，最終甚至可能危及企業的生存，因為有了 RaaS 之後，網路犯罪分子就能發動多起勒索病毒攻擊，有助於他們在地下論壇打響名號。他們的目標就是挾持企業最寶貴的資產，包括：重要的連絡人資訊、業務資訊或是企業關鍵檔案。企業一旦損失這些數位檔案，將帶來嚴重的後果，包括：營業損失、營運中斷、法律賠償以及商譽損失。

企業的資安長 (CISO) 與 CXX 級高階主管，有責任採取必要的安全措施來妥善保護企業的寶貴資訊，並充分教育員工認識這項威脅。勒索病毒並非只有一種行為模式，因此資安對策也不能只靠單一防護。趨勢科技的多層式防護能協助企業降低風險，不讓攻擊進入系統，不論經由何種入侵點。我們提供了四層的防護來協助您降低風險：

電子郵件閘道和網站閘道：趨勢科技 Deep Discovery Email Inspector 可防止勒索病毒經由電子郵件閘道、網站閘道或是 Office 365 進入您的使用者端。
端點：趨勢科技 Smart Protection Suite 採用行為監控、應用程式控管和漏洞防護來偵測端點上的勒索病毒，避免企業必須為了救回資料而被迫支付贖金。
網路：趨勢科技 Deep Discovery Inspector 可偵測並攔截網路上的勒索病毒，防止它擴散至其他端點和伺服器。
伺服器：趨勢科技Deep Security能保護實體、虛擬及雲端伺服器，防止駭客取得企業最寶貴的資料。

RaaS 服務背後的犯罪集團，必須靠著他們的「客戶」(也就是使用其服務的犯罪分子) 來入侵企業系統，才能獲得不法利益。因此，他們會盡可能確保攻擊能夠遍地開花。這波風潮短期內應該不會消失，所以，別讓您的企業成為下一個受害者，成為駭客在深層網路上提高聲望的墊腳石。教育您的員工，備份您的檔案，最重要的是：部署一套多層式防護來保護您的資料。最終您會發現，您所花費的時間和金錢，都將值得。

原文出處：Protecting Your Enterprise against a New Generation of Cybercriminals)

網站連不上？可能是針對伺服器的FAIRWARE新勒索病毒造成

2016 年 09 月 08 日2016 年 09 月 07 日趨勢科技 TrendMicro

新一波的勒索病毒 Ransomware (勒索軟體/綁架病毒) FAIRWARE變種,會攻擊在Linux伺服器上運作的網站。

在Bleeping Computer論壇上的一篇貼文指出,受害者認為自己的系統遭受暴力破解攻擊而被取得權限。一旦進入伺服器，據稱攻擊者會加密並移走網頁目錄內的內容，刪除原始檔案並且留下訊息要求支付2 比特幣贖金來取回檔案。當然，網頁目錄內容被移除的伺服器會無法使用，這對於重要的網頁應用程式來說是很嚴重的問題。受害者被警告要在兩週內支付贖金，不然就無法取回檔案，而且可能會被公開外洩。

目前還不清楚FAIRWARE勒索病毒作者在刪除檔案前是否真的有先移走，還是只是試圖迫使受害者支付贖金。到目前為止，還沒有發現有受害者支付贖金到勒贖通知內指定的比特幣錢包，但不排除當有價值的資料被綁票時，會有受害者支付贖金換回檔案。繼續閱讀

報告:上半年勒索病毒幾乎比去年翻一倍變臉詐騙及漏洞攻擊為企業資安防禦當務之急

2016 年 09 月 01 日2016 年 08 月 31 日趨勢科技 TrendMicro

2016上半年資訊安全總評:勒索病毒稱霸資安威脅版圖

正如趨勢科技所預言，2016 年已成為網路勒索之年，且攻擊手法不斷翻新。全球資安軟體及解決方案領導廠商趨勢科技發表的2016上半年資安總評報告：「勒索病毒當道的時代」，詳細分析了今年上半年的攻擊與漏洞發展趨勢。此報告針對攻擊的成長與衝擊做了廣泛的分析，例如，2016 年至今，勒索病毒已成長 172%，而變臉詐騙攻擊 (又稱為商務電子郵件入侵Business Email Compromise， BEC) 則造成了 30 億美元的損失，此外趨勢科技也在市面上各家軟體當中發現了將近 500 個漏洞。

趨勢科技技術長 Raimund Genes 指出：「勒索病毒 Ransomware (勒索軟體/綁架病毒)有能力癱瘓它所攻擊的企業，其幕後的網路犯罪集團正積極地設法讓病毒不斷演進，使得企業因而疲於奔命。到目前為止，勒索病毒可說是稱霸了2016年的威脅版圖，各種產業都有企業蒙受巨大損失。企業必須採取多層式資安解決方案，才能以最有效的方式對抗這類隨時試圖入侵企業網路的威脅。」

以下是該報告整理出的 2016 上半年重大資安趨勢：

台灣所偵測到的勒索病毒高達2百多萬，名列亞洲第二：2016 上半年，勒索病毒家族出現數量幾乎比 2015 年翻了一倍 (成長率 172%)，更加鞏固了勒索病毒在資安版圖的地位，其攻擊涵蓋所有階層的網路。並且台灣所偵測到的勒索病毒高達2百多萬，名列亞洲第二。

勒索病毒稱霸威脅版圖：2016 上半年，勒索病毒家族出現數量幾乎比 2015 年翻了一倍

變臉詐騙蔓延全球：根據美國聯邦調查局 (FBI) 的資料，2016 年至今變臉詐騙受害企業已超過 22,000 家，並且造成 30 億美元以上的損失。趨勢科技發現，美國是遭受這類攻擊最多的國家。
漏洞攻擊套件收錄新漏洞並散布勒索病毒：Angler 漏洞攻擊套件因 50 名犯罪集團成員遭到逮捕而逐漸式微。然而，其他漏洞攻擊套件卻趁機崛起並紛紛取而代之，其中還包括一些新面孔，例如：Rig 和 Sundown。
Adobe Flash Player與物聯網（IoT ,Internet of Thing）平台發現的漏洞數量持續增加：趨勢科技和 ZDI 發現並通報了多個重大瀏覽器和系統核心漏洞，而且這些都是在Pwn2Own世界駭客大賽當中所發現。
資料外洩災情肆虐各種產業：上半年，不論公家機關或私人機構都發生了資料外洩事件，包括：Myspace、威訊通信(Verizon)、多家醫院以及政府機構。
新版 PoS 惡意程式帶來新式攻擊：FastPoS 具備了高效率的信用卡竊取能力，災情遍及全球中小企業，也包括美國在內。此外它還有FighterPoS這個具有跨網路感染能力的變種首度現身，其性質類似蠕蟲，因此能跨網路感染。
舊漏洞重獲新生：Shellshock 漏洞攻擊案例在今年上半年有所成長，儘管廠商早就釋出修補程式，但我們每個月還是會看到上千筆新的漏洞攻擊。這是一個顯示虛擬修補技術更能夠發揮作用的例子，此技術能在新漏洞出現時讓企業網路更快獲得防護。
違反常理的銀行木馬程式：當 DYRE 網路銀行木馬程式的作者遭到逮捕之後，銀行木馬程式的數量卻因為QAKBOT 木馬程式而大增。此變種專門竊取重要資訊，包括：銀行帳號密碼、使用者瀏覽習慣，以及其他敏感的使用者資料。

繼續閱讀

勒索病毒侵台居亞洲第二,僅次日本

2016 年 08 月 26 日2016 年 08 月 26 日趨勢科技 TrendMicro

APT 攻擊猖獗,資安組織戰考驗企業資安戰力掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技，今日(25)舉辦資安界年度盛會－CLOUDSEC 2016雲端企業資安高峰論壇，面對全球資安危機，趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢，首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性，及資安防禦三大重點：建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢，協助企業打造最完善的資安防禦策略藍圖，掌握資安主控權！

圖說：趨勢科技CLOUDSEC 2016媒體分享會，邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬！為全亞洲第二高，僅次日本

雲端服務、行動裝置與物聯網等科技進步，使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出^註1，每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生，更有1,800個新的網路威脅產生並散佈到網域中，整體資安環境面臨巨大挑戰！趨勢科技觀察，近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊，以謀得較高的勒索利潤。根據趨勢科技研究報告顯示^註2，截至2016年第二季，台灣地區所偵測到的勒索病毒便高達2百多萬！為全亞洲第二高，僅次於日本。繼續閱讀