雖然網路釣魚(Phishing)是一種相對單純的社交工程詐騙,但這並不表示網路犯罪集團不會持續加以改進並試驗各種新式手法。
最近,網路釣魚出現了兩種新的發展趨勢:
這兩項技巧確實提高了網路釣魚的成功機率,因為在缺乏全方位機器學習(Machine learning,ML)資安技術的幫助下,受害者有時真的很難辨別真假。
談到軟體容器防護,很重要的一點是,企業必須放眼大局,考慮容器如何影響企業整體資安需求以及開發營運 (DevOps) 未來的需要。好的方法能讓資安團隊建立一個面面俱到的資安策略,既可避免建構時期與執行時期發生資料外洩或遇到資安威脅,又不影響應用程式 DevOps 團隊的靈活性和速度。
雖然資安和 IT 人員必須解決 DevOps 快速靈活的腳步所衍生的資安問題,但卻面臨了企業組織及流程去集中化的挑戰。而既然工作負載和營運環境隨時都在變化,因此,網路資安問題並無單一解決之道,只能憑著手上現有的資訊來應變。為了應付當前的資安情勢,並且了解如何將容器環境納入資安防護,我們必須先問問自己幾個深入的關鍵問題。
工作負載的環境和以往有何不同?今日開發團隊的著眼點又在哪裡?(也就是:從虛擬機器到雲端,再到無伺服器環境、DevOps、微服務,以及根據交付與運轉時間為評量標準)。
許多年前,我們與客戶的對話大多圍繞在如何將傳統老舊的工作負載從資料中心移轉至雲端。在這「升級」的過程中,客戶必須考慮要在雲端內採用何種 IT 工具及資安防護才能讓營運流暢。許多客戶在移轉至雲端之前就已採購的一些傳統工具,在移轉至雲端之後將很難沿用,因為它們並非專為雲端而設計。
但近幾年來,這批將工作負載移轉至雲端的客戶,也開始採用一些雲端原生服務來開發新的專案和應用程式,並且在 Docker 容器以及 AWS Lambda、Azure Functions 和 Google Cloud Functions 等無伺服器環境開發新的應用程式。這些技術讓企業能夠採用 DevOps 營運流程,持續不斷開發各自獨立又互相配合的應用程式「零件」,以實現比開發大型應用程式更快的成果。這些新的開發計畫,也催生了所謂「持續整合/持續交付」(CI/CD) 流程的出現,透過 Git 來進行原始程式碼管理 (代管版本的 GitHub 或 BitBucket)、使用 Jenkins 或 Bamboo 來執行 DevOps 自動化,然後搭配 Kubernetes 來進行容器的自動化部署、擴充與管理。
繼續閱讀
電子郵件仍是種常見的感染媒介,因為它很容易被濫用,攻擊者可以利用它來製造持續且數量龐大的威脅。僅僅在2018一年,趨勢科技 Cloud App Security™ 就封鎖了890萬封通過Office 365內建安全機制的高風險郵件威脅。新出爐的Avanan報告進一步證明了郵件服務如何的脆弱,該報告發現,針對Office 365所進行的546,247次網路釣魚攻擊中,有25%能夠繞過其安全機制。
該報告檢視了寄送到Office 365和G Suite的5550萬封電子郵件,發現每99封就有一封是網路釣魚郵件。該份報告將這些網路釣魚郵件再細分下去,惡意軟體類型釣魚郵件或利用釣魚郵件在受害者系統上安裝惡意軟體佔了50.7%,騙取帳密的釣魚郵件佔了40.9%,敲詐勒索類型為8%,而魚叉式網路釣魚則是0.4%。
[延伸閱讀:網路釣魚郵件利用ZeroFont躲過Microsoft Office 365過濾機制]
用於網絡釣魚及其他基郵件類型攻擊的作法
Avanan報告還指出網路犯罪分子經常會假冒品牌來偽造顯示名稱,讓受害者點入惡意連結或將帳密無意間提供給假的登入頁面。該報告指出,每25封品牌郵件可能至少有一封是網路釣魚郵件。
繼續閱讀勒索病毒可能在2018年呈現下降的趨勢,但它似乎又回來了 – 只是這次的攻擊看起
來更具有針對性。之前就出現了針對一家美國飲料公司的勒索病毒攻擊新聞,會將公司名稱放在勒贖通知裡,而本篇文章會探討攻擊一家美國製造商的BitPaymer勒索病毒(趨勢科技偵測為Ransom.Win32.BITPAYMER.TGACAJ)。這家公司與飲料公司一樣,也似乎成為了被針對的目標,因為受感染系統內的勒贖通知也出現了公司名稱。
根據調查結果讓我們相信攻擊者是用具備管理員權限的帳號來透過PsExec安裝BitPaymer,PsExec是可以在遠端電腦上執行程序的命令列工具。
BitPaymer如何出現在系統內
BitPaymer(跟iEncrypt勒索病毒有關)是透過PsExec在製造商的電腦上執行。根據我們的分析顯示,攻擊者在2019年2月18日晚上9點40分到晚上11點03分之間透過PsExec發送命令來複製和執行BitPaymer變種。
攻擊者至少需要一個具有管理員權限的帳號才能透過PsExec執行命令。這代表在安裝勒索病毒前就已經發生過未被偵測到的入侵事件。
圖1. BitPaymer勒索病毒的攻擊時間軸
趨勢科技Smart Protection Network所提供的資料支持此假設。從1月29日到2月18日間,偵測到多起在數台電腦上執行Empire PowerShell後門程式。分析顯示這是透過遠端執行而不是在目標電腦上植入檔案。在同一時間段內也偵測到Dridex相關檔案(我們找到跟BitPaymer共用的載入器)。請注意,在美國飲料公司案例中,一些研究人員認為起出的Dridex感染事件可能跟最終的勒索病毒感染有關。
檢視所有的可用資訊,我們能夠推斷出公司在1月29日前後就已經出現資安入侵事件。
繼續閱讀無檔案惡意程式早已不是什麼新聞,但目前卻有 日益增加的趨勢。事實上,根據報導,在針對企業的攻擊得逞案例當中,有 77% 都是使用無檔案惡意程式。這類惡意程式不像傳統惡意程式那樣容易被發現,而且會利用各種技巧來長期躲藏在系統內部,因此隨時可能對企業流程或營運基礎架構造成危害。
以下詳細說明無檔案式威脅的幾種運作方式以及如何加以防範。
無檔案式威脅也有可能經由傳統方式進入系統,例如經由 JavaScript 或 VisualBasic (VBA) 惡意巨集腳本並內嵌在 Office 文件、PDF 檔案、壓縮檔或看似無害的檔案內部。這些巨集一旦執行,就會運用一些正常的工具 (如 PowerShell) 來進一步啟動、下載和執行更多程式碼、腳本或惡意檔案。這些巨集腳本通常也是經由 PowerShell 之類的工具來執行,並且會經過加密編碼,讓資安軟體無法輕易偵測觸發其執行的關鍵字。
這些腳本可利用 PowerShell 來讀取並執行本機系統上的執行檔,或者直接執行已經在記憶體中的程式碼。但即使是後者也不算完全的無檔案式攻擊,因為歹徒還是需要先透過檔案挾帶巨集來入侵系統。
無檔案式威脅透過文件漏洞發動攻擊的過程。
一般使用者可藉由培養一些良好的資安習慣並提升職場的資安意識,來盡可能避免遭受這類攻擊的威脅,例如:針對一些不請自來的郵件或檔案應提高警覺,尤其是在開啟時會要求使用者啟用巨集或腳本功能的檔案。
至於企業,則可採用一些端點防護產品來防範這類經由垃圾郵件散播的無檔案式攻擊,例如:趨勢科技Smart Protection Suites及 Worry-Free Business Security 這兩套解決方案都能妥善保護企業和使用者,偵測相關的惡意檔案和垃圾郵件,攔截所有相關的惡意連結。此外,還有趨勢科技Deep Discovery進階網路安全防護 可提供 電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。趨勢科技Deep Discovery進階網路安全防護 可偵測從遠端執行的腳本,即使它並未下載到端點裝置上。 繼續閱讀