好幾個月來,趨勢科技一直在積極監視著稱為StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路,它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作,並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統,像是WordPress、Joomla和Drupal。
在本篇文章裡,我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷,變成StealRat殭屍網路/傀儡網路 Botnet的一部分。
第一步是檢查是否有垃圾郵件發送腳本的存在,通常會用s 繼續閱讀
許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。
當有企業被攻擊的新聞出現,內容通常都把目標放在最終使用者或大型企業本身。不過有許多網路犯罪的目標是中小企業。在這篇文章裡,我們要來看看台灣的中小企業是如何遭受到攻擊,以及人們可以從這些事件裡學到什麼樣的教訓。
許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。
讓我們來看看最近的一起案例,可以很好的說明這些攻擊如何進行。在五月卅日,我們收到一家不明公司(我們稱之為A公司)的支援請求,因為他們遭受到阻斷服務攻擊,讓他們的伺服器無法被連上。
但我們所看到的完全是另外一個問題。趨勢科技發現他們的網頁伺服器已經被入侵,利用的是伺服器的漏洞。而且就如前所述,這網頁伺服器也可以存取公司的內部網路,所以攻擊者也拿下了公司Active Directory伺服器的控制權。我們還確認至少有兩批攻擊者存在:一個是在四月廿四日前運作,另外一個出現在這日期之後。
圖一、攻擊時間表
這起威脅的行為並沒有特別不尋常,一旦網路被入侵,這些都是常見的後果。此外,攻擊者會不斷地透過自己的後門來放入新的工具。
許多企業只是重新安裝和重建系統,好可以馬上回復運作,但這樣並沒有解決問題。因為問題的根源是脆弱而不安全的網頁伺服器,而這部分並沒有被解決,攻擊者可以一再重複地入侵,重新佈置後門到目標網路內。
圖二:持續地攻擊
一萬多中小企業遭受email 攻擊受害 請下載免費清除工具確保個資安全
【2013年5月26日 台北訊】刑事局今日宣佈偵破駭客四月底冒用健保局北區業務組名義進行目標性攻擊竊取個資一案,雲端資訊安全廠商趨勢科技運用獨特的客製化分析技術,成功偵測導致一萬多筆中小企業個資外洩的的惡意木馬程式TROJ_GHOST.ZZXX與後門程式BKDR_GHOST.ZZXX,協助辦案人員抽絲剝繭,緝查不法之徒。
趨勢科技發現,駭客係假冒健保局名義發動客製化的社交工程陷阱( Social Engineering)攻擊,首先透過發送大量以健保局北區業務組為名寄送的郵件,其中內含「員工修正補充要點下載修正」的連結,一旦點選此連結將被轉址至另一個網址並自動下載一個名為「二代健保補充保險費扣繳辦法說明」的RAR壓縮檔。
圖一、 駭客針對特定中小企業發動客製化社交郵件工程攻擊。
受害者一旦點選並下載檔案後,將會看到一個看似為DOC檔實際上為執行檔的檔案;下載執行後,電腦將被植入木馬程式與後門程式,隨後電腦會先遭受強制重開機,即讓使用者電腦門戶洞開,駭客可以遠端監看被害人電腦桌面並瀏覽、複製電腦中檔案內容,進而再利用民眾電腦內通訊錄等資料進行下一波針對性攻擊,如法炮製成功盜取了高達1萬多筆個資。
圖二、解壓縮後發現其為一看似Doc檔的執行檔,
一旦執行後將下載木馬程式與後門程式,造成使用者電腦門戶洞開。
身為資訊安全專家,應該成為「知道該如何做的部門」,而非「只會說NO的部門」。我們必須把重點放在如何讓用戶安全地做他們想做的事情,而非只是跟我們的客戶說NO,然後將系統鎖住。
兩個禮拜前,我參加在舊金山舉行的RSA 2013大會,並對所參加資安廠商的數量留下了深刻的印象。除了參加者的因素以及技術性會議裡突破性的研究發表外,技術性會議今年的演講場次也讓人耳目一新。
下面是我對於資訊安全意識、駭回去和合法攻擊等值得關注議題的一些經驗和想法。
安全意識計畫的七個有效習慣
Security Mentem的Samantha Manke和Ira Winkler討論了他們對於安全訓練和安全意識之間不同點的看法。他們強調公司內部安全文化的重要性,讓員工可以在日常作業裡應用最佳實作,進而導致組織內的長期安全意識。
他們介紹了最近針對財富500大公司中包括保健、製造、食品,金融和零售等行業的研究結果。這次研究重點在這些公司所實行的安全意識活動,以及它們的效果。他們提出了主要的發現,來建立他們的「安全意識計畫的七個有效習慣」:
我對這場演講的主要感想當然是在最後一個部分。我們身為資訊安全專家,應該成為「知道該如何做的部門」,而非「只會說NO的部門」。我們必須把重點放在如何讓用戶安全地做他們想做的事情,而非只是跟我們的客戶說NO,然後將系統鎖住。
我知道需要詳定什麼是該做而什麼是不該做的事情在公司安全政策內,但我們應該提高標準,將安全性成為幫助業務的一個重要部分,而非阻礙。
龐大到媒體帝國,平民至便利商店,每家公司都紛紛將自己推到網路上,用最快也最具成本效益的方式來接觸他們的客戶。這是社群網路所帶來的好處,也是企業們駐足的地方。但你知道社群網路對企業來說是有風險的嗎?不管它們的規模大小。
事實一
各種規模、類型的企業都正在採用社群媒體。
並不是只有大型企業才會使用社群媒體,小型企業也會。在美國,大多數(58%)中小企業主會在社群媒體管道上發展網路及進行互動。註1
Facebook上的公司網頁對中小企業來說是排名最高的社群媒體管道(29%),其次是在Facebook社團上互動或張貼消息(23%),然後是在產業相關社群上互動(19%)。這不難知道原因,因為這些基本上都是免費的行銷,只需要有電腦跟網路就可以了。
中小企業肯定能夠透過社群媒體來接觸到大量的消費者。跟據ComScore統計,全球的網路人口中有84%會使用社群網站。註2 大多數人會花費五分之一的網路時間在社群網站上。在美國,社群網路的使用量幾乎增加了一倍,而在中國也增加了一半(53%)。註3
事實二
越來越多人在工作時瀏覽社群網站。
在Salary.com最近一項關於浪費工作時間的全球性調查中發現,幾乎有三分之二的人(64%)承認自己在工作時連上與工作無關的網站。在這些網站中,Facebook是最受歡迎的虛擬聚會場所(41%),其次是LinkedIn(37%)。註4
這消息其實並不令人驚訝。事實上,一項趨勢科技在美國針對709名受訪者所做的IT資安人員問卷調查中發現,有54%的員工在工作時因為個人因素而使用社群媒體。而中小型企業的員工中有超過五分之三這樣做。註5
46%的人:在工作時不會因為個人因素使用社群媒體
54%的人:在工作時會因為個人因素使用社群媒體
事實三
社群網路威脅即使對小型企業也是一視同仁。
中小企業應該要知道,不管是大是小,它們也不能倖免於社群媒體威脅。中小企業員工就跟其他多數使用者一樣,也會落入社群媒體上的惡意陷阱。
假WhatsApp Facebook網頁>詐騙訊息顯示其他應該是WhatsApp的使用者>網頁導向偽造的星巴克行銷網頁>假Facebook版WhatsApp網頁 繼續閱讀
