新型病毒!滑鼠滑過PowerPoint,就中毒

 

趨勢科技最近發現另一種散播惡意軟體的獨特方法,當滑鼠停在PowerPoint投影片超連接的圖片或文字時就會中毒。

 

以偽裝的發票或採購訂單,包裝成PPSX或PPS檔案,誘使企業採購相關承辦人點擊

POWHOV.A木馬  以偽裝的發票或採購訂單,包裝成微軟PowerPoint Open XML Slide Show(PPSX)或PowerPoint Show(PPS)檔案,誘使企業採購相關承辦人點擊。

提醒您:PPS/PPSX跟PowerPoint投影片檔案(PPT或PPTX)不同,PPSX或PPS檔案打開就直接是投影模式,而後者可以進行編輯。

一旦受害者下載並打開檔案,將滑鼠移過內嵌惡意連結的文字或圖片即會觸發滑鼠懸停動作,內容被啟用後,內嵌的惡意PowerShell腳本會被執行下載另一個JScript編碼檔案格式(JSE)的下載程式(JS_NEMUCOD.ELDSAUGH),最後會從命令與控制(C&C)伺服器取得有效載荷。

並且在安全提示視窗跳出時選擇啟用內容。

由於微軟預設停用可疑檔案的內容,透過Office後期版本的保護瀏覽功能來減少Office功能被惡意使用,像是巨集和物件連結與嵌入(OLE)。因此,引誘受害人打開檔案並啟用惡意內容在系統上執行的關鍵是社交工程(social engineering )陷阱。

出現安全通知/提示的惡意PPSX檔案樣本

出現安全通知/提示的惡意PPSX檔案樣本  Continue reading “新型病毒!滑鼠滑過PowerPoint,就中毒”

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: Continue reading “登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板”

從駭客角度看資安: 四個來自網路犯罪集團的令人訝異的發現 

今日企業對於網路資安絕對不能心存僥倖,因為只要被駭客找到一個小小破口,就可能危及企業存亡。不過在企業強化駭客防禦的同時,其實不妨從另一個角度看看駭客對資安防護有何看法。

澳洲資訊分析軟體公司 Nuix 在 2016 年拉斯維加斯舉行的 DEFCON 駭客大會上做了一份名為「 The Black Report」(黑色報告) 的調查。這份調查的對象不是企業決策者、IT 主管或資安系統管理員,而是駭客。

全新觀點

這份調查令資安界耳目一新,因為絕大多數的研究都是以 IT 人員為對象,當然這也很重要,但若能從駭客的角度來看待資安這件事,倒也是個不錯的觀點。

除了訪問網路駭客之外,The Black Report 還訪問了專門從事滲透測試工作的人員。根據其中一位測試人員表示,他們所做的事情,基本上與駭客無異,只不過他們的工作是合法的。這份問卷調查總共訪問了 70 位駭客與滲透測試人員 (後者亦稱為「白帽駭客」)。

以前曾經當過駭客、但目前擔任 Rhino Security Labs 評估總監的 Hector Monsegur 接受 TechTarget 的訪問時表示,這類調查絕對有其必要,因為這樣能夠發掘一些不論對個人或企業都有所幫助的資安細節

「駭客通常能在短短的 24 小時內強行入侵。」

Monsegur 向 TechTarget 表示:「能夠發掘 [駭客和滲透測試] 人員的想法以及他們突破資安防線的經驗,是不錯的第一步。縱然 DEFCON、Black Hat、HackInTheBox 等等的研討會提供了不錯的管道讓研究人員發表漏洞相關的資訊、方法與技巧,但事實上,絕大多數人根本不知如何取得這些內容,甚至不知道這些內容存在。」

四個來自網路犯罪集團的令人訝異的發現

這種另類研究還有一項好處是有機會看看駭客的想法與 IT 專業人士及其他企業受害者的想法有何落差。

Nuix 資安長 Chris Pogue 表示:「了解歹徒的想法和作法相當重要,防守的一方越能掌握狀況,就越能做好準備。」

我們發現某些觀點和大家以往對網路資安策略的想法互相牴觸,以下是一些令人訝異的研究發現:

  1. 入侵所需的時間越來越短:一項最令人訝異的數據是,今日駭客入侵目標系統所需的時間相當短。根據 Nuix 指出,企業大約要過了 250 至 300 天之後才會發覺自己發生資料外洩,但是駭客通常能在短短的 24 小時內強行入侵並偷走資料。事實上,這項調查還發現,大約有三分之一受害企業從未發現自己受到攻擊。Pogue 總結說:「企業必須從人員和技術雙重管道下手,來提升資料外洩的偵測和矯正能力。」
  2. 某些傳統的防護已經失效:這項調查也發現,儘管一般人都信賴像防火牆和防毒產品這類傳統的防護技術,但駭客表示這些防護幾乎不影響他們的攻擊速度。所幸,端點防護證實還能夠發揮阻礙駭客的效果。
  3. 駭客並非每次都使用相同的伎倆:一般人認為駭客一旦發現某項伎倆得逞,就會持續使用相同的攻擊方法,但其實不然。該調查發現,50% 以上的網路駭客在面對每個新的目標時都會更換手法。這表示駭客有可能使用我們從未見過的方法,因此那些針對過去攻擊手法的防護根本阻擋不了新式的攻擊。此外,這也會讓企業遭到零時差漏洞攻擊的機會增加。
  4. 漏洞攻擊套件並不如專家想像的那樣受到歡迎:同樣令研究人員訝異的一點是,漏洞攻擊套件並非歹徒用來策動攻擊的首選工具。事實上,多數的駭客 (72%) 都是利用社交工程技巧先蒐集情報再策動攻擊,僅有 3% 的攻擊會使用商用軟體工具和漏洞攻擊套件。絕大部分駭客偏愛開放原始碼工具 (60%) 或客製化工具 (21%)。

Continue reading “從駭客角度看資安: 四個來自網路犯罪集團的令人訝異的發現 “

企業如何對抗頑強的 CERBER 勒索病毒變種?

勒索病毒 Ransomware (勒索軟體/綁架病毒)在2016年相當地猖獗,出現大規模的攻擊活動及各種能夠對抗安全措施的新變種。在2016年年底,Locky和 CERBER勒索病毒家族似乎在市場佔有率方面遇上頻頸。但這隨著 CERBER 發展出新的躲避偵測能力而有所改變。根據 Security Intelligence的報導,CERBER在2017年的市場佔有率達到70%,並且在第一季末上升至90%。相較之下,Locky在2017年第一季只剩下2%的佔有率。

 CERBER已經展現其躲避安全軟體偵測的成功,為了犯罪活動而加以優化。新CERBER變種也開始會繞過機器學習工具,不過趨勢科技也站在解決這些問題的最前端。事實上,趨勢科技最近發表了一份報告秀出CERBER迄今為止的演變及如何維護安全性的進階解決方案。隨著CERBER持續對企業造成威脅,了解如何防範新變種及解決目前漏洞變得相當重要。

CERBER的快速變形讓其躲避偵測

就跟大多數惡意軟體一樣,CERBER透過垃圾郵件、漏洞攻擊套件及其他感染途徑散播。當接收者點入連結或開啟郵件時,程式會在背景被偷偷下載,開始加密檔案。但CERBER與許多其他勒索病毒不同。它不僅會重新命名目標副檔名和檔案名稱;微軟指出它也會選擇感染的資料夾。比方說,CERBER會避開系統資料夾,但會加密共享網路及本機磁碟上,進而讓感染擴散。

 

CERBER還經常進行升級,以「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)的形式賣給網路犯罪分子。這些修改使其很難被鎖定。在2016年,伺服器每15秒鐘改變一次CERBER,每次都產生新的哈希(Hash)。根據SecurityWeek,解決方案需要偵測這些哈希(Hash)來識別惡意軟體,但CERBER的快速變形技術讓其躲避偵測。這技巧是讓CERBER能夠繼續保持神祕並且讓新變種成功抵禦安全措施的關鍵。  Continue reading “企業如何對抗頑強的 CERBER 勒索病毒變種?”

為何 WannaCry 只勒索 300 美金,卻為企業帶來災難?

儘管 WannaCry 勒索蠕蟲所要求的贖金,相對於其他勒索病毒家族,其實並不算多 (300 美元),但因為它會透過網路共用來散布,所以企業每多一台電腦遭到感染,就必須多支付 300 美元贖金。如此一來,駭客將賺得荷包飽飽,但受害的企業卻損失慘重。

 

勒索病毒海撈 10 億美元

在 2016 年當中,勒索病毒 Ransomware (勒索軟體/綁架病毒)駭客集團已開始將目光從個人使用者轉移到更大的目標,也就是大大小小的企業機構,並且海撈了 10 億美元

才一年的時間,勒索病毒家族的數量就大幅成長 752%

早在 WannaCry(想哭)勒索病毒/勒索蠕蟲出現之前,全球的企業和個人使用者就已遭受勒索病毒所帶來的嚴重痛苦,這在我們的研究報告「勒索病毒的過去、現在和未來」(Rnsomware: Past, Present, and Future) 當中有詳盡的描述。才一年的時間,勒索病毒家族的數量就大幅成長 752%。


勒索病毒威脅在各地的分布 ,雅太區感染比例最高 (2016 年 1 月至 2017 年 3 月) Continue reading “為何 WannaCry 只勒索 300 美金,卻為企業帶來災難?”

Linux 很安全…對吧?安全不代表沒有漏洞! 

「Linux 伺服器沒有惡意程式威脅,它不就是為了安全而打造的嗎?」

「Linux 伺服器既安全又可靠,為何我們還需要什麼資安防護?」

「我不曉得網路上有什麼威脅,但我沒聽說過任何有關 Linux 伺服器遭受攻擊的重大事件。」

若您也同意上述的看法,那麼您跟很多人一樣。人們普遍認為 Linux 伺服器的安全性比 Windows 伺服器更好,漏洞也更少。儘管這樣的看法並非全然錯誤,但也不是完全正確。不過,若您真的相信這樣的說法,那您的企業可能就危險了。

安全不代表沒有漏洞 

隨著越來越多企業伺服器開始移轉到雲端上,主機端的網路防護就顯得更加重要,因為雲端工作負載必須在自身周圍築起一道防線來防衛自己。而且別忘了,工作負載還包括 Linux 上執行的應用程式,因此不能只考慮到作業系統就好。

採用一套主機式入侵防護 (IPS) 可有效防止核心作業系統「以及」應用程式的漏洞遭到攻擊。最近 Apache Struts-2 出現的問題就是一個可從網路發動攻擊的漏洞最佳範例,此外還有之前的 Heartbleed、Shellshock 等等。不僅如此,就算是多年前的舊漏洞 (如 Heartbleed),也可能因為應用程式和伺服器仍尚未修補而造成危險。根據 Shodan 最近所做的一項調查,全球目前仍有 18 萬台以上的伺服器含有Heartbleed 漏洞

若您的網站伺服器使用的正是 Linux 作業系統 (根據 W3Techs 的調查至少有 37% 的網站伺服器是使用 Linux),那麼您需要一套漏洞防護來防範 Apache、Nginx 等等的漏洞。

Continue reading “Linux 很安全…對吧?安全不代表沒有漏洞! “

四個行動裝置可能威脅企業的情況

多年前,行動電話、筆記型電腦、個人數位助理 (PDA) 等行動裝置在企業環境當中盛行了數十年。然而,隨著 Apple 的智慧型手機的推出,沒多久,企業員工就人手一台自己購買或公司配發的智慧型手機,而企業行動化的樣貌也徹底改觀。

儘管行動裝置管理領域多年來已有長足的進展,但仍有一些尚待解決的問題。例如,許多企業的資安措施多年來未曾更新,但駭客的技巧和手法卻不斷日新月異。

根據 2016 年 Ponemon Institute 針對企業資安人員所做的一份調查,67% 的受訪者表示其企業肯定或很可能已經發生資料外洩。此外,有 64% 的受訪者承認其企業在敏感資訊的防護方面缺乏戒心,有 63% 對於哪些公司資料可以儲存在員工行動裝置缺乏明確規範。

有四種情況,行動裝置很可能威脅企業並洩漏敏感資料:

1.使用者未能落實企業政策

員工是網路攻擊最大的外洩管道之一。儘管員工並非心懷惡意,但員工若未確實遵守公司或產業規範,就很可能讓公司大門敞開並引來駭客。根據 2016 年 Ponemon Institute 針對「全球 2000 大」(Global 2000) 企業所做的一份調查,67% 的受訪者表示其公司肯定或很可能已經因為使用行動裝置而發生資料外洩。此外,有 64% 的受訪者承認其企業在敏感資訊的防護方面缺乏戒心,有 63% 對於哪些公司資料可以儲存在員工行動裝置缺乏明確規範。

某些智慧型手機用戶並未使用鎖定畫面或者使用者驗證。

即使企業已經制定了良好的規範,但使用者若未能落實,還是會讓企業陷於資料外洩的風險當中。根據 2017 年 Pew Research Center 的一份報告指出,有些智慧型手機用戶並未養成一些簡單的良好習慣,例如隨時保持裝置更新,或是啟用裝置的使用者驗證功能。事實上,28% 的智慧型手機用戶未使用鎖定螢幕,40% 的用戶只有在覺得方便的時候才會更新裝置。這些懶惰的習慣,會讓不肖人士很容易掌握裝置並取得敏感資訊。

2.應用程式與裝置漏洞

Continue reading “四個行動裝置可能威脅企業的情況”

WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

 WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊,除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本,但根據我們持續不斷的分析發現,這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族,只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010,代號 EternalBlue,由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布,同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同?首先,它是所謂的無檔案型態病毒,UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件,因此不會留下什麼痕跡,所以更難偵測。

此外,UIWIX 的行為更加謹慎,只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在,就會自行終止。根據 UIWIX 程式內的字串顯示,它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點: Continue reading “WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來”

勒索病毒WannaCry 敲響的警鐘:經由資料外洩來賺黑心錢的模式已不流行

傳統經由資料外洩來賺黑心錢的模式已不流行,勒索病毒 WannaCry以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統,在短短 48 小時內就已喚醒了大家的意識,是時後面對日益壯大的網路犯罪地下市場及網路犯罪分子了….

 

勒索病毒WannaCry 與美國行政命令

 

作者:Ed Cabrera (趨勢科技網路安全長)

上週,美國白宮發表了一份行政命令,標題為「強化聯邦網路與重大基礎建設的網路資安」(Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)。諷刺的是,同一週,全球遭到了有史以來最大規模的單一勒索病毒攻擊(WannaCry(想哭)勒索病毒/勒索蠕蟲),據估計,全球已有 150 多國 20 多萬名受害者。本文的用意在於提醒大家注意星期五的行政命令,因為其中有一些不錯的規定,也順便點出其中不足之處,尤其是面對日益壯大的網路犯罪地下市場及網路犯罪分子。相信關於這一點,此次攻擊在短短 48 小時內就已喚醒了大家的意識,而且效果遠超過上千篇的部落格文章。

正當 Pawn Storm 的網路間諜與網路宣傳活動引起眾議之際,一波新的勒索病毒攻擊讓大家真正見識到當前全球最大的網路安全威脅,也就是:跨國網路犯罪。傳統經由資料外洩來賺黑心錢的模式已不流行,現在,網路勒索更有賺頭。勒索病毒攻擊基本上就是「快又狠」。網路犯罪集團幾小時或幾天之內就能海撈一票。這波攻擊利用了一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統仍在使用當中。儘管資安產業大多專注在感染症狀、漏洞管理的重要性、良好的網路使用習慣,以及國家級的駭客攻擊等等,但真正迫切的毒瘤是全球虛擬與實體犯罪天堂數量龐大的跨國網路犯罪人口。

看看美國的這份行政命令,再對照此次的攻擊,其有些規定確實能幫助聯邦政府適當評估其部門和機構的網路攻擊風險。而更重要的是,管理這些風險的責任和預算將交由部長級與局長級的人員來負責。在聯邦政府資安長 (CISO) 們的努力下,聯邦政府的資安情況已經獲得改善,但這項轉變若要持續下去,他們就必須獲得所需的資源。所以問題是:聯邦政府的資安長們 (或權責單位) 是否將掌握充分的資源來面對不斷變化的威脅情勢。這又回到我對這份行政命令的最大質疑:該命令只是治標而不治本。它並未充分發揮團隊合作的力量。俄羅斯地下市場的網路犯罪分子在這波攻擊當中展現了相當程度彼此信賴。過去 17 年來,他們創造了一個讓各技術層次的網路犯罪分子都能共同策劃、發動攻擊並共享利潤的機制,其受害者遍及各國的公家機關和民間企業。反觀我們,目前就連達成自我防衛的最基本互信都還做不到。

不過好消息是,經過了這次的事件,事情開始有所轉變,全球各地的資訊分享分析中心 (Information Sharing Analysis Center,簡稱 ISAC) 與資訊分享分析機構 (Information Sharing Analysis Organization,簡稱 ISAO) 以及其會員和資安產業合作夥伴們,一直不眠不休地提供一些可採取行動的情報。我要特別恭喜 HITRUST 成功地將訊息傳達給美國的醫療機構來協助發掘並分享一些偵測指標與災情評估。此次的合作讓我們不僅能保護我們自己的客戶,更對整體產業的防禦能力帶來正面影響。

在我們建立一套全面的機制來解決跨國網路犯罪問題、讓歹徒無法來去自如、無利可圖之前,同樣的情況還會繼續發生。目前我們可以做的就是:繼續保持合作,透過一次一次像這樣的事件來建立彼此的信任,最終就能提升我們全體的防禦能力。

[編輯備註:如需最新的 WannaCry 資訊與相關的趨勢科技產品訊息,請參閱。] 

 

 

面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼?

WannaCry 勒索病毒竟有個「關閉開關」,可讓該病毒就算已經進入電腦也不會執行?!

IT 系統管理員針對三種不同情況該採取什麼步驟:

o  電腦處於睡眠模式

o  電腦已被「喚醒」

o  惡意檔案或元件已進入系統當中

WannaCry(想哭)勒索病毒/勒索蠕蟲 的疫情或許哀鴻遍野,但仍有一絲曙光:勒索病毒當中有一個「關閉開關」可讓該病毒就算已經進入電腦也不會執行。

若上週末 WannaCry 病毒肆虐時,您的電腦正處於睡眠狀態,那麼您的電腦有很大的機會可以躲過 WannaCry 這次的災情。但萬一您的電腦已經醒來呢?簡單來說,您還是有機會避免勒索病毒加密您的檔案。其實,這是 IT 系統管理員和資安人員修補、更新系統的大好機會,既能防止 WannaCry,又能防範未來可能出現的類似威脅。

您可採取以下步驟來檢查您的系統和網路是否在週末期間遭到該病毒攻擊。

[延伸閱讀: 趨勢科技最新的 WannaCry 防護更新]

原本處於睡眠狀態的電腦不會被感染,因此立刻修補漏洞就能防範。

根據趨勢科技的模擬分析,WannaCry 勒索病毒無法攻擊正處於睡眠狀態的電腦,就算其 TCP 連接埠 445 已開放且系統漏洞仍未修補也不會有事。

WannaCry 勒索病毒在感染及散布過程當中必須連上其攻擊的電腦。因此,如果電腦正處於睡眠狀態,病毒就無法連上電腦。此時,病毒會繼續嘗試下一個 IP 位址,看看能不能連上其他電腦。

換句話說,IT 系統管理員可趁機趕快修補 WannaCry 所攻擊的漏洞,就能盡量遏止感染。

[資安部落格文章: WannaCry/Wcry 勒索病毒技術層面分析]

當電腦「醒來」的時候會發生什麼事?

Continue reading “面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼?”