企業資安 - 資安趨勢部落格

濫用 PowerShell 的無檔案病毒興起

2017 年 07 月 04 日2017 年 06 月 29 日趨勢科技 TrendMicro

網路犯罪分子越來越常利用系統內建工具或服務來散播惡意軟體,原因是方便、有效和隱蔽。舉例來說，利用這些合法工具可以讓威脅活動混在正常的網路流量或IT/系統管理工作內,也讓這些惡意威脅能夠留下較少的痕跡，使得偵測更加困難。無檔案病毒就是其中一個例子。

無檔案病毒意味著沒有檔案被寫入或下載至受感染機器的本地磁碟執行。相對地，它們會在系統的記憶體內執行，或駐留在系統註冊表內以取得持久性。在典型的無檔案病毒感染中，有效載荷可以被注入現有應用程式/軟體的記憶體內，或透過白名單內的應用程式（如PowerShell）來執行腳本。

即便它們不是基於檔案（或可執行檔）的威脅，我們知道它們確實在外活動著，因為此類技術已經常地被使用在針對性攻擊/鎖定目標攻擊(Targeted attack )中。無檔案病毒最可被察覺的是網路蹤跡，像是命令與控制（C&C）連線，和其他留在中毒系統內的惡意程式碼。不幸的是無檔案病毒也可以在公開的專案計畫中取到，甚至在網路地下市場作為產品（或服務）提供。無檔案病毒也是如Angler等漏洞攻擊的主要功能之一。舉例來說，網路犯罪集團Lurk利用自己所開發的漏洞攻擊套件來透過無檔案病毒從金融機構竊取超過4,500萬美元。

[延伸閱讀：無檔案勒索病毒技術全貌 – UIWIX]

惡意PowerShell腳本是許多無檔案病毒的關鍵要素。Windows PowerShell是內建基於.NET框架的命令列Shell，提供使用者存取作業系統（OS）服務的介面，也是能夠建立腳本的程式語言。PowerShell主要用來自動化系統管理工作，像是檢視系統內所有的USB設備、磁碟和服務，排程工作並在背景執行，或是終止程序（就像是工作管理員）。PowerShell也可以讓管理員無縫管理系統和伺服器及軟體或服務所運行環境的設定。繼續閱讀

目標式勒索:勒索病毒採 APT 攻擊手法再進化 , 某企業超過一百台伺服器被 SOREBRECT 加密

2017 年 06 月 30 日2018 年 10 月 23 日趨勢科技 TrendMicro

某企業超過一百台的伺服器被勒索病毒加密

勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊頻傳，災情遍佈各地，在各資安防護廠商積極防禦勒索病毒之時，惡意攻擊者也更上一層樓，發展出新的攻擊手法。日前趨勢科技發現一波勒索病毒攻擊事件，攻擊目標是一般企業，其中某間遭駭的公司超過一百台的伺服器被勒索病毒加密，檔案遭到加密後的副檔名為「.Pr0tect」。趨勢科技產品可偵測此頗勒索病毒為 RANSOM_SOREBRECT.A 和 RANSOM_SOREBRECT.B 。

SOREBRECT起初僅存在於中東地區的黎巴嫩及科威特等等國家，但漸漸地擴散出去，加拿大、中國、克羅埃西亞、義大利、日本、墨西哥、俄羅斯、台灣、美國都能夠見到其蹤跡。

▍ 延伸閱讀:內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT ▍

APT 攻擊手法:先取得管理者權限的帳號密碼資訊，再進行內網擴散

這起勒索病毒攻擊事件採用完全不同的新攻擊手法。以往受害者多是收到惡意電子郵件，或是瀏覽受駭網站或惡意廣告，遭到附加其中的勒索病毒攻擊，而這一起攻擊事件是駭客從外部入侵，取得內網具管理者權限的帳號密碼等機敏資訊，並進行內網擴散活動，將重要伺服器上的檔案加密，攻擊結束後它會刪除系統上的事件記錄（Event Log）和其他相關資訊，並且使用TOR洋蔥路由器來隱藏其通訊，使得資安部門無法有效調查攻擊事件。

繼續閱讀

商業流程入侵 (BPC)：進階目標式攻擊的下一個步驟

2017 年 06 月 28 日2017 年 06 月 20 日趨勢科技 TrendMicro

近幾年來，針對性攻擊/鎖定目標攻擊(Targeted attack ) 已有長足發展，其會鎖定特定對象並採用越來越進階的技術來發動攻擊。一般來說，這類駭客會鎖定企業內的單一成員、竊取其憑證、登入帳戶，並冒用這個帳戶來尋找敏感資訊。變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)就是駭客將惡意活動推展到新境界的手法之一，其會運用密集研究與量身訂做的訊息來達到入侵目的。

不過，現在又有新的威脅曝光了：商業流程入侵 (BPC)。BPC 聽起來跟 BEC 很像，但卻是完全不同的概念。

BPC 的運作方式

從趨勢科技的這段影片可以看出，BPC 駭客並非鎖定受害組織中的特定成員，而是鎖定企業中的特定流程，這些流程是完成重要日常作業的關鍵環節。一旦侵入系統之後，駭客就會試圖透過活動、漏洞或整個系統進行滲透，並使用這項弱點作為攻擊主力。

這種攻擊模式的目的是要盡量取得組織的流程資訊，包括商業用的所有活動和系統。駭客可以從這裡查出相關流程和平台的漏洞，並進行巧妙的調整或操控。如此一來，從公司的角度來看，系統仍照常運作。但是，網路罪犯卻躲在背後竊取資料、詐取利潤，甚至盜取實際商品。

BPC 有成功過嗎？

繼續閱讀

駭客如何反將組織一軍?

2017 年 06 月 27 日2017 年 06 月 27 日趨勢科技 TrendMicro

伺機而動：駭客如何反制防護策略並用於攻擊

在運動電影、戰爭故事和犯罪情節當中，總會出現下列主軸：知己知彼，百戰百勝。

人們在層層設定 (包括網路安全領域) 中，採用了這種戰術，且通常成功率很高。安全研究人員不斷努力徹查並瞭解駭客使用的技術，以便打造可防禦特定威脅的目標式防護。不過，大多數人都沒有發現到，在防護端另一側的敵人，也正發展出相同的策略趨勢。

惡意的駭客與白帽駭客一樣，都持續精進自己的技術。再者，現在有些攻擊者並不會採用已知的系統漏洞，反而想利用組織部署的惡意行動封鎖防護措施，來反將組織一軍。

這些安全措施本應讓消費者與企業用來保護最重要的資料與內容，為何反被網路罪犯作為攻擊武器？接下來，讓我們來看看目前駭客會使用的幾個狡猾技術。

員工平日訓練有素? 駭客總有辦法突破心防

許多企業的安全防禦基礎之一，是對員工進行專業的特殊培訓。這有助員工瞭解如何找出具有攻擊徵兆的惡意活動，並掌握自己在公司整體資料防護中所扮演的個別角色。許多的培訓課程都教導員工，除非獲得授權人或團體的許可，否則都不要提供個人或公司的敏感詳細資料。

對此，駭客可偽造冒牌電子郵件，引誘受害者點選會干擾內部系統的惡意連結。

擬定這個策略後，駭客即開始利用網路釣魚（Phishing），該技術會依靠仿真的訊息，說服受害者提供敏感資訊。在這類攻擊當中，攻擊者可能會偽造來自權威機構 (例如銀行或執法部門) 且看似合法的訊息。

在某些案例中，當攻擊者鎖定特定企業的成員時，駭客會竭盡所能地瞭解這些對象，並偽造出一封與他們高度相關的訊息。其中可能包括該對象的姓名、公司職稱和其他詳細資料，以吸引閱信者的目光，並誘使他們點選惡意連結或足以干擾系統的附件。繼續閱讀

內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT

2017 年 06 月 26 日2017 年 06 月 30 日趨勢科技 TrendMicro

無檔案式威脅和勒索病毒 Ransomware (勒索軟體/綁架病毒)早已不是新聞，但若這兩種特性結合起來，將變得相當危險。前一陣子趨勢科技發現的 SOREBRECT 勒索病毒 (RANSOM_SOREBRECT.A 和 RANSOM_SOREBRECT.B) 就是最好例子。

▍《延伸閱讀》勒索病毒採 APT 手法再進擊 , 某企業超過一百台伺服器被 SOREBRECT 加密 ▍

趨勢科技今年第二季初監控全球威脅情勢時首次發現 SOREBRECT 勒索病毒，經過擷取與分析樣本之後，我們發現 SOREBRECT 採用了一種特殊的技巧來執行檔案加密。此外，還有一個值得注意的地方是它使用了 PsExec 這個遠端執行工具。SOREBRECT 顯然是用這工具來執行勒索病毒的程式碼注射功能。

匿蹤是 SOREBRECT 最拿手的把戲

雖然 SOREBRECT 的最終目標依然是將系統上的檔案加密，但匿蹤卻是它最拿手的把戲。由於勒索病毒內建自我摧毀功能，因此可歸類為無檔案式病毒。它會先將自己的加密程式碼注射到某個正常的系統執行程序當中，然後再將自己的主程式終止。此外，SOREBRECT 還會大費周章刪除受害系統上的事件記錄檔 (Event Log) 和其他可供鑑識分析的資訊 (如系統上所執行過的檔案與時間，也就是系統的 appcompat/shimcache 和 prefetch)，這樣的作法可避免留下可供分析軟體追蹤的活動痕跡。

我們在網路上首次發現 SOREBRECT 的樣本時，它的數量還算不多，而且大多集中在科威特、黎巴嫩等中東國家。但到了五月初，便開始在加拿大、中國、克羅埃西亞、義大利、日本、墨西哥、俄羅斯、台灣以及美國發現 SOREBRECT 病毒的蹤跡，受害的產業包括製造、科技與電信業。有鑑於勒索病毒的潛在破壞力與獲利能力，SOREBRECT 會出現在其他國家也就不足為奇，甚至滲透到網路犯罪地下網路，成為歹徒兜售的一種服務。

圖 1：SOREBRECT 攻擊過程。

程式碼注入系統執行程序之後就會銷毀檔案，採集病毒樣本成了挑戰

SOREBRECT 在攻擊過程當中運用了一個正常的 Windows 指令列工具叫「PsExec」，此工具可讓系統管理員在本地端執行指令或在遠端系統上執行某個執行檔。歹徒之所以能夠利用 PsExec 在電腦上安裝 SOREBRECT 病毒，顯然系統管理員的帳號密碼已經被歹徒掌握，或者遠端電腦已經被入侵，或者其密碼已遭暴力破解。SOREBRECT 並非第一個利用 PsExec 工具的勒索病毒，例如：SAMSAM、Petya 及其衍生變種 PetrWrap (趨勢科技分別命名為 RANSOM_SAMSAM 和 RANSOM_PETYA) 也會利用 PsExec 在已遭入侵的伺服器或端點上安裝勒索病毒。

然而 SOREBRECT 的作法又更加高明，它會在系統上安裝 PsExec，然後將自己的程式碼注射到 Windows 的系統執行程序 svchost.exe當中，然後再將自己的主程式庫銷毀。這兩種能力的結合非常強大：勒索病毒主程式庫在執行完成之後將自我銷毀，但被注入 Windows 服務執行程序 svchost.exe 當中的程式碼卻能繼續執行檔案加密動作。由於 SOREBRECT 在將程式碼注入系統執行程序之後就會銷毀檔案，因此，採集該病毒的樣本變成了一項挑戰。繼續閱讀