伺服器是今日全球各種IT環境內的基石。它們的任務包羅萬象,從處理電子郵件到提供網頁、管理資料庫和運行應用程式。因此,伺服器防護也順理成章地成為資訊安全長(CISO)全方位安全防護策略的主要一環。隨著資料中心的現代化及雲端技術的廣泛使用,選擇對的安全廠商變得比任何時候都更加重要。這是個日漸擁擠的市場,根據IDC的分析(註),2014年的全球市場價值超過8億美元。而這是趨勢科技過去六年來一直保持領先地位的領域,得益於持續不斷的技術創新加上一心一意地專注在客戶需求。
IDC最新報告指出趨勢科技為企業伺服器防護的全球領導者,在2014年的全球市場佔有率已經上升到30.3%。
邁向十億美元的市場 繼續閱讀
Microsoft 宣布停止支援舊版的 Internet Explorer 瀏覽器,也就是 IE 8、9、10。這項聲明是 2016 年 1 月份例行安全更新 (Patch Tuesday) 所發布消息之一,同時間發布的其他消息還有 Windows 8 也將終止支援。這意味著,Microsoft 將不再更新舊版的 IE 瀏覽器,即日起唯有使用最新的 IE 版本 (Internet Explorer 11) 才能獲得更新和修補 (除少數例外之外) 。不論是一般使用者或企業用戶,只要沒有升級到最新的瀏覽器版本,就有可能暴露在危險當中。
舊版的 IE 瀏覽器將不再收到任何修補程式,任何有關舊版
瀏覽器的安全問題也將不再修正,如此一來,使用舊版瀏覽器的系統將無法抵抗新發現的威脅。萬一出現新的專門針對舊版 IE 的零時差漏洞攻擊,系統將因無修補程式可用而受到攻擊。此一漏洞修補落差將隨著時間而擴大,其潛在攻擊風險也將越來越高。過去,IE 瀏覽器一直是漏洞攻擊套件最愛的目標,最近就出現了專門攻擊 Hacking Team 資料外洩 揭露之某漏洞的案例。
目前還有相當多的使用者仍暴露在危險當中,根據 Net Market Share 在 2015 年 12 月所做的瀏覽器使用率調查顯示,將近 20% 的使用者仍在使用舊版 IE 瀏覽器:
圖 1:2015 年 12 月瀏覽器使用率調查。
此問題的解決之道,依然是升級至最新版的瀏覽器。升級至最新版本不僅可以藉由新版本的功能來提升安全,還可提供更順暢的使用體驗,並且符合最新的網站標準。不過,有些企業可能需要更多時間來測試並解決瀏覽器相容性問題,避免其仰賴 IE 的內部網站應用程式無法運作。針對這類企業,Microsoft 的EMET 倒是一個相當不錯的實用工具。 繼續閱讀
輕井君所收到的是打開附檔就會感染病毒的攻擊郵件。駭客鎖定特定的企業及組織作為目標,寄出的郵件夾帶了偽裝成公司會議紀錄、內部資料或請款單等的病毒檔案。讓企業員工在沒有防備的狀況下誤開啟了病毒郵件。這一類的手法已日新月異越來越高明。 繼續閱讀
一起鎖定某跨國企業法務部門三名員工的「魚叉式網路釣魚(Spear Phishing)」郵件能逞嗎?
針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法,其中包含「魚叉式網路釣魚(Spear Phishing)」
魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其祕密通訊網路,然後朝攻擊的下一階段邁進。
檢視「防範魚叉式網路釣魚:保護電子郵件如何能夠防止針對性攻擊」
2015年稍早,醫療保險公司 Anthem Inc. 發出聲明表示自己發生了一起大規模的資料外洩,導致 8,000 萬名客戶受到影響。根據媒體報導,駭客經由一項精密的針對性攻擊/鎖定目標攻擊(Targeted attack ) 取得了進入 Anthem 公司 IT 系統的權限,進而竊取系統上儲存的個人資料。有些人對於企業資料外洩事件或許略知一二,但很少有人知道實際發生的經過以及網路犯罪集團所用的手法。
在所謂的「針對性攻擊/鎖定目標攻擊(Targeted attack ) 」當中,駭客必須擁有相當高的專業技能以及充裕的資源來進行這類長期的計謀。針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法。
駭客會利用各種最新時事、業務相關內容,以及攻擊目標可能有興趣的資訊來從事社交工程(social engineering )攻擊。此外,後門程式、零時差或軟體漏洞攻擊、水坑式攻擊、魚叉式網路釣魚等等,也是歹徒經常用來竊取資訊的技巧。
雖然一般的網路釣魚(Phishing)和魚叉式網路釣魚所使用的技巧類似,但兩者之間還是有所差別。網路釣魚基本上是一種針對大量目標的亂槍打鳥式攻擊,但魚叉式網路釣魚則是專門針對特定目標。兩者的差異在於,一般的網路釣魚(Phishing)相對單純,歹徒一旦偷到受害人的資料 (如網路銀行登入資訊),就算達到目的。但對於魚叉式網路釣魚來說,取得登入資訊或個人資訊通常只是攻擊的開端,這是歹徒進入目標網路的手段,只能算是的跳板而已針對性攻擊/鎖定目標攻擊(Targeted attack ) 。
何謂魚叉式網路釣魚攻擊?
前面提到,魚叉式網路釣魚是專門針對特定對象的網路釣魚(Phishing),其對象通常是某個機構,其最終目標是取得機密資訊,其技巧則包括:假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。預算和一般網路釣魚(Phishing)的都會誘騙目標對象開啟郵件中的附件檔案或點選郵件中的連結。 繼續閱讀
趨勢科技最近新發現了一起由資金雄厚的駭客組織所發動的網路間諜攻擊行動,主要鎖定亞洲一些重要產業當中與政府有密切關係的民間企業,包括:民營化政府機構及政府承包商,此外還有消費性電子、電腦、醫療、金融等產業。
該組織從 2010 年起活躍至今,我們根據其某個後門程式中的 mutex 名稱將這起行動命名為「Shrouded Crossbow」(暗弩) 行動。我們的研究指出,該組織財力雄厚,足以買下某個熱門惡意程式工具的原始程式碼,並擁有充足的人力根據這份程式碼開發出自己的改良版本。
BIFROSE、KIVARS 和 XBOW
BIFROSE (亦稱為 Bifrost) 惡意程式過去在地下市場上的售價高達 10,000 美元。我們曾在一起針對政府機構的攻擊和「Here You Have Mail」(您有來信) 垃圾郵件行動當中看過這個惡意程式。儘管 BIFROSE 的網路封包和行為已經廣為業界所知,但該團體仍有辦法在其攻擊行動當中充分運用這個惡意程式。
以下這段程式碼顯示 BIFROSE 回報 (phone home) 給幕後操縱 (C&C) 伺服器的受害者資料。
圖 1:BIFROSE 的回報訊息。
從 2010 年起,這項攻擊行動開始使用另一個後門程式:KIVARS。雖然此程式在載入器和後門工具兩部分的設計與 PLUGX 類似,但從其回報訊息內容看來,似乎與 BIFROSE 的關係更為密切。
圖 2:KIVARS 的回報訊息。
儘管 KIVARS 在功能上沒有 BIFROSE 來得豐富,但對該組織來說仍不失為一個好用的後門工具。事實上,為了因應 64 位元系統的日益普及,KIVARS 在 2013 年更推出了 64 位元的升級版本。
我們認為該組織應該是買下了 BIFROSE 的原始程式碼並加以改良,然後再設計出一套新的安裝流程,以及一個新的程式產生器來產生成對的載入器和後門工具,並且將後門功能加以精簡,結果就成了目前的 KIVARS。這意味著,要不是有人在背後資助這項攻擊行動,就是這個組織本身就擁有足夠的財力和人力可將現有的後門程式加以改良。
有趣的是,KIVARS 某些程式資料庫 (PDB) 檔案的路徑採用的是「BR」+{年份} 的命名方式,這一點似乎與 KIVARS 的名稱不符。我們認為「BR」兩個字母很可能是代表 Bifrose RAT。
圖 3:KIVARS 某些程式資料庫 (PDB) 檔案的路徑。
除此之外,這項攻擊行動還使用了另一個自行開發的後門程式,叫做「XBOW」。XBOW 的發展最遠可追溯至 2010 年中期,其設計靈感應該是來自 BIFROSE 和 KIVARS。
從下圖的 XBOW 組合語言程式碼當中我們可以找到「Recent」、「Desktop」和「Program」等資料夾名稱,這些同樣也出現在 BIFROSE 和 KIVARS 的回報訊息當中。 繼續閱讀