企業資安 - 資安趨勢部落格

防禦使用Tor（The Onion Router）匿名服務的惡意軟體(一)

2014 年 03 月 07 日2014 年 03 月 03 日趨勢科技 TrendMicro

在過去的幾個月裡，Tor（The Onion Router）匿名服務因為各種原因出現在新聞上。最為人所知的可能是它被用在現已關閉的Silk Road地下市場。在趨勢科技標題為「深層網路和網路犯罪」的白皮書裡深入探討了深層網路的話題。在2014年預測裡，提到網路犯罪份子會進入更深層的地下世界，其中一部份會更多的使用Tor。

網路犯罪分子顯然沒有對Tor的潛力視而不見，網路管理者也必須考慮到使用Tor的惡意軟體可能會出現在自己的網路內。他們該如何應對這方面的發展？

到底什麼是Tor？

Tor被設計來解決一個相當具體的問題：阻止中間人（如網路管理者、網路服務供應商、甚至是國家）來確認或封鎖使用者所連上的網站。它如何做到這一點？

之前被稱為「洋蔥路由器」，Tor是洋蔥路由概念的實作，會有許多網路上的節點提供網路流量的中繼服務。想要使用Tor網路的使用者會安裝一個客戶端程式在自己的電腦上。

這個客戶端程式會連上一個Tor目錄伺服器來得到節點列表。使用者的Tor客戶端會選出一條網路流量路徑，透過各個Tor節點來到達目的地伺服器。這路徑就是為了不容易被追蹤。此外，節點間的所有通訊都被加密過。（關於Tor的更多詳情可以在Tor專案官方網站上找到。）

實際上，這會對你所連上的網站，以及任何在你行經路徑上可能會監聽你網路流量的攻擊者隱藏住你的身份（或至少IP地址）。對一個想要隱藏自己行蹤，或因某種原因被試圖連上的伺服器拒絕IP地址的訪客來說很有用。

這可以用來做合法和非法的用途。不幸的是，這意味著它可以，並且已經用在惡意目的上。

它如何被用在惡意用途？

就跟其他人一樣，惡意軟體可以很容易地使用Tor。在2013年下半年，我們看到更多惡意軟體利用它來隱藏自己的網路流量。在九月，我們有篇部落格文章提到Mevade惡意軟體下載Tor元件以作為命令與控制（C＆C）通訊的備援。2013年10月，荷蘭警方逮捕了四名TorRAT惡意軟體的幕後黑手，這是一個利用Tor進行C&C通訊的惡意軟體家族。這惡意軟體家族針對荷蘭使用者的銀行帳戶。調查工作很困難，因為它使用了地下加密服務來逃避偵測，並且使用加密電子貨幣（如比特幣）。

在2013年的最後幾個禮拜，我們看到一些勒索軟體Ransomware變種稱自己為Cryptorbit，明確地要求受害者使用Tor瀏覽器（帶有預先Tor設定的瀏覽器）來支付贖金。（該名稱的靈感可能來自於惡名昭彰的CryptoLocker惡意軟體，它也有著類似的行為。）

圖一、使用 Tor之勒索軟體的警告

趨勢科技曾論了幾個ZBOT樣本，除了使用Tor來進行C＆C連線的樣本，還有樣本會將自己的64位元版本嵌入正常的32位元版本內。

圖二、執行中的64位元ZBOT惡意軟體

繼續閱讀

IT 部門因網路活動劇增而擔憂無法偵測威脅

2014 年 02 月 24 日2014 年 02 月 24 日趨勢科技 TrendMicro

有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示，許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心，需要擁有額外的監控能力。

這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況，其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動，像是Target零售商的資料外洩，行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭，以及針對Skype的攻擊。

對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅，英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。

此一不斷高漲的IT風險意識不需要變成了恐慌，但是組織必須建立新的安全策略，不只是來自IT管理者，還要包括其他部門人員的加入，因為網路攻擊可能會中斷整間企業運作。從技術角度來看，整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。

RedSeal調查顯示英國對於防備能力的廣泛擔憂

RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層，公司的運作可以在面對攻擊時保持安全，超過36％的人表示自己不能這樣說。

不過對這些主管來說，真正要面對的現實問題是採購流程和人員方面，而不是網路罪犯能力的突然增加。有近三分之一受訪者證實，他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案，有28 ％的人希望可以有更好的工具來處理網路資料過多的問題。

「網路犯罪社群知道企業已經無法處理過多的資料，而且沒有足夠的資源或工具來保護他們寶貴的資產，所以他們可以利用這些弱點，」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案，讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來，IT部門就能夠對全盤網路安全架構有可見性，使他們能夠捍衛自己的系統，對抗複雜性網路攻擊。」

溝通是另一常見的絆腳石，有60％的人反應說，在討論組織安全時，高層和IT部門的瞭解不同。同樣地，多數受訪者對於利用關鍵績效指標來展示進度有困難。

在攻擊偵測和回應前線要做的事

RedSeal對於企業要使用自動化解決方案的建議是第一步，特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言，他們甚至不知道自己是否被駭客攻擊過，因為他們的系統內充斥著過多的資料，以致於不可能精確定位攻擊。

面對威脅真正問題並不完全是技術方面，有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌，作者Peter Singer認為，公司的高階主管應該要更多地了解IT風險，尤其是因為70％的企業高階主管必須為公司做出關於網路安全的決定。繼續閱讀

給IT管理員的 6 個網路安全建議

2013 年 11 月 25 日2013 年 11 月 18 日趨勢科技 TrendMicro

趨勢科技在過去所紀錄的攻擊事件證實了駭客所共用的一個策略：找出弱點並加以攻擊。不管是紐約時報或是亞洲的小公司，起始點都是透過弱點而入侵。這個弱點可能是關於技術（有漏洞的軟體）或非技術（沒有警覺的員工）。

這個發現強調了要有全面性的防禦來對抗這類攻擊。如同趨勢科技的研究人員 – Jim Gogolinski在之前的報告裡提過，企業對於針對性攻擊並非束手無策。然而，建立堅強的防禦策略需要資源，以及組織本身的大力配合。

特別是駭客攻擊，確保公司網路安全需要主動和被動性的安全策略。下面是一些可以幫助IT管理員的建議，確保他們的公司網站安全。

主動式步驟來對抗駭客攻擊

實施可以定期測試和部署更新的計畫，尤其是安全更新。
檢查所有端點和伺服器上安裝的軟體，確保在最新狀態。
確認每個地方都有部署安全軟體（而且在使用中）。也要設定好來偵測和預防攻擊的各個階段，同時也要監控網路、硬碟和記憶體內所出現的各種狀況。
流程和標準作業程序（SOP）在建立時要考慮到安全性。這不只是適用於員工，還包括合作夥伴、承包商和客戶。
調查任何異常的網路和系統行為。攻擊通常都以偵察開始，這類可疑的活動可能是攻擊的第一個跡象。
持續和所有必要單位（不只是IT團隊）規劃和審查你的事件回應程序。Jim也在他之前的報告裡討論到如何實施這些程序 – 「如何讓社交工程訓練有效果？」

被攻擊時怎麼辦

過去有些攻擊會被「公布」。攻擊細節 – 像是何時會發生、目標是誰 – 都會事先向公眾宣布。在這種情況下，企業最重要的是要確保所有的主動防禦措施（如上面所列的）都有到位，並且對於網路和日誌檔都維持高等級的警覺程度。

布的行動，以及它們公開出來的戰術、工具和程序都是評估和改進現實防禦對策的難得機會。趁此機會來訓練員工、流程和技術去識別針對性攻擊的跡象，不管是已公開還是隱藏的行動。

然而，不管公布的攻擊是否會帶來更多的風險，重要的是企業要有自己的防禦計畫。最終會證明，確保網路安全的成本跟被入侵成功相較起來是微不足道的。

@原文出處：Security Strategies Against Hacking Attacks

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

按<這裡>下載 2013台灣進階持續性威脅白皮書

IT 部門如何以更少的資源來做更多的事?是時候重新檢視你的安全模型了

2013 年 11 月 18 日2013 年 11 月 12 日趨勢科技 TrendMicro

Forrester:組織部署單一廠商模式可以：

減少60％需要被修復的安全問題

修復時間減少50％

每周減少120個最終使用者小時在安全相關的停機或緩慢問題

許多組織仍在沿用多年前所開發的安全模式，而無法反應解決今日挑戰所需的改變，包括威脅形勢的改變，經濟狀況的改變，以及需要以更少資源做更多事的改變。

威脅形勢已經從過去的病毒爆發、垃圾郵件(SPAM)和惡意軟體，到今日的網路犯罪分子會針對特定使用者、群組或組織來製造魚叉式網路釣魚（Phishing）攻擊，包含針對受害者所設計的客製化惡意軟體或客製化連結。如果組織沒有改變他們的安全模型以因應這些改變，成為下一個受害者的風險就會提高。

隨著世界市場繼續著全球性經濟衰退，預算也繼續受到限制，IT部門必須不斷地更少的資源來做更多的事。IT安全預算花費會基於舊的模式，正因為如此，很可能讓組織沒辦法利用規模經濟和商品化特定的解決方案。

在過去幾年間，我們看到需要有一種新的方法來面對這些改變，檢視你目前的安全模型，問問自己底下的問題以幫助你降低風險和成本。

你是否將主要預算都花在解決兩三年前重大威脅的解決方案上，像是垃圾郵件。但現在你可能要更專注於反釣魚攻擊上？
你是否將主要預算都花在現在已經被大量商品化的安全解決方案上？
你是否支持多家防毒廠商解決方案，因為在過去，你認為一家沒有偵測到惡意軟體，另外一家就可以偵測到？

我們在今日經常看到這些狀況，並且會建議一個不同的模型，來同時面對威脅形勢的轉變以及經濟狀況的改變。

趨勢科技委託Forrester研究公司採訪四家全球性的公司，以確定採不採用單一廠商模式會不會提高他們的安全投資 – 從更好的保護和修復角度，以及從投資回報率的角度來看。他們發現，組織部署單一廠商模式可以達到以下幾點：

減少60％需要被修復的安全問題
修復時間減少50％
每周減少120個最終使用者小時在安全相關的停機或緩慢問題上

更重要的是，Forrester計算出這些公司平均有146％對初始投資的回報率，平均投資回收期只需5.3個月。當今的威脅形勢需要能夠在最短時間內保護公司，對抗新的客製化攻擊。因此，可以整合攻擊期間內所需要面對的廠商數量，可以讓他們更快的去處理問題。將組織內所使用的安全解決方案整合成單一廠商解決方案，並使用單一的管理控制台，讓企業對於正在發生的事情更有能見度，花更少的時間去學習和處理多個廠商的解決方案。結果不言自明，這些企業現在可以用更少的資源做更多的事情，無論是用來管理整個解決方案的時間，或是用來識別並解決新威脅所所花費的時間。

趨勢科技一直都表現出自己是應對新威脅速度最快的安全廠商之一。

NSS實驗室是唯一在測試裡加入防護反應時間因子的測試單位。從三個獨立的測試中，趨勢科技顯示出最快的反應時間。

資料來源：NSS實驗室2009年消費者報告（防護反應時間結果）

繼續閱讀

勒索軟體CryptoLocker,攻擊個案翻兩倍

2013 年 11 月 12 日2013 年 11 月 12 日趨勢科技 TrendMicro

過去的幾個星期以來，我們看到 CryptoLocker惡意軟體散播的數量在增加。這種新的勒索軟體 Ransomware在過去幾個禮拜內攻擊了更多的使用者。和九月份相比，十月份可以確認的案例數量已經增加了幾乎兩倍。

CryptoLocker的受害者在不同地區都有出現，包括北美、歐洲、中東和亞太地區。在之前，我們討論了這些威脅是如何透過電子郵件到達。CryptoLocker可以被看作是先前已知威脅（勒索軟體）的進化。這樣的「改進」是趨勢科技在2013年安全預測裡所提過的，網路犯罪分子會將重點放在改進現有的工具，而非創造全新的威脅。

我能做些什麼？

有不同的方法可以讓個人或組織來面對CryptoLocker所帶來的威脅。由於這種威脅開始於垃圾郵件攜帶TROJ_UPATRE（下載器），它想成功就取決於郵件內所使用的社交工程陷阱( Social Engineering)誘餌，以及使用者如何去回應它。

讓我們從簡單的電腦安全實作開始（往往也最常被忽視）。想想看，當開啟帶有附件的郵件時，一般都要：

確認電子郵件的寄件者身分。
如果電子郵件號稱來自銀行，請與你的銀行確認這收到的郵件是否為真。如果來自一般聯絡人，確認他們是否有寄過這郵件。不要僅僅依賴於信任關係，因為你的朋友或家人也可能是垃圾郵件(SPAM)的受害者。
仔細檢查郵件內容是否有與事實不符的地方。
注意是否有明顯錯誤或和事實不符的地方：來自銀行或朋友的郵件聲稱他們有收到你的東西？試著找找你最近寄送的郵件來確認他們所說的事情。這樣的垃圾郵件也可能使用其他社交工程陷阱( Social Engineering)誘餌來說服使用者打開該郵件。
避免點入電子郵件中的連結。
在一般情況下，避免點入電子郵件中的連結。比較安全的做法是直接連到電子郵件內所提到的網站。如果你必須點入電子郵件裡的連結，確保你的瀏覽器透過網頁信譽評比技術檢查過該連結，或使用像趨勢科技Site Safety Center的免費服務。
確保你的軟體都在最新狀態。
目前沒有已知的CryptoLocker勒索軟體 Ransomware利用漏洞進行散播，但不能保證未來也不會。而且定期更新已安裝的軟體可以對許多攻擊提供另外一層的防護。
備份重要資料。
不幸的是，沒有任何已知工具可以解密被CryptoLocker加密的檔案。一種好的電腦安全實作是，確保你有正確的備份檔案。應該要做到3-2-1原則：三份備份、兩種不同的儲存媒體、一個分開獨立的儲存位置。Windows有個功能稱為磁區陰影複製（Volume Shadow Copy），可以讓你將檔案回復到之前的狀態，它是預設開啟的。雲端儲存服務（如SafeSync）也可以做為你備份策略內有效的一部分。