企業資安 - 資安趨勢部落格

後門雖不易發現，但誰走後門它卻看得一清二楚

2021 年 02 月 02 日2021 年 01 月 18 日趨勢科技 TrendMicro

網路資安人士對於「後門」大多不能認同，當政府或情報單位暗指某款電話、加密工具或產品當中暗藏後門時，不論哪一個陣營都會認為這不應該。

要找出產品的漏洞 (或弱點) 基本上很難，但如果已經知道漏洞在哪裡，那要想出攻擊手法就比較容易。然而蓄意安插的後門，不論是廠商或滲透者所留下的，或許才是最難防的惡意程式。

首先，後門集合了漏洞與漏洞攻擊手法於一身，駭客完全不需再另外安裝惡意程式。而且暗藏後門的系統還是經過合法簽章的正式軟體，能夠通過各種檢查，例如：雜湊碼、檔案大小、程式驗證等等。而且比漏洞更難搞的是，後門還可能內建一些駭客刻意設計的安全與加密機制，增加了第三方威脅研究人員偵測的難度。不僅如此，只要是使用該產品的客戶，他們全都存在著這個可利用的後門，這根本就是駭客的所有願望一次滿足。

這邊稍微釐清一下，此處所指的後門，是正常產品發表時已經存在的後門，而非產品發表後被暗中植入的後門。

在攻擊發動之前不易發覺

雖然程式的後門基本上很難偵測，但它們到底有沒有辦法被發現？答案是有，只不過沒辦法在它蟄伏 (也就是沒有採取任何行動) 的時後發現。

但是一旦有人在利用後門，即使是最隱匿的後門，也有可能被偵測 (儘管也不容易)。傳統的漏洞攻擊特徵比對偵測方法此時並無太大用處，除非後門散布的是先前內部已知的惡意程式，但駭客若這麼做，手法就太粗糙了。那些針對漏洞特徵而製作的入侵防護 (IPS) 規則，無法在早期偵測後門，因為，雖然入侵防護或許能在駭客開始使用後門時，發現到一些行為的變化，但還是要有明確的入侵指標 (IOC) 才比較容易偵測後門。

有了 IOC 之後，就能執行回溯性掃描，例如預先查看一下攻擊的入侵範圍。

一個駭人的事實是，大家都以為許多基礎架構軟體絕對安全無虞，或不會有問題，也正因如此，許多第一線防衛機制都會自動排除或忽略一些可能含有後門的系統而不加以檢查。

繼續閱讀

基礎架構程式碼：資安風險與如何防範?

2021 年 02 月 01 日2021 年 12 月 23 日趨勢科技 TrendMicro

基礎架構程式碼 (IaC) 是 DevOps 實務中實現軟體開發靈活性很重要的一環，在這份報告當中，我們點出了 IaC 實務上的一些資安風險以及對應的最佳資安實務原則。

由於 IT 基礎架構所承受的要求以及持續整合/持續交付 (CI/CD) 流程的風險不斷升高，因此，一致而可擴充的自動化顯得日形重要。這就是「基礎架構程式碼」(Infrastructure as Code，簡稱 IaC) 所扮演的角色。IaC 是一種利用機器可解讀的檔案格式來配置、設定與管理基礎架構的實務方法。有別於手動設定企業內及雲端環境的作法，系統管理員和系統架構師可透過 IaC 來將上述工作自動化。IaC 與基礎架構服務 (Infrastructure as as Service，簡稱 IaaS) 兩者絕配，而且也廣獲眾多企業採用，不僅可加速開發及擴充雲端環境，又能降低成本。

IaC 在概念上類似撰寫腳本來將 IT 流程自動化，不過 IaC 採用描述性語言來實現更彈性的資源配置與部署 (也就是由軟體本身來負責啟動基礎架構變更)，而且 IaC 對雲端運算與 DevOps 尤其重要。

IaC 工具大致可分成兩類：一種是協調工具，用來配置、組織與管理基礎架構元件 (如 CloudFormation 與 Terraform)；另一種是組態管理工具，用來安裝、更新、管理基礎架構元件內所執行的軟體 (如 Ansible、Chef、Puppet 與 SaltStack)。這類工具可讓開發人員和雲端架構師消除一些容易出錯的手動流程，讓大規模的組態設定與管理作業得以簡化。

繼續閱讀

資安長（CSO）洞見：在新常態不只談基礎設施的安全問題

2021 年 01 月 26 日2020 年 12 月 29 日趨勢科技 TrendMicro

DataBank資安長Mark Houpt提供資安洞見，強調從公司和客戶的角度所面臨的挑戰和經驗學習。

新冠狀病毒(COVID-19,俗稱武漢肺炎) 疫情爆發已經持續了數個月，它讓全球企業的經營方式發生了巨大變化。Covid-19為企業和員工所帶來的新現實是 – 嚴重依賴遠端工作來維持企業運作。事實上，員工可能至少要持續這樣的工作模式到2021年中，在某些案例中甚至是永久的。

對DataBank資安長（CISO）Mark Houpt來說，遠端工作並不是件困難的改變。畢竟他在Covid-19出現前就已經這樣做了。但當疫情爆發後，就跟全球無數其他公司一樣，DataBank必須幫助大多數員工安全平穩地過渡到虛擬工作模式。這裡突顯出幾個重要的安全考量，包括持續監控 – 不只是基礎設施，還有（更重要的是）員工的福祉。

Houpt擁有超過25年的資訊安全和資訊技術合規經驗，負責制定和維護網路安全計劃，讓DataBank及其客戶能夠繼續安全地營運。在這次的採訪中，他與趨勢科技分享了一些企業可以考慮的重要安全注意事項，使遠端團隊可以始終保持能見度和安全性在最前線。他還從自己獨特的角度讓企業了解安全該有的樣子，從公司和客戶的角度來強調挑戰和經驗學習。

繼續閱讀

剖析FBI 向企業發出警告的DoppelPaymer 勒索病毒

2021 年 01 月 21 日2021 年 01 月 18 日趨勢科技 TrendMicro

2020 年 12 月初，美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告。該病毒首次出現於 2019 年，在 2020 一整年當中都持續活躍，製造不少讓受害者營運癱瘓的事件。

2020 年 12 月初，美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告，該病毒首次出現於 2019 年，當時一些關鍵的產業都受到了攻擊。2020 一整年，該病毒都一直持續活動，尤其在下半年發動了多起攻擊事件造成受害者營運癱瘓。

DoppelPaymer 是什麼?

DoppelPaymer 應該是從 BitPaymer 勒索病毒 (首次出現於 2017 年) 所衍生出來，因為它們的程式碼、勒索訊息、付款網站都有相似之處。不過值得注意的是 DoppelPaymer 與 BitPaymer 還是有些差異，例如，DoppelPaymer 使用「2048 位元 RSA + 256 位元 AES」加密機制，但 BitPaymer 卻是使用「4096 位元 RSA + 256 位元 AES」加密機制 (舊版則使用「1024 位元 RSA + 128 位元 RC4」)。此外，DoppelPaymer 也改善了 BitPaymer 的加密速度，使用多重執行續來執行檔案加密。

繼續閱讀

《重大勒索病毒分析》RansomExx ,為何攻擊企業又快又猛?新變種專門攻擊 Linux 伺服器

2021 年 01 月 19 日2021 年 01 月 18 日趨勢科技 TrendMicro

拓展範圍、提升速度：RansomExx 勒索病毒新策略

曾導致巴西最高法院慘暫停開庭、攻擊日本影像及光學大廠柯尼卡美能達（Konica Minolta）的RansomExx 勒索病毒,在 2020 年製造了多起知名攻擊事件，本文分析它所使用的技巧，包括：運用木馬化軟體來散播惡意檔案，以及又快又猛的攻擊方式。

RansomExx 勒索病毒在 2020 年製造了多起知名的攻擊事件，目前有跡象顯示它仍在持續發展當中，並且相當活躍。最新的報告顯示，它開發了新的變種來專門攻擊 Linux 伺服器，而這等於是將攻擊範圍拓展到 Windows 伺服器之外。

根據監測資料顯示，RansomExx 正在攻擊美國、加拿大和巴西的企業，並且持續發現 Linux 變種的活動足跡。本文詳細說明我們對某起 RansomExx 攻擊的分析，此攻擊本首先利用 IcedID 惡意程式來入侵企業，成功之後再使用 Vatet 來載入 Pyxie 和 Cobalt Strike。經由這整套工具，駭客約只需五小時的時間就能完成整個入侵到植入勒索病毒的程序。

RansomExx 勒索病毒的背後是一個 SecureWorks 命名為「GOLD DUPONT」的駭客集團，該集團從 2018 年活躍至今。根據其最新的攻擊顯示，該集團入侵企業的手法相當迅速有效。他們會使用 Vatet、PyXie、Trickbot 和 RansomExx 等惡意程式，以及像 Cobalt Strike 這類駭客工具，都是該集團常用的攻擊武器。

此勒索病毒之所以值得注意，是因為它運用了 2020 年勒索病毒攻擊常見的技巧，包括運用木馬化軟體來散播惡意檔案，以及又快又猛的攻擊方式。

繼續閱讀