分類: 企業資安

Docker Content Trust (DCT) 功能解說與它如何保護容器映像

趨勢科技 TrendMicro

您的容器映像值得信賴嗎?看看 Docker Content Trust (DCT) 內容信賴功能如何將數位簽章運用於容器映像驗證以及管理可信賴內容


「映像是否值得信賴?」以容器建構的系統,其最重要一項必須解決的資安問題就是:驗證您所使用的容器是否正確,以及是否來自安全來源 (或者是否已遭惡意篡改)。根據我們的 2020 年 資安預測指出,惡意的容器映像一旦進入企業,很可能對企業造成危害。我們也曾撰文指出某些攻擊會利用不肖的容器映像來從事惡意活動,例如: 掃描網路上含有漏洞的伺服器挖礦( coinmining )

為了解決這項問題,Docker 推出了一項名為「內容信賴」(Content Trust) 的功能。此功能讓使用者能安心將映像部署至叢集 (Cluster) 或群集 (Swarm),並驗證是否為您原本想要的映像。不過 Docker Content Trust (DCT) 沒辦法做到持續監控您映像在 swarm 內所發生的變更或任何類似狀況。它單純只是一種由 Docker 用戶端 (而非伺服器) 所做的一次性檢查。

這一點對於 DCT 作為一種全時一致性監控系統的實用性有很大問題。趨勢科技在先前一篇有關雲端原生系統的一文當中提到可以使用像 Notary 這類映像簽署工具來解決「映像是否值得信賴」的問題。DCT 正是試圖提供一個內建工具讓 Docker 用戶端能做到這點。

本文將探討四個主題:

  • DCT 如何運作?
  • 如何啟用 DCT?
  • 如何在持續整合/持續部署 (CI/CD) 的流程當中將信賴驗證步驟自動化?
  • 此功能有何限制?

本文的另一個目的是提供一份完整教學來讓您了解如何輕鬆安裝及測試 DCT,因為現有的文件似乎相當零散稀少。

繼續閱讀

《BEC詐騙》冒充稅務單位, 鎖定73 家不同產業法國公司

趨勢科技 TrendMicro

網路的高度匿名以及通常隱密的性質導致有更多針對個人或組織金錢的詐騙活動擴散。趨勢科技一直以來都在追踪這些詐騙活動,並且看到許多從簡單詐騙演變成更為複雜的攻擊活動。而如今最危險的詐騙活動之一就是企業電子郵件入侵(變臉詐騙攻擊或稱為商務電子郵件入侵,簡稱 BEC)),在2019年造成企業總合達17億美元的損失

趨勢科技發表過許多跟BEC詐騙有關的文章。但在本文中,我們介紹一種新的BEC詐騙手法,主要針對法國多家不同產業發動攻擊。

圖1. 顯示BEC詐騙如何進行的圖表

註冊冒用公司相似網域,並冒用員工身分, 要求更換銀行帳號


在調查各種BEC詐騙攻擊時,趨勢科技發現了一起獨立事件是駭客冒用法國一家金屬加工公司的身份,這家公司提供服務給許多不同的公司。

繼續閱讀

《勒索病毒》專挑金融國防產業,偷極敏感資訊的Ryuk,為何總能取得巨額贖金?

趨勢科技 TrendMicro

有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。

隨著資安情勢的發展,今日的威脅經常會同時衝擊企業營運基礎架構的多重層面。為了偵測及回應像這樣的攻擊,企業通常會採用各種專為個別層面而非整體系統而設計的資安工具。

有些企業會導入資安事件管理 (SIEM) 平台來協助他們彙整每天遭遇到的各種威脅。這樣的作法雖然有效,但 SIEM 系統的價格和營運成本卻很高。此外,企業還得靠資安營運中心 (SOC) 來過濾大量的資料以進行交叉關聯分析。至於一些其他的資安解決方案,雖然各個都具備強大的偵測及回應能力,但卻缺乏完整的監測資料來看到威脅的全貌。

為了讓大家了解今日 SOC 所面臨的威脅,以及他們需要什麼樣的資安解決方案好應付這類威脅,以下此提供一個真實案例來說明。

繼續閱讀

駭客利用 VPN 軟體安裝檔散播後門程式

趨勢科技 TrendMicro

本文討論歹徒如何將後門程式暗藏在 Windscribe VPN 安裝檔內,經由後門程式,網路犯罪集團不需經正常過認證程序就能從遠端連上被感染的電腦並加以遙控。

任何熱門的技術最終都可能成為網路犯罪集團散播威脅的誘餌,虛擬私人網路 (VPN) 亦不例外。本文討論歹徒如何將後門程式暗藏在 Windscribe VPN 安裝檔內,經由後門程式,網路犯罪集團不需經過正常認證程序就能從遠端連上被感染的電腦並加以遙控。本文要討論的後門程式,就是趨勢科技偵測到的「Backdoor.MSIL.BLADABINDI.THA」及其相關惡意檔案「Trojan.MSIL.BLADABINDI.THIOABO」。

在此要特別強調,本文所分析的安裝檔是取自一些不肖來源,「並非」取自 Windscribe 官方的下載中心或是 GoogleApple 的應用程式商店。值得一提的是,網路犯罪集團過去就經常使用這類技巧來將惡意程式包裝在合法軟體 (如視訊軟體) 安裝檔內來誘騙使用者下載。

虛擬私人網路 (VPN) 軟體可讓使用者在連上網際網路時將連線加密以確保資料安全,防止資料遭到偷窺。VPN 一直都是非常實用的軟體,不過最近因為許多公司都實施了在家上班的政策,員工不得已必須離開較安全的辦公室網路,改用家用網路,因此 VPN 大受歡迎。

分析安裝檔內隨附的惡意檔案


一開始,使用者很可能在不知情的狀況下從一些不肖來源下載到這個原本應該是合法軟體的惡意安裝檔。此安裝檔會在使用者電腦上植入三個元件:原本 VPN 軟體的安裝檔、後門程式 (檔名「lscm.exe」) 以及用來執行惡意程式的腳本 (win.vbs)。

繼續閱讀

解析 Ngrok 曲折的攻擊程序

趨勢科技 TrendMicro

趨勢科技 Managed XDR 託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

採用 端點偵測及回應 (EDR) 資安解決方案的一項主要好處就是,能讓維護及分析企業網路防禦狀況的資安團隊能掌握自身環境的可視性來提早偵測攻擊,並透過視覺化方式了解正在發生的資安事件。雖然像這樣的技術確實讓網路資安產業整體都有所提升,但歹徒的工具和技巧卻也同樣因應這樣的發展趨勢而演進。

 趨勢科技 Managed XDR託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

初步調查

2020 年 7 月,我們經由 趨勢科技Apex One在客戶環境觀察到以下可疑的系統事件:

Process: c:\windows\system32\reg.exe CommandLine:REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d “\”c:\Windows\system32\<random name>\”” /f

此事件有幾點值得注意:首先,該指令所建立的系統登錄數值的名稱是根據某個資安廠商來命名。其次,登錄數值的名稱 (在 <value> 部分) 出現了一個拼字錯誤 (也許是故意的,此處為了保密暫不顯示)。最後,在系統目錄當中有一個隨機命名的執行檔。這所有因素加在一起,讓我們直覺認為這是一項警訊。

結果這個執行檔確實是一個鍵盤側錄程式,它會將側錄到的滑鼠與鍵盤輸入傳送到某個 Gmail 帳號。我們在二進位檔案中發現了一些寫死的資訊,證明它是專為某個目標機構而量身訂製。不僅如此,我們也從二進位檔案中得知,駭客對該機構有相當程度的了解。

我們用這個鍵盤側錄程式的檔名和雜湊碼在系統記錄和事件當中搜尋之後發現以下情況:

繼續閱讀