解析 Ngrok 曲折的攻擊程序

2020 年 09 月 29 日2020 年 09 月 25 日趨勢科技 TrendMicro

趨勢科技 Managed XDR 託管式偵測及回應服務團隊最近處理了一樁客戶資安事件，歹徒在該事件中運用了一種特殊的攻擊技巧，增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

採用 端點偵測及回應 (EDR) 資安解決方案的一項主要好處就是，能讓維護及分析企業網路防禦狀況的資安團隊能掌握自身環境的可視性來提早偵測攻擊，並透過視覺化方式了解正在發生的資安事件。雖然像這樣的技術確實讓網路資安產業整體都有所提升，但歹徒的工具和技巧卻也同樣因應這樣的發展趨勢而演進。

趨勢科技 Managed XDR託管式偵測及回應服務團隊最近處理了一樁客戶資安事件，歹徒在該事件中運用了一種特殊的攻擊技巧，增加了資安團隊和研究人員釐清駭客攻擊程序的難度。

初步調查

2020 年 7 月，我們經由趨勢科技Apex One在客戶環境觀察到以下可疑的系統事件：

Process: c:\windows\system32\reg.exe CommandLine:REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d “\”c:\Windows\system32\<random name>\”” /f

此事件有幾點值得注意：首先，該指令所建立的系統登錄數值的名稱是根據某個資安廠商來命名。其次，登錄數值的名稱 (在 <value> 部分) 出現了一個拼字錯誤 (也許是故意的，此處為了保密暫不顯示)。最後，在系統目錄當中有一個隨機命名的執行檔。這所有因素加在一起，讓我們直覺認為這是一項警訊。

結果這個執行檔確實是一個鍵盤側錄程式，它會將側錄到的滑鼠與鍵盤輸入傳送到某個 Gmail 帳號。我們在二進位檔案中發現了一些寫死的資訊，證明它是專為某個目標機構而量身訂製。不僅如此，我們也從二進位檔案中得知，駭客對該機構有相當程度的了解。

我們用這個鍵盤側錄程式的檔名和雜湊碼在系統記錄和事件當中搜尋之後發現以下情況：

繼續閱讀

「Zerologon」虛擬修補的價值

2020 年 09 月 18 日2020 年 09 月 18 日趨勢科技 TrendMicro

CVE 最近又發布了一個新的漏洞：CVE-2020-1472，並且登上了不少媒體版面。這個被稱為「Zerologon」的新漏洞可讓駭客利用 Netlogon 認證所使用的加密演算法來假冒任何電腦向網域控制站取得認證。

簡單來說，這就是 Netlogon Remote Protocol (MS-NRPC 通訊協定) 的一個漏洞，會讓駭客能在網路上的裝置執行惡意程式。駭客可以利用 MS-NRPC 通訊協定向網域控制站 (Domain Controller，簡稱 DC) 認證以取得系統管理權限。

根據我們 ZDI 漏洞懸賞計畫研究人員 Dustin Childs 指出：「更糟糕的是，目前並無法徹底解決該漏洞，此次修補更新只是讓網域控制站可暫時保護裝置，下次的修補更新 (預定 2021 年第一季推出) 才會強迫 Netlogon 使用安全的 RPC 通訊協定來徹底解決這項問題。不過套用這個修補更新之後，您還是要調整網域控制站的設定。Microsoft 已針對這些設定發布了一份指南來協助系統管理員進行調整。」

已經有了修補更新，為何這還會是個大問題？

繼續閱讀

CSO 觀點：Ricoh USA 如何建立雲端及網路資安優先策略,讓營運邁入疫後「新常態」?

2020 年 09 月 17 日2020 年 09 月 18 日趨勢科技 TrendMicro

Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 分享他對強化企業內部資安觀念的看法以及雲端優先的策略如何讓該公司營運順利邁入「新常態」

正當各行各業都在經歷劇烈轉變之際，企業 CXX 高階領導人應重新檢討自己的資安與技術架構是否足以因應。為了保護客戶並提升遠端工作人員的生產力及可用性，高階主管紛紛尋求可用的技術方案，例如導入雲端服務。

隨著疫情持續延燒，企業被迫必須實施在家工作的政策，越來越多企業都開始覺得有必要在永續性、安全與行動化方面做出改變。更重要的是，無論企業大小，這樣的改變都將為決策者帶來新的挑戰與契機。

Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 對於該產業的演變早已司空見慣，包括網路資安與網路犯罪活動的演進，以及企業治理的觀念需要逐漸擴散到企業的各個層面。Levine 在該公司任職已有 25 年之久，憑著他在 IT 與資安產業的多年經驗，他對企業內的許多職務都不陌生：工程與專案管理、資安、基礎架構、網路中心、營運、法務支援、企業管理、存取管理、實體保全、電子化搜尋 (eDiscovery) 與訴訟支援等等。

繼續閱讀

趨勢科技研究發現 39% 的員工會從個人裝置存取企業資料

2020 年 09 月 17 日2021 年 07 月 02 日趨勢科技 TrendMicro

WFH 遠距工作已成為常態的情況下，企業應重新檢討當前的資料政策

【2020年9月17日，台北訊】全球雲端防護領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天針對防疫新生活的遠端資料存取安全提醒企業多加留意，根據其「Head in the Clouds」研究調查指出，在家工作(WFH,Work From Home)遠距工作改變了企業資料的處理方式，現今工作與家庭生活的界線正日益模糊，智慧家庭裝置與相關應用程式將是企業網路資安防線的一大弱點。

趨勢科技「Head in the Clouds」研究調查了 27 國共 13,000 多名在家工作(WFH,Work From Home)遠距工作的員工在疫情期間的生活與工作習慣。該研究顯示，有 39% 的員工會使用個人裝置來存取企業資料，通常是經由雲端服務與雲端應用程式。這些屬於個人的智慧型手機、平板、筆記型電腦不僅在上網安全防護方面不如企業所配發的裝置，而且還暴露於家用網路中各種 IoT 應用程式與裝置的資安弱點。比方說，有超過三分之一 (36%) 的受訪員工，其個人裝置並非都有最基本的密碼保護。

繼續閱讀

後疫情時代的八種資安威脅

2020 年 08 月 28 日2021 年 07 月 02 日趨勢科技 TrendMicro

歡迎來到新常態（New Normal）。現在我們每個人都生活在後新冠狀病毒(COVID-19) 時期，特點就是不確定性、大規模的在家工作及遠端學習。正常生活的界限突然間被打破了，也許再也不會回來。我們都知道這並非是最糟的狀況，但這的確代表我們需要習慣在家生活、工作和學習。這對我們家庭的網路安全、防護及隱私有著重大的影響。