分類: 企業資安

超越端點:為何組織要選擇XDR進行全面的偵測及回應?

趨勢科技 TrendMicro

A close up of a sign Description automatically generated

一直以來,端點都是攻擊者在針對企業IT環境時的主要關注點。不過越來越多資安主管也必須去保護整個組織內的資料,無論是位在雲端、IoT裝置、電子郵件還是本地伺服器。攻擊者可能在多階段攻擊中從一個環境跳到下一個環境,甚至躲在各層之間。因此有必要擁有整體可視性,更有效地做到偵測及回應。

這就是XDR解決方案與EDR或各點解決方案不同的地方。不幸的是並非所有廠商都能做到一樣。趨勢科技與眾不同的是可以在所有層級提供成熟的安全功能,具備業界領先的威脅情報及由AI驅動的分析方法,從而產生更少、更高保真度的警報。

網路犯罪市場越來越多的工具和技術, IT安全團隊承受巨大的壓力


當今的IT安全團隊承受巨大的壓力已經不是什麼秘密了。他們面臨著的敵人能夠利用地下網路犯罪市場越來越多的工具和技術。勒索病毒社交工程(social engineering )無檔案病毒(fileless malware)、漏洞攻擊碼和路過式下載(Drive by download) 都只是冰山一角。根據 Osterman Research的最新報告,”每天都有數十萬種新惡意程式或有害應用程式註冊”。它認為,雖然端點防護必須是企業安全策略的”關鍵組成”,但”只是其中之一”,需要加入雲端、網路和其他地方的防護來補強。

繼續閱讀

《BEC 詐騙》高階主管請當心!Water Nue網路釣魚正鎖定Office 365帳號,準備海撈一票

趨勢科技 TrendMicro

自2020年3月以來,一連串針對Office 365帳戶發動的魚叉式釣魚攻擊,它的目標是全球超過1,000家企業的高階主管,最近這類的BEC 變臉詐騙活動,則是針對了美國和加拿大的高階人員。

我們將幕後的詐騙份子稱為”Water Nue”,它們會針對財務主管騙取財務詐騙用的帳號密碼。釣魚郵件會將使用者導向偽造的Office 365登入網頁。一旦取得帳密並成功入侵了帳號,就會向下屬發送包含篡改過銀行資訊發票檔案的電子郵件,試圖透過轉帳來騙取金錢。

Water Nue網路釣魚工具很基本,但卻更難被鑑識人員發現


這波攻擊活動背後的攻擊者很有意思,原因有幾個。儘管他們成功地在全球範圍內攻擊高層員工,不過他們的技術能力似乎很有限。他們的網路釣魚工具很基本(沒有後門、木馬程式和其他惡意軟體),不過會利用公共雲服務來進行操作。使用雲端服務讓他們可以託管基礎設施並混淆自己的運作,讓他們的活動更難被鑑識人員發現。這種策略在網路犯罪分子中變得越來越普遍。

趨勢科技一開始是從網路釣魚攻擊所用的大批電子郵件網域注意到此次活動。我們發現大多數收件者都是企業的高階主管,特別是財務部門。我們所遇到的第一波案例中就有一起是非洲銀行高階財務主管寄送PDF檔發票給同事並指定香港的銀行帳號。這封郵件來自攻擊者測試功能時所用釣魚網站的IP地址。

這波攻擊活動仍在進行中,當用過的網域被舉報或列入黑名單,駭客就會切換到新的基礎設施。

800 多個高階主管帳密已經得手


攻擊者使用雲端郵件寄送服務(如SendGrid)來寄送帶有連結的電子郵件,將目標導向假的Office 365網頁。(我們已經聯繫SendGrid並分享了我們的發現。)一旦目標進行登入,帳密就會被一個PHP腳本所記錄。

Figure 1. Water Nue attack scenario
圖1. Water Nue攻擊情境

Figure 2. Sample of recorded credentials
圖2. 被記錄的帳密

儘管這並不是什麼新技術,不過攻擊是成功的,直到本文撰寫時,已經從各公司的高階主管收集了800多個帳密。

偽造公司郵件網域的帳號名稱,主旨與發票有關


從七月寄給高階主管的電子郵件裡,我們發現基礎網域是U10450540[.]ct[.]sendgrid[.]net,,加上名稱*getting-panes[.]sfo2*。

Figure 3. Email header “from” field shows New York and various email accounts indicating “Swiftme@{company domain names}”
圖3. 郵件標頭”From”欄位顯示出”New York”和加上郵件帳號”Swiftme@{公司網域名稱}”

“Swiftme”出現在釣魚郵件標頭,並且加上偽造公司郵件網域的帳號名稱。顯示的郵件標頭”From”和主旨也偽裝成語音信箱服務。”Swiftme”可能是暗示跟電子轉帳或電匯有關,並在取得帳密後揭示了攻擊活動目的。

Figure 4. Email sample
圖4. 電子郵件樣本

要注意的是SendGrid平台原本似乎沒有加上X-Mailer。帶有不同X-Mailer和標頭的電子郵件可能是透過會混淆掃描引擎的工具所加上。底下是我們所看到的一些X-Mailer:

X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu) X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I) X-Mailer: iPhone Mail (8A293) X-Mailer: Opera7.22/Win32 M2 build 3221 X-Mailer: ZuckMail [version 1.00] X-Mailer: CommuniGate Pro WebUser v5.3.2  
Figure 5. A phishing site imitates Office 365 login
圖5.一個偽裝成Office 365登入網頁的釣魚網站

Water Nue測試/部署機器的原始IP保留在收集帳密用釣魚網站伺服器內的文字檔裡。

Figure 6. Sitemap
圖6. 網站地圖

Figure 7. The landing page index.html has a dummy speech function
圖7. 登入頁面index.html內有無用的語音功能

Figure 8. While the main collection function resides in app.js, command and control (C&C) location is embedded in JavaScript code
圖8. 主要收集功能位在app.js,將命令和控制(C&C)位置內嵌在JavaScript碼中

Figure 9. jQuery method is used to post the target’s credentials to hosting site
圖9. jQuery method被用來將目標帳密送到託管網站

偽裝成主管寄送電匯請求,誘騙收件者將錢匯入犯罪分子的帳號


我們發現一封來自同一IP的BEC詐騙郵件。這封惡意郵件是具備合法郵件標頭的發票請求,這是BEC詐騙裡常見的伎倆。

Figure 10. An email sample with the same originating IP
圖10. 來自相同IP地址的郵件樣本

Figure 11. A sample fake PDF invoice in a BEC email
圖11. BEC詐騙郵件內的假PDF發票

如何抵禦BEC詐騙和其他網路釣魚攻擊?


跟其他網路犯罪技術不同,網路釣魚(Phishing)變臉詐騙攻擊或稱為商務電子郵件入侵 BEC)因為是針對特定收件者而可能很難偵測。攻擊者試圖入侵電子郵件帳號來取得業務運作相關的財務資訊和其他敏感資訊。

以下是一些關於防範電子郵件詐騙的建議:

  • 提供員工教育訓練。通過資訊安全教育訓練來降低公司遭受入侵的風險。從CEO到一般員工都必須了解各類型的詐騙及遇到時的處理方式(與對方進行確認並檢查郵件詳細資訊)。
  • 使用其他管道確認要求。在處理敏感資訊時,員工必須遵循驗證系統來謹慎行事(如多重簽名或其他驗證協定)。
  • 檢查所有郵件。小心包含可疑內容的非常規郵件,如可疑寄件者、網域名稱、寫作風格和緊急要求。

在這裡討論的案例中,攻擊者的郵件本身沒有夾帶典型的惡意軟體。這也導致傳統安全解決方案無法保護帳號和系統來抵禦此類攻擊。使用者也可以在電子郵件閘道來檢查寄件者”sendgrid[.]net”。

趨勢科技可以保護各規模的企業來抵禦網路釣魚和BEC詐騙等惡意郵件攻擊。趨勢科技Hosted Email Security解決方案結合了增強的機器學習功能和專家規則,能夠分析電子郵件標頭和內容來阻止BEC詐騙和其他類型的郵件威脅。對於來源驗證和身份驗證,它使用了寄件者策略框架(SPF)、網域金鑰標識郵件(DKIM)和以網域為基礎的進行郵件驗證、報告和一致性(DMARC)。

趨勢科技Cloud App Security解決方案增強了微軟Office 365和其他雲端服務的安全防護,透過沙箱惡意軟體分析來偵測BEC詐騙和其他進階威脅。它使用寫作風格DNA來偵測BEC詐騙的假冒行為並用電腦視覺來找出會竊取帳密的釣魚網站。它還會透過控制敏感資料使用狀況來保護雲端檔案分享抵禦惡意威脅和資料遺失等風險。

入侵指標(IoC)


惡意份子所管理的C&C網址:

  • https://highstreetmuch[.]xyz/hug/gate[.]php
  • https://takeusall[.]online/benzz/gate[.]PHP

MITER ATT&CK矩陣對應

A screenshot of a cell phone Description automatically generated

@原文出處:Water Nue Phishing Campaign Targets C-Suite’s Office 365 Accounts 作者:Marshall Chen、Loseway Lu、Yorkbing Yap和Fyodor Yarochkin(趨勢科技研究團隊)

萬物聯網時代加速數位轉型 潛在資安威脅不可忽視

趨勢科技 TrendMicro

趨勢科技呼籲企業善用情資 將資訊化為防護行動的助力 掌握良機快速反應

【2020年8月10日,台北訊】面對數位轉型浪潮,台灣企業為取得領先與強化競爭力,更仰賴雲端技術、進化開發流程與OT聯網,以追求營運效率及更高的生產力。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 觀察,今年因疫情衝擊,加速台灣企業在數位轉型的進程,越來越多企業將重要營運基礎轉向雲端,或是在 OT 環境中推動自動化智慧製造,同時5G的發展也串連物聯網創新應用的更多可能性。在數位轉型的過程中,IT架構環境將從封閉到開放,伴隨而來的資安疑慮將更為複雜,也會成為企業的資安隱憂。

趨勢科技在共同主辦的CYBERSEC 2020 台灣資安大會中,呼籲企業善用情資,將資訊化為防護行動的助力。趨勢科技全球核心技術部資深協理張裕敏(做\左)分享,當資安事件發生時,情資可以協助企業快速反應,把握及時處理的良機。
趨勢科技在共同主辦的CYBERSEC 2020 台灣資安大會中,呼籲企業善用情資,將資訊化為防護行動的助力。趨勢科技全球核心技術部資深協理張裕敏(左)分享,當資安事件發生時,情資可以協助企業快速反應,把握及時處理的良機。

趨勢科技在今年共同主辦的 CYBERSEC 2020 台灣資安大會中呼籲,企業在數位轉型過程中,不能只仰賴單一型態的資安防護與管理,企業將可能面臨雲端風險升高與逐漸增長的複合式目標攻擊手法,趨勢科技建議企業應具備洞察全球威脅趨勢的敏感度,於內提升資安威脅能見度、對外共享威脅情報,讓資訊化為資安防護行動的助力,制定有效的防護策略。

繼續閱讀

工作場所 IoT 裝置:個人自備裝置 (BYOD) 環境的資安風險與威脅

趨勢科技 TrendMicro

IoT Devices Workplace Security Risks Threats BYOD Environments

物聯網(IoT ,Internet of Thing除了徹底改變了 家庭與 各種產業的樣貌之外,也讓企業發生重大的轉變,其中最明顯的轉變就是工作場所開始出現各種員工自己的 IoT 裝置。

隨著企業導入所謂的「 BYOD 」(個人自備裝置) 政策,員工可以將自己的筆電、平板、智慧型手機帶到工作場所使用,並連上辦公室網路,這已經是大家熟悉的情景,但如今又有了新的變化。現在,員工也常將自己個人的 IoT 裝置攜帶到公司以方便他們在上班時使用。這類裝置包括:智慧手錶與健身手環等穿戴裝置、電子書閱讀器與掌上型遊戲機,甚至是智慧咖啡機與智慧印表機等攜帶型家電。

然而這類 IoT 裝置大量進入工作場卻給企業 (尤其是資安團隊) 帶來了許多新的挑戰。資安團隊除了必須保護員工的筆電、平板、智慧型手機這些主流 BYOD 裝置的安全以及企業本身的資產之外,現在又必須面對消費型 IoT 裝置日益普及所帶來的風險和威脅。尤其,這類新式 IoT 裝置遭駭客入侵的一些事件已突顯出科技方便性的背後也伴隨著一些資安隱憂,而這並非所有企業目前都能應付的。

繼續閱讀