趨勢科技發現一波垃圾郵件攻擊,使用 BEBLOH 金融木馬程式來鎖定使用者,我們偵測到的 185,902 封垃圾郵件,其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動,非常類似於近期的垃圾郵件攻擊中,濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。
我們分析部分垃圾郵件後發現,BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示,同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導,這次攻擊行動是由 NARWHAL SPIDER 發動,使用了圖像隱碼術,把惡意代碼隱藏在意想不到的圖像媒體中,藉此躲避特徵碼比對偵測。
【延伸閱讀 】:圖像隱碼術(Steganography)與惡意程式:原理和方法
圖 1:垃圾郵件攻擊行動感染鏈
讓企業能夠更有效地做好資料安全保護以及主動防禦的最佳方法就是了解威脅環境趨勢。
檢視駭客現在所使用的攻擊、入侵和病毒散播策略,就能夠了解在未來會繼續出現的安全問題,讓企業可以準備好正確的資料和資產保護措施。
每一年都有著過去延續下來及新出現的威脅,這些威脅讓安全防護變得更加複雜。所以了解影響最大的威脅(包括過去就盛行的舊威脅以及網路犯罪分子間新出現的攻擊手法)在資料安全領域是相當重要的。
趨勢科技的研究人員檢視了2018年上半年常見的資料保護和網路威脅問題,整理出了2018年年中資安綜合報告:看不見的威脅帶來迫在眉睫的損失。
讓我們仔細探討一下這份研究以及今年上半年影響企業最主要的四個威脅。
Heartbleed早在2014年就已經出現。它是當時最嚴重也影響最廣泛的漏洞之一,大量使用OpenSSL加密程式庫的平台和網站都受到了影響。因為受影響網站的數量龐大,加上它讓駭客有機會讀取到儲存在系統記憶體內的資料,讓此漏洞在當時成為全球的新聞頭條。
而之後還有許多漏洞被找出,包括2018年初的兩個重大漏洞。研究人員發現了CPU的設計缺陷 – 被稱為Meltdown和Spectre。不幸的是,這些還不是今年唯一的知名漏洞。
正如趨勢科技在5月份所報告,在Meltdown和Spectre之後又發現了8個也會影響英特爾處理器的漏洞,其中有4個被認為屬於「高」嚴重性威脅。因為這些處理器被全球企業及消費者所大量使用,因此新出現的漏洞對安全管理員和個人用戶來說都相當值得擔心。 繼續閱讀
科技帶來了更高的效率和生產力,但不幸地,新技術也帶來了新風險。這正是為何企業應考慮將資安也列入商業策略的一環。然而,在科技不斷演變的情況下,企業員工是否具備了必要的條件來確保企業安全?
本文重點預覽:
63% IT 和資安決策人員認為 IoT 相關的網路資安威脅越來越多
趨勢科技 2018 年全球調查,涵蓋美國、英國、法國、德國及日本 1,150 位 IT 和資安決策人員,發現:
BEC 商務電子郵件變臉詐騙最常攻擊的五個職務
根據趨勢科技2017年至2018年8月的偵測資料變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)最常攻擊的職務
BEC商務電子郵件變臉詐騙最常假冒五個職務
影響企業最大的五個惡意程式
「1,863萬台幣贖金 ,另加 3,105萬元購買新電腦和硬體!」這是發生在美國佛羅里達州里維拉灘市(Riviera Beach)一名警察部門的員工,不小心點開「有毒郵件」,導致市政府電腦被癱瘓了3周後的代價 。(相關報導)
一間新竹科技公司,為何因為一時沒看出「xxx@ximhan.net」與「xxx@xlmhan.net」兩帳號差異,竟損失近2千餘萬元?
臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」還是攻擊跳板?如果員工上班時瀏覽網站不小心點入了惡意廣告,對企業組織有何風險?
網路資安情勢瞬息萬變,只針對新進員工進行網路資安訓練夠嗎?
企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。以下從四個面向: 「社群網站 」、「 電子郵件」、「 網頁瀏覽」及「員工教育訓練 」提供一些指南:
臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」?駭客眼中夢寐以求的攻擊跳板有哪些特質?
為何員工在社群網站發言,會影響企業安全? 駭客如何利用假身分掩護,加入某公司員工的社群帳號,進而引發一場資料外洩事件?請看以下影片:
這位仁兄幾乎接受所有的交友邀請,他很自豪的認為高人氣的社群人脈,可以讓他迅速飛黃騰達,他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位社群網站”好友”,實際上多數為陌生人,知道他的作息與工作點滴,你身邊也有這類型的同事嗎?為何這種人會成為攻擊者夢想中的目標?他和所屬的公司,最終付出什麼代價?
企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。本文從四個面向:「 電子郵件」、「 網頁瀏覽」、「員工教育訓練 」及「社群網站 」提供一些指南:
電子郵件至今仍是企業及員工所面臨的最大一項威脅管道。電子郵件是今日企業溝通的最主要工具。因此一再成為歹徒的犯案工具。對企業來說,最困難的一項工作就是今日社交工程陷阱越來越高明,因此讓員工很難察覺有詐。員工可採取以下幾個作法來加強防範:
網站是許多員工和企業遭到駭客入侵的第二大途徑。許多歹徒都會利用一些熱門網站或網頁內的廣告來感染使用者。網路釣魚(Phishing)網頁在今日非常流行,因為網路犯罪集團很希望能竊取使用者在一些熱門網站的登入憑證。使用者可以採取以下幾個作法來加強防範:
許多企業機構在投入了一些資源來進行員工網路資安訓練之後,都確實改善了資安的情況。像這樣的教育訓練務必持之以恆,不論是針對新進員工或老員工,因為網路資安情勢瞬息萬變。
駭客和網路犯罪集團隨時都在攻擊全球各地的企業機構和員工,換句話說,企業機構內的每一個人都要嚴加戒備,隨時注意自己的網路活動,以確保自身安全。當然趨勢科技也知道我們可以做得更多,因此我們隨時都在投資新的技術來保護客戶,防範威脅入侵客戶,因為,建立一個安全的數位資訊交換世界是我們的使命。
別讓你的個人檔案像一本可以自由翻閱的書,免得駭客可以看到任何所需資訊,加以利用謀取利益!
本文一開頭的影片男主角 Dave是攻擊者夢想中的目標,因為他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位陌生人知道,你身邊有沒有這種人呢?
我們都使用社群網路,但如果你不謹慎小心,就很容易洩漏這麼多資料,Dave可能覺得有趣,分享自己所做的一切,但是對心懷不軌的人,這正是大好機會,利用你過度分享的資訊。在你察覺之前,滲透掌握你的一舉一動,即使你分享資訊沒有損失,最終仍可能為此付出代價。
影片中的駭客寫電子郵件給Dave的上司,提出非常有趣的提案,在假試算表嵌入惡意程式碼,只要幾秒鐘就能完成,你可能認為這種事情,只發生在電影中,但事實上大部分攻擊,都使用社交工程,建立可信藉口欺騙受害者,從事不明智的行為,只是一時判斷不當,圖謀不軌的人就能取得他所要的存取權限。
有計畫的犯罪份子會仔細瀏覽網路,搜尋更多系統及資料,這不是短期的駭客行為,他們會長期取得機密資料,銷售給地下犯罪組織,可能是信用卡資料庫或公司全力投入的專案。
請記住以下四點:
網頁注入(Web Injection)是每位程式設計師、開發者和資訊安全(InfoSec)專家所頭疼的問題,也是網路犯罪工具包內常備的工具。特別是跨站腳本、命令注入、SQL注入和XML注入都是網站和網頁應用程式經常遭遇到的攻擊,因為這些攻擊可以透過多種方式執行。防護方案的複雜性也增加了防禦的困難度。
保護平台不讓個人及財務資料失守是企業在營運、商譽和利潤方面重要的一環。以下是資安人員經常會遇到的四種網頁注入攻擊:
SQL注入可以用來入侵使用資料庫的軟體,被開放網路軟體安全計畫(OWASP)視為侵入網站及SQL資料庫最常見的技術之一。SQLi將惡意SQL語法插入輸入字串(作為指令或查詢的一部分),並且利用了軟體或網頁應用程式的漏洞 – 例如沒有正確地過濾使用者輸入。比方說,攻擊者可以將惡意輸入變成SQL查詢的參數,讓資料庫認為是SQL指令的一部分而執行。
SQLi攻擊成功可以讓駭客偽裝成目標身份並取得資料庫伺服器的管理權限。駭客接著可以修改現有資料(如取消交易),取出系統內的資料,破壞、覆蓋或刪除資料,甚至使其無法連線。對於會用如何入侵網路來威脅企業付奬金的漏洞獵人以及會刪除網站內容並將其活動偽裝成勒索病毒的壞人來說,這一直是個首選技術。SQLi還被用來竄改網站以及公開儲存在資料庫內的個人識別資料、帳密和敏感公司資料。
不同於SQLi攻擊針對資料庫相關網頁應用程式/服務,命令注入讓攻擊者插入惡意shell命令到網站主機作業系統。像是可以找出應用程式安裝的目錄並在那執行惡意腳本。命令注入讓駭客可以利用有漏洞的網頁應用程式來執行任意命令 – 例如當應用程式將表單、HTTP標頭和cookie內的惡意內容帶到系統shell時。此類攻擊就會用這不安全應用程式的權限執行。
簡而言之,當惡意輸入被誤認為作業系統命令時就會發生命令注入,讓壞人可以取得檔案或網頁伺服器的控制。2014年的Shellshock攻擊就是一例:它們讓攻擊者可以修改網頁伺服器內容、變更網站代碼、竊取或外洩資料、變更權限以及安裝後門等惡意軟體。電子郵件寄送程式庫的網站元件出現漏洞時也都會成為頭條,例如聯絡人、註冊及密碼重設郵件表單。
這類攻擊不像SQLi或跨站腳本那樣常出現,但XML外部實體注入(XXE)最近也獲得了關注。XML(可延伸標記式語言)支援外部實體。可以用來引用或調用主檔案外的資料到XML文件。XXE會攻擊網頁應用程式解析未知或可疑來源XML輸入時的漏洞。將惡意內容注入將使用者或客戶資料輸入應用程式的文件(如XML檔案)。
XXE攻擊成功可以讓駭客存取內部網路或服務、讀取存放在伺服器上的系統檔案以及掃描內部端口。在某些狀況下,XXE可以讓攻擊者執行遠端程式碼(比方說透過載入惡意可執行PHP程式碼)。這些都取決於解析器的權限。
XXE被用來成功地在Facebook執行遠端程式碼,由此成為最高的bug獎金之一。XXE漏洞最近也出現在經常用於Mac應用程式的更新框架、Adobe ColdFusion的XML解析器(CVE-2016-4264)、Google搜尋引擎的一個功能以及Magento使用的PHP工具包(Zend)。