企業資安 - 資安趨勢部落格

會自我隱藏的DanaBot銀行木馬,竊取帳密並劫持受感染系統

2018 年 10 月 04 日2018 年 10 月 02 日趨勢科技 TrendMicro

偽裝成收據形式的銀行木馬DanaBot，是個具有隱藏能力的模組化惡意軟體。模組化惡意軟體難以偵測。比方說，一個組件可以設計成在另一組件沒有運行時就停止或不運作，因此可以讓惡意軟體組件長時間駐留在中毒系統內直到被執行起來。攻擊者也可以將組件設計成不需依賴其他組件就能自行執行。此時惡意軟體可以進行資料竊取，但同時讓其他功能組件保持隱藏狀態。

資安研究人員最近發現一隻名為DanaBot的銀行木馬（趨勢科技偵測為TROJ_BANLOAD.THFOAAH）會經由垃圾郵件在歐洲國家散播。以下是關於此威脅的資訊，使用者和企業該如何抵禦此威脅的作法，以及託管式偵測及回應（managed detection and response）服務如何協助對抗此威脅。

DanaBot 銀行木馬偽裝收據經郵件散播

DanaBot是用Delphi程式語言開發的銀行木馬，能夠竊取帳密並劫持受感染的系統。它會偽裝成收據檔案來透過垃圾郵件夾帶散播出去，執行時會利用PowerShell（一種系統管理工具）及名為BrushaLoader的Visual Basic腳本（VBScript）來取回和執行組件。

DanaBot第一次出現時會利用內嵌惡意巨集的Word文件檔，開啟時會透過PowerShell下載DanaBot。資安研究人員指出最新的垃圾郵件活動則開始會利用BrushaLoader，並且DanaBot本身也進行了更新。

[相關新聞：不斷進化的Trickbot加入躲避偵測和鎖住螢幕的功能]

繼續閱讀

匯出鉅款才知道上當! BEC 變臉詐騙/商務電子郵件詐騙一再得逞的六個因素

2018 年 09 月 27 日2018 年 10 月 09 日趨勢科技 TrendMicro

在這些年來，駭客最容易賺錢的方法之一是勒索病毒攻擊。這些攻擊利用強有力的加密技術來讓受害者無法使用自己的檔案和資料 – 然後攻擊者再出售解密金鑰來換取無法追踪的比特幣贖金。但是現在又有另一種高獲利的攻擊手法出現，特別是針對了企業。變臉詐騙攻擊或稱為變臉詐騙攻擊或稱為商務電子郵件入侵，簡稱 BEC)替駭客帶來許多賺錢的機會，而這些攻擊所使用的複雜手法及創造出來的緊迫感讓它們特別難以防範。

BEC變臉詐騙的崛起

雖然企業現在越來越意識到了BEC詐騙攻擊，但這攻擊策略其實已經讓駭客賺了好幾年。趨勢科技的研究報告指出，全球企業在2016年遭遇的BEC詐騙攻擊平均造成了14萬美元的損失。

在過去，BEC詐騙被稱為man-in-the-email詐騙，駭客利用看似真實的郵件來讓受害企業進行匯款。正如趨勢科技的研究人員所指出，這些攻擊可能以各種不同形式出現，像是假發票、CEO詐騙攻擊、帳號入侵或偽造，甚至是傳統的資料竊取。

而以駭客所賺到的錢以及他們攻擊成功的案例來看，BEC詐騙在可見的未來還是會繼續地發生。

BEC 變臉詐騙生意有多大？

駭客在兩年前的BEC詐騙攻擊平均造成14萬美元的商業損失，而這些網路犯罪分子一直以來都在精進自己獲利的能力。

到了2018年7月，美國聯邦調查局的網路犯罪投訴中心報告指出，BEC詐騙所造成的損失增加了136%，特別是在2016年12月到2018年5月之間。這意味著BEC詐騙攻擊已經造成美國企業達125億美元的損失，不管攻擊是來自國際還是國內。這些損失及駭客所賺到的錢比趨勢科技在「典範轉移：2018年資安預測」報告內的預測還要多出30億美元。

BEC變臉詐騙難以防範的六個因素

隨著攻擊成功次數的增加，讓駭客賺取更多金錢也造成了更多受害公司。在這樣的情況下，企業高層和IT主管不僅要意識到這些攻擊正在發生，還必須要了解防護此類攻擊的困難性。這樣一來，企業才能採取主動行動，來更好地保護其郵件系統、重要資料、財務和其他資產。

讓我們來看看導致BEC詐騙攻擊防範困難的一些因素：繼續閱讀

電信業等級安全防護

2018 年 09 月 07 日2018 年 09 月 05 日趨勢科技 TrendMicro

作者：趨勢科技網路安全副總Greg Young

照抄同業的安全解決方案是企業常犯的錯誤。安全策略可以複製，但即使是十分相似的兩家公司也都會有截然不同的IT和安全需求。記得曾經有家醫院想參考一家幾英里外幾乎完全相同的同級醫院。兩家醫院所使用的技術大部分都類似，甚至連使用的IT產品（SAP，O365）都一樣。但深入研究後卻意識到客製化應用程式、更新修補作法、外包廠商服務方式及資安人員能力等的種種差異代表著需要有屬於自己的安全架構。如果連同層級的相似組織也都會有獨特的安全需求，那中小企業（SMB）、大型企業及電信業者的需求之間也就更大不相同。有些差異很明顯：企業可以規定所有的連網裝置都必須部署安全軟體，但電信服務商不能這樣要求客戶，而像是200台端點的中小企業對於管理主控台的需求與經由合作夥伴及分公司等中間單位監控5萬台端點的電信業者也並不相同。電信業者對於誤報也更加敏感，因為必須面對各式各樣不同的客戶：跟大多數企業相比，電信業者跟其客戶的法律互動存在更多差異性。繼續閱讀

WiFi網路無法防止被竊聽! 企業如何防止竊聽?

2018 年 08 月 28 日2022 年 03 月 22 日趨勢科技 TrendMicro

當人們想到竊聽，腦海裡浮現的可能是個黑衣人躲在角落裡偷聽別人的談話。不過隨著VoIP語音電話的出現，企業開始認識到會影響公司商業電話的數位竊聽。

而到了今日，對竊聽的擔憂已經轉去擔心最新的網路犯罪手法。而實際上，駭客們並沒有忘記傳統的攻擊方式，有證據顯示這類攻擊在今日仍被使用著。

這會造成一種危險的情況，企業專注在新興的威脅，而放鬆了對舊駭客攻擊手法的防禦。在今日的威脅形勢，網路犯罪分子會利用各種可用的新舊攻擊策略，企業必須部署各式防禦措施來保護自己的資產。

VoIP受到攻擊？

在過去，竊聽主要是針對SIP連線及VoIP電話，讓企業特別的關注。這很容易理解，特別是想到這些一對一談話或電話會議裡會討論的敏感資訊時。

根據EdgeWater Networks的報告，雖然這種攻擊手法並不新（自21世紀初就有針對SIP協定的竊聽出現），駭客最近一直在重新審視竊聽和竊取資料的方法。由於許多企業SIP協定並沒有足夠的安全性，因此網路犯罪分子很輕易地就可以利用這些弱點上手。

“SIP現在是VoIP協定的首選目標，佔51%的攻擊。”

EdgeWater Networks的撰稿者Rosa Lear寫道：“現實是，SIP協定和一般公司保護它的方式並不需要用到高深的駭客技術去進行攻擊。”

更重要的是，IBM管理服務的資料顯示SIP目前是VoIP協定的首選目標，佔2016年攻擊的51%。

超越 VoIP：WiFi 竊聽

雖然SIP攻擊仍在發生（通常是因為缺乏適當的安全防護和弱密碼），但這並非數位竊聽的唯一問題。

正如趨勢科技網路威脅研究員Jindrich Karasek所指出，WiFi網路無法防止被竊聽。因為有越來越多的裝置連接，讓駭客可以找到大量可用的端點。

「暴露在網路上的每一台裝置都可能成為攻擊者的進入點。例如當監控攝影機在連接WiFi網路時沒有對流量加密，攻擊者就可以窺視特定環境內的鏡頭，」Karasek寫道。「無線網路可以說天生就不安全，可能會讓陌生人未經授權就進行存取，而這些陌生人可能會竊聽傳輸的資料。雖然已經有許多安全協定被開發來保護無線網路，但這些年來這些協定本身的弱點也已經出現。」

跟SIP弱點會讓駭客竊聽VoIP系統相似，包括WEP加密協定在內的WiFi協定也出現了漏洞。在2001年，研究人員Scott Fluhrer、Itsik Mantin和Adi Shamir展示了如何利用WEP來讓駭客監視和存取網路流量。這種方法後來被稱為FMS攻擊。

WiFi竊聽：對駭客來說並無難度

雪上加霜的是這些攻擊對於今日的駭客來說肯定沒有問題。網路犯罪份子所需要的只是一台無線裝置裝上具備特定開放原始碼或可公開取得的工具，再加上足夠的網路流量。

正如Fluhrer，Martin和Shamir所說，透過對WEP流量的監視，駭客可以用明碼查看大多數封包的前幾個字元。這樣一來可以讓他們取得足夠多的封包來找到密碼，並利用這些密碼來發動進一步的攻擊。

“密碼越短，解密過程就越快，”Karasek指出。“例如，像’hackm’這樣的短密碼只需要四分鐘就可以解碼。”

對惡意竊聽敞開大門的情境

要如何得知自己的組織可能面臨此類攻擊的風險？在某些情況下，只要條件符合就可以讓駭客利用來進行這類惡意活動：

弱密碼：如上所述，弱密碼幾乎等於替駭客敞開了大門。運用可找到的工具加上社交工程和暴力破解等策略，網路犯罪分子不用花費多長時間就可以破解簡單或明顯的密碼。
預設裝置設定：預設密碼和出廠設定可能更糟糕。這包括了使用者的端點裝置及路由器。正如IT Toolbox的撰稿者Will Kelly所指出，預設設定必須在完成部署前先加以變更。這包括了VoIP電話及連接網路的其他所有端點裝置。
分公司：擁有分公司的組織（包括銀行和保險業者）所面臨的竊聽風險特別高。這些遠端位置通常與核心IT團隊脫節，因此可能無法完全符合企業的網路和安全策略，從而讓整體防護及必要的監控變得困難。
開放和不安全的網路：使用公共無線網路（如咖啡店、機場和其他地方所提供的網路）也會替駭客進行竊聽和後續攻擊提供理想的環境。

“攻擊者可以假裝坐在大廳等人，享受咖啡，打發時間或只是站在附近看手機，”Karasek說。“攝影監視並無濟於事，因為看起來只像是在正常瀏覽，或者設備可能藏在包包中或在整個攻擊過程中被遮蓋著。”

雖然這個人看起來可能就像是個普通的路人，但實際上他是在竊聽網路活動，努力破解弱密碼或監控其他流量。

防止竊聽

由於竊聽在傳統SIP連線仍然存在，新的WiFi及其他網路協議也一樣，因此確保所有端點及進入網路的入口通道都是安全的非常重要。

這包括了使用更強的密碼，而不是弱、簡單密碼和預設設定。此外，應該適時地建立防火牆和使用虛擬專用網路（VPN）。

進階的解決方案，如趨勢科技Deep Security可以提供深度封包檢測和入侵防護，還有趨勢科技OfficeScan的端點保護，可以幫助對未經授權的活動提供強大的安全保護。

@原文出處：Why Enterprises Still Have to Worry about Eavesdropping

為什麼入侵無線網路仍是網路犯罪偏好的手法？保護無線網路不被入侵或竊聽

2018 年 08 月 21 日2018 年 08 月 21 日趨勢科技 TrendMicro

攻擊者可以坐在大廳內假裝是在等人，享受咖啡，隨便打發時間或只是在用手機。監視畫面並無法看出什麼不妥，因為看起來就像是正常地滑手機，設備也可能藏在背包中或一直被遮著…

建置家用或小型公司網路很容易。但使用者也可能因為只使用預設值而讓網路較不安全。

眾所周知，無線網路的安全協定和硬體設備都有安全漏洞的出現。包括使用較不安全的管理方式及使用有漏洞的服務，像Telnet、通用隨插即用（UPnP）和Secure Shell，這些都會被Mirai或之後幾代的殭屍網路所惡意濫用。有時網頁管理介面的認證機制也很容易被繞過，讓使用者可以輕易地連上管理介面。

這些連網設備的預設值、出廠預設密碼和弱加密機制也都是被攻擊的原因，不僅會影響到物聯網（IoT ,Internet of Thing ）生態系，也影響到一般的網路。每一台暴露在網路上的設備都可能成為攻擊者的進入點。像是如果監視攝影機在連接無線網路時沒有加密流量，就可能讓攻擊者窺視到鏡頭畫面。

為什麼入侵無線網路仍是網路犯罪偏好的手法？

無線網路被認為天生就不安全，讓陌生人有可能未經授權就連上來篡改傳輸的資料。儘管已經開發了各種安全協定來加以保護，但這些年來這些協定本身也出現了漏洞。例如WEP加密協定就存在許多安全缺陷且容易被破解。2001年的FMS攻擊展示了如何攻擊該協定的弱加密演算法來進行竊聽，只要監視目標的無線網路流量就可以做到。

而使用AES加密的WPA2雖然被認為是安全的無線網路協定。但仍然並非完全安全，還是有金鑰重裝攻擊（KRACK）的漏洞出現；據報KRACK會影響所有的無線網路設備，即便有恰當地實作WPA2也逃不過。

有許多種方式可以攻擊無線網路。可以使用Raspberry Pi加上正確的工具以及適當的無線網卡。也可以利用破解過的智慧型手機加上開放原始碼工具。

只要下列元件就能攻擊成功：