企業資安 - 資安趨勢部落格

勒索病毒居然已經十幾歲了!資安專家:有三個理由,今年還會”狗狗纏”

2018 年 02 月 21 日2018 年 02 月 22 日趨勢科技 TrendMicro

勒索病毒已經出現十多年了，因為病毒的攻擊手法越來越精細，幾乎所有的國家都出現受害者，成為了全球性的威脅。根據CSO的報導，勒索病毒的歷史比許多人所想的都更漫長。儘管過去幾年出現的大規模攻擊讓其成為矚目的焦點，但其實駭客從2005年開始就一直在使用勒索病毒。而且在過去11年間的勒索病毒攻擊已經超過一般的資料外洩事件。

三個勒索病毒在未來數年仍將持續肆虐的理由

不幸的是，網路犯罪份子持續在勒索病毒方面取得成功，幾乎每天都有更多的知名企業淪為這類攻擊的受害者。毫無疑問地，勒索病毒會繼續成為網路安全產業眼中的威脅。這裡有三個勒索病毒在未來數年仍將持續肆虐的理由：

1）勒索病毒持續進化中

大多數的勒索病毒都屬於加密型或上鎖型。Heimdal Security解釋說明，加密型勒索病毒（或說是鎖住資料）會利用複雜的加密演算法讓受害者無法存取系統檔案和資料。CryptoLocker是這類型中最知名的勒索病毒之一。從局外人的角度來看，勒索病毒可能看似簡單：從受害者那裡取走一些東西並要求錢來贖回。然而在加密型和上鎖型之下還有好幾種不同類型的勒索病毒，並且有許多種感染受害者的手法。

另一種的上鎖型勒索病毒則是會鎖住中毒設備的作業系統，這意味著所有檔案和資料以及應用程式和系統都無法使用。最近的Petya攻擊就屬於這類型。繼續閱讀

勒索病毒也可網購! ShurL0ckr在暗網上販售，據報可以繞過雲端應用程式

2018 年 02 月 15 日2018 年 02 月 23 日趨勢科技 TrendMicro

安全研究人員發現一個名叫ShurL0ckr的新勒索病毒據説可以繞過雲端平台的偵測機制。就跟Cerber和Satan一樣，ShurL0ckr操作者將這勒索病毒經營成外包服務，讓其他網路犯罪分子也可以分一杯羹，從受害者贖金中抽取佣金。

《延伸閱讀》散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

根據研究人員對ShurL0ckr的分析顯示，它可以躲避雲端應用程式偵測來進行擴散。跟其他勒索病毒一樣，網路釣魚（Phishing）和路過式下載「Drive by download」是最可能的感染媒介。

ShurL0ckr的出現也顯示出另一個更大的問題：網路犯罪分子對合法平台和服務的濫用。研究人員指出，使用雲端應用程式的企業有44%或多或少受到惡意軟體影響。事實上，他們發現至少有三家企業級軟體即服務（SaaS）應用程式感染了惡意軟體。研究人員還發現，惡意腳本、可執行檔以及木馬化的Office文件和圖片檔是最常用的進入點。

勒索病毒不會很快就消失。事實上，隨著企業越來越採用新興技術來開拓業務，勒索病毒和數位敲詐可以預見會是網路犯罪的主流。繼續閱讀

網路釣魚再進化,不使用執行檔!防釣 10 招應變

2018 年 02 月 05 日2018 年 02 月 07 日趨勢科技 TrendMicro

現在網友已經越來越能分辨網路釣魚郵件，但駭客也不是省油的燈，它們的社交工程（social engineering ）技巧越來越細膩。甚至愈來愈多網路釣魚電子郵件已不再使用執行檔為附件，而是改用 HTML 網頁。因為含有執行檔的電子郵件通常會被垃圾郵件過濾軟體列為可疑郵件，但 HTML 檔案則不會，因為惡意 HTML 檔案較難被偵測，除非可證明是網路釣魚網頁。而且，網路釣魚網頁的程式碼撰寫起來較為容易，又可在任何平台上通用。

:網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤! — 網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

以 Gmail、Outlook 和 Yahoo Mail 圖示,增加可信度

趨勢科技發現一波改用 HTML 網頁為附件的網路釣魚（Phishing）郵件。一旦開啟該 HTML 附件檔案，就會啟動瀏覽器並顯示如下內容：

該網頁會要求使用者輸入電子郵件帳號和密碼以檢視文件。而且為了誘騙使用者登入自己的電子郵件信箱，歹徒還刻意在網頁上放置了幾個知名電子郵件服務的圖示，如：Gmail、Outlook 和 Yahoo Mail。

當使用者輸入自己的帳號和密碼並送出表單時，這些資訊就會被傳送至歹徒所設定好的一個 PHP 腳本。這個腳本再將受害者的帳號密碼傳送至歹徒的電子郵件信箱。

2 月是 HTML 網路釣魚頁面高峰期

2016 年 7 月 1 日至 2017 年 6 月 30 日，趨勢科技 Smart Protection Network共收到了 14,867 筆資料，其中有 6,664 個非重複樣本。

下圖顯示趨勢科技每個月所收到的通報數量：繼續閱讀

企業缺乏內部 IT 安全專家,該怎麼辦?

2018 年 01 月 25 日2018 年 01 月 19 日趨勢科技 TrendMicro

有許多因素都可能影響到公司的整體安全。網路犯罪分子運作越來越精細，利用進階惡意軟體所發起的攻擊越來越頻繁，這些都變成要落實IT安全的動力。也因此帶來了一個日益被關注的問題，就是缺少有經驗和足夠能力的內部IT安全人員。

威脅環境不斷地在變化，今天的企業需要具備專業知識的安全專家來協助組織對抗新出現漏洞和攻擊手法。企業和IT產業都在缺乏經驗豐富的IT安全人員下運作，這也讓它們付出了代價。

在這樣的情況下，網路安全專家越來越依賴於利用關鍵安全解決方案來填補人力和知識的空白。要讓這作法能成功，組織必須選擇可以深度整合來建立強大而全面IT防護的安全解決方案。

雖然大多數企業都有專門的 IT 團隊，但缺乏 IT 安全人員

“網路安全專家越來越依賴於他們的關鍵安全解決方案來填補人力和知識的空白。”

雖然大多數企業都有專門的IT團隊，但有些無法找到具備正確技能的員工，更具體的說是專注安全防護的人員。事實上，一份2016年 IT安全風險特別報告在4,000名企業代表內發現，有48%缺少IT安全人員，33%將增進安全專業列作未來IT投資的主要項目之一。另外有46%的人表示需要更多的安全專家。

“企業缺乏安全專家真的是個問題嗎？”該報告指出。“簡言之，是的！我們發現無法建立企業安全情報（特別是經由僱用新人才）會造成現實的網路安全事件，帶來直接的影響。”

在這情況下，公司IT缺乏安全經驗，不僅造成內部人才短缺，也讓企業面臨惡意入侵事件的嚴重風險。另一份技術研究公司Vanson Bourne的獨立研究發現技術間隙的問題更加嚴重 – 在全球775名IT決策者中，有82%的受訪者表示組織缺乏網路安全專業。

“這是全世界各企業和產業的問題，”Information Week作者Kelly Sheridan寫道。“當他們苦惱於如何尋找有能力的員工時，幾乎所有參與者都表示網路安全技術可以彌補人才的缺乏。” 繼續閱讀

Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式

2018 年 01 月 12 日2018 年 01 月 11 日趨勢科技 TrendMicro

根據資安研究人員指出，Google Apps Script 有某個資安漏洞可能讓駭客和網路犯罪集團經由 Google Drive 散布惡意程式。由於這項漏洞是發生在軟體服務 (Software-as-a-Service，簡稱 SaaS) 平台端，因此攻擊行動不易偵測，且攻擊時不需假使用者之手，因此使用者可能不會察覺。

Google Apps Script漏洞恐讓駭客經由 Google Drive散布惡意程式

Google Apps Script 是一個 JavaScript 開發平台，可讓程式設計人員開發網站應用程式以及 Google 軟體服務平台 (如 Google Docs、Sheets、Slides、Forms、Calendar 和 Gmail) 的延伸功能。

該漏洞跟 Google Apps 的分享與自動下載功能有關

根據研究人員指出，這項漏洞跟 Google Apps 的分享與自動下載功能有關。其攻擊手法與傳統利用 Google Drive 來存放和散布惡意程式的方式迥異。

在此手法當中，駭客先發送一份 Google Doc 文件給目標使用者來當成社交工程誘餌。當該文件被開啟時，會要求使用者執行一個 Google Apps Script 腳本，接著此腳本會從 Google Drive 下載惡意程式。此一方式跟一般 Office 文件內嵌的巨集惡意程式有異曲同工之妙。

[TrendLabs 資訊安全情報部落格：qkG 檔案加密病毒：可自我複製的文件加密勒索病毒]

這項研究發現，突顯出越來越多企業採用的 SasS平台所潛藏的資安風險。事實上，軟體服務 (SaaS) 與基礎架構服務 (Infrastructure-as-a-Service，簡稱IaaS) 是 2017 年公有雲服務成長的兩大動力，總營收達到 586 億美元。只要建置得當，SaaS 可提供企業彈性、客製化、可擴充的解決方案，實現企業流程及營運最佳化。