企業資安 - 資安趨勢部落格

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

2018 年 01 月 03 日2018 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上？為什麼新漏洞出現時沒有發表深入地探討？”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣，不管是組織或個人，就會讓攻擊可以很容易的一再發生。

作者：Natasha Hellberg（趨勢科技資深威脅研究員）

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼，它們進入了更新的技術，然後包含在其他的技術中，我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”。

聽起來有點熟？我們總是拿到新東西就直接安裝，完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限，就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運，這些設備有加以防護，可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是，根據趨勢科技FTR團隊所做的研究，有幾十萬放在網際網路上的設備帶有漏洞（就是說可以被入侵）或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
設備/網頁竄改（defacement） – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
DDoS殭屍網路和攻擊激增工具（Booter） – 系統和設備漏洞成為攻擊他人的跳板

繼續閱讀

2017年常被惡意濫用的系統管理工具和協定

2018 年 01 月 02 日2018 年 01 月 02 日趨勢科技 TrendMicro

系統管理工具和正常使用協定可以讓管理員、資安專家和開發人員更加具備靈活度和效率。但如果被攻擊者、網路犯罪分子和其他惡意份子利用，就會讓惡意軟體融入正常的網路流量來躲避傳統的安全機制，留下更少的足跡。正如2017年知名的威脅所顯示的那樣，讓它們被暴露或未加防護，甚至無意間被加以利用都可能產生嚴重的後果。

以下是2017年一些常被濫用的工具和協定，以及企業能夠用來對付利用這些工具進行攻擊的最佳實作：

PowerShell

它是什麼：Windows PowerShell是包含腳本語言和命令列shell的管理框架。它讓系統管理員可以自動化任務和管理流程。包括：啟動命令列、終止程序、找到資料夾和檔案、設定命令在背景排程執行、存取應用程式介面（API）以及管理系統和伺服器設定。

它如何被濫用：PowerShell是許多惡意軟體的主要部分，特別是無檔案威脅。像是Cerber和PowerWare等勒索軟體，像FAREIT這樣的資料竊取程式，像VAWTRAK這樣的銀行木馬以及將惡意PowerShell腳本嵌入可執行檔或巨集病毒文件的後門程式。這些腳本被用來取得和啟動/執行惡意軟體。因為PowerShell的性質，它常會被加入白名單；攻擊者利用它來躲避防毒（AV）偵測。

最佳實作：限制其使用，或將可能被濫用的指令加入黑名單 – 這可以提高安全性，但也可能影響其他系統功能。管理員也可以利用PowerShell本身，使用觸發器來偵測常被用於惡意PowerShell腳本的指令或參數。PowerShell還具備日誌功能，可以用來分析系統內的可疑行為。微軟也提供如何安全使用PowerShell的最佳實作建議。

PSEXEC

它是什麼：PsExec是可以讓使用者遠端啟動程序及執行命令或可執行檔的命令列工具。它使用登入到系統的使用者權限執行。PsExec有多種用途，它可以讓管理員重新導向系統間的控制台輸入和輸出。PsExec也可以用來派送修補程式。

它如何被濫用：Petya/NotPetya勒索病毒會利用PsExec的修改過版本來存取和感染遠端機器。磁碟加密HDDCryptor也用類似的方式使用它。無檔案加密惡意軟體SOREBREC利用PsExec來加強其程式碼注入能力。PsExec的靈活性也讓它被用來劫持端點成為殭屍網路的一部分，並且安裝端點銷售（PoS）惡意軟體。據報PsExec也被用在Target資料外洩事件中。繼續閱讀

地下市場:只要3美元,就能存取企業遠端桌面（RDP）伺服器!

2018 年 01 月 02 日2017 年 12 月 27 日趨勢科技 TrendMicro

安全研究人員發現有好幾個「黑暗網路」(Dark Web) 的地下市場在販賣能夠存取企業遠端桌面（RDP）伺服器的憑證，只要賣3美元。該報告揭示一個名為Ultimate Anonymity Services（UAS）的著名地下市場販賣來自醫療產業、教育和政府等組織的 RDP 帳號。

值得一提的是總共提供了3.5萬筆暴力破解來的RDP帳號，其中有7,200筆來自中國，6,100筆來自巴西，3,000筆來自印度，1,300筆來自西班牙，900筆來自哥倫比亞。UAS服務商還出售了300個位在美國的RDP帳號，分別來自加州、俄亥俄州、奧勒岡州和維吉尼亞州。價格介於3美元到10美元間。研究人員指出，跟競爭對手（如xDedic）以高達100美元價格銷售類似產品相比，UAS的較低價格是因為它在網路犯罪分子間越來越受歡迎。

這份報告解釋了最近所發生的一連串資料外洩和勒索病毒相關事件，因為能夠進入這些系統和網路讓網路犯罪分子和惡意份子可以竊取資料或將資料當作人質。舉例來說，暴力破解RDP是Crysis勒索病毒的主要感染媒介和進入點。即使是像MajikPOS這樣的銷售端點病毒也結合了入侵的RDP帳號和遠端存取木馬來竊取信用卡資料，然後在地下論壇販賣。

[延伸閱讀：你的資料如何被用來對付你?]

的確，地下市場遍布著非法商品及遭竊資料和惡意軟體，供應商經常會根據需求來調整售價。但以中東和北非地下市場為例，它們的貨幣價值也會受到參與者的獨特文化所影響。

事實上，許多惡意軟體和對某些系統和網路的連線服務在中東和北非地下市場是免費提供。包括了加密程式、鍵盤側錄程式、SQL注入工具、惡意軟體產生器到資料採集與監控系統（SCADA）端口號碼。RDP只賣8美元，而電子商務憑證售價僅1美元。繼續閱讀

ISACA預測2019: 缺少兩百萬名網路安全專家

2017 年 12 月 26 日2017 年 12 月 27 日趨勢科技 TrendMicro

每年在這時候，公司的最高管理階層都有許多該優先處理的事情：搞定明年的預算計畫以及確保企業朝向目標前進是最優先的兩項。而另一件在進入2018年時所必須考慮的重點是建造他們的IT資安團隊。

面對網路犯罪分子持續地日益創新，破壞性的攻擊策略以及更加頻繁的攻擊，企業是否能夠擁有足夠的安全資源和人手來處理是件重要的事。但是網路安全產業人才短缺已經持續了多年，而且還會持續到2018年。

IT資安人員的就業機會

在Forbes的報導，非盈利資訊安全推廣組織ISACA預測到了2019年會出現驚人的資安專家短缺 – 缺少兩百萬名網路安全專家。

“美國每年有4萬份資訊安全分析師的職缺需要填補，而雇主還必須填補20萬份的其他網路資安職位”，Forbes撰稿者Jeff Kauflin寫道。“而每十份出現在求職網站上的網路資安工作，甚至只有7個人會去點那些廣告，更不用說申請。”

總的來說，缺乏訓練有素而技術精湛的IT資安專家是各產業都正在面對的問題。隨著資安威脅的不斷成長，IT人員短缺成為更加緊迫的問題。

“到了2019年，專家預測會缺少兩百萬名的網路安全專家。”

值得慶幸的是對網路資安人員和其雇主來說，一旦招募並且到職就會相當穩定。Gartner公司指出網路資安產業目前是零失業率 – 這在其他任何產業幾乎都不會見到。“我們是少數會有零失業率的產業，”網路安全專家Robert Herjavec指出。“不幸的是，資安人才的增加速度並不足夠來遏制網路犯罪的橫行。在我們能夠改善新網路資安專家的教育訓練品質之前，我們將會繼續地趕不上黑帽肆虐。 “

招聘頂尖IT人才

專家們說網路安全人才是技術領域中最少的，這不難理解為什麼 – 對訓練有素專家的需求數量超過了現有技術精湛、經驗豐富的人員數量。而在下一批人員被訓練好且足以擔當此任前，可用人才庫仍然還是不夠，且越來越少。

這讓企業必須要更加努力才能吸引頂尖IT人才來補足人員的短缺。值得慶幸的是，企業還可以利用以下三個策略來支援內部 IT團隊：繼續閱讀