登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: 繼續閱讀

揭開五個資料外洩的迷思

在過去十年來,出現了許多美國史上最令人矚目的資料外洩事件。有2005年的AOL的事件,一位內部人士流出了敏感資料。索尼(2011)和Target(2014)事件洩漏了數百萬筆客戶記錄。而光今年一年,我們就看到醫療保險公司(Anthem)、政府機關(OPM)、甚至是網路約會服務(Ashley Madison)也都發生資料外洩事件。被竊資料的數量非常驚人,所包含的種類更是繁多。

mobile 手機 筆電 平板 跨平台 nb usb

 

對這些資料外洩事件的關注多半集中在誰受到影響及如何復原。另一方面,被竊資料被視為是外洩的原因。不過關於什麼被竊,其實有許多值得研究學習的地方。跟著資料走,我們可以瞭解攻擊者在尋找什麼,他們如何使用這些資料,它值多少及最終到了哪裡。

趨勢科技前瞻性威脅研究團隊的Numaan Huq分析十年來的資料外洩事件來找出企業面臨入侵外洩事件的各種相關數字。這樣的概率研究讓企業可以評估自己目前的風險等級,以便制訂更好的策略來捍衛自己的網路。同時還可以幫我們證明對資料外洩的了解是正確的還是只是迷思。

 

迷思一:駭客和惡意軟體是資料外洩的主要原因。

儘管新聞充斥著某些惡意軟體或駭客團體要對哪些資料外洩事件負責的故事,但事實是,大多數其實是由設備遺失所造成。總體上,它佔了所有資料外洩事件的41%,相較之下,駭客攻擊和惡意軟體佔了25%。企業經常會忽略儲存在員工筆記型電腦、行動裝置甚至隨身碟上的敏感資料。如果這些設備遺失或被竊且沒有防護,就成為竊取資料的簡單途徑。

但這並不表示駭客和惡意軟體不嚴重。這類型的威脅絕不能掉以輕心。相較於設備遺失或被竊可以透過遠端設備刪除、使用虛擬基礎架構和實施更嚴格政策來加以解決,駭客入侵及使用惡意軟體攻擊更加有計劃性和有特定意圖。在這些情況下,需要高度客製化的防禦解決方案和策略。

繼續閱讀

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)

駭客 蒙面

白皮書 鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

八種駭客用來竊取企業資料的後門程式技巧

後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。

當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。

下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門

為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:

  1. 將後門程式綁定某個通訊埠。

若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。

  1. 透過後門程式穿越防火牆。

若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。

  1. 後門程式檢查可用的連線以傳輸檔案。

通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。

  1. 後門程式透過社群網路連上幕後操縱伺服器。

繼續閱讀

該讓您的 XP 走了但為何難以分手?

管理您的老舊作業系統,Windows XP 終止支援之後,未來的日子將變得如何?

Microsoft 長達十多年的 WindowsR XP 支援在 2014 年 4 月 8 日劃下句點。使用者再也不會收到安全更新、非安全相關修正,以及免費或付費的支援,同時線上技術資訊也不再更新。

企業 商務 IT SMB Man

 

支援終止意味著仍在使用 Windows XP 的企業系統將面臨嚴重的後果。本文探討企業繼續使用這套作業系統所將面臨的威脅、潛在損失、法規遵循問題以及更高的使用者運算成本。

Windows XP 全球使用率在過去一年逐步下滑的趨勢。儘管該作業系統的市場占有率已經大幅滑落,但 Windows XP 在市場上仍占有一席之地。Microsoft 至今已雄霸用戶端作業系統市場長達二十多年。根據 IDC的調查,每十台 PC 就有一台是使用 Windows 作業系統。此外,根據Spiceworks 所作的一篇研究也發現,截至 2013 年 12 月為止,有 76% 的IT 人員仍得支援 Windows XP 作業系統。其中,97% 支援的是桌上型電腦,68% 支援的是筆記型電腦。 

「該讓您的 XP 走了但為何難以分手?」

儘管 Windows XP 作業系統即將終止支援,但其使用率仍非常普遍。Microsoft 過去也曾有許多 Windows 版本已終止支援,但沒有一個版本至今仍在普遍使用。Windows XP 之所以雄霸至今,原因之一可能是 2008 年的經濟危機造成許多企業資金短絀、裁員和撙節成本。此外,WindowsXP 和其後繼系統 Windows Vista 之間只有五年的間隔,也或許還不足以讓企業有升級的動機,導致桌上型電腦汰換週期遲緩。

Windows XP

「金融危機釋疑:為何我們還不曉得到底發生了什麼?」

為仍有一大部分的桌上型電腦市場將暴露在與日俱增的威脅當中。當年 Windows XP 在 2001 年上市時,行動使用者的數量非常稀少,而且都是透過有線網路連線。當時,使用者大多經由企業掌握的網路上網,遠端存取則通常透過撥號連線。當年的 PC 威脅大多只會讓使用者困擾或是浪費時間,而非竊取重要資料。簡單言之,今日之所以要淘汰 Windows XP,正因為它是針對當年的時空背景設計的產品。

儘管迫在眉睫,但更換作業系統並沒有想像中的容易。IT 人員需預先料到升級會遇到哪些問題。根據 Dell 的一項研究顯示,作業系統移轉總是會帶來一些頭痛問題,4 例如應用程式相容性 (41%) 及使用者教育訓練和支援 (33%) 等等都是受訪者所指出的問題。此外,升級也可能會需要採購新的硬體,讓轉換過程不如想像順利。

2013 年 2 月,當 Oracle 宣布 Java. 6 終止支援,不再提供安全更新來修補任何漏洞之後,駭客即開始強力鎖定該軟體未修補的版本。就在 Java 6 終止支援幾個月後,駭客便試圖攻擊 Java 的CVE-2013-2463 漏洞,影響的範圍包括 Java 6 在內的多個版本。

由於 Java 6 已不再獲得支援,Oracle 便不提供 (未來也不會提供) 安全更新給使用者。更糟的是,此漏洞攻擊已整合到 Neutrino 漏洞攻擊套件當中,未來將有更多同樣的攻擊得逞。

2014 年 4 月 8 日之後,Java 6 的情況同樣也將發生在 Windows XP 使用者身上,但 Windows XP 的威脅將遠勝於此。因為, Windows XP 和後繼 Windows 作業系統版本之間的共用程式碼,將成為駭客尋找待修補漏洞的「線索」。

總而言之,今日的威脅已和以往大不相同。事實上 Windows XP 的漏洞很可能讓整體企業及企業資料陷入危險當中。要防範這類已不再釋出修補程式的軟體漏洞,我們建議企業採用一套像趨勢科技 OfficeScan. Intrusion Defense Firewall 入侵防禦防火牆這類的漏洞防護方案。漏洞防護技術的運作原理是,漏洞攻擊都會透過特定的網路途徑來攻擊應用程式。因此,我們可以藉由一些網路層的控管規則來管制進出目標軟體的通訊。

2013 年 10 月 Microsoft 公布一項消息表示 Windows XP 終止支援之後,該系統的感染情況將增加 66%,顯示駭客很可能會利用這段感染空窗期。6 駭客將試圖利用後續新版作業的安全更新來進行反向工程,藉此尋找Windows XP 的漏洞。網路犯罪者甚至將「囤積」各種漏洞攻擊,待Windows XP 支援終止時全面傾巢而出。

一旦 Windows XP 支援終止,Internet ExplorerR (IE) 也將成為另一個風險因素。該瀏覽器從 IE 8 之後的版本就不再支援舊版作業系統,這表示舊版作業系統的使用者將被打入冷宮。當然,使用者也可改用其他瀏覽器,不過,光更換瀏覽器仍不能 100% 防止瀏覽器漏洞。

另一項可能的技術風險是含有漏洞的端點裝置很可能被當成新一代惡意程式的攻擊跳板,因為舊系統很難對抗這些新的威脅。鎖定目標攻擊即經常利用軟體漏洞來入侵系統,讓企業暴露在資料竊盜和商業間諜的風險中,此外,任何使用 Windows XP 的 PC 對駭客來說都是一個明顯的弱點。

老舊的系統和軟體若不淘汰,將帶來嚴重的企業風險,包括一些不可預期的潛在成本和後果。然而,也有人認為繼續使用 Windows XP 可以讓使用者不必再學一套新的作業系統,因為他們已經很熟悉系統的使用介面,而開發人員也對其瞭若指掌,這樣的主張看起來也很合理。

那麼,為何一定要更換系統?首先,IT 系統管理員應考量一下在終止支援之後繼續維護 Windows XP 的財務成本。決定繼續使用該系統的企業很可能必須加入客製化支援服務,也就是必須成為 Microsoft Premier Online 線上服務的會員。

看完整文章請下載白皮書 :Windows XP 終止支援之後 未來的日子將變得如何?

Windows XP 終止服務後,如何管理就系統?