太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客,員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證,以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南:處理自帶設備(BYOD)環境所面臨的威脅

自帶設備(BYOD)在過去幾年大大地盛行,因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處,但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

 

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分,企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

 

防禦惡意應用程式:對於行動設備,企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案,可以偵測應用程式是否可以安全使用。此外,企業解決方案應該包含設備管理和應用程式管理功能,讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外,企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式,可以透過網路活動來先一步偵測惡意軟體。

 

網路釣魚

雖然網路釣魚(Phishing)並不僅是BYOD的問題,但它在BYOD生態系造成特別顯著的威脅,因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊,但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊,可能會影響到他們自己的設備。 Continue reading “太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?”

Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際,趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App,被駭客鎖定放置惡意後門程式,以竊取裝置的帳號資料 還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式,主要是針對 安卓 (Android )用戶,會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲,誘騙使用者上鉤。

Snippets-FB

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料,能造成的威脅還不只這樣 (至少就衝擊面來看是如此),它還會引來一個更危險的威脅,那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名,是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能,第二版會進一步操控更多功能,第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看,未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地,各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學,有些人甚至還幫它開發了一些修補程式。

事實上,有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖),由於這是一個 RAT 服務,因此這一點其實可以在程式編譯的時候修改 (或移除)。

 

 

圖 1:從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsappPokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式,名稱大多叫做 App、MMS、whatsapp,甚至是 Pokemon GO。當應用程式啟動時,它會從資源檔解開一個 base64 編碼的字串並寫入磁碟,這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它,然後要求使用者安裝它。這程式非常難纏,就算使用者在要求安裝的頁面上點選「取消」,訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後,外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行:

 


圖 2:外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能,而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來,惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令,透過「new Socket(hefklife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密,APK 在收到之後會自行解密。有趣的是,趨勢科技也發現此後門程式在連線時會使用網域名稱,而非 C&C 伺服器的 IP 位址,這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址:

  • hef–ddns.net
  • f–ddns.net
  • no-ip.biz
  • no-ip.biz

值得注意的是,指令中可包含動作代碼和物件資料,駭客可透過這方式來指定攻擊目標和攻擊內容,因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能,讓使用者毫不知情。

以下是一些動作代碼和其對應的動作:

  • 動作代碼 = 10、11:操控 Wi-Fi 狀態。
  • 動作代碼 = 34:監控手機各感應器的即時資料。
  • 動作代碼 = 37:設定手機使用介面模式,如夜晚模式/車用模式。
  • 動作代碼 = 41:操控震動功能,包括振動方式和時機。
  • 動作代碼 = 46:下載圖片來當成桌布。
  • 動作代碼 = 48:列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
  • 動作代碼 = 49:刪除指定目錄中的檔案。
  • 動作代碼 = 50:重新命名指定目錄中的檔案。
  • 動作代碼 = 51:上傳某個想要的檔案至 C&C 伺服器。
  • 動作代碼 = 52:建立一個指定的目錄。
  • 動作代碼 = 60:使用文字轉語音功能 (將文字轉成音訊)。
  • 動作代碼 = 62:傳送 SMS/MMS 簡訊至駭客指定的號碼;內容可自訂。
  • 動作代碼 = 68:刪除瀏覽器歷史記錄。
  • 動作代碼 = 70:刪除 SMS 簡訊。
  • 動作代碼 = 74:下載檔案。
  • 動作代碼 = 75:撥打駭客指定的電話號碼。
  • 動作代碼 = 77:打開活動檢視應用程式,駭客可指定統一資源識別碼 (Uniform Resource Identifier,簡稱 URI),如:開啟瀏覽器、地圖、撥號的檢視等等。
  • 動作代碼 = 78:操控系統的紅外線發射器。
  • 動作代碼 = 79:執行駭客指定的指令列命令,並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令,用於竊取裝置的資料,包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊,如:通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

 

 

 

 

Continue reading “Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置”

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 Continue reading “Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高”

針對非連網系統的 USB Thief 資料竊取程式

最近出現了一個獨特的 USB 資料竊取程式,專門攻擊非連網的系統。根據惡意程式分析師 Tomas Gardon 的發現,這個 USB Thief (USB 竊賊) 程式一旦進入某個系統,就能一次偷走大量的資料。

Taking data off a laptop.

此惡意程式有幾項獨特的特徵,有別於傳統經由 USB 隨身碟及 Windows Autorun 自動執行功能感染電腦的惡意程式。此惡意程式感染電腦的能力非常獨特,甚至可感染沒有連網的電腦,而且不留下任何痕跡。Gardon 指出:「此惡意程式只經由 USB 隨身碟傳播,而且不會在受害電腦上留下任何痕跡。其作者更運用了一些特殊的機制來防止惡意程式被重製或拷貝,因此更難加以分析和偵測。」

USB Thief 利用了一連串的獨特技巧來附著到受害的系統以躲避偵測。它感染 USB 隨身碟的方式是將自己巧妙地插入一些免安裝綠色軟體 (如 FireFox、NotePad++ 及 TrueCrypt) 的執行指令當中。它會以附加元件或 DLL (動態連結程式庫) 的方式載入系統,然後在背後暗中執行。

USB Thief 可搭配某個大型駭客攻擊行動來竊取非連網系統上的資料,只要員工將受感染的 USB 隨身碟拿到隔離的系統上使用之後,再插回某台被感染的連網電腦時,駭客就能傳回竊取的資料。

 

原文出處:USB Thief Malware Targets Air-gapped Systems

中小企業採用軟體即服務(SaaS)的安全挑戰

隨著中小企業市場的發展及競爭的日益激烈,公司會尋求各種方法來降低成本並提高員工工作效率,創造嶄新且能夠持續的商業模式以免現有客戶群不被競爭對手所蠶食,並且又能帶來新的客戶。變動快速的市場迫使企業考慮雲端解決方案。

資訊安全 CISO 企業

軟體即服務(SaaS)對你的企業來說是個正確答案嗎?也許,但這裡有些你需要考慮的事情:

做好功課。這聽起來有點蠢。但我過去交談過許多合作夥伴都是先一頭栽進軟體即服務(SaaS)而沒有充分評估運作模式。底下是一些你需要回答的問題。

  • 你的客戶是誰?他們能夠接受雲端作業嗎?
  • 你目前的成本結構是什麼?
  • 你的競爭對手在做什麼?
  • 你的IT團隊工作滿載嗎?

Continue reading “中小企業採用軟體即服務(SaaS)的安全挑戰”

給企業和員工的資安建議

 

biz

 

本文為企業和上班族解析各項安全措施和最佳實作。包括如何跨平台的保護資料和設備以及員工可以如何避免公司網路受駭的一些準則。

企業最佳實作

有句俗話說「預防勝過治療」。雖然這句話有很多種用法,當你談到企業安全時,預防的成本會比不得不面對治療時要便宜得多。尤其是當你想到資料外洩事件或其他威脅會對組織造成多大的傷害時。

注意壞連結 – 不停的待在網路上讓使用者暴露在各種網路陷阱和詐騙中,這不僅危害使用者本身,還可能包括受害者網路內的其他人。閱讀本指南來了解如何察覺惡意廣告、垃圾郵件和電子郵件詐騙、網路銀行詐騙和其他騙局。

加密你的工作郵件 – 不管今日有多少可以用來通訊的平台,電子郵件仍是商務訊息最常見也最被廣泛使用的平台。一封電子郵件所包含的重要資料和個人資訊就可能決定一家公司的成敗,所以一定要記得小心謹慎。你還可以為網頁郵件帳號設定電子郵件加密。

Continue reading “給企業和員工的資安建議”

2015 上半年行動威脅情勢:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式

 

2015 上半年行動威脅情勢的焦點在於作業系統、應用程式以及裝置本身的漏洞。過去幾個月來所發生的幾起重大事件和案例顯示這些漏洞已成為歹徒的攻擊管道。此外,越權廣告程式和可能有害的程式 (PUA) 仍是極為普遍的威脅,數以百萬計的使用者因而暴露在惡意廣告與個資蒐集程式的危險當中。

以下是 2015 上半年幾起最重大的行動威脅案例。

內含 MDash 軟體開發套件 (SDK) 的應用程式突顯出線上廣告的危險

一些可能有害的線上廣告不光只是煩人而已,還會在行動裝置上植入惡意程式。

今年二月,Google Play 下架了一些據報由廣告程式偽裝的應用程式,這些內含 MDash 廣告 SDK 的應用程式讓數百萬台裝置感染了越權廣告程式,這就是趨勢科技所偵測到的 ANDROIDOS_ADMDASH.HRX。內含此 SDK 的惡意程式家族可在使用者背後偷打電話並偷偷蒐集資訊,並將資訊傳送至遠端伺服器。此外,還會在已感染的裝置上再安裝其他更惡劣的廣告。

內含 MDash SDK 的 App 程式

根據我們的調查,截至去年 3 月 11 日為止,Google Play 商店上就發現 2,377 個這類 App 程式的 SHA-256 雜湊碼。Google 在接獲研究人員通知之後,立刻展開了調查。

Pawn Storm 攻擊行動使用惡意的 iOS App Continue reading “2015 上半年行動威脅情勢:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式”

未來學(FuTuRology):穿戴式裝置和智慧型醫療設備,資料驅動醫療未來的零件

這是「未來學(FuTuRology)」專題的第二篇文章,來自趨勢科技前瞻性威脅研究(FTR)團隊對熱門技術未來進行預測的部落格文章系列。請務必看看本系列第一篇文章對此專題所作的簡單介紹。

今天的話題很令人興奮:醫療技術。

讓我們先從現有的技術開始:健身穿戴式裝置。這些小設備已經被大量的生產和銷售,看看Fitbit或Jawbone這些廠商。在二月巴塞隆納的世界行動通訊大會裡,我們嘗試了各式各樣的設備。有些廠商開始瞄準利基市場,像是寵物和兒童,不過先不要離題了。當我們將這些穿戴式技術放在身上,可以用來計算所走的步數和每分鐘的心跳,然後估算我們所燃燒的卡路里。所搭配的行動應用程式可以讓我們記錄體重變化和食物攝取量,以更精確地估算熱量和衡量我們的飲食是否過量或不足。這些資料都會上傳到廠商的雲端服務,讓他們可以秀出漂亮的彩色圖表。到目前為止,一切都很好。

讓我們看看不久的將來。從群眾集資專案和大眾增加的興趣來判斷,將會有些大事出現。我所說的是能夠按照個人意思來評測健康參數的設備,並且上傳資料到廠商的雲端服務。什麼樣的資料?有體溫、血壓、血氧水平、心跳、呼吸率、心電圖(EKG或ECG)及其他類似資訊。一旦資料上傳,伺服器會根據你的個人歷史數據來運用演算分析這些數值是否正常或異常。這項技術有望讓你在真正發病前就先知道,或通知你可能要生病了。科技真棒!

健身穿戴式裝置和智慧型醫療設備之間的相似性很明顯。我們是否可以在未來某個時候看到兩者融合在同一台設備上?很難說,但的確有可能。我敢說更可能的是將會看到健康數據以前所未有的規模進行關聯分析。從醫學角度看,能夠對這兩個資料集進行資料採礦的確是件大事。健身數據提估我們活動資料,而醫療數據提供影響資料。是否攝入較多的香蕉開始代謝作用讓我們在兩個月後生病?這是否只發生在特定區域?或也許只出現在某年齡層?甚至比較簡單的,什麼時候開始出現流感疫情和會如何因應你的活動水平而讓其影響產生變化?這些是不是很酷呢?

IOE 運動裝置

Continue reading “未來學(FuTuRology):穿戴式裝置和智慧型醫療設備,資料驅動醫療未來的零件”

攜帶 IoT裝置及穿戴式裝置到職場之前該考慮些什麼


萬物聯網(IoE ,Internet of Everything)是運算潮流的新未來,而這項概念也正逐漸走出家庭,進入了職場。很快地,員工將開始攜帶一些能夠提升其工作效率、讓工作更輕鬆的連網裝置去上班。

在萬物聯網概念下的連網裝置與穿戴式裝置數量正不斷增加。根據 Gartner 指出,今年,使用者的連網「物品」數量將達 49 億,較 2014 年成長 30%。

電信專家估計,目前有 10% 的企業已能接納 IoE,且數字還會逐年增加。這是因為 IoE 讓企業在商場上屢創佳績。如果過去的 BYOD 浪潮能夠讓企業學到什麼,那就是像這樣巨大的浪潮未來絕對勢不可擋。

但企業也應該注意,除了一些較明顯的後果之外,連網物品還可能帶來各式各樣的風險,例如:大型資料外洩、惡意程式不斷增加等等過去幾年一直困擾企業的問題。2014 年,許多企業所遭受的損失更加擴大,因此 IT 系統管理員有必要提升自己對資訊安全的認知,並且採取適當的應對行動。

正當 IT 部門試圖努力保護公司珍貴資產時,連網物品的持有人該如何才能保護企業?他們必須考量以下三點: Continue reading “攜帶 IoT裝置及穿戴式裝置到職場之前該考慮些什麼”

【CTO 觀點 】行動虛擬化 – 解決自帶裝置(BYOD)問題

作者:趨勢科技 技術長  Raimund Genes

對許多今日的使用者來說,他們使用科技的方式是由行動裝置來決定。他們的主要設備不是桌上型電腦,甚至不是筆記型電腦,而是一款平板電腦或智慧型手機。而資料也不儲存在硬碟或隨身碟上,企業資料現在是儲存在雲端,使用者在需要時才加以存取。如果我們檢視個人電腦與智慧型手機的銷售數量就能夠看出明顯的趨勢。在2014年第三季,分析師估計總共售出了7,940萬台電腦,而同一時期則售出了3億100萬支智慧型手機
手機 指紋 mobile2

這改變了IT人員和最終使用者的關係。在過去,他們提供使用者能夠集中管控的電腦。然而對許多組織來說,這項政策已不再適用:被認為是「個人」裝置的是行動裝置,而非一般電腦。

結果就是自帶設備(BYOD)的興起。使用者購買自己的設備且自行負責,但公司負擔部分費用。理論上來說,大家都高興:使用者拿到自己想要的設備,公司可以看到成本降低及更有效率的新IT系統使用率增加。會有什麼問題呢?

不幸的是,自帶設備可能帶來的不是美夢而是噩夢。公司資料最終會和個人資料混在一起,造成較高的資料外洩風險。設備也可能被入侵,用來攻擊組織內的其他目標。自帶設備結果可能變成自帶災難。

已經有人嘗試去解決這個問題,但並非做得很好。他們設法分開設備上個人和工作的部分,但對使用者和公司來說都很難使用。

那麼有什麼好方法來解決這看似棘手的問題?我們可以到一般電腦的世界來尋求可行的解決辦法。在虛擬桌面基礎架構(VDI)中,使用者存取伺服器上的虛擬機器。為什麼我們不能在行動裝置上做一樣的事情?

讓我們稱之為行動虛擬基礎架構或VMI。手機上的用戶端不用做特別的事情,只要連上一個在公司伺服器上運行的虛擬行動作業系統。因為它本質上跟在設備上所習慣的作業系統相同,所以使用者的接受度應該是高的。

而更重要的是,正確實作VMI解決方案不會讓使用者設備上的資料出現風險。這對許多產業來說將很有用:例如在醫學環境,不會出現讓敏感醫療資料真的離開醫院伺服器的風險。對於有法規去嚴格限制資料該如何或在何處存取的行業來說,這帶給員工更加靈活的工作方式。

VMI是考慮實行自帶設備政策的企業所該認真思考的選項。自帶設備對公司帶來許多好處,但也帶來風險。VMI可以幫助管理這些風險,讓公司在充分享受自帶設備好處的同時也減少任何潛在問題。

你可以觀看下面影片來獲得更加詳細的資訊。

@原文出處:Mobile Virtualization – Solving the BYOD Problem