從移花接木的 Deepfake 影音,看機器學習與網路攻擊

換臉、控制嘴唇,植入假造的音源檔,流傳在網路上萬個造假影片,用 #Deepfake #深偽技術 製造的。如果你的老闆在 Youtube 上有很多影音,得當心被利用了
這項技術已被網路犯罪集團用來圖利,已出現的案例是模仿大老闆的聲音,語調、斷句及腔調,進行語音網路釣魚,騙走 24.3 萬美金。😰

本文說明幾種運用機器學習技術的駭客概念驗證與真實攻擊案例來說明當前機器學習在網路威脅領域的應用現況與未來可能性。

資安廠商正運用機器學習(Machine learning,ML)技術來改善其威脅偵測能力,協助企業強化惡意程式、漏洞攻擊、網路釣魚郵件、甚至未知威脅的防禦能力。Capgemini Research Institute 針對機器學習在資安上的應用做了一份研究,他們發現在所有受訪的 10 個國家 850 位資深高階經理當中,約有 20% 在 2019 年之前便已開始運用機器學習技術,另有 60% 將在 2019 年底前開始採用。

機器學習在網路資安領域的應用已證明相當有效,更別說在其他眾多產業也獲得了相當的成果。不過這項技術卻也存在著被犯罪集團吸收利用的風險。儘管機器學習變成大規模犯罪武器的可能性似乎還很遙遠,但有關這方面的研究,尤其是利Deepfake 深度偽造技術來從事勒索或散布假訊息,近來在 IT 業界與一般大眾之間已掀起了一波熱議。

為了進一步說明當前機器學習在網路威脅領域的應用現況與未來可能性,以下說明近幾年來一些運用機器學習技術的駭客概念驗證與真實攻擊案例:

繼續閱讀

利用預判式機器學習技術交叉關聯靜態與動態行為特徵,實現更快、更精準的惡意程式偵測

趨勢科技已開發出一種名為「TrendX Hybrid Model」的機器學習模型,採用前置訓練與訓練兩個階段來交叉關聯靜態與動態行為特徵,進而提升偵測率並減少誤判。

利用預判式機器學習技術交叉關聯靜態與動態行為特徵,實現更快、更精準的惡意程式偵測

數十年前,早在機器學習(Machine learning,ML)還未開始成為熱門話題之前,該技術就已證明能夠從大量的資訊當中找出一些非顯而易見的模式,並可對資料進行分類與叢集,還可經由一些演算法來提供預測。機器學習在現實生活中的應用極廣,其中最重要的領域之一就是網路資安,它可讓傳統網路資安解決方案更能有效偵測一些破壞性威脅,例如勒索病毒Ransomware,不讓它們有機會進入系統,讓企業省下時間和金錢,並確保商譽。

傳統上,機器學習大多用來處理一些歷史資料。讓電腦從一些經過人工標記的資料當中推導出結論。在網路資安領域,機器學習模型可被訓練來辨識惡意檔案與惡意程式長什麼樣子,藉由交叉關聯方式來協助發掘一些全新、從未發現或尚未被分類的威脅。

為了進一步拓展機器學習在網路資安領域的應用,趨勢科技已開發出一套採用兩階段訓練的機器模型來提升偵測率並減少誤判。這套名為「TrendX Hybrid Model」的模型讓我們不僅能偵測惡意程式,最重要的是可以預測行為。

同時採用靜態與動態方法偵測惡意程式的優缺點

一般來說,資安領域的機器學習模型在判斷未知檔案為惡性或良性時有兩種方法:靜態分析與動態分析 (也就是行為分析)。

靜態分析


收到一封挾帶惡意執行檔的電子郵件。
繼續閱讀

網路釣魚及流氓行動應用程式是詐騙攻擊最常用的媒介

根據一份調查了全球82,938起詐騙事件的報告,網路犯罪分子在2019年第一季持續地大量使用網路釣魚(Phishing)及流氓行動應用程式來詐騙使用者和企業。

根據報告對詐騙攻擊的剖析,網路釣魚攻擊佔了29%,而流氓行動應用程式佔了50%。而RSA關於詐騙者持續利用網路釣魚及流氓行動應用程式的調查結果跟趨勢科技Smart Protection Network的反饋資料相一致,SPN利用了機器學習(Machine learning,ML)等先進資料科學技術,在2019年第一季偵測並封鎖了440萬起的網路釣魚攻擊(基於連到釣魚網址的不重複客戶端IP地址)以及1,250萬次的惡意行動應用程式攻擊。

[延伸閱讀:趨勢科技Cloud App Security 2018報告:針對進階郵件威脅的先進防禦]

網路釣魚攻擊穩定持續,流氓行動應用程式呈指數成長

RSA觀察到網路釣魚攻擊會透過社交工程郵件、電話或簡訊釣魚等形式進行,跟2018年第四季相比起來成長不到1%。但與此同時,詐騙者部署了更多的流氓行動應用程式。跟2018年第四季的10,390個流氓行動應用程式比較起來,2019年第一季的攻擊總數達到了41,313個 – 成長了300%。

其他類型的詐騙攻擊包括了使用假藉口、品牌盜用(郵件及網頁)來誘騙使用者安裝木馬程式或隱形惡意軟體。分別佔總數的12%和9%。

繼續閱讀

垃圾郵件使用 HawkEye Reborn 鍵盤側錄惡意程式攻擊企業

HawkEye Reborn v8.0 和 v9.0 是該知名鍵盤側錄惡意程式家族最新的兩個版本,目前已出現 在一些專門攻擊企業使用者的垃圾郵件當中。IBM X-Force 研究人員發現了一些攻擊案例使用該鍵盤側錄惡意程式變種來竊取帳號登入憑證與敏感資料,而這些資料又進一步被用於其他攻擊,如:盜用帳號或變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise簡稱 BEC)。除了竊取上述資訊之外,該程式還可能下載更多其他惡意程式變種至被感染的電腦。

垃圾郵件使用 HawkEye Reborn 鍵盤側錄惡意程式攻擊企業

過去,趨勢科技也曾經發現過類似的攻擊案例。趨勢科技研究人員曾在一項深度研究中發現,歹徒會利用鍵盤側錄惡意程式來找尋更大的攻擊目標,蒐集更多有關受害者的資訊 (如業務聯絡人、同事、合作夥伴等等) 以從事詐騙。在詐騙過程中,歹徒會持續監控受害使用者的公司電子郵件帳號,一旦發現有關交易付款事宜的郵件,就會從中加以攔截,提供另一個收款帳戶給付款方,好讓交易的款項直接匯入歹徒的銀行帳戶。

繼續閱讀

ScarCruft 駭客集團開發具備藍牙裝置掃描能力的惡意程式

ScarCruft 網路犯罪集團最近開發出一種可掃瞄藍牙裝置的惡意程式,蒐集包括裝置名稱、位址、類型以及連線和認證等資訊。此惡意程式利用了 Windows Bluetooth API 來蒐集這些裝置資訊。

這起多重階段攻擊行動專門鎖定俄羅斯、越南和香港的投資與貿易公司。ScarCruft 會運用魚叉式釣魚(spear phishing)技巧或水坑式攻擊試圖滲透目標企業機構。

[延伸閱讀:Anatomy of a spear phishing attack]

該惡意程式 (趨勢科技命名為 Trojan.Win32.SCARCRUFT.AA) 在滲透系統之後,會下載一個惡意程式來躲避 Windows 的使用者帳戶控制 (UAC) 機制,此機制是 Microsoft 整體安全願景的一環。

惡意程式一旦成功避開 UAC 的管制,就能以更高的權限執行,並在受害企業機構內執行一些合法的滲透測試工具。為了進一步躲避偵測,還會利用圖像隱碼術(Steganography)來隱藏自己的程式碼。

繼續閱讀