MDR ( Managed Detection and Response)託管式偵測及回應服務 - 資安趨勢部落格

MDR 找到埋伏某公司系統2年的MyKings變種

2019 年 08 月 29 日2019 年 09 月 25 日趨勢科技 TrendMicro

亞太地區一家電子公司在五月導入託管式偵測及回應(Managed Detection and Response，簡稱MDR) 服務時，趨勢科技的Deep Discovery Inspector 偵測到了 EternalBlue(永恆之藍) 相關可疑活動，這漏洞攻擊之前常被用於WannaCry(想哭)勒索病毒。我們發現後向該公司發出了第一次的警報，通知這個可能的威脅。

我們幾天後想辦法找到了公司內部電腦會跟攻擊者建立惡意通訊的證據，公司一台電腦會連到下列網址（我們確認為惡意程式來源）：

hxxp://js[.]mykings.top:280/v[.]sct
hxxp://js[.]mykings.top:280/helloworld[.]msi

網址包含了單字「mykings」，這跟我們之前在2017年8月分析殭屍網路時所看到的命令和控制（C&C）伺服器類似。這給了我們關於此威脅身份的第一個線索。

此外，我們發現攻擊者竄改了系統登錄檔，目的是為了持續性機制。新加的登錄機碼負責跟前面所提到的網址進行C&C通訊：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” -Name “start”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” -Name “start1”
HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” -Name “start”
HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” -Name “start1”

惡意軟體在被發現前已經隱藏在公司系統內大約2年

更深入研究後，我們發現這些註冊表值是在2017年加入，顯示惡意軟體在被發現前已經隱藏在公司系統內大約2年。這造成了另外一個問題，因為時間點對確認MyKings實際在系統上做了哪些事情很重要。有許多殭屍網路組件（包括C&C伺服器網址和下載網址）都只會存活短短的時間，非常容易消失。跟使用內嵌網址和檔案的病毒不同，MyKings跟腳本綁在一起，只從遠端伺服器下載所需的一切。

繼續閱讀

為何 65% 的 SOC 資安監控工程師,選擇轉換跑道?

2019 年 08 月 26 日2019 年 08 月 13 日趨勢科技 TrendMicro

IT 專業安全人員覺得在 SOC 工作越來越痛苦的原因?

企業正面對如何因應威脅的難題，因為威脅不僅更為複雜，也日漸普遍，對安全人員及其工作成效造成負面影響。Ponemon Institute 在名為「提升安全營運中心成效」(Improving the Effectiveness of the Security Operations Center) 的最新研究中，針對設置資訊安全監控中心 (SOC , Security Operations Center ) 企業中的 554 位 IT 及 IT 安全從業人員進行問卷調查，結果也呼應了這項真實情況。

SOC 成效不彰、工作痛苦

Ponemon Institute 報告是由 Devo Technology 贊助，其中發現有 58% 的受訪者認為 SOC 成效不彰。受訪者認為 SOC 成效不彰的理由包括缺乏能見度掌握網路流量、缺乏及時修正、複雜度，以及缺乏技術純熟人員。

研究也顯示職場壓力是一大問題，導致企業難以聘雇及留任經驗豐富的 IT 安全專業人員。以下是分析師在 SOC 工作越來越痛苦的主要原因:

繼續閱讀

XDR 如何掌握駭客攻擊完整生命週期,強化企業資安？

2019 年 08 月 19 日2019 年 08 月 19 日趨勢科技 TrendMicro

網路犯罪集團和駭客會不斷變換攻擊手法、技巧及程序來提高其入侵企業並躲過資安人員及防護產品偵測的機率。改用針對性攻擊，儼然是當今網路犯罪集團之間最新的流行趨勢。企業必須提升掌握駭客攻擊完整生命週期的能力，因為，以端點裝置為唯一攻擊目標的時代已經過去，因此一套環環相扣的威脅防禦至關重要。

今日，許多企業機構皆已採用所謂的 EDR (Endpoint Detection & Response)端點偵測及回應來深入了解端點所遭受的攻擊。但正如我們所見，就連勒索病毒近來也越來越少將端點裝置當成唯一攻擊目標，它們會在企業內部橫向移動，試圖發掘並挾持企業的關鍵系統來提高企業支付贖金的機率。

繼續閱讀

企業用戶觀點：利用 EDR 和 MDR 逮住躲在網路暗處的竊賊

2019 年 08 月 15 日2019 年 08 月 18 日趨勢科技 TrendMicro

作者：Ian Loe（NTUC Enterprise Co-operative Limited網路安全資深副總）

先進的網路罪犯經過長時間的鍥而不捨加上自身的聰明機智，正在跨過傳統的安全防禦來入侵機密資料。認識到這一點後，我們NTUC Enterprise一直在研究新的安全技術來協助解決這些日益嚴重的問題。我們確認的關鍵之一是需要更好地保護端點系統，並且提高對這些裝置狀況的能見度。

能見度再提升

因為集團內有超過2萬個端點（個人電腦和物聯網設備）需要防護，而且在不久的將來可能會成長到3萬個，我們意識到事件偵測及回應變得至關緊要。由於有了這些考量，我們需要一種能夠持續監控的解決方案（就像是監控攝影機）來識別惡意分子在進行的可疑活動。

進入了可以在端點系統記錄和儲存查詢、行為和事件的端點偵測及回應（EDR）技術。想像一下：監控攝影機會捕捉建築物每個角落及入口的活動。如果有人偷偷地破壞門鎖、關掉安全警報或侵害了商業財產，安全人員會從這些監控攝影機收到警報。

繼續閱讀

解析灰色警戒 (Gray Alerts)：這些警示對企業的意義為何？

2019 年 06 月 28 日2019 年 06 月 14 日趨勢科技 TrendMicro

每天都有許多未知的威脅會觸動端點偵測及回應 (EDR) 工具發出警示通知。這些處於灰色地帶的警示代表什麼意義，而所謂的託管式偵測及回應 (MDR) 又能提供什麼協助？

在網路資安的領域，事物向來黑白分明、界限明確，不是好就是壞。數十年來，資安領域的事務不是已知無害、就是已知不良，因此對資安人員來說相對容易監控和理解。但隨著威脅版圖不斷擴大與演進，昔日非黑即白的界線也開始出現大量灰色地帶。現在，每天都有許多未知的威脅會觸動端點偵測及回應 (EDR) 工具發出警示通知。這些處於灰色地帶的警示(Gray Alerts)代表什麼意義，值得我們深入探討。

灰色警戒(Gray Alerts)的問題

所謂灰色警戒是指網路資安偵測工具在發現某個檔案或事件出現從未見過的行為或特性時所發出的警示，例如，當偵測工具發現某個應用程式出現可能有害的行為時所發出的警示。像這樣的情況，有可能是企業的員工覺得這個應用程式很有用，所以願意承受該應用程式所帶來的一些不便 (例如忍受一些惱人的彈出式廣告)，此時資安團隊可能就不深入追查這個應用程式。但問題是，應用程式所顯示的廣告很可能暗藏惡意程式，進而感染端點裝置。這就是為何企業資安團隊應該對這類灰色警示做進一步的分析，以確認其是否有害，並判斷是否該採取行動。

繼續閱讀