什麼是 MITRE 評測?如何閱讀看待它的結果

作者:Greg Young(網路安全副總)

我是個資安產品測試宅。

A picture containing drawing

Description automatically generated

我關注MITER ATT&CK框架已經有一段日子了。而在這個禮拜他們發表了最新用APT29(也稱為COZY BEAR)進行評測的結果

底下我整理了一些趨勢科技的評測結果:

91.79%的整體偵測率。排在21家受測廠商的第二名。

91.04%無需更改設定。這次測試可以讓人在開始後變更設定,我們並不需要這麼做就能夠取得較高的整體結果。

107個遙測(Telemetry)。這數目很高,捕捉到事件是好事。沒辦法捕捉就不好。

28個警報(Alerts。這個警報數排在中間,也應該要在中間。不要太吵也不要太安靜。我認為遙測數據很關鍵,可以用偵測和遙測數據來設定發布警報與否。

所以我們的Apex One產品面對這卑鄙可怕的駭客攻擊仍然安然無恙。但這只是個簡化的結論,沒有捕捉到此測試的精髓。以下是我對MITER ATT&CK框架的理解以及該如何去解釋結果。

重點 #1 – ATT&CK是基於情境

繼續閱讀

電腦自動重新開機,跳出 Coronavirus 病毒圖片?確診電腦將無法開機!

如果近日電腦突然自動重新開機,然後跳出無法關閉的 新冠狀病毒(COVID-19,俗稱武漢肺炎 病毒圖片,而且視窗右上方通常被用來關閉的按鈕也無法發揮作用,那可能就是中了最新的肺炎電腦病毒新增案例 Coronavirus 病毒 。

以Coronavirus 為名的最新病毒,覆蓋系統開機磁區(MBR)


趨勢科技研究人員最近分析了一種用新冠狀病毒(COVID-19,俗稱武漢肺炎)作為主題的惡意軟體,它會覆蓋系統的開機磁區(MBR),使得電腦無法開機。在捷克網路安全機構(NUKIB)所發表的一份公開報告裡詳細介紹了此惡意軟體。這惡意軟體的檔案說明 文字寫著: ”Coronavirus Installer(冠狀病毒安裝程式)”。

以新冠狀病毒(COVID-19,俗稱武漢肺炎)為名的惡意軟體檔案詳細資訊
新冠狀病毒(COVID-19,俗稱武漢肺炎)為名的惡意軟體檔案詳細資訊

“coronavirus has infected your PC!”關不掉的遭感染警告訊息

Coronavirus 肺炎病毒鎖住了螢幕 ,並秀出警告訊息
Coronavirus 肺炎病毒鎖住了螢幕 ,並秀出警告訊息

當惡意程式執行時,它會自動將電腦重新開機,然後顯示一個含有病毒圖片且無法關閉的視窗,視窗右上角的關閉按鈕已無作用 。

繼續閱讀

<資安報告>犯罪集團持續兵分多路朝行動裝 置和Apple 作業系統 等其他平台邁進

2019年Android 惡意程式染指官方應用程式商店;行動網路間諜攻擊行動的數量持續攀升,這意味著駭客集團也開始將攻擊目標轉向行動裝置。
長久以來,Apple 的作業系統在安全性方面 一直有很高的評價,不過,不肖之徒仍非常積極地試圖 突破這些裝置的安全機制,並在 2019 年開發出各式各樣的相關威脅。 Shlayer 是 2019 年 macOS 惡意程式家族排行榜的第一 名,有超過 36,000 個非重複樣本,。

Android 惡意程式染指官方應用程式商店


2019 年,行動裝置 (尤其是採用 Android 作業系統的行動裝置) 仍是歹徒不變的攻擊目標。儘管我們所攔截 的 Android 惡意應用程式數量從上半年至下半年持續減少,但 2019 一整年的總數還是相當可觀,將近 6 千 萬。這進一步突顯出網路犯罪集團仍相當仰賴攻擊行動裝置來竊取登入憑證、發送惡意廣告、從事網路間
諜活動等等。

繼續閱讀

下載到假的 Telegram、WhatsApp …等熱門即時通訊軟體,廣告跳不停

你就是這樣無意間下載廣告軟體的

廣告軟體或由廣告支持的軟體指的是會顯示廣告的軟體或應用程式,可能是彈出式(pop-up)或背投式(pop-under)廣告。大多數使用者都是因為在電腦上下載工具列、桌布或小工具等免費軟體或是經由某些行動應用而在無意間安裝了廣告軟體。儘管它並不完全惡意而被視為灰色軟體,但不被需要的廣告仍可能對某些使用者帶來困擾。尤其是廣告軟體還可能導致裝置和網路的效能下降。

下載到假的 Telegram、WhatsApp 、Viberr、 Zoom…..廣告跳不停

繼續閱讀

勒索病毒與犯罪集團結盟,與「存取服務」(Access as a Service) 不肖業者結盟出租或銷售各種企業的網路存取權

或許是因為許多政府機關在受害之後都願意支付贖金,所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。 另外,去年有超過 700 家醫療機構遭到勒索病毒攻擊
勒索病毒受害者不僅要應付資料被加密的問題,還要面對資料可能外洩的災難。會自動將受害者的檔案複製到該集團伺服器的「Maze」, 刻意從它們竊取到的 32 GB 資料中釋出 2 GB ,以駁斥媒體宣稱他們只不過偷了幾個檔案而已。
REvil 勒索病毒則經由已遭駭的第三方軟體發動總贖金高達 250 萬美元的聯合攻擊行動
美國聯邦調查局 (FBI) 對於是否該支付贖金,仍維持堅定的否定立場。該局的網路犯罪調查部門引述一個案例指出,受害者原本是希望能支付贖金來取得解密金鑰,沒想到收到的金鑰卻反而讓所有的資料被清得一 乾二淨。


2019 年,勒索病毒犯罪集團改懸易轍,開始針對特定的機構進行攻擊,試圖入侵其關鍵資產、系統和服務 來獲取龐大利潤。策略的轉變促使他們採取一些新奇的技巧來讓他們迅速在受害者的網路內流竄,盡可能散布更多惡意程式。過去一年當中一項值得注意的駭客技巧就是入侵一些鮮少遭到攻擊的企業資源,例如:網域控制器 (Domain Controller) 和 Active Directory 目錄服務,目的是為了造成企業更嚴重的營運中斷,進而迫使企業乖乖就範,讓他們予取予求。

繼續閱讀