< APT 攻擊 >鎖定中小企業變更供應商詐騙:歹徒如何利用35美元惡意軟體賺黑心百萬?

趨勢科技 TrendMicro

nfo@貴公司名字.com.tw
sales@貴公司名字.com.tw ….
中小業主請小心!!「官方」對外信箱內的社交工程郵件陷阱

趨勢科技最新的研究 – 深入HawkEye(鷹眼)裡,發現了各種網路犯罪分子利用監控受害者信箱所收集來的資訊以從企業竊取金錢的方法。其中的一個例子 – 「變更供應商」是當中最值得注意的,因為這類騙局可以為網路犯罪分子賺得數百萬美元。本文詳細介紹這種騙局,以及為什麼它會對中小型企業和使用者造成很大的威脅。

Hawkeye 鷹眼 中小企業

 

步驟一:選擇官方服務信箱成為犯罪目標

根據趨勢科技對此種騙局的監視顯示出它比一般攻擊要更加具有針對性也更加計畫長遠。網路犯罪分子在部署攻擊時往往是用「亂槍打鳥法」 – 將特製的電子郵件寄送到名單上的所有人(可能跟其他網路犯罪分子買來)。但我們在這此案例中所看到的則大不相同,這些網路犯罪分子專門針對中小型企業的公開電子郵件地址。我們的資料顯示出這些都是「官方」公司郵件地址,格式通常為info@companyname.com或sales@companyname.com。

圖1、目標郵件地址的類型

這是一種有趣的策略,因為公司的官方郵件地址通常用來接收來自未知寄件者的郵件,這就讓網路犯罪分子佔了一些好處。如果管理郵件帳號的團隊不夠精明到能夠識別社交工程郵件,就很有可能會打開這些網路犯罪分子所送來的郵件。

繼續閱讀

< CTO 觀點 >防禦重要系統:它必須要「智慧化」嗎?

趨勢科技 TrendMicro

CTO

作者: Raimund Genes(趨勢科技技術長)

 

 

 

 

無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候,人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊(DDoS)打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛

許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的,但最近的問題(如HeartbleedShellshock)已經說明開放原始碼軟體也有其問題。

非技術人員可能會問:「為什麼之前沒有人注意到這些問題?難道我們軟體開發人員太懶了?難道開發人員忘記如何開發安全的應用程式?」基本上他們是想問軟體社群:我們為什麼會捅這麼大的婁子?

要開發安全的程式碼在大多數情況下都很困難,不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事,雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。

隨著智慧型設備越來越普遍,而且被用在了重要用途上,軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全!看看不良軟體會造成多嚴重的後果就知道了,這想法並不像聽起來那麼瘋狂。

同樣重要的是,我們需要決定什麼需要保護和什麼需要連網。比方說,人們不斷地說:智慧化電錶比較安全也對電力網有幫助。這可能沒錯,但會有什麼樣的後果?誰控制這些設備?誰有權存取這些數據?

如果真正重要的設備會被連上網路,就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發,並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試,來確認這些重要系統可以對抗已知漏洞和攻擊。

越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事,確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。


@原文出處:Defending Critical Systems: Does It Have To Be “Smart”?

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

Adobe Flash 就像煙癮一樣,難以戒掉?

趨勢科技 TrendMicro

上星期對 Adobe Flash 來說日子真是難過。 Hacking Team公司外洩的 440GB 電子郵件資料已成為駭客挖掘資安漏洞的寶藏。過去七天,光是 Flash 就被發現了三個不同的漏洞:

目前,只有第一個漏洞已經修正。Adobe 承諾會在本週之內修正另外兩個漏洞,但這仍難保未來不會有其他該平台的漏洞出現。因此我們不禁要問:我們是否要趁現在乾脆放棄使用 Adobe Flash?

Flash 一直是資訊安全的夢魘,多年來,趨勢科技在這部落格上已經報導過各種Flash 的漏洞。每一次,除了小心避開一些不良網站、停用 Flash 外掛程式、然後等待 Adobe 釋出更新之外,消費者能做的其實很有限。

 

漏洞 弱點攻擊

Hacking Team 外洩事件而曝光的三個零時差漏洞已經突顯出 Flash 多麼容易存在著漏洞。假使像 Hacking Team 這麼小的公司 (員工總共 40 人) 都能挖到這麼重大的漏洞,那想像一下其他一些由政府在背後資助的團體將有多大能耐。先前我們只能猜測情況大概多糟,但現在我們已經清楚看到它有多危險。

在理想的世界裡,就 Flash 現在的狀況來看,真的必須淘汰。不是改用新的網站技術 (如 HTML5),就是叫 Adobe 想辦法讓 Flash 變得安全。不過,這兩件事大概都不會發生。

Flash 就像煙癮一樣:即使我們知道它不好,但還是難以戒掉。儘管有風險,人們還是會繼續使用,因為光是安全的理由還不足以讓人放棄它。就網站的觀點,他們還是會繼續使用 Adobe Flash,因為成本較低,使用者體驗也較優。對使用者來說,因為他們經常上的網站仍在使用 Flash,所以還是少不了它。不論開發人員和使用者都得依賴 Flash,因此可以確定 Adobe Flash 還會繼續存活一段時間。

那麼,我們可以做些什麼? 繼續閱讀

Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用!

趨勢科技 TrendMicro

 Hacking Team 資料外洩事件曝光的資料經過解析之後,目前又有重大發現:Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System,簡稱 RCS) 代理程式常駐在受害者的系統。也就是說,就算使用者將硬碟格式化並重灌作業系統,甚至再買一顆新的硬碟,其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。

駭客 攻擊 通用

他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過,同樣的程式碼在 AMI BIOS 上或許也能運作。

 Hacking Team 資料外洩 的一份簡報投影片當中宣稱,要成功感染目標系統必須實際接觸到目標系統,但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是:駭客想辦法趁機操作目標電腦,將電腦重新開機以進入 UEFI BIOS 介面,然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit,接著將 BIOS 更新回去,最後再將系統重新開機。

趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具,甚至當使用者遇到不相容的 BIOS 時還提供技術支援。


圖 1:Hacking Team 還提供技術支援。

Rootkit 的安裝過程如下:首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume,簡稱 FV),例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod,可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod,用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod,含有實際的代理程式,檔名為 scout.exesoldier.exe繼續閱讀

[新弱點通知] Adobe Flash與Oracle Java零時差漏洞

趨勢科技 TrendMicro

Hacking Team資料外洩與新的Flash漏洞更新

上週趨勢科技曾經提醒用戶一個新的零時差Adobe Flash漏洞(CVE-2015-5119),起因於  Hacking Team 資料外洩事件。雖然Adobe很快在最新釋出的版本修補了這個漏洞(18.0.0.203),但從Hacking Team握有的資料中又發現了兩個新的Flash漏洞。

hacker 駭客

關於新發現的Flash漏洞資訊,您可參考:

這兩個新的Adobe Flash漏洞(CVE-2015-5122、CVE-2015-5123)已經證實但目前尚未修補。Adobe承諾會在本周修補這兩個漏洞。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵,利用CVE-2015-5122漏洞植入後門程式,趨勢科技用戶只要啟用網頁信譽評等服務,即可攔截這些受駭網站。

 

Pawn Storm攻擊與Java零時差漏洞

負責Pawn Storm目標式攻擊活動的趨勢科技威脅研究專家,在此攻擊活動中發現了一個新的Oracle Java零時差漏洞遭受到攻擊。根據趨勢科技主動式雲端截毒服務  Smart Protection Network分析,這些攻擊是透過魚叉式網路釣魚網路釣魚(Phishing)信件進行,在信件中含有惡意URL指向惡意伺服器,進而攻擊未修補的Java漏洞。

這些行動同時會攻擊一個三年前已揭露的微軟Windows Common Controls漏洞CVE-2012-015(MS12-027)。

Oracle 2015年七月緊急更新建議

防護措施
趨勢科技已有解決方案防護用戶免遭此漏洞攻擊:

  • 趨勢科技Deep Security及Vulnerability Protection(原OfficeScan中的IDF模組):請將防護規則保持更新,即可提供多一層的防護。尤其趨勢科技更釋出最新主動式防護規則:
    • Deep Packet Inspection (DPI) rule1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability (addresses the already resolved CVE-2015-5119)
    • Deep Packet Inspection (DPI) rule1006858 – Adobe Flash ActionScript3 opaqueBackground Use After Free Vulnerability (CVE-2015-5122)
    • Deep Packet Inspection (DPI) rule1006859 – Adobe Flash Player BitmapData Remote Code Execution Vulnerability (CVE-2015-5123)
    • Deep Packet Inspection (DPI) rule1006857 – Oracle Java SE Remote Code Execution Vulnerability

 

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助,請您聯絡趨勢科技技術支援部。

延伸閱讀:

 

 

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。