MDR 找到埋伏某公司系統2年的MyKings變種

亞太地區一家電子公司在五月導入託管式偵測及回應(Managed Detection and Response,簡稱MDR) 服務時,趨勢科技的Deep Discovery Inspector 偵測到了 EternalBlue(永恆之藍) 相關可疑活動,這漏洞攻擊之前常被用於WannaCry(想哭)勒索病毒。我們發現後向該公司發出了第一次的警報,通知這個可能的威脅。

我們幾天後想辦法找到了公司內部電腦會跟攻擊者建立惡意通訊的證據,公司一台電腦會連到下列網址(我們確認為惡意程式來源 ):

  • hxxp://js[.]mykings.top:280/v[.]sct
  • hxxp://js[.]mykings.top:280/helloworld[.]msi

網址包含了單字「mykings」,這跟我們之前在2017年8月分析殭屍網路時所看到的命令和控制(C&C)伺服器類似。這給了我們關於此威脅身份的第一個線索。

此外,我們發現攻擊者竄改了系統登錄檔,目的是為了持續性機制。新加的登錄機碼負責跟前面所提到的網址進行C&C通訊:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” -Name “start”
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” -Name “start1”
  • HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” -Name “start”
  • HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” -Name “start1”

惡意軟體在被發現前已經隱藏在公司系統內大約2年

更深入研究後,我們發現這些註冊表值是在2017年加入,顯示惡意軟體在被發現前已經隱藏在公司系統內大約2年。這造成了另外一個問題,因為時間點對確認MyKings實際在系統上做了哪些事情很重要。有許多殭屍網路組件(包括C&C伺服器網址和下載網址)都只會存活短短的時間,非常容易消失。跟使用內嵌網址和檔案的病毒不同,MyKings跟腳本綁在一起,只從遠端伺服器下載所需的一切。

繼續閱讀

為何 65% 的 SOC 資安監控工程師,選擇轉換跑道?

IT 專業安全人員覺得在 SOC 工作越來越痛苦的原因?

企業正面對如何因應威脅的難題,因為威脅不僅更為複雜,也日漸普遍,對安全人員及其工作成效造成負面影響。Ponemon Institute 在名為「提升安全營運中心成效」(Improving the Effectiveness of the Security Operations Center) 的最新研究中,針對設置資訊安全監控中心 (SOC , Security Operations Center ) 企業中的 554 位 IT 及 IT 安全從業人員進行問卷調查,結果也呼應了這項真實情況。

SOC 成效不彰、工作痛苦

Ponemon Institute 報告是由 Devo Technology 贊助,其中發現有 58% 的受訪者認為 SOC 成效不彰。受訪者認為 SOC 成效不彰的理由包括缺乏能見度掌握網路流量、缺乏及時修正、複雜度,以及缺乏技術純熟人員。

研究也顯示職場壓力是一大問題,導致企業難以聘雇及留任經驗豐富的 IT 安全專業人員。以下是分析師在 SOC 工作越來越痛苦的主要原因:

繼續閱讀

企業用戶觀點:利用 EDR 和 MDR 逮住躲在網路暗處的竊賊

作者:Ian Loe(NTUC Enterprise Co-operative Limited網路安全資深副總)

先進的網路罪犯經過長時間的鍥而不捨加上自身的聰明機智,正在跨過傳統的安全防禦來入侵機密資料。認識到這一點後,我們NTUC Enterprise一直在研究新的安全技術來協助解決這些日益嚴重的問題。我們確認的關鍵之一是需要更好地保護端點系統,並且提高對這些裝置狀況的能見度。

能見度再提升

因為集團內有超過2萬個端點(個人電腦和物聯網設備)需要防護,而且在不久的將來可能會成長到3萬個,我們意識到事件偵測及回應變得至關緊要。由於有了這些考量,我們需要一種能夠持續監控的解決方案(就像是監控攝影機)來識別惡意分子在進行的可疑活動。

進入了可以在端點系統記錄和儲存查詢、行為和事件的端點偵測及回應(EDR)技術。想像一下:監控攝影機會捕捉建築物每個角落及入口的活動。如果有人偷偷地破壞門鎖、關掉安全警報或侵害了商業財產,安全人員會從這些監控攝影機收到警報。

繼續閱讀

解析灰色警戒 (Gray Alerts):這些警示對企業的意義為何?

每天都有許多未知的威脅會觸動端點偵測及回應 (EDR) 工具發出警示通知。這些處於灰色地帶的警示代表什麼意義,而所謂的託管式偵測及回應 (MDR) 又能提供什麼協助?

在網路資安的領域,事物向來黑白分明、界限明確,不是好就是壞。數十年來,資安領域的事務不是已知無害、就是已知不良,因此對資安人員來說相對容易監控和理解。但隨著威脅版圖不斷擴大與演進,昔日非黑即白的界線也開始出現大量灰色地帶。現在,每天都有許多未知的威脅會觸動端點偵測及回應 (EDR) 工具發出警示通知。這些處於灰色地帶的警示(Gray Alerts)代表什麼意義,值得我們深入探討。

色警戒(Gray Alerts)的問題

所謂灰色警戒是指網路資安偵測工具在發現某個檔案或事件出現從未見過的行為或特性時所發出的警示,例如,當偵測工具發現某個應用程式出現可能有害的行為時所發出的警示。像這樣的情況,有可能是企業的員工覺得這個應用程式很有用,所以願意承受該應用程式所帶來的一些不便 (例如忍受一些惱人的彈出式廣告),此時資安團隊可能就不深入追查這個應用程式。但問題是,應用程式所顯示的廣告很可能暗藏惡意程式,進而感染端點裝置。這就是為何企業資安團隊應該對這類灰色警示做進一步的分析,以確認其是否有害,並判斷是否該採取行動。

繼續閱讀

何謂託管式偵測及回應 ( MDR )?

「託管式偵測及回應」(Managed Detection and Response,簡稱 MDR) 是一種資安委外服務,專為企業提供威脅追蹤及應變服務,其中最重要的就是專業網路資安人才的投入:由資安廠商的研究人員和工程人員來幫 MDR 服務的客戶監控網路、分析事件、回應各種資安狀況。

MDR 能解決什麼挑戰?

MDR 能解決現代化企業面臨的一些重大資安挑戰,最其中最顯而易見的就是填補企業網路資安人才的空缺。一些較大型的企業或許有能力成立並訓練自己的專責網路資安團隊來執行全天候的威脅追蹤監控,但大多數的企業在資源有限的情況下卻很難做到這點。這樣的情況在那些經常成為網路攻擊目標、但卻缺乏充足人力的中大型企業更是如此。

然而,就算企業願意投入這樣的人力和財力,也不容易招募到合適的資安專業人員。根據研究,2016 年全球未填補的網路資安職缺約有 200 萬個,而且預計到 2021 年該數字將成長至 350 萬個。

繼續閱讀