本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選:
新春LINE PAY抽樂領紅包攏係假 歹徒設局詐騙15人上當 自由時報電子報
AI成微軟、Google雙面刃 營收、品牌形象難兩全 電子時報
AI寫假新聞又快又好,OpenAI新技術太危險官方延後釋出 數位時代
壞人都在用AI了 好人一定要善用! 天下雜誌網
尋找臺灣在地AI技術力 為何語音助理的中文不夠臺 iThome電腦報周刊
物聯網最驚悚之處:我們的生活數據都被記錄,如果賣給廣告業者? 科技報橘網
Google 3D地圖 愛國者基地全都露 武器偽裝不足 國防部急要求模糊影像 台灣蘋果日報
繼續閱讀無檔案惡意程式早已不是什麼新聞,但目前卻有 日益增加的趨勢。事實上,根據報導,在針對企業的攻擊得逞案例當中,有 77% 都是使用無檔案惡意程式。這類惡意程式不像傳統惡意程式那樣容易被發現,而且會利用各種技巧來長期躲藏在系統內部,因此隨時可能對企業流程或營運基礎架構造成危害。
以下詳細說明無檔案式威脅的幾種運作方式以及如何加以防範。
無檔案式威脅也有可能經由傳統方式進入系統,例如經由 JavaScript 或 VisualBasic (VBA) 惡意巨集腳本並內嵌在 Office 文件、PDF 檔案、壓縮檔或看似無害的檔案內部。這些巨集一旦執行,就會運用一些正常的工具 (如 PowerShell) 來進一步啟動、下載和執行更多程式碼、腳本或惡意檔案。這些巨集腳本通常也是經由 PowerShell 之類的工具來執行,並且會經過加密編碼,讓資安軟體無法輕易偵測觸發其執行的關鍵字。
這些腳本可利用 PowerShell 來讀取並執行本機系統上的執行檔,或者直接執行已經在記憶體中的程式碼。但即使是後者也不算完全的無檔案式攻擊,因為歹徒還是需要先透過檔案挾帶巨集來入侵系統。
無檔案式威脅透過文件漏洞發動攻擊的過程。
一般使用者可藉由培養一些良好的資安習慣並提升職場的資安意識,來盡可能避免遭受這類攻擊的威脅,例如:針對一些不請自來的郵件或檔案應提高警覺,尤其是在開啟時會要求使用者啟用巨集或腳本功能的檔案。
至於企業,則可採用一些端點防護產品來防範這類經由垃圾郵件散播的無檔案式攻擊,例如:趨勢科技Smart Protection Suites及 Worry-Free Business Security 這兩套解決方案都能妥善保護企業和使用者,偵測相關的惡意檔案和垃圾郵件,攔截所有相關的惡意連結。此外,還有趨勢科技Deep Discovery進階網路安全防護 可提供 電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。趨勢科技Deep Discovery進階網路安全防護 可偵測從遠端執行的腳本,即使它並未下載到端點裝置上。 繼續閱讀
研究人員發現,光金融產業,每 1 萬個裝置就有大約 23 個「隱藏管道」管道,並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。
Equifax Inc. 資料外洩事件就是一個例子,駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法,讓歹徒在該公司的系統上躲藏了四個月以上。
保護企業關鍵資料、系統與資產的安全,是一項日益艱難的挑戰。不僅企業的數位足跡不斷隨著新增應用程式而擴大,而且駭客也在不斷提升能力來暗中入侵企業系統並長期躲藏不輕易讓 IT 團隊發現蹤跡。
駭客一直在利用各種技巧來掩蓋自己的足跡,以便能夠長期潛伏系統內部以持續竊取資料。根據趨勢科技的一項最新研究顯示,這類技巧正日益精密、精進,且越來越危險。
企業提升自身資安狀況最好的方法之一,就是主動掌握敵人的動向並主動出擊。以下將探討網路犯罪集團暗中潛入企業而不被發現的各種技巧。掌握了這些知識,IT 團隊就更能發掘駭客入侵相關的異常活動。
如同獵人會盡可能不被獵物發現一樣,駭客也會盡量避開 IT 人員與網路防護及應用程式防護的偵測。
正如趨勢科技研究人員在最新的年度預測報告「映對未來:對抗無所不在的持續性威脅」當中預言,駭客將其惡意活動融入企業正常流量的中的作法在未來只會更加普遍、也更具威脅性。
該報告指出:「為了因應資安廠商推出的新技術,尤其是機器學習(Machine learning,ML)在網路資安領域重新獲得青睞,網路犯罪集團將運用更高的技巧來『魚目混珠』。歹徒將不斷開發出所謂「就地取材」的技巧,也就是將一些日常運算裝置用於原本設計之外的用途,並且在網路上分享。」
目前,研究人員發現的幾種歹徒最常使用的五個策略包括:
| 1. 使用非傳統的副檔名來偽裝惡意程式: 今日大多數的惡意程式碼都不再經由傳統的執行檔來散布,因為使用者已經被訓練到很容易對這類檔案起疑。現在,駭客會使用一些較為罕見的檔案格式來包裝其惡意程式碼,例如.URL、.IQY、.PUB 與 .WIZ 等副檔名的檔案。這會讓使用者失去戒心,因而較容易受騙上當,開啟附加的檔案,進而遭到感染。 2.最小程度的修改: 駭客很快就學會避免做出一些使用者和資安軟體會列為可疑活動的行為,例如修改一些正常的檔案來感染系統。為此,網路犯罪集團現在都盡可能不要動到系統,只修改一些絕對必要的檔案或系統組態,只要能達成其目的即可。 3.新的惡意程式啟動方法: 不僅如此,網路駭客現在也開始改變其啟動惡意程式的方法,改用像 Mshta、Rundll32、Regasm、Regsvr32 等機制。 4.採用經過數位簽章的惡意程式: 該報告指出,採用經過數位簽章的惡意程式已經是一種駭客普遍的作法。未來,這仍將是一項嚴重的威脅。這項技巧非常有效,因為有了數位簽章之後,駭客的惡意程式看起來更像一般正常的應用程式,也更容易躲過資安產品的偵測。 |
The Hacker News 特約記者 Swati Khandelwal 解釋:「駭客使用知名機構外洩的數位憑證來簽署惡意程式,如此可避免惡意程式被企業網路或消費者裝置的資安軟體偵測。
5.無檔案惡意程式
除了前述幾項技巧之外,駭客也開始逐漸採用無檔案病毒(fileless malware)來躲避傳統以檔案掃瞄為主的資安產品。根據本部落格(資安趨勢部落格)文章指出,無檔案惡意程式基本上是利用軟體或系統的漏洞來避免引起使用者或資安軟體的注意。
一種作法就是利用 PowerShell 這類 Windows 內建系統工具或 Microsoft Word 巨集來偷偷執行惡意指令以入侵系統。其執行的指令可隨駭客希望達成的目標或希望在系統內逗留的時間而變化。
趨勢科技研究人員指出:「今日的資安產品大多根據惡意檔案的特徵來偵測惡意程式。然而,由於無檔案惡意程式在感染系統時並非透過檔案的形式,因此資安產品便無從偵測。」
所以,無檔案惡意程式不但特別危險、也特別不易偵測 (但也並非不可能)。
The Wall Street Journal 特約記者 Adam Janofsky 在一篇報導中指出,駭客越來越常利用所謂的「隱藏管道」將其活動暗藏在正常企業應用程式流量與通訊協定當中,暗中傳送竊取的資料。目前,這項威脅對金融機構的威脅最大,因為駭客可經由這類管道避開存取控管與入侵偵測系統。但事實上,隱藏管道的威脅不論對任何產業都是一項威脅。
Janofsky 表示:「這類管道通常都暗藏在一些會經由企業網路對外連接的應用程式,例如:第三方資料分析工具、雲端金融業應用程式以及股價即時資訊系統。」
駭客一旦進入企業系統,就有機會竊取大量敏感資訊與智慧財產,並利用更多技巧來隱藏其活動。駭客通常不直接竊取大型檔案,而是將資料切割成較小單位,以避免觸動企業資安產品的警報。
根據 Ventra Networks Inc. 的一項報告,這些隱藏管道比一般人想像還多。研究人員發現,光金融產業,每 1 萬個裝置就有大約 23 個這類管道,並且透過加密來掩飾。在其他產業則是每 1 萬個裝置大約有 11 個這類管道。
躲避偵測來提高資料竊盜的影響與損害
歹徒希望能躲避偵測的最大原因之一就是希望延長其行動與資料外洩的持續時間。Janofsky 解釋,Equifax Inc. 資料外洩事件就是一個例子,駭客刻意避免使用一些可能引起資安人員或資安防護機制注意的工具和手法。這樣的作法讓歹徒在該公司的系統上躲藏了四個月以上。
駭客暗中躲藏的能力不論對任何產業都是一項重大威脅。面對這樣的威脅情勢,企業最好的應對方法就是主動出擊,隨時吸收最新的駭客手法,並針對其手法隨時注意各種相關的蛛絲馬跡。
如欲深入了解如何採用最新的資安策略來提升您的資安態勢,請立即與趨勢科技資安專家聯繫。
原文出處:Informing Your Security Posture: How Cybercriminals Blend into the Background
趨勢科技最新的分析顯示了即便是非法破解程式也會被網路犯罪分子用來誘騙使用者安裝惡意應用程式。在這次的案例中,趨勢科技看到一個惡意應用程式偽裝成Adobe Zii(用來破解Adobe產品的工具),針對macOS系統來挖掘虛擬貨幣並竊取信用卡資料。
技術分析
惡意應用程式是在VirusTotal上看到,最初由Malwarebytes回報,以「Adobe Zii.app」的形式進入目標系統。
圖1.、Adobe Zii.app的內容
執行時,它利用automator.app啟動Adobe Zii.app\Contents\document.wflow內的Bash腳本。
圖2、惡意軟體啟動Bash腳本
繼續閱讀
一封信騙走一棟房子!本部落格先前提到的案例指出變臉詐騙 (BEC) 竟讓受害者匯出 531,981 美元 (約 1,637 萬台幣) 。至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。然而一旦掌握了大型資料外洩事件的更多詳細資訊之後 (比如: 2010 至 2014 年間,網路犯罪集團專門鎖定 LinkedIn 個人檔案當中含有「Esq.」(律師) 尊稱的使用者,使得多家法律事務所遭到駭客入侵; 2014 年Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。),新一代的變臉詐騙將可能深入企業基層人員,比如假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。
趨勢科技的 2019 年資安預測報告「映對未來:對抗無所不在的持續性威脅」指出未來變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊數量將持續攀升:「變臉詐騙的對象將轉向比現在低兩階的員工」。該報告指出:
| 變臉詐騙 (Business Email Compromise,簡稱 BEC) 依然是歹徒向企業詐財非常強大且獲利豐厚的犯罪手法。我們相信,由於企業 CXX 高層主管遭到變臉詐騙的新聞經常在媒體上曝光,因此,網路犯罪集團未來將降低其攻擊對象的層級。例如,網路犯罪集團可能會轉而攻擊 CxO 的秘書、助理,或是財務部門總監、經理之類的職務。 |
然而,這類風險很可能比預測的更高。
2014 年爆發了多起超大型資料外洩事件。Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。犯罪集團掌握了這麼多的身分資料,等於挖到了一大筆寶藏,進而更容易描繪出多數大型企業的組織架構。這些資料提供了大量且通用格式的身分資訊,讓犯罪集團很容易套用大數據分析。
從 Yahoo 和 Starwood 外洩的資料當中,犯罪集團能分析出哪些網際網路使用者經常旅行。透過旅行者的個人檔案,就能知道哪些使用者擁有公司電子郵件帳戶,以及他們任職於哪家公司。而 Facebook 的資料則能讓犯罪集團分析出某家公司員工彼此之間的社交關係。若再配合 LinkedIn 的付費訂閱服務,網路犯罪集團就能詳細掌握企業的組織架構、上下級關係以及升遷路徑。。
至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。然而一旦掌握了 2014 年大型資料外洩事件的更多詳細資訊之後,新一代的變臉詐騙將可能假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。此時,IT 人員或系統管理員將收到一封類似如下的郵件:
| 嗨 Ted, 我的團隊成員 Ffloyd Farkle 已突然離職,另謀高就,其職務將由 Joseph Needham 接手。但由於 Ffloyd 之前是我們這邊的系統管理員,他一離職,變得沒人能幫我修改團隊成員的權限。可否麻煩你幫我設定讓 Joseph (員工編號 123456) 擁有跟 Ffloyd 之前一樣的管理權限?申請表我已送出,但流程的處理速度似乎有點慢,而這一季眼看著就要結束。還麻煩幫忙一下,謝謝你。 Chuck Itall |
在這範例當中,Ffloyd 確實是分公司的系統管理員,但他並未真的離職。Chuck Itall 也是貨真價實的分公司主管,只是他的帳號已遭駭客暗中入侵。他目前正在出差,且未來一兩天內將聯絡不上。Joseph 也是一位正牌員工,只是他的帳號也遭到駭客入侵,但他剛好也不在公司 (從他的 Facebook 貼文來看應該是正在渡假)。而 Ted 則是總公司 IT 部門的系統管理員。
Ted 面臨了一項難題,他不曉得是否該答應對方的緊急要求並且讓申請表的流程跑完,或是忽略這項緊急要求並引來分公司主管 Chuck 的一番怒火。若您是 Ted,您會答應對方的要求嗎?
繼續閱讀