Trend Labs 趨勢科技全球技術支援與研發中心 – 第 4 頁

《總經理看資安趨勢》用客製化防禦對付APT 攻擊

2013 年 05 月 15 日2013 年 05 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者:洪偉淦趨勢科技台灣暨香港區總經理

過去企業最關注的資安威脅，往往是全球病毒爆發事件，但從2011年起，焦點則轉向APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)，因為就連資安把關嚴密的大型企業，都能被 APT突穿防線而渾然不知，顯見此類攻擊確實可怕，難怪舉世為之震驚。

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)是客製化的目標式攻擊，處心積慮就是要透滲攻擊目標，所以面對防毒軟體、防火牆或入侵防禦系統等傳統資安防線，早已深諳閃避之道，也擅長運用社交工程郵件以假亂真，讓員工在不疑有他的情況下，淪為駭客的禁臠，企業那怕做再多宣導與訓練，終將防不勝防。

企業如何因應APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)？第一步即是調整心態，先假設自己已遭攻擊，然後一方面積極提高被攻擊的門檻，避免持續遭到滲透，二方面設法早期發現、儘速處理。針對「發現」與「處理」，企業亦應有所體認，面對客製化攻擊，唯有運用客製化防禦才能順利反制，莫再倚賴一體適用的工具，只因這些工具根本無效；此時企業可與資安廠商合作將因應新型攻擊的反應機制和流程在企業內部建立，方可做到客製化的防禦。

要滿足上述目標，少不得需要工具輔助。所以近年來，奠基於沙箱模擬分析技術的APT解決方案，一一現身於市場，以協助用戶揪出惡意檔案，並據此求助防毒軟體廠商，儘速清理禍害。這類方案確實擁有一定價值，但亦存在若干盲點。沙箱模擬是必要的分析工具，但單靠此一技術難以抑止實際攻擊。首先，高達九成APT攻擊，皆以社交工程郵件為先遣部隊，企業需考慮如何在第一時間阻擋社交工程電子郵件進入內部，以減少後續災害控制的成本。單一沙箱模擬技術在時效及效能難以符合實際需求。繼續閱讀

後門程式透過FB臉書和Yahoo、ICQ、Google Talk.即時通軟體散播帶毒短網址

2013 年 05 月 14 日2013 年 05 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

一種新的攻擊正透過臉書和好幾種即時通應用程式發送短網址散播, 攻擊者可以藉由後門程式，控制受感染的電腦。惡意軟體會送垃圾訊息給使用者的好友們,垃圾訊息甚至會根據系統的語言設定，下載高達十一種不同語言的暗示性圖片。

趨勢科技發現它利用兩個蠕蟲程式來散播，其中一個是惡名昭彰DORKBOT病毒家族的新變種。DORKBOT已知會透過社群媒體和即時通應用程式（egSkype和mIRC等）來散播，現在被發現會利用支援多協定的即時通應用程式（利如Quiet Internet Pager和Digsby）散播。

這些應用程式讓使用者可以同時使用多種即時通。Digsby支援AIM、MSN、Yahoo、ICQ、Google Talk、Jabber和Facebook訊息，而Quiet Internet Pager則支援至少四種不同的即時通服務。因此，有了更廣泛的散播管道，這惡意程式可能會影響更多的使用者。

這蠕蟲被偵測為WORM_DORKBOT.SME，會在中毒電腦上發送短網址給即時通上的聯絡人，該短網址指向一個檔案，被上傳到檔案代管網站Mediafire上的更新DORKBOT檔案。這可能是用以避免被偵測以及被輕易移除的手段。

除了它的散播方式，DORKBOT著名的還有它會透過掛勾特定瀏覽器的API來竊取登錄認證資訊。

主要程式BKDR_LIFTOH.DLF會去下載WORM_DORKBOT.SME。這個後門程式從C＆C伺服器所接收的命令之一就是下載並執行其它惡意軟體。這命令還包括這後門程式會被下載的網址。不過這次檔案是被上傳到Hotfile。

此外，這後門程式也可以編輯來自C＆C伺服器的設定。

在上面的截圖裡，設定檔裡包括了C＆C伺服器、連線逾時、連線嘗試最大次數和惡意軟體編譯版本。代表這惡意軟體可以切換不同的C＆C伺服器以避免被偵測。另一方面，buildid欄位的值是build1，代表這惡意軟體還是第一個版本，可能會在不久的將來看到這後門程式的其他版本。

繼續閱讀

十大AWS安全秘訣：第八條加密敏感資料

2013 年 05 月 14 日2013 年 12 月 24 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Mark Nunnikhoven

今天我們要討論有關加密的部分。

資料推動你的業務

你的業務是基於資料和資訊而運作的。前進公共雲最大的擔憂之一就是資料的安全性。只要做點盡職調查（due diligence），你可以讓這些擔憂消失不見。

有三個關鍵步驟可以保護你在雲端中的資料：

識別和分類你的資料
保護存放中的資料
保護移動中的資料

識別和分類

在你確認自己有哪些資料，哪些對自己和客戶有價值，它們在哪裡儲存和處理之前，你沒有辦法採取有效的措施來保護你的資料。

檢查你的網路，你儲存了什麼類型的客戶資料？哪些是讓你具備競爭優勢的知識產權？還有可存取系統的身份憑證？

開始清查你的資料。

現在開始進行盤點，試著去找出資料的優先順序。它對你的客戶有多重要？對你的業務運作？你的聲譽？你不需要找出資料的準確價值，只要有什麼對你的業務是重要的粗略想法。

一旦你有了這份清單，查出在哪裡如何的儲存這些資料，在哪裡進行處理。這些是你首要專注安全性的地方。

繼續閱讀

《總經理看資安趨勢》循資安政策私有雲更安心

2013 年 05 月 13 日2013 年 05 月 14 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者:洪偉淦趨勢科技台灣暨香港區總經理

私有雲與傳統IT架構的最大不同，在於深具快速擴充的彈性，導致移動性特別大，機器的所在位置，往往隨著需求調整而變遷，而非一成不變。在此前提下，過往運用閘道概念，針對一群實體主機實施圈地保護的做法，顯然不合時宜。

時至今日，大家多已理解虛擬化與雲端運算的效益，其饒富彈性及擴充性之特質，確實有助企業降低管理成本、減少硬體購置支出；但儘管如此，仍有若干企業對雲端心存顧忌，甚至懷疑私有雲是否真的安全無虞。其實只要實施正確資安政策，企業仍可安心的使用私有雲。

然而，企業管理者在擬定雲端安全政策之際，務必清楚認知，虛擬與實體架構截然不同，倘若硬將過往資安政策套用至私有雲環境，恐因格格不入而滋生風險，所以必須釐清新舊架構之差異，才有助於產出正確的政策方針。

私有雲與傳統IT架構的最大不同，在於深具快速擴充的彈性，導致移動性特別大，機器的所在位置，往往隨著需求調整而變遷，而非一成不變。在此前提下，過往運用閘道概念，針對一群實體主機實施圈地保護的做法，顯然不合時宜，因為私有雲環境的變化性太大，根本不存在固定疆界，企業自然需要調整資安對策，在沿用閘道式防護機制之餘，另須於主機端（Host-based）部署防火牆或IPS等防禦系統。

另外值得一提的是，隨著虛擬化應用頻度持續攀升，虛擬機器的快速增生，將是今後無可避免的現象；這也意味著，企業想要確保每台虛擬機器，都能切實依循資安政策，難度勢必愈來愈高，倘若控制失當，恐導致不同虛擬機器出現資安落差。繼續閱讀

非洲：網路犯罪份子的新避風港？

2013 年 05 月 13 日2013 年 04 月 29 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技的威脅研究人員認為，在三年內，非洲將會成為更加龐大的網路犯罪來源。以下提到了理由：

更多可用的頻寬和更低的成本

聯合國所有成員國都已經同意在二〇一五年要達到八個千禧年發展目標。其中一個就是：「與私人企業合作，提供新技術的好處，尤其是資訊及通訊技術方面」。為了達到此一目標，就要幫助非洲趕上世界的其餘國家。有了新的資訊和通訊技術，非洲龐大的潛在使用者就讓它成為了要角。

來自世界各地的多家私人企業要一起來提供資金並建設在非洲的六個基礎設施工程。在二〇〇七年舖設了第一條海底電纜，將非洲東部和南部跟世界其他地方連接起來。在今天，網路基礎設施已經幾乎遍及了整個非洲大陸。隨著十一個線路工程繼續進行，當地的網路供應商和電信業者不斷擴大自己的服務範圍，提供客戶更便宜和更快的連線。

隨著頻寬的增加，電信商和最終用戶的成本也可能會進一步地減少，這對企業組織來說是項利多，對攻擊者和網路犯罪分子來說也是。