數據會說話:產業測試的真相

如同任何分析評比一樣,NSS Labs 最新一份入侵偵測系統 (Breach Detection System,簡稱 BDS) 評比測試所提供的並不只有分數、偵測率及整體持有成本 (TCO) 等數據而已。經由透明公開的評比測試,不論現有客戶、合作夥伴、潛在客戶,或是產業和金融分析師,都能獲得公正公開的參考資訊。

簡單講,NSS Labs 最新的 BDS 測試呈現的是:

NSS Labs BDS 這類公開測試很單純地卸下了產品的神秘面紗,為決策者提供更可靠的參考依據。任何需要採購入侵偵測系統的人,都能經由這樣的分析來形成自己的想法,並且擬定一套策略來因應 APT 的挑戰。

大家都同意,對付APT攻擊並無所謂的萬靈丹。在這樣的情況下,最好的作法就是根據您網路的實際狀況來評估及挑選一套適合您的解決方案。

比方說,能在 NSS Labs 之類的產業測試當中取得優異成績,就是偵測能力和解決方案價值的重要指標。不過,當您在將某家產品列入候選名單之前,您務必要了解測試的背景。也就是說,NSS Labs 測試結果僅代表當時的狀況,同時也取決於測試方法所蒐集到的進階惡意程式類型與攻擊手法。正因如此,我們很高興 NSS Labs 採取了一種開放、透明的測試程序從網路上蒐集實際的攻擊樣本,因為這些都是傳統或當今防毒技術無法立即偵測的。

很榮幸趨勢科技連續第二年榮獲「推薦」(Recommended) 的評價,而且是所有 NSS Labs 推薦的入侵偵測系統當中整體分數最高、最有成效的解決方案。

持續提供效能優異而穩健的解決方案,是我們對客戶的承諾,也是一切行動的基石。NSS Labs 的 BDS 測試結果證明我們已經履行了承諾,而我們的整個團隊也都為這樣的成果感到驕傲。

如需更多有關為何您應該將趨勢科技 Deep Discovery 列入考慮,以及美國芝加哥 Rush University Medical Center 醫療中心如何發揮該產品的動態偵測能力,請看這裡

 

原文出處: Just the Facts – The Truth About Industry Tests作者:Bob Corson
▍想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 ▍

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

 

 

Flash的威脅:不只是在瀏覽器

Flash目前也在瀏覽器之外的地方受到攻擊。這個「發現」來自於 Hacking Team 資料外洩趨勢科技注意到這些零時差漏洞中的 CVE-2015-5119一直被用在APT攻擊。包含偽裝成來自台灣政府的電子郵件…..

七月對Adobe Flash Player安全來說是很糟糕的一個月。出現了三個零時差漏洞(都來自 Hacking Team 資料外洩流出的資料),讓許多人非常擔心Flash的安全性,也有許多人(包括本站)呼籲它要消失

不可免地,Adobe做出了些回應來提升Flash的安全性。最新版本的Flash(18.0.0.209)加入了許多攻擊緩解技術。這些是由Adobe和Google的Project Zero團隊一同開發。

新的攻擊緩解技術為:

  • <*>長度驗證 – 加入長度cookie到Vector緩衝區。如果漏洞攻擊碼覆寫Vector長度,cookie檢查會失敗。因為今天的每一個Flash漏洞攻擊碼都會覆寫Vector長度,這方法可以增加Flash漏洞攻擊碼開發的難度,甚至能阻止尚未公開的零時差攻擊。

增加cookie長度檢查之後,攻擊者需要有兩個漏洞來進行攻擊 – 一個洩漏cookie長度,另一個覆寫長度。也可以使用既能洩漏和覆寫該位置的單一漏洞,但這種漏洞很少見。

  • <uint>緩衝堆積分區 – 這解決方法讓洩漏cookie和覆寫長度更加困難。現在需要特定的漏洞而非一般的資料洩露和覆寫漏洞。
  • Flash堆積更強大的隨機能力 – 這緩解機制讓洩漏cookie和覆寫vector長度更加困難,因為堆積佈局比以前更難預測。

繼續閱讀

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

Hacking Team 資料外洩相關的Flash漏洞攻擊,被發現入侵了台灣和香港的網站, 此一攻擊活動從 7月9日開始,也就是Hacking Team 資料外洩宣布被駭的幾天後隨即受駭。會下載 Poison Ivy遠端存取工具和其他惡意軟體到使用者電腦上。

PoisonIvy是個在地下市場中流行的RAT後門程式,通常被用在「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)攻擊中。這個後門程式已知會抓取螢幕截圖、網路攝影機影像和聲音;記錄按鍵和活動視窗;刪除、搜尋和上傳檔案並執行其他侵入性行為。

這一波攻擊入侵了台灣的電視台、教育單位、宗教團體及一知名政黨的網站;還有一個受歡迎的香港新聞網站。這些受駭的網站有著固定的使用者,比方說提供就業考試給政府僱員的教育單位,已經製作和進口電視節目和電影長達十年的台灣網路電視。

我們已經通知了受攻擊影響網站的所有者;然而到本文撰寫時,還有三個網站處在受駭狀態。

 

Hacking Team的痕跡仍然在那

攻擊者一開始傳送Hacking Team所流出的Flash Player漏洞(CVE-2015-5119)到預先入侵好的網站上,就在該公司宣布遭受駭客攻擊(7月5日)和Adobe修補漏洞(7月7日)的幾天後。攻擊者們進行另一波的攻擊,導致另一個Hacking Team相關的Flash零時差漏洞攻擊(CVE-2015-5122)。

 

圖1、Hacking Team相關Flash漏洞攻擊送至台灣和香港網站的時間表

 

值得注意的是,在第一波和第二波攻擊開始時,兩個台灣教育機構網站皆在攻擊目標中。

 

圖2、台灣受駭的宗教團體網站

 

PoisonIvy和其他惡意軟體

趨勢科技發現所有受駭網站(除了一知名台灣政黨官方網站)都被用iframe來注入一惡意SWF,會導致遠端訪問工具(RAT) Poison Ivy (BKDR_POISON.TUFW)。

而另一方面,該政黨網站會帶來嵌入在圖片內的不同惡意軟體,偵測為TROJ_JPGEMBED.F。政黨網站跟其他受駭網站一樣會將資料發送到同一伺服器(223[.]27[.]43[.]32),推測這是同一波攻擊活動的一部分。

Hacking Team Flash exploit campaign

圖3、Hacking Team Flash漏洞攻擊所嵌入的圖片

 

雖然分析工作仍在進行中,好確定這波攻擊活動是否為 APT攻擊趨勢科技已經看到一個可疑網域wut[.]mophecfbr[.]com嵌入在惡意軟體中,它也出現在之前報導被稱為「Tomato Garden(番茄花園)」針對性攻擊所使用命令和控制(C&C)列表內。

 

建議

 

為了防止電腦遭受漏洞攻擊和惡意後門程式植入,使用者要更新Adobe Flash Player。你可以透過Adobe Flash Player網頁來檢查自己是否使用最新的版本。隨時了解常用軟體的最新消息也有幫助。參考我們的部落格文章 – 「Adobe Flash難題:積重難返」來了解更多最近的Flash相關事件,以及使用者和企業可以做些什麼。

 

趨勢科技可以偵測此事件中的所有惡意軟體和漏洞攻擊碼。SHA1值如下:

  • SWF_CVE20155122.A
    d4966a9e46f9c1e14422015b7e89d53a462fbd65
  • SWF_CVE20155122.B
    fdcdf30a90fa22ae8a095e99d80143df1cc71194
  • SWF_CVE20155122.C
    9209fee58a2149c706f71fb3c88fef14b585c717
  • BKDR_POISON.TUFW
    2dc1deb5b52133d0a33c9d18144ba8759fe43b66

 

@原文出處:Hacking Team Flash Attacks Spread: Compromised TV and Government-Related Sites in Hong Kong and Taiwan Lead to PoisonIvy|作者:Joseph C Chen(網路詐騙研究員)

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

< APT 攻擊 >駭客比你同事還了解你?!社交工程信件主旨總整理

APT攻擊鎖定目標對象會被誤導去相信電子郵件的來源和內容真實無誤,進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上,從而成為攻擊者在網路內的灘頭堡。從這一刻開始,攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

 

APT攻擊是今日企業所面臨的最大威脅之一。進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力;加上傳統的安全防禦並無法偵測未曾見過的威脅,都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件,像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

攻擊者:電子郵件是阻力最小的攻擊路徑

根據趨勢科技TrendLabs的研究,有91%的 APT攻擊利用電子郵件作為開始的進入點。此外,Ponemon的研究表示78%的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點,攻擊者顯然認為電子郵件是阻力最小的攻擊路徑,可以用來避開現有的安全防禦,進而從你的網路外洩資料。
【延伸閱讀】69%的人每週都碰到網路釣魚,25% 高階員工被釣得逞

有案例顯示歹徒攔截中小企業和客戶之間的通訊,並捏造付款帳號資訊。再從受駭企業的公司信箱發電子郵件給客戶,告知客戶其接受付款的帳戶已經換成歹徒所持有的帳戶。過去即曾有歹徒利用Predator Pain 和 Limitless 這兩個鍵盤側錄程式,來從事「供應商資訊變更」詐騙,獲利高達約22億新台幣!(請參考)

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊,根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,等於我們每天有100次掉進駭客陷阱的風險。先做個測試,以下這些信件主旨,有幾個你會不疑有他的打開?

駭客跟你一起關心熱門新聞?!熱門新聞被駭主旨一覽:

駭客比你同事還了解你?!鎖定個人被駭主旨一覽:

延伸閱讀:針對台灣政府單位的 RTLO技術目標攻擊)

 

 

公司如果不能真正解決 APT攻擊電子郵件攻擊的問題,付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響,包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。根據Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了,光是從 EMC和 Target事件所看到的成本就是10倍以上了。

原因是,APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊),其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤,進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上,從而成為攻擊者在網路內的灘頭堡。從這一刻開始,攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

APT攻擊通常會先充分研究過並以相關的電子郵件形式出現
APT攻擊通常會先充分研究過並以相關的電子郵件形式出現

對組織來說,關鍵是讓攻擊者無法輕易地去侵入公司網路,不要讓電子郵件被當作切入點。 繼續閱讀

< APT攻擊 >「預防中東呼吸綜合症(MERS)」網路釣魚主旨散播中

駭客總是跟你一起關心熱門議題。。但不懷好意

近日全台關注的八仙塵爆事件 疑已有詐騙集團蠢動 警方關注,大家請提高警覺別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)。本文介紹的是近日全球關注的中東呼吸綜合症(MERS)。

攻擊者將中東呼吸綜合症(MERS)的爆發當作魚叉式網路釣魚(Phishing)郵件的魚餌,發送給日本大型媒體公司的一名員工。使用雅虎郵件免費帳號來輕易地通過防垃圾郵件過濾程式,攻擊者複製網路上的公開資訊,用來引誘收件者去打開郵件。

MERS

郵件標題是用日文,意思是「轉寄:預防中東呼吸綜合症(MERS)」,而附件檔名為「預防中東呼吸綜合症(MERS).7z」。

圖1、以MERS為主題的網路釣魚郵件寄給一名日本媒體公司員工

繼續閱讀