資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

Dharma勒索病毒利用防毒工具掩飾惡意活動

2019 年 05 月 24 日2019 年 05 月 21 日趨勢科技 TrendMicro

Dharma勒索病毒從2016年就開始出現，持續地攻擊了全世界的使用者和組織。在2018年11月的一次高調攻擊中，勒索病毒感染一家德州醫院並加密了許多病歷。幸運的是，醫院不用透過支付贖金就能夠回復正常。趨勢科技最近發現一隻新的Dharma勒索病毒使用了新的手法：利用軟體安裝作為幌子來掩飾其惡意活動。

Dharma勒索病毒利用防毒工具

新的Dharma勒索病毒仍是透過典型的垃圾郵件散播，誘騙使用者去下載檔案。如果使用者點入下載連結，會在取得檔案前被要求輸入郵件內所提供的密碼。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-Ransomware-01.jpg

圖1. Dharma勒索病毒感染鏈

接著會下載一個自解壓縮檔 – Defender.exe，它會植入惡意檔案taskhost.exe以及舊版的ESET AV Remover安裝程式（被重新命名為Defender_nt32_enu.exe）。趨勢科技將taskhost.exe識別為Dharma勒索病毒相關檔案（偵測為RANSOM.WIN32.DHARMA.THDAAAI）

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma2-2.png

圖2. Dharma勒索病毒的垃圾郵件

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-3-2.png

圖3. 執行自解壓縮檔（Defender.exe）

勒索病毒利用這個舊ESET AV Remover安裝程式來轉移使用者的注意力。當自解壓縮檔執行時，Dharma會在背景加密檔案，同時開始安裝ESET AV Remover。使用者會在螢幕上看到ESET畫面來掩飾Dharma的惡意活動。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-4-2.jpg

圖4. 軟體安裝過程掩飾了勒索病毒活動

繼續閱讀

Microsoft Exchange後門程式讓駭客取得前所未有的控制能力

2019 年 05 月 23 日2019 年 05 月 20 日趨勢科技 TrendMicro

根據報導，一個運作已久的網路間諜組織開發出一套複雜的Microsoft Exchange伺服器後門程式，可以攔截、重新導向以及修改電子郵件，還能夠偽裝受害者來送出郵件，此後門程式被稱為LightNeuron（趨勢科技偵測為TROJAN.MSIL.TURLA.A）。

為什麼LightNeuron很危險？

LightNeuron跟Turla網路間諜組織有關，這是個以使用非常見策略及針對各產業內知名受害者而聞名的駭客團隊。

繼續閱讀

網購商品搶的是比快! 搶購慢一步? 不是電腦慢而是駭客搞鬼！

2019 年 05 月 22 日2019 年 04 月 30 日趨勢科技TrendMicro

哈嘍！小姐請問您先前網購結帳方式誤選了十二期，恐怕會多繳錢喔！是不是方便與您核對基本資料，在請您下單更改付費方式呢？您的電話0900XXXXXX，當電話那端的客服小姐正在熟練的一字不漏地唸出您的個資時，您的心理是否寒毛直豎，心中OS：到底去哪裡拿到這些資料的啊？

或是當你在網上搶購限量球鞋開賣前，萬事具備的設定好資料，並等待開賣按下送出的那一秒，電腦畫面永遠只會轉轉轉，轉到最後就當機？這時你只能眼巴巴的乾瞪眼吶喊：天啊！我又慢人家一步了，而在這些狀況下，其實這些狀況都有可能是電腦病毒來搞鬼！

惡意病毒的威脅，個資恐外洩

在2018年萬豪國際集團公布旗下的Starwood(喜達屋酒店)遭到病毒入侵，該集團在全球擁有超過6700家酒店，其中上看五億會員的個資遭到盜取，其中包含姓名、地址、信用卡甚至是護照ID以及會員飛機航班等，專家表示，這是僅次於兩次Yahoo駭客事件，史上最大的一次駭客事件。

而2017年Yahoo也宣布在2013年8月的駭客入侵事件中有高達30億的受害帳戶，而這些帳戶被竊取的帳戶資料，涵蓋姓名、電子郵件、電話號碼、生日，有些帳號還被取得加密或未加密的安全問題與答案，諸如此類的個資外洩問題，在現在網路當道的時代防不勝防，就連世界搜尋引擎龍頭的Google 也因為病毒入侵，而被迫將於2020年結束Google+的服務。

以上的兩個例子雖都指向大企業，但也意味著一般民眾所存在更大的風險。

繼續閱讀

採用託管式偵測及回應服務，從資安自動化受惠

2019 年 05 月 22 日2019 年 04 月 30 日趨勢科技 TrendMicro

過去幾年裡，所謂的自動化，或是將負擔沉重的資安相關作業委派給機器的流程，開始在組織之間得到不少支持度。根據 Ponemon Institute 最近公佈的研究指出，參與研究的組織中有將近 79% 早已開始使用自動化，或有意及早採用自動化，以協助保護企業免於網路威脅。

但採用自動化技術真的是建構有效網路資安堡壘最重要的工作嗎？自動化能適當保護企業，讓企業有能力自己抵禦日益增加的安全威脅嗎？

資安自動化的重責大任

運用自動化這類的進階技術，便能將大量日常的網路資安作業交由機器執行。根據趨勢科技在今年 3 月公佈的 Opinium 調查指出，受訪的資訊安全長 (CISO) 中有 68% 相信，自動化有助於減少業界人才短缺的問題。此外，相當高比例的 CISO 受訪者 (約 59%) 認為，像是機器學習(Machine learning,ML)等許多人工智慧技術，都有可能減緩人才短缺的問題。

[請參閱：困擾半數組織的網路資安人才短缺問題]

但組織若想從自動化和人工智慧技術中獲益，內部必須設有專業人才，協助組織分析結果，提供為了改善組織的網路資安態勢，該採取何種行動或該作何決定的相關認知與見解。

但隨著資安威脅數量不斷增加且持續精進，缺少專業人才來抵禦資安威脅的問題只會日益加劇。截至 2018 年為止，網路資安產業的缺工人數已來到將近 300 萬之多。

根據 Ponemon 的研究指出，56% 的企業內部沒有技術純熟的網路資安專家駐守。這也是多數企業無法採用自動化技術的原因，因為公司內沒有人可以幫他們設定、操作及分析資料。

託管式偵測及回應服務如何協助組織

隨著網路資安人才短缺的問題持續擴大，組織暴露在各種資安威脅之下，營運、財務和聲譽都有可能受損。但只要部署像託管式偵測及回應(Managed Detection and Response，簡稱MDR) 這類的資安服務，公司便能受到由威脅分析師、調查員和事件回應專家所組成，全天候待命的網路資安人員的保護。MDR 專家能讓自動化工具運行，提供威脅獵捕與調查、分析結果等。

[請參閱：透過託管式偵測及回應服務發現 Emotet 散播的 Nozelesn 勒索軟體載入程式]

MDR 服務讓企業在彈指間就能輕鬆找出進階威脅之間的關聯。儘管監控和偵測惡意軟體的龐大工作量都可交由自動化完成，但仍能透過 MDR 取得每次攻擊的詳細資料，MDR 團隊可提供分析，指出攻擊來源、其感染鏈，以及是否感染了組織的網路或系統。最重要的是，團隊可提供建議的減緩策略。

趨勢科技的託管式偵測及回應服務團隊除了提供資安事件的即時回應，還能彈性運用資安解決方案，揭露該類事件，將進階 AI 和自動化技術的運用範圍最大化，有效關聯資料，說明資安警示並找出其優先順序，同時協助鞏固組織的網路資安防禦。

資料來源: Benefiting From Security Automation With Managed Detection and Response