資安趨勢部落格 – 第 413 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

《資安新聞周報》企業常見四種電子郵件威脅/運用AI(人工智慧)看穿鎖定Office 365網路釣魚/假新聞殺人後，資安危機如何防堵

2018 年 10 月 12 日2018 年 10 月 15 日趨勢科技TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

「您的信箱已滿」駭客說的!運用AI(人工智慧)看穿鎖定Office 365網路釣魚

繼續閱讀

沒有惡意程式,不綁架檔案,一封信竟騙走一棟房子!

2018 年 10 月 12 日2022 年 11 月 02 日趨勢科技 TrendMicro

BEC詐騙有別於一般電子郵件所散播的勒索病毒和其他須仰賴惡意程式的攻擊，歹徒在詐騙過程完全不需使用惡意程式, 這些員工沒看穿的騙局,造成的損失可能比病毒還大!
前陣子美國洛杉磯的一位男子將非法取得的律師電子郵件帳號提供給其共犯使用，歹徒假冒該律師發送電子郵件給房地產交易的買方，詐騙超過千萬台幣。一封信,騙走一棟房子,一點都不誇張。

唯一的防範之道看似受害者的當下的判斷, 還好趨勢科技隨時都在開發新的機器學習(ML) 演算法來檢驗大量的資料並預測一些未知的檔案為惡性或良性,以具備人工智慧 (AI) 的資安技術防範使用者遭到電子郵件攻擊。

電子郵件帳號遭駭是今日連網世界當中經常發生的問題。網路犯罪集團駭入使用者電子郵件帳號的目的，是為了滲透企業 IT 環境，進而從事各種攻擊，包括各種詐騙、資訊竊盜、身分冒用等等。使用者若無有效的安全措施來防範電子郵件帳號遭到駭入，很可能將蒙受嚴重的損失。

電子郵件遭駭是各產業普遍的現象

電子郵件遭駭在全球各產業都相當普遍。專門從事政治相關攻擊的網路間諜集團 Fancy Bear 據報曾在今年稍早的美國參議員重新選舉期間使用登入憑證網路釣魚攻擊。Fancy Bear 集團從 2015 年起便經常登上新聞版面，目標鎖定美國、烏克蘭、法國、德國、蒙特內哥羅和土耳其等國的政治機關。

這幾年來，醫療產業已成為網路犯罪集團的熱門目標，包括波特蘭、德州、田納西、紐澤西以及其他地區都受到影響。這些醫療機構都因電子郵件帳號遭歹徒駭入並用來詐騙，進而導致資料外洩。

這類攻擊也蔓延到教育產業。今年 5 月，美國紐約州立大學水牛城分校 (University at Buffalo，簡稱 UB) 發出一份聲明表示遭到駭客攻擊，有不明數量的學生、行政人員、教授及校友的電子郵件帳號遭到駭入。在亞洲，新加坡國立大學 (National University of Singapore，簡稱 NUS) 在今年 7 月也警告全校教職員和學生小心來自某些已遭駭 NUS 帳號的網路釣魚攻擊。這些電子郵件當中含有惡意連結，指向會誘騙收件人提供帳號登入憑證的網站。繼續閱讀

物聯網（IoT）安全：與 VPNFilte 類似的 Torii 物聯網殭屍網路（botnet）現身

2018 年 10 月 11 日2018 年 10 月 09 日趨勢科技 TrendMicro

美國聯邦調查局（FBI）在五月下旬公開警告關於針對家用和辦公室路由器及網路設備的網路攻擊。罪魁禍首：VPNFilter（趨勢科技偵測為Trojan.Linux.VPNFILT.AA），據報導影響了至少 54 個國家/地區超過50萬台的路由器。

VPNFilter是隻多階段和模組化的惡意軟體，可以竊取和收集資料、攔截或封鎖網路流量、監控資料採集與監控系統（SCADA）協定，並且讓受感染的路由器無法運作。

[來自 TrendLabs 資安趨勢部落格：受 VPNFilter 影響的設備還有著19個漏洞]

幸運的是，FBI成功地拿下VPNFilter所使用的網域/命令和控制（C&C）伺服器。安全研究人員在最近進一步分析了 VPNFilter 的額外模組，這些模組可能會被用於未來的攻擊：

htpx：重新導向和檢查經過受感染設備的未加密流量。
ndbr：啟用對設備的遠端連線，將其轉變成SSH客戶端或伺服器，並透過SSH使用SCP協定來傳輸檔案。它還會執行一個開放原始碼掃描程式來識別網路上的主機和服務。
nm：通過網路拓樸和端口掃描工具來進行偵察；並搜尋特定型號路由器來進行攻擊。
netfilter：透過封鎖與某些服務和應用程式相關的IP地址來進行阻斷服務攻擊。
portforwarding：將受攻擊設備的流量導向攻擊者指定的網路。
socks5proxy：將受感染設備轉變成VPN伺服器，讓攻擊者可以用來進行自己的網路活動。
tcpvpn：啟用對受感染內部網路設備的遠端連線，然後可以用它來傳出資料和進行遠端C&C連線。

繼續閱讀

趨勢科技:2018上半年無檔案攻擊事件成長56%

2018 年 10 月 10 日2018 年 10 月 11 日趨勢科技 TrendMicro

微軟最近報告說他們的進階威脅防護工具偵測並封鎖了兩個重度混淆過的惡意腳本。這些威脅顯然地使用了Sharpshooter技術（曾紀錄並發表於一篇英國資安公司2017年的部落格文章）。

微軟的報告詳細說明了這難以被捕捉的病毒行為 – 它沒有觸動防毒掃描，使用合法程序來執行腳本載入，在硬碟上也沒有留下任何痕跡。因為這些特性，他們將這些腳本歸類為無檔案威脅。

通常無檔案病毒都能夠躲避傳統偵測技術，因為它不會在受害者系統上產生惡意檔案。相對地，它會將惡意程式碼注入執行中的應用程式記憶體或利用系統或設備上的合法工具。

這些被偵測到的無檔案病毒是用兩個無檔案階段完成攻擊，包括用一個難以被偵測的.NET執行檔進行DNS查詢（之前就發生過）下載資料，接著用來初始化和解碼惡意軟體核心。這核心也是無檔案威脅，因為它在記憶體內執行而無需寫入硬碟。

他們在報告作出此惡意軟體可能只是測試而非真正攻擊的結論。

無檔案病毒在2018年普及

惡意軟體偵測技術在不斷地跟上威脅成長，迫使惡意份子尋找躲避技術和進入點。我們在年中的資安綜合報告詳細介紹了讓檔案型偵測技術頭疼的惡意軟體在大量成長。出現了各種不同類型 – 小型惡意軟體，巨集病毒，當然還有無檔案病毒。

無檔案病毒在這一年多以來都是資安領域的重大威脅。在2017年6月，我們看到了自毀型的SOREBRECT無檔案勒索病毒；之後我也報導了木馬病毒JS_POWMET，這是隻完全無檔案的惡意軟體。我們也注意到使用到這類型惡意軟體的資安事件在增加。

從年初到2018年6月，我們可以看到趨勢科技產品所封鎖的相關事件成長了56%。

最近2018年7月的報導顯示出病毒作者持續地在創新無檔案技術。有許多關於PowerGhost無檔案虛擬貨幣挖礦病毒正在瞄準企業系統的報告。惡意軟體利用合法工具PowerShell及EternalBlue漏洞在各個組織的設備和伺服器間散播而不被偵測。

解決問題

大多數這類威脅都使用了多組件，留下了檔案以外的線索 – 來自散播機制的電子郵件或連結，在伺服器上進行惡意行為的證據，或出現在網路/系統日誌內的行為線索。根據微軟的說法，一旦Sharpshooter技術公開就會被濫用並用於攻擊。為了偵測無檔案威脅，他們使用了多層次做法，包括反惡意程式碼掃描介面（AMSI）、行為監控和開機磁區保護技術。

這代表了企業需要跨世代的安全解決方案並且採用能夠橫跨整個網路的多層次防禦技術整合來應對無檔案威脅。趨勢科技Smart Protection Suites具備了多種功能（如高保真機器學習、網頁信譽評比服務、行為監控和應用程式控制以及漏洞防護），可以最大限度地降低此威脅影響。趨勢科技的Endpoint Sensor也可以有效地監控事件，因為此產品可以幫助快速檢查觸發惡意活動的程序或事件。

@原文出處：Microsoft Detection Tools Sniff Out Fileless Malware