企業資安 - 資安趨勢部落格

透過 MDR ( 託管式偵測及回應服務)檢視Ryuk勒索病毒-專攻擊大企業勒索超過60萬美元

2019 年 04 月 25 日2019 年 03 月 25 日趨勢科技 TrendMicro

趨勢科技的偵測及回應託管式服務（managed detection and response,MDR）及事件回應團隊調查了兩起似乎是獨立事件的Ryuk勒索病毒攻擊。

勒索病毒 (勒索軟體/綁架病毒)儘管數量明顯地減少了，但仍持續使用多樣化的新技術持續造成威脅。一個明顯的例子是Ryuk勒索病毒（偵測為 Ransom_RYUK.THHBAAI），它在2018年12月造成美國幾家主流報紙運作中斷而惡名遠播。早先在2018年8月的Checkpoint分析指出，Ryuk專門被用在針對性攻擊，主要目標是受害者的重要資產。在12月攻擊事件前的幾個月，Ryuk攻擊了數間大企業來勒索價值超過60萬美元的比特幣。

趨勢科技的託管式偵測及回應（MDR）及事件回應團隊調查了兩起似乎是獨立事件的Ryuk攻擊。第一起經由以MikroTik路由器作為C&C伺服器的TrickBot營運商散播Ryuk，第二起則是攻擊者入侵管理員帳號來在網路內部散播Ryuk。加上2018年的事件，這些新攻擊可以看出惡意軟體背後黑手在擴大其範圍的強烈意圖。

*案例1：利用被入侵的MikroTik路由器在組織內散播Ryuk和Trickbot***

在第一起案例中，使用TrickBot的攻擊者透過Eternal Blue漏洞及收穫的帳密來進行橫向移動和散播Ryuk。

繼續閱讀

擁有管理員權限的帳號被用來透過PsExec安裝BitPaymer勒索病毒

2019 年 04 月 23 日2019 年 05 月 17 日趨勢科技 TrendMicro

勒索病毒可能在2018年呈現下降的趨勢，但它似乎又回來了 – 只是這次的攻擊看起

éå¼µåçç alt å±¬æ§å¼çºç©ºï¼å®çæªæ¡åç¨±çº Ransomeware-200x200.jpg

來更具有針對性。之前就出現了針對一家美國飲料公司的勒索病毒攻擊新聞，會將公司名稱放在勒贖通知裡，而本篇文章會探討攻擊一家美國製造商的BitPaymer勒索病毒（趨勢科技偵測為Ransom.Win32.BITPAYMER.TGACAJ）。這家公司與飲料公司一樣，也似乎成為了被針對的目標，因為受感染系統內的勒贖通知也出現了公司名稱。

根據調查結果讓我們相信攻擊者是用具備管理員權限的帳號來透過PsExec安裝BitPaymer，PsExec是可以在遠端電腦上執行程序的命令列工具。

BitPaymer如何出現在系統內

BitPaymer（跟iEncrypt勒索病毒有關）是透過PsExec在製造商的電腦上執行。根據我們的分析顯示，攻擊者在2019年2月18日晚上9點40分到晚上11點03分之間透過PsExec發送命令來複製和執行BitPaymer變種。

攻擊者至少需要一個具有管理員權限的帳號才能透過PsExec執行命令。這代表在安裝勒索病毒前就已經發生過未被偵測到的入侵事件。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/BitPaymer-Ransomware-Diagram-01.jpg

圖1. BitPaymer勒索病毒的攻擊時間軸

趨勢科技Smart Protection Network所提供的資料支持此假設。從1月29日到2月18日間，偵測到多起在數台電腦上執行Empire PowerShell後門程式。分析顯示這是透過遠端執行而不是在目標電腦上植入檔案。在同一時間段內也偵測到Dridex相關檔案（我們找到跟BitPaymer共用的載入器）。請注意，在美國飲料公司案例中，一些研究人員認為起出的Dridex感染事件可能跟最終的勒索病毒感染有關。

檢視所有的可用資訊，我們能夠推斷出公司在1月29日前後就已經出現資安入侵事件。

繼續閱讀

貌似空白的 excel 工作表,開啟前注意三件事,嚴防內嵌AutoHotkey惡意腳本攻擊

2019 年 04 月 19 日2019 年 05 月 02 日趨勢科技 TrendMicro

趨勢科技發現了一個可能利用合法腳本引擎AutoHotkey加上惡意腳本的針對性目標攻擊(Targeted attack )。此腳本會偽裝成電子郵件內的附件檔（Military Financing.xlsm）。使用者需要啟用巨集功能才能完全開啟檔案，接著會用AutoHotkey載入惡意腳本來避免被偵測。它還可以讓駭客竊取某些資訊，甚至下載TeamViewer來取得對系統的遠端控制能力。目前尚未確認此攻擊的目的。但因為其具備網路間諜能力，除了可能發動針對性目標攻擊(Targeted attack ) 外，也可能散播勒索病毒和挖礦病毒。

該電子郵件附加的Excel檔案標題（Foreign Military Financing (FMF)）以美國國防安全合作局的一項計劃命名, 內含兩個表單,其中一個以“ ”（空格）命名。趨勢科技提醒開啟附件前注意三件事:

下載和開啟附件檔前要先檢查寄件者、標題和本文是否有任何可疑之處。
記得檢查附加檔副檔名，確認是否跟郵件內容一致。
要啟用內容以打開檔案前請檢查可疑徵兆，如要求使用者啟用巨集的內容或顯示為空白的內容。

啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本

當使用者啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本。AutoHotkey載入惡意腳本後會連到C&C伺服器來下載並執行其他腳本來回應伺服器的命令。根據我們的觀察，它最終會下載並執行TeamViewer來取得對系統的遠端控制能力。但根據從C&C伺服器接收的命令，它可以下載並執行其他腳本。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/figure-1-attack-chain-starting-with-the-arrival-of-the-email-with-the-malicious-attachment-640x480.jpg

圖1. 攻擊鏈從夾帶惡意附件檔的電子郵件開始

企圖魚目混珠的Excel空白檔案

繼續閱讀

網路風險指數(CRI) – 給資訊安全長和 IT 安全團隊的指南

2019 年 04 月 17 日2019 年 04 月 01 日趨勢科技 TrendMicro

趨勢科技和波耐蒙研究所 (Ponemon Institute) 合作，制定出新的網路風險指數 (
Cyber Risk Index- CRI)，以協助資訊安全長(CISO)及其 IT 安全團隊，更清楚了解相較於同規模和同產業的其他類似企業，自身目前的網路風險程度。這項 CRI 指數是根據波耐蒙研究所進行的問卷調查，調查對象為美國小型、中型到大型企業中的一千多位 IT 專家，並著眼於兩個面向：各組織保護其資料和系統之能力程度，以及目前針對組織攻擊的各種威脅。我們的計畫是每六個月彙整一次 CRI，以取得趨勢資料，檢查 CRI 是否隨時間改善。

CRI 採用 -10 到 +10 的分數量表，-10 代表風險最高，+10 則代表風險最低。結果顯示整體而言，企業的網路威脅風險升高，分數為 -0.15。我們還根據公司規模細分結果，資料顯示小型企業承受較高風險，分數為 -0.59。

好消息是大型企業公司的表現落在中度風險指數等級。依據產業細分結果時，對於問卷調查回應足夠，得以取得良好統計平均數值的產業，皆顯示出升高的風險等級，而服務業、公部門、零售業、醫療與製藥產業的相關風險最高。

以下根據所有受訪者的調查回應，列出一些值得關注的結果。

網路攻擊很可能發生

接下來的 12 個月中，客戶資料洩漏的可能性：

77% 可能性接下來的 12 個月中，關鍵資料 (IP) 洩漏的可能性
80% 可能性接下來的 12 個月中，成功發動一次 (含) 以上網路攻擊的可能性
80% 可能性

繼續閱讀

還在使用老舊軟體和這 61 組弱密碼? 挖礦病毒利用多重攻擊手法自中國擴散至台灣、日本等亞洲企業

2019 年 04 月 16 日2019 年 04 月 16 日趨勢科技 TrendMicro

趨勢科技偵測到一個惡意軟體: Trojan.PS1.LUDICROUZ.A用多種感染方式,擴散門羅幣挖礦程式到更多的系統和伺服器。該挖礦病毒在今年初現身中國，原先的感染方式是用弱密碼及pass-the-hash（傳遞雜湊）技術,還有經由Windows管理工具與公開原始碼進行暴力破解攻擊，。在日本發現的這起新案例會用EternalBlue(永恆之藍) 漏洞攻擊及PowerShell來入侵系統並躲避偵測。