資安趨勢部落格 – 第 480 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

2017年常被惡意濫用的系統管理工具和協定

2018 年 01 月 02 日2018 年 01 月 02 日趨勢科技 TrendMicro

系統管理工具和正常使用協定可以讓管理員、資安專家和開發人員更加具備靈活度和效率。但如果被攻擊者、網路犯罪分子和其他惡意份子利用，就會讓惡意軟體融入正常的網路流量來躲避傳統的安全機制，留下更少的足跡。正如2017年知名的威脅所顯示的那樣，讓它們被暴露或未加防護，甚至無意間被加以利用都可能產生嚴重的後果。

以下是2017年一些常被濫用的工具和協定，以及企業能夠用來對付利用這些工具進行攻擊的最佳實作：

PowerShell

它是什麼：Windows PowerShell是包含腳本語言和命令列shell的管理框架。它讓系統管理員可以自動化任務和管理流程。包括：啟動命令列、終止程序、找到資料夾和檔案、設定命令在背景排程執行、存取應用程式介面（API）以及管理系統和伺服器設定。

它如何被濫用：PowerShell是許多惡意軟體的主要部分，特別是無檔案威脅。像是Cerber和PowerWare等勒索軟體，像FAREIT這樣的資料竊取程式，像VAWTRAK這樣的銀行木馬以及將惡意PowerShell腳本嵌入可執行檔或巨集病毒文件的後門程式。這些腳本被用來取得和啟動/執行惡意軟體。因為PowerShell的性質，它常會被加入白名單；攻擊者利用它來躲避防毒（AV）偵測。

最佳實作：限制其使用，或將可能被濫用的指令加入黑名單 – 這可以提高安全性，但也可能影響其他系統功能。管理員也可以利用PowerShell本身，使用觸發器來偵測常被用於惡意PowerShell腳本的指令或參數。PowerShell還具備日誌功能，可以用來分析系統內的可疑行為。微軟也提供如何安全使用PowerShell的最佳實作建議。

PSEXEC

它是什麼：PsExec是可以讓使用者遠端啟動程序及執行命令或可執行檔的命令列工具。它使用登入到系統的使用者權限執行。PsExec有多種用途，它可以讓管理員重新導向系統間的控制台輸入和輸出。PsExec也可以用來派送修補程式。

它如何被濫用：Petya/NotPetya勒索病毒會利用PsExec的修改過版本來存取和感染遠端機器。磁碟加密HDDCryptor也用類似的方式使用它。無檔案加密惡意軟體SOREBREC利用PsExec來加強其程式碼注入能力。PsExec的靈活性也讓它被用來劫持端點成為殭屍網路的一部分，並且安裝端點銷售（PoS）惡意軟體。據報PsExec也被用在Target資料外洩事件中。繼續閱讀

地下市場:只要3美元,就能存取企業遠端桌面（RDP）伺服器!

2018 年 01 月 02 日2017 年 12 月 27 日趨勢科技 TrendMicro

安全研究人員發現有好幾個「黑暗網路」(Dark Web) 的地下市場在販賣能夠存取企業遠端桌面（RDP）伺服器的憑證，只要賣3美元。該報告揭示一個名為Ultimate Anonymity Services（UAS）的著名地下市場販賣來自醫療產業、教育和政府等組織的 RDP 帳號。

值得一提的是總共提供了3.5萬筆暴力破解來的RDP帳號，其中有7,200筆來自中國，6,100筆來自巴西，3,000筆來自印度，1,300筆來自西班牙，900筆來自哥倫比亞。UAS服務商還出售了300個位在美國的RDP帳號，分別來自加州、俄亥俄州、奧勒岡州和維吉尼亞州。價格介於3美元到10美元間。研究人員指出，跟競爭對手（如xDedic）以高達100美元價格銷售類似產品相比，UAS的較低價格是因為它在網路犯罪分子間越來越受歡迎。

這份報告解釋了最近所發生的一連串資料外洩和勒索病毒相關事件，因為能夠進入這些系統和網路讓網路犯罪分子和惡意份子可以竊取資料或將資料當作人質。舉例來說，暴力破解RDP是Crysis勒索病毒的主要感染媒介和進入點。即使是像MajikPOS這樣的銷售端點病毒也結合了入侵的RDP帳號和遠端存取木馬來竊取信用卡資料，然後在地下論壇販賣。

[延伸閱讀：你的資料如何被用來對付你?]

的確，地下市場遍布著非法商品及遭竊資料和惡意軟體，供應商經常會根據需求來調整售價。但以中東和北非地下市場為例，它們的貨幣價值也會受到參與者的獨特文化所影響。

事實上，許多惡意軟體和對某些系統和網路的連線服務在中東和北非地下市場是免費提供。包括了加密程式、鍵盤側錄程式、SQL注入工具、惡意軟體產生器到資料採集與監控系統（SCADA）端口號碼。RDP只賣8美元，而電子商務憑證售價僅1美元。繼續閱讀