資安趨勢部落格 – 第 558 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員

2016 年 10 月 31 日2016 年 11 月 08 日趨勢科技 TrendMicro

至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布
光是 2016 年第一季，勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得

不論任何時刻，網路總是會存在著漏洞，尤其若網路上還有一些老舊的系統或軟體,再加上零時差漏洞，那麼系統管理員根本就永遠在和時間賽跑。IT 系統管理員甚至必須想辦法在漏洞攻擊套件已收錄的零時差漏洞修補之前防範網路遭受攻擊。他們必須面對各種挑戰，例如，他們不僅要維護關鍵系統的營運不間斷，還要保護網路邊境。就算拿到了漏洞修補程式，也要先完成測試才能開始部署。企業平均約需要 30 天的時間來完成修補程式測試。這樣的情況再加上其他因素，就會導致空窗期，讓漏洞攻擊套件有機可乘。

————————————————-

漏洞攻擊服務(Exploits as a Service)：「漏洞攻擊套件 + 勒索病毒」如何影響企業生計?

2013 年，Blackhole 漏洞攻擊套件和搜尋CryptoLocker 開創了漏洞攻擊套件與勒索病毒聯手出擊的先例。沒過多久，其他漏洞攻擊套件，如：Angler、Neutrino、Magnitude 和 Rig 也隨之跟進。至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布。

值得一提的是，漏洞攻擊套件最早從 2006年起便一直是各種威脅的散布管道。2010 年至今，趨勢科技至少已發現 100 個漏洞被收錄到幾十個套件當中。勒索病毒僅是漏洞攻擊套件可能植入系統當中的眾多威脅類型之一。

[延伸閱讀：進一步認識漏洞攻擊套件]

光是 2016 年第一季，勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得。雖然勒索病毒的直接風險就是資料損失，但它還會帶來其他的不良後果，包括：品牌和商譽損失、法律賠償以及復原關鍵資料的額外成本。

[延伸閱讀：勒索病毒當道的時代 ]

漏洞攻擊套件為何會成為各種威脅的有效的散布管道？首先，這類攻擊無需假借使用者之手，因為它們利用的是熱門軟體未修補的漏洞。光是今年上半年，趨勢科技 (加上 TippingPoint) 和 ZDI 漏洞懸賞計劃就發現了 473 個漏洞。繼續閱讀

物聯網( IoT) | DNS服務商 Dyn遭遇的大規模DDoS攻擊,會是最後一次嗎?

2016 年 10 月 28 日2017 年 10 月 20 日趨勢科技 TrendMicro

你購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,但會將連網設備的安全列入採買要素嗎?根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式，約有七成曾受過釣魚式攻擊、五成受過漏洞攻擊、四成則受過分散式阻斷服務攻擊（DDoS）。另外，勒索病毒攻擊也是一新犯罪趨勢。但你知道：家用智慧型產品毛孩子都能侵入侵嗎?

很顯然地，必須做些什麼來保護物聯網（IoT ,Internet of Thing）。不幸的是，我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題：我要看電視時要隨時可以看。

上個禮拜DNS服務商Dyn所遭遇的大規模分散式阻斷服務攻擊 (DDoS)攻擊敲響了一記警鐘：物聯網生態鏈已經徹底、完全地被破壞。缺乏支援和不安全的設備造成網際網路基礎設施一個重要的部分斷線，影響了許多知名網站。

上周末臺灣10月21日傍晚19點10分，Dyn管理的DNS服務系統遭到DDoS攻擊，造成多數網站無法使用，其中較知名的有：CNN、Airbnb、Spotify、Netflix、HBO等。這啟攻擊中，駭客控制數千萬件物聯網（IoT）裝置，包含網路攝影機、監視系統、無線網路基地台等，命裝置發動攻擊。影響延續約8小時，直到台灣時間隔日早上8點才完全修復。

編按:無獨有偶 ,新加坡時間10月22日又見DDoS攻擊鎖定DNS！新加坡電信Star Hub遇襲，導致用戶3天難上網

⊙延伸閱讀:CNN、Netflix還有Spotify都不能用！上週末到底發生什麼事？

大部分攻擊起因: 監視/網路攝影機感染Mirai僵屍網路

這起攻擊來自何處？大部分都是感染了Mirai惡意軟體的物聯網（IoT ,Internet of Thing）設備所造成，趨勢科技將其偵測為ELF_GAFGYT.DGB/ELF_BASHLITE.SM。（Mirai傀儡殭屍網路原始碼已經在10月初公開發布，恐遭有心人士惡意利用）。關於攻擊的大部分原因是一家白牌的數位網路監視攝影機和網路攝影機。這家廠商已經公開召回他們一些具有漏洞的設備，這是一個值得鼓勵（可能代價高昂）的舉動。不過，也很可能有其他廠商的設備也參與其中。

利用數以千計遭到殭屍化的監視攝影機來發動 DDoS 攻擊,其實之前已經有案例。

⊙延伸閱讀:監視攝影機暗藏惡意程式

在找到方法保護好物聯網前，這起攻擊不會是最後的一次

要將這些攻擊說是「前所未有」是有點勉強 – 就在幾個星期前，Brian Krebs也遭受到Mirai「Botnet傀儡殭屍網路」的DDoS攻擊。可以肯定的是，在找到方法保護好物聯網前，這起攻擊並不會是最後的一次。

而關於物聯網（IoT ,Internet of Thing），現在的優勢是在攻擊者那方：有太多物聯網設備是不安全，無法保護，也不會受到保護。阻斷服務攻擊成為更加有力的威脅：威脅公司會斷線變成實際可行也更具說服力的說法。

物聯網產品自己也會因分散式阻斷服務攻擊 (DDoS)攻擊而產生對現實世界的影響 – 當這些設備無法連到中央伺服器時會發生什麼事？比如這個例子, 一個可根據溫度來智慧決定要不要加熱的恆溫器, 因為網路斷了拿不到數據, 結果就不停的加熱, 號稱比較省電的裝置卻適得其反,無法正常運作。DDoS攻擊曾經只是會造成困擾的事情。而現在隨著越來越多重要功能放到網路上，這成為了嚴重的威脅。

四成連網裝置受過分散式阻斷服務攻擊（DDoS）,但購買智慧型家電時,有多少人會將資安列入考量?

根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式，約有七成曾受過釣魚式攻擊（Phishing）、五成受過漏洞攻擊（Unpatched vulnerabilities）、四成則受過分散式阻斷服務攻擊（DDoS）。另外，勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊也是一新犯罪趨勢。

很顯然地，必須做些什麼來保護物聯網。不幸的是，再怎麼說這有多困難都有些輕描淡寫了。我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題：我要看電視時要隨時可以看。

當人們購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,鮮少有人會將連網設備的安全列入採買要素。

⊙延伸閱讀:Android 智慧型電視後門程式現身，惡意程式恐開家中資訊後門

IoT生態鏈缺口: 產品賣家並非每個人都有足夠的技術和能力來解決自己所賣東西的問題

網路安全專家把這種威脅比作「好像每個人都有一顆核彈」

那物聯網產品賣家呢？他們並非每個人都有足夠的技術和能力來解決自己所賣東西的問題。在某些情況下，這些賣家只是拿白牌產品來貼牌而已。經銷商和進口商是否真的能夠支援自己所賣的產品？答案是：可能不行。

這篇文章報導:加拿大網路安全專家在接受CBC採訪時說，” 侵入工作站或Windows的裝置是比較困難的。但是由無數小公司生產的便宜的智能電子產品，在安全防護上非常初級。而目前對這個行業的管理缺乏相關法規，使那些不想在安全上投資的小公司有漏洞可鑽。

駭客侵入這些產品如入無人之境，然後可以透過它們發動大規模的網路攻擊，例如發送海量垃圾信息導致網站癱瘓。另一位網路安全專家把這種威脅比作「好像每個人都有一顆核彈」。”

繼續閱讀

群魔亂舞：圖解各種威脅成為萬聖節怪物

2016 年 10 月 28 日2016 年 10 月 18 日趨勢科技 TrendMicro

在這個節日中，我們替常見的威脅做出萬聖節打扮，給它們應景的造型。趨勢科技找出傳統與現代的怪物，看看那些符合這些威脅的形象。恐怖指數是個簡單的方法來衡量當威脅來敲門時，你該要有多擔心。因此，對於還不熟悉這些威脅的人來說，是時候過萬聖節並了解哪些出現在你系統和設備中了。

加密勒索軟體 Ransomware – 女巫

恐怖指數：

這是個經典的故事：一位王子騎著馬進入森林，一個女巫向他施咒，將他變成了青蛙，打破詛咒的唯一辦法就是要得到一個吻。這差不多是當你感染加密勒索軟體 Ransomware時會發生的事情。這類型的威脅會用加密重要檔案讓它們無法使用的方法來「詛咒」受害者，除非受害者支付贖金。當然，巫婆不一定會解除魔咒，這在加密勒索軟體也是差不多。你可能會發現檔案無法解開，然後很想一頭撞到牆壁上。

►《延伸閱讀》<調查>近四成的人寧可遇到搗蛋鬼,也不要碰到勒索軟體

Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒!

殭屍機器人（Bots） – 「Botnet傀儡殭屍網路」大軍

恐怖指數：

殭屍這種怪物在過去幾十年來有著好幾種形象。從吃腦的活死人到受到感染的狂暴怪物都有，每種類型的殭屍都有自己的特徵。殭屍的另一個定義是無意識的生物，為其主人所驅使著。這也是為什麼會稱為「Botnet傀儡殭屍網路」。它們取得你電腦的控制權，進行它的主人所要它做的事情。被控制的殭屍網路通常數量十分龐大；一個殭屍軍團（數千台被控制的電腦）將大量請求發送到一個網站時，足以讓系統崩潰。【延伸閱讀】:殭屍網路即時分布圖

垃圾郵件 – 成群結隊的蝙蝠

恐怖指數：

每個人都會同意垃圾郵件(SPAM)很煩人。這電子郵件就像是收到黃頁電話簿一樣，什麼都可以在網路上找到，差別是你會每天不斷的收到，似乎永遠不會停止。看到垃圾郵件就像是在電影裡看到蝙蝠一樣。一隻蝙蝠是沒有什麼問題，但如果有一整群向你飛來呢？我們花在刪除這些郵件上的時間就像我們在一群蝙蝠飛過花在躲起來的時間一樣。如果你是那倒霉的少數，也可能會在它們經過時被一兩隻刮傷或咬傷。

繼續閱讀

趨勢科技資深威脅研究員,透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

2016 年 10 月 27 日2016 年 10 月 22 日趨勢科技 TrendMicro

Yara 是一個資安研究人員所使用的開放原始碼工具，可根據預先定義好的規則來偵測及分類惡意程式樣本。前不久，一位同事請我撰寫 Yara 規則來偵測 Stampado 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的樣本。Stampado 算是一個相對較新的勒索病毒服務 (Ransomware-as-a-Service，簡稱 RaaS) 威脅，不久前剛進入趨勢科技的監控名單。當時我手上只有幾個樣本，原本我打算在這些樣本之間找找看有沒有共同的字串，但沒有成功。後來我比對了各檔案之間的結構發現，每一個檔案末端都有一段有趣的內容，從位移 0xde000 處開始：

圖 1：Stampado 勒索病毒樣本內容以十六進位碼顯示。

檔案末端明顯列了一個電子郵件地址。我向同事詢問是否知道此事，他立即告訴我 Stampado 會提供一些使用說明給購買該套件的駭客，說明中有提到這件事：

圖 2：給 Stampado 買家的使用說明。

我判斷 Stampado 的開發者應該是在每個檔案末端多加了一個位元組，數值為 0x0d (這在 ASCII 字碼表上是返回開頭的 CR 符號)，然後叫使用者利用一般的文字編輯工具在最後一行空白下方 (也就是在 CR 符號之後) 加入自己的電子郵件地址。正確來說 CR 符號並不是這樣用，因為在 DOS/Windows 系統下，如果要換行的話，正確的方式是 0x0d 0x0a (也就是 CR + LF：返回開頭並前進一行)，至於從 Unix 衍生的作業系統則是只需要 LF 符號。不管怎樣， Stampado 的樣本檔案末端都會帶著一個 CR 符號，這也算是個有趣的特徵，這樣就能建立 Yara 規則來偵測這個惡意程式。繼續閱讀

防毒軟體 | PC-cillin 2017雲端版,提供更加強大的勒索病毒防護-AV-Comparatives 、AV-TEST掛保證

2016 年 10 月 26 日2016 年 10 月 25 日趨勢科技 TrendMicro

趨勢科技很榮幸地推出PC-cillin2017雲端版，領先業界的防毒軟體最新版，讓你可以安全地享受你的數位生活。不僅提供了先進的網路安全和隱私防護，免於病毒、垃圾郵件(SPAM)、網路釣魚（Phishing）和身份竊盜的威脅，今年的版本還提供更加強大的勒索病毒 Ransomware (勒索軟體/綁架病毒)防護。