企業資安 - 資安趨勢部落格

勒索病毒藏在你的口袋裡趴趴走嗎?

2017 年 09 月 04 日2017 年 08 月 25 日趨勢科技 TrendMicro

近幾個月來，WannaCry(想哭)勒索蠕蟲及 NotPetya 勒索病毒攻擊再度引起滿城風雨，讓人更審慎思考造成這些威脅的原因，許多領導廠商也再度推行資安防護，防範電腦漏洞。不過，有另一種極容易遭到勒索病毒入侵的端點可能被忽略了，說不定您口袋裡就有一個。

行動裝置比桌上型電腦更難監管

在 BYOD 或 COPE 政策開始施行後，在工作場所中使用智慧型手機、平板電腦等個人行動裝置的接受度越來越高，導致 IT 必須耗費大量心力來適切地控管這類硬體。然而行動裝置比桌上型電腦更難監管，勒索病毒的技術又越發精密，如果使用者未加警覺，就有可能受害。勒索病毒的攻擊目標逐漸鎖定行動裝置，但企業和員工卻沒有做足自我保護措施。

2017年第一季行動勒索病毒較前一季翻3.5倍

2016 年被稱為勒索病毒之年，現在看來 2017 年不但承其基業，而且規模更勝以往。勒索病毒常發展出新變種，盡其所能威脅更多人。根據業界報告，2017 年第一季偵測到超過 218,000 個行動勒索病毒檔案，而前一季僅有 61,000 個。其中有高達 86% 的攻擊來自於 Congur 系列的勒索病毒，會在發動後重設裝置密碼，讓駭客取得管理員權限，有部分變種相當難以移除，因此該台裝置未來仍有被脅迫的風險。

行動勒索病毒會影響裝置和企業的安全性

行動勒索病毒的運用量持續上升，是不容忽視的威脅，有些駭客可能會要求 100 至 500 美元不等的贖金來解鎖裝置，但無法保證他們是否真會履行約定，而且駭客可能會再次將受害者當成目標。2016 年，駭客的攻擊行動賺進了 10 億美元，對企業造成不小的損失，而且還有合規問題和名譽受損的後果需要善後。企業領導者和員工必須學會辨識行動勒索病毒、瞭解其如何感染系統，以及該如何有效地保護自己。繼續閱讀

駭客將聊天平台當成幕後操縱管道：企業該如何自保?

2017 年 09 月 01 日2017 年 08 月 24 日趨勢科技 TrendMicro

聊天平台已經成為企業營運的重要工具，也是企業與客戶溝通的重要管道。有了這類平台，員工幾乎不論身在何處都能彼此溝通，此外，也讓公司多了一個可以和產品愛用者接觸的管道。

人們到底有多愛聊天平台？根據 Inc. 的統計，42% 的客戶偏愛透過即時聊天與企業通訊，勝過其他方式。此外，有 92% 的人在用過企業的即時聊天功能之後感到滿意。不僅如此，員工之間也越來越依賴聊天功能，根據 VentureBeat 的資料，Slack熱門聊天平台去年每天都有超過 3 百萬名活躍用戶，充分顯示聊天平台對今日企業員工的重要性。

然而，隨著聊天通訊技術越來越受企業和消費者的青睞，卻也吸引了歹徒的覬覦。

趨勢科技研究指出駭客可能利用聊天平台

「趨勢科技研究人員開始研究駭客可能如何利用熱門聊天平台。」

最近，趨勢科技研究人員開始研究駭客如何利用熱門聊天平台。

研究人員解釋：「聊天平台讓使用者透過 API 將自己的應用程式與該平台整合，但有一件事情我們必須先搞清楚：這樣的功能是否可能遭網路犯罪集團所利用？畢竟我們已經看過太多合法服務和應用程式遭歹徒用於從事不法用途的案例。」

像 Slack 和 Discord 這兩個聊天平台就提供了整合功能來方便使用者不須離開聊天平台就能使用第三方應用程式。透過這種方式，使用者就能一邊保持通訊、一邊檢視行事曆通知或檢視追蹤報告。不過，研究人員也發現，這項實用的功能很可能引來駭客滲透與入侵的風險。繼續閱讀

短短 6天之內海撈 70 萬美元 !重大網路釣魚頻傳,FBI 發出警告

2017 年 08 月 30 日2017 年 08 月 30 日趨勢科技 TrendMicro

從近期重大攻擊事件,看網路釣魚手法

儘管網路釣魚（Phishing）相對於今日媒體上經常看到的精密攻擊似乎已經過時，但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產，甚至破壞營運基礎架構。

7月初全球第四大數位貨幣交易所 Bithumb 的一位員工遭駭，歹徒偷走了一批聯絡人電話、電子郵件地址等等，接著，歹徒利用偷來的資訊發動一波網路釣魚攻擊，但卻使用以往罕見的手法。同樣地，數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導，駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。

除了數位貨幣之外，美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注，並發出警告通知各機關嚴加防範。根據媒體報導，這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。

趨勢科技為了協助使用者了解並防範這些新的威脅，以下將詳細介紹最近幾次攻擊所用的手法和技巧：

陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元

傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄，接著，不是誘騙受害者輸入帳號密碼，就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧：語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料，假冒成 Bithumb 高階主管打電話給受害者，謊稱受害者的帳戶遭駭客入侵，要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導，受害者損失超過數十億韓元 (該交易所位於南韓)。

語音釣魚不像網路釣魚那樣大家耳熟能詳，而且它比其他詐騙手法更加仰賴社交工程技巧，因此，歹徒能否得逞全看他是否露出破綻，是否能完全掌控受害者的心理。在該案例中，歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵，因為歹徒在撥打電話時，已明確掌握受害者帳戶的詳細資訊，因此會讓人覺得相當可信，且不易露出破綻。

小眾網路論壇釣大魚: 假冒論壇管理員名義，通知論壇成員檢查自己的帳戶,騙帳號密碼 繼續閱讀

冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

2017 年 08 月 29 日2017 年 08 月 24 日趨勢科技 TrendMicro

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門，讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難，尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊，每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構（包括銀行）和礦業公司。值得注意的是，攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫（DLL）樣本最早在2017年6月6日被上傳到VirusTotal，這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊（SPEAR PHISHING）攻擊活動。

圖1、惡意電子郵件活動的攻擊鏈

圖2、送給一個目標的不同惡意電子郵件（時間順序為自左向右，順時針方向）

繼續閱讀

ShadowPad 後門程式藏匿在伺服器管理軟體中

2017 年 08 月 26 日2017 年 08 月 24 日趨勢科技 TrendMicro

安全研究人員在美國與南韓公司 NetSarang 的伺服器管理產品內發現強大的後門程式:ShadowPad（趨勢科技偵測為BKDR_SHADOWPAD.A），它能夠下載並執行其他惡意軟體及竊取資料。

受影響的組織包括金融機構、能源和製藥等產業

NetSarang產品包括管理網路、伺服器和系統管理工作站的軟體。受影響的組織包括了金融機構（如銀行）、能源和製藥等產業。

根據研究人員的分析，ShadowPad每隔8小時連到攻擊者所控制的特定網域來傳送中毒系統上的資料。它也被設計成會每月連到不同的網域。如果傳送給攻擊者的資料引起興趣，則命令與控制（C&C）伺服器會去觸發後門程式來送入更多的惡意程式。

ShadowPad的惡意程式碼被注入到一個動態連結函式庫（DLL）檔案nssock2.dll，在7月17日出現在NetSarang網站上，至今仍未被發現。另外值得注意的是ShadowPad的隱蔽程度，包括了加密層數，並且具備分級機制來阻止後門程式啟動，除非C&C伺服器發送特定封包到中毒系統。

NetSarang已經承認了此一事件，並且開始實施對策，他們告訴Ars Technica：“我們建立了一個全新且獨立的基礎設施網路，所有要被放入此新基礎設施網路的設備都會先重新格式化。接著接受檢查，加入白名單，再逐次加入新的基礎設施網路。這過程將需要經歷幾個星期的時間，但我們需要確保這樣的入侵事件不會再在NetSarang發生。“

合法軟體被惡意濫用不止一樁:

會計軟體被利用散佈Petya勒索病毒,Mac勒索病毒內嵌到BitTorrent客戶端 繼續閱讀