趨勢科技 TrendMicro – 第 594 頁

將你的頭抬出沙堆！單靠沙箱技術並無法完全地對抗APT 攻擊

2014 年 08 月 21 日2014 年 08 月 21 日趨勢科技 TrendMicro

先前本部落格這篇「啟發式掃描和沙箱防護：雙劍合壁」文章說出了關於APT針對性攻擊和的實情。這文章點出為什麼單靠沙箱技術並無法完全地對抗APT攻擊。

它是一個重要部分，當然沒錯。然而不管是號稱獨門技術或額外特製，不要讓任何供應商說服你相信沙箱分析可以解決一切。它雖然有效，但單靠沙箱解決不了APT 攻擊。因為有過度簡化的風險，這裡有三個原因：

跟任何安全技術一樣，沙箱有自己的弱點。沒有兩家廠商的產品是一樣的；但總的來說，沙箱技術可以被攻擊者透過先進的偵察和攻擊準備來閃避掉。
正如TrendLabs的文章所說，攻擊者會在他們的進階惡意軟體中建立檢查點，尋找特定的Windows作業系統許可證、語言和其他設定，包括檢查虛擬環境。成熟的廠商會開發對策；然而，很少會提供建立客製化沙箱來模擬攻擊者試圖攻擊的目標桌面環境。
由於流量和攻擊載體的數量，很少組織具備足夠的財力和安全資源來建立可擴展的沙箱服務而不會影響到最終使用者的工作效率。

除了有嚴謹的研究來保持領先於攻擊者的沙箱迴避技術，趨勢科技也獨一無二的使用啟發式掃描在網路流量上。透過監視所有的網路端口，超過八十種協定和應用程式，我們可以提供獨特的先進分流技術來偵測進階惡意軟體和零時差漏洞而不用依賴沙箱技術。結合了這兩種技術，會更加有效率的偵測和回應針對性攻擊和進階威脅。

不用只聽我們講，實測是最好的證明：

最近零時差漏洞攻擊碼的部分名單

NSS實驗室入侵外洩偵測系統測試結果

@原文出處：Get Your Head out of the Sand! 作者：Bob Corson

《 IoT 物聯網新趨勢》威脅將伴隨智慧型科技而來

2014 年 08 月 20 日2016 年 01 月 25 日趨勢科技 TrendMicro

科技進步帶來了更強大的裝置。由於物聯網（IoT ,Internet of Things）的發展，現在人、裝置與流程之間終於有了斬新的高科技無線連結。各種產業都已開始趕搭物聯網（IoT ,Internet of Things）的列車，推出具備新奇遙控功能的家電產品。現在，App 程式可以和家用電器溝通。例如，可遠端遙控家中的燈光或花園的灑水裝置。

點小圖可看大圖

隨著IoE 的崛起，一些日常熟悉的家用電器與個人產品也都出現新的發展。現在，超高解析度的 4K 電視大多能連上網際網路，甚至具備臉部或姓名辨識功能。一些運算能力強大的穿戴式裝置和智慧型手機等個人產品，現在也成了一般日常生活用品。根據研究預測，到了 2018 年，光是智慧型手錶的全球出貨量就將達到 2 億 1,400 萬。

具備IoT 功能的裝置普及率只會越來越高。不用多久，我們就會看到速度更快的智慧型手機、自動化程度更高的汽車、遊戲畫面更逼真的電玩主機。
不幸的是，隨著連網的未來步步逼近，網路犯罪者也已做好準備。新的科技帶來了新的攻擊機會。智慧型電視當中儲存的資訊，很可能是駭客獲取個人資訊的下一個目標。新的電玩主機也可能促使網路犯罪者開發出專門針對玩家和遊戲服務的威脅。自動駕駛汽車很可能被駭客入侵並遭到篡改，進而危及乘客安全。
新科技已全面來臨，在享受新科技的同時，請務必確保自身的安全，防範竊盜及其他危險。

@原文來源 ttp://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/smart-technologies-are-linked-to-threats

萬物聯網（IoE ,Internet of Everything）相關中文報導,請看這裡

《 IoT 物聯網安全趨勢》交通號誌遭駭客入侵：IoT 安全成為焦點

2014 年 08 月 20 日2016 年 01 月 25 日趨勢科技 TrendMicro

直到最近，物聯網（IoT ,Internet of Things）的安全性大多只是紙上談兵，因為 IoT才剛萌芽，普及率仍低。正如趨勢科技趨勢科技威脅研究員 Robert McArdle 今年稍早所言，儘管有 Google 等各家廠商的努力，IoT 仍缺乏可讓它普及的「殺手級應用」。

然而，企業與資安廠商卻仍擔憂將網際網路拓展至各種內嵌式感應器與家電之後可能帶來的潛在風險。不過截至目前為止，網路安全仍大多以 PC、行動裝置、伺服器與網路為主，IoE 只是一個龐大的潛在市場，而非快速崛起的勢力。Cisco 認為 IoT 未來將是一個 19 兆美元的商機，但是網路安全能否有效跟進以應付這全新的運算情勢？

美國北卡羅來納州交通部 (Department of Transportation) 道路交通號誌遭駭客入侵事件突顯 IoT 的全新風險
IoT 最獨特的一點就是它涵蓋了傳統認知上並非「電腦」的端點裝置。高速公路交通號誌即是一例。縱然這些號誌也配備了電子式顯示器 (雖然跟今日的智慧型手機和平板比起來顯得很陽春) 但很少人會與它們互動或特別留意到這些號誌，這些號誌看起來更像告示牌而非可駭入的裝置。

美國北卡羅來納州交通部的負責管理的一些交通號誌日前遭到一名駭客入侵，駭客將標誌上的內容改成「Hacked by Sun Hacker Twitt Wth Me」(駭客 Sun Hacker 在此，上 Twitter 來找我)，目的是要駕駛人上 Twitter 找他。這訊息一點也不像在開玩笑，而且這樣的行為儼然形成一股令人擔心的潮流：

早在 2009 年，Jalopnik 之類的網站即顯示出道路交通號誌多麼容易遭到入侵。有觀察者指出，這些設備缺乏實體安全措施可防止篡改行為，同時又普遍採用預設密碼 (如「DOTS」)。該事件後來的演變是交通號誌內容被改成「Warning, Zombies Ahead」(小心，前有殭屍)。
高速公路交通號誌屬於公共安全資產。若是遭到駭客入侵，可能會讓用路人收到錯誤訊息，導致交通打結或交通意外。該事件中的訊息還好只是自我推銷，並無實質誤導的情形，但真實傷害的可能性確實存在。
北卡羅來納州這起事件以及後續的倣效案例，或許是受到日前推出的家用電玩主機熱門遊戲《看門狗》(Watch Dogs) 之影響。《看門狗》遊戲場景設定在未來世界的芝加哥，遊戲中強調駭入基礎建設 (如交通號誌) 的情節。McArdle 在他的貼文當中也提到，玩家所處的空間 (幾乎被 Oculus Rift 之類的電子裝置所淹沒) 正如同 IoT 科技普及的前兆。

此攻擊事件的技術細節目前外界仍不清楚。Sun Hacker 在 Twitter 上宣稱，要更改交通號誌顯示內容必須駭入一個 NCDOT VPN，不過，美國境內一些類似事件的調查人員表示，該攻擊應該是利用了簡易網路管理通訊協定 (Simple Network Management Protocol，簡稱 SNMP) 訊息的漏洞。此外，駭客也可能趁機修改已遭入侵的數據機密碼，讓修復工作更加困難。NCDOT 宣稱已知道自己的系統如何遭到入侵，並且正在修補相關漏洞。

NCDOT 資訊長 David Ulmer 表示：「我們非常嚴正看待此次的網路事件。我們不僅正在與執法機關共同追查此一嚴重事件，更針對我們的設備和 IT 基礎架構進行重複掃瞄以確保任何其他漏洞皆已修補完畢。」繼續閱讀

啟發式掃描和沙箱防護：雙劍合壁對抗 APT 攻擊

2014 年 08 月 20 日2014 年 08 月 21 日趨勢科技 TrendMicro

趨勢科技一直都在對抗APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊，所以很清楚並沒有單一技術可以有效地防護組織網路來對抗這些造成嚴重影響的攻擊活動。這很可悲，沒錯，但它也意味著有許多安全技術可以加以利用，像是沙箱和啟發式掃描。它們協同工作就能夠合成強大的武器來提供防護。

採用啟發式掃描和沙箱技術這樣互補的技術可以補全對方的弱點，有效而快速地提早識別未知的威脅。啟發式掃描採用基於規則的系統以快速識別可能的惡意檔案。它的有效性在很大程度上依賴於規則如何定義。而另一方面，沙箱技術是種在受保護環境（通常是虛擬機）內安全地執行可疑檔案的方法，所以可以看到它會做些什麼而不會感染到主機。

效率和準確度

實際上，啟發式掃描可以做為檔案送至沙箱前的過濾器。這樣做可以降低成本和提高系統的承受量。啟發式掃描也可以判斷檔案的類型，這樣當你將兩樣技術配合使用時，舉個例子，啟發式掃描可以告訴沙箱一個Office檔案是Word 2003、Word 2007或Word1.0。這樣沙箱就可以利用適當/預期的環境下執行該檔案。

此外，即使一家公司有足夠的資源讓沙箱用各種可能條件來執行每一個檔案，還是有惡意軟體可以分辨自己是否運行在沙箱中，進而不會表現出任何惡意行為。對IT管理員來說，最好的辦法就是先用啟發式掃描來偵測這個檔案，以獲得更好的偵測覆蓋率。

解決方案與零時差攻擊

如前面所提到，啟發式掃描加上沙箱技術的有效性在很大程度上依賴於定義好的啟發式規則。這些規則需要足夠的前瞻性才能識別全新的威脅，但同時要夠具體才能避免誤判。

檢查這些規則有效性的好方法就是看這些規則如何處理零時差漏洞攻擊。本質上來說，零時差漏洞攻擊就是利用未修補漏洞的惡意軟體，但對於相似的漏洞攻擊技術，足夠「聰明」的啟發式規則就可以抓到它們。

比方說，趨勢科技進階威脅掃描引擎內就算是已經開發好幾年的舊啟發式規則也可以偵測到最近的零時差攻擊：