紐約時報 、推特遭駭顯示 DNS 沒有被破壞,但網域註冊商可能會

作者:Ben April(資深威脅研究員)

最近針對紐約時報、Twitter和其他人的DNS相關攻擊,其實並不是因為DNS本身的漏洞所造成。而是因為網域註冊商基礎設施的漏洞而產生。與此事件相關的DNS組件只是做好所設計所該有的事情。

雖然惡意指令並沒有經過認證是事實,但它們是照著正確的管道。證據指向了敘利亞電子軍,不過調查仍在進行中。

追查源頭是因為一家墨爾本IT(網域註冊商)的憑證被入侵。(請告訴我他們的密碼並不是用未加料的 MD5 雜湊值儲存,拜託?)從那裡,攻擊者改變受害者網域的名稱伺服器設定到他們自己的惡意基礎設施。DNS 接著接手,當暫存開始過期,新的「假」資料開始在DNS回覆時更換正常的資料。

那麼,受害者可以做些什麼來防止或減少這類攻擊的影響?
讓我們來看看基本知識:

  • DNSSEC
    DNSSEC可以有幫助,如果被竊憑證不足以讓攻擊者改變目標網域的DNSSEC設定。不然攻擊者可以替換或刪除DNSSEC設定以進行攻擊。
  • Domain-Locking(網域鎖定)
    同樣地,這可以防止變更,如果被竊憑證不能禁用鎖定功能。事實上,twitter.com並未被影響,而是Twitter的部分功能性網域被影響,代表這可能是個方法。還應該注意的是,根據網域註冊商的不同,網域鎖定可能需要額外收費。
  • 網域監控
    對於知名網域來說是個很好的做法。像是名稱伺服器的設定應該會不常變更,所以足以用來觸發警報。有許多商業化的監控服務可供選擇,你也可以考慮利用簡單的腳本程式來做到。請注意,我並不知道這些受影響的公司是否有進行類似的監控。它不能阻止這類事件發生,但可以縮短復原時間。
  • 根據安全狀態來小心地選擇供應商
    這很難馬上做到。安全狀態差的廠商不會宣傳此一事實。安全狀態佳的廠商可能因為有著良好的運作安全而不願意分享他們基礎設施的細節,以免攻擊者獲得這些防禦的配置圖。

我們可以從這些攻擊裡所學到的一件事是,真正專注的攻擊會想辦法去搜尋我們的聯絡人、對口單位、供應商和客戶以找出最弱的一環,取得進入點。

 

@原文出處:NYT/Twitter Hacks Show DNS Is Not Broken, But Domain Registrars Might Be

你的安全解決方案需要有多智慧化?

作者:Jennifer Hanniman

你所實作的是最安全的 ESX 嗎?裡,我們給了一長串部署雲端環境時所需要考慮的安全需求:

  • 封鎖和刪除惡意軟體
  • 防護已知和零時差漏洞攻擊
  • 實現系統分割,減少攻擊面
  • 確認預期和非預期(惡意)的系統變化
  • 獲得更多可見度,以及系統和應用程式事件的關連能力
  • 保護敏感資料和應用程式,特別是雲端環境內的

不要被這份清單給嚇到了,夠智慧化的安全解決方案可以確保涵蓋了所有的安全死角…不管你在哪裡,部署了什麼。

 

當威脅出現時,它可以立即採取行動嗎?

 

智慧型安全始於全球威脅情報。有效的威脅情報不僅只是出現在全球各地的威脅資訊,而是有辦法將這資訊即時地應用在你現有的安全解決方案內。

自2008年起,趨勢科技就開始派送基於雲端的威脅情報,也就是主動式雲端截毒服務  Smart Protection Network。主動式雲端截毒技術收集了大量的數據 – 網址、漏洞、行動應用程式、網路犯罪、漏洞攻擊包以及其他更多資料。這就是Big Data巨量資料:每天都有11.5億個威脅樣本出現、加上100億次的網址查詢。而且它還是巨量結果:每天都會封鎖達2億多次的威脅。我們相信這是真正重要的事情 – 主動式雲端截毒服務  Smart Protection Network強化了我們所有的安全解決方案,一旦任何威脅被確認就可以即時加以防護。

對抗目標攻擊的防禦?

現在的攻擊已經社群化、複雜而又隱形。攻擊者利用社群媒體收集組織的相關資料,然後將目標放在個人。一旦他們取得對組織的存取能力,他們會在網路內部移動,直到找到有價值的資料。接著會截取資料,直到幾個月後被發現。這些是你的個人資料,所以就是針對你而來!

apt 繼續閱讀

你所實作的是最安全的 ESX 嗎?

作者:Jennifer Hanniman

你有足夠的自信,自己的安全實作可以防護涵蓋實體、虛擬和雲端環境嗎?你所實作的是最安全的ESX嗎?

實體、虛擬和雲端 – 這麼多的環境,這麼少的時間

我們看到企業在虛擬化以及私有、公共和混合雲環境上投入更多,整體基礎設施的管理變得更加複雜。客戶要求我們可以符合每個環境獨特的安全需求,同時易於部署和管理。這對我們來說的確是有意義的!

Cloud4

在與VMware整合上取得領先

在幾年前,趨勢科技和VMware一起替VMware生態系內開發一組API,以解決虛擬化世界整合上的獨特問題。這也是為什麼我們會推出創新的無代理安全作法(我們是第一個提出的!)和提供防護給VMware資料中心和vCloud環境的虛擬機器。此種作法提供了最佳的安全防護,包含了防毒軟體以及更多功能,而不會影響到虛擬化和雲端技術所帶來的好處。

我真的需要防毒軟體以外的功能嗎?

趨勢科技的主動式雲端截毒服務  Smart Protection Network可以看到每秒鐘都有新的威脅出現,竊取有價值的資料已經成為一門生意了。它有著自己的地下經濟,大多數網路犯罪份子會利用工具包,讓他們不費精力的就能夠攻擊已知漏洞。所以毫不奇怪的,透過主動式雲端截毒技術,我們發現有90%的組織內有惡意軟體活躍著,令人震驚的是一半以上不知道已經被侵襲了。

因為虛擬化和雲端技術所帶來的周邊彈性化,加上複雜化的威脅,你的資料需要智慧化的防護,周邊安全防護已經不再足夠了。 繼續閱讀

漏洞攻擊包如何閃躲資安廠商和研究人員

作者:Mark Tang(威脅分析師)

藏有漏洞攻擊包的網站是資安廠商和研究人員經常研究的目標,所以攻擊者會想去閃躲正義的一方也並不令人驚訝。他們怎麼做呢?

攻擊者所用的最基本方法是IP黑名單。就像資安廠商會有IP用來發送垃圾郵件、代管惡意網站和接收被竊資料的大量黑名單一樣,攻擊者也掌握了他們認為安全廠商所使用的IP列表,並封鎖來自這些地址的存取。

更複雜一點的方式是只感染特定IP地址一次。這要如何做?

假設安全廠商有和特定攻擊相關的網站列表。他們會連上一個網站(手動或使用自動化工具),但攻擊者會在自己的後端資料庫記錄此特定IP地址已經連過與此攻擊相關的網站,如果安全廠商想要連到資料庫內的其他網站,那將無法成功存取惡意內容。

 

圖一、閃避爬網技術

 

這樣的後端資料庫可以和動態DNS服務一起使用。攻擊者可以動態地建立多個服務用隨機網址,所以他們可以在有人存取過後幾分鐘內就將該網址停用。 繼續閱讀

幾可亂真的UPS包裹遞送通知,夾帶後門

現在大多數的使用者都能夠輕易地偵測垃圾郵件(SPAM),尤其是那些看來像正常通知的垃圾郵件。不過有些看起來很具說服力,這也是為什麼從長遠來看,好的社交工程教育是有好處的。

趨勢科技最近發現一封偽裝來自UPS的電子郵件偽裝成包裹遞送通知,含有連到貨物追蹤網站的連結,以及收據的PDF格式副本。這當然不是我們第一次收到這樣的電子郵件。不過讓這垃圾郵件特別的是它隱藏惡意的方法。

幾可亂真的UPS包裹遞送通知,夾帶後門

繼續閱讀