資安趨勢部落格 – 第 771 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

第三季安全綜合報告：看不見的網路和一百萬個手機惡意軟體

2013 年 11 月 19 日2013 年 11 月 18 日趨勢科技 TrendMicro

今年第三季的鎂光燈聚焦在網路的隱藏部分，雖然它們可能寧願保持隱藏。網路犯罪分子所喜愛的服務，像是數位貨幣 – Liberty Reserve和網路市場 – 絲路（Silk Road）都在本季被關閉。就在這一季結束後沒多久，惡名昭彰的黑洞漏洞攻擊包製作者 – Paunch也被逮捕，大量地減少相關的垃圾郵件攻擊活動。

網路犯罪有增無減

儘管有這些成果，但是網路犯罪在本季繼續成長。網路銀行木馬被偵測到的數量達到創紀錄的新高，本季有超過20萬起感染報告。美國、巴西和日本等三個國家佔了這些感染的一半以上。

圖一、網路銀行感染數量

行動惡意軟體越過一百萬大關

趨勢科技在2013年預測裡指出，我們相信高風險和惡意Android應用程式數量將會在今年超過一百萬。這也在本季發生了。加值服務濫用應用程式仍然是最常見的威脅。它們會在未經使用者同意下就註冊需要付費的加值服務，強調出行動惡意軟體已經成為主流，更不停地發展壯大，影響世界各地更多的使用者。

作為行動平台日益成熟的一個標誌，Android被發現了一個重大漏洞，而且帶來嚴重的風險。這個「master key」漏洞可以讓攻擊者將正常的應用程式「升級」成惡意的版本。

繼續閱讀

CrytoLocker 勒索軟體的增長和黑洞漏洞攻擊包作者被逮有關

2013 年 11 月 18 日2013 年 11 月 18 日趨勢科技 TrendMicro

過去幾週裡，我們看到了勒索軟體CryptoLocker對許多使用者來說成為了一個重大的威脅。我們對於這威脅的監測已經揭露出它是如何散播，特別是它和垃圾郵件與ZeuS的關連。然而，這威脅出現的背後看來有比一開始所發現還要多的故事。

我們發現一個它如此增長的可能因素：黑洞漏洞攻擊包作者Paunch被逮捕。Paunch被逮捕導致使用這漏洞攻擊包的垃圾郵件攻擊活動大量地減少。明顯地，這樣會造成垃圾郵件發送的中空期，但垃圾郵件發送者不會突然就停止發送垃圾郵件。因此，他們需要一些替代品，那會是什麼？

其中一個替代品就是UPATRE。我們發現主要發送黑洞漏洞垃圾郵件的Cutwail 殭屍網路開始在十月左右夾帶UPATRE（最終會導致CryptoLocker），也就是Paunch被逮捕的當月。事實上，我們已經監測到多個IP地址和這轉移有關連 – 在作者被逮前寄送黑洞漏洞垃圾郵件，被逮後發送 CryptoLocker垃圾郵件。繼續閱讀

IT 部門如何以更少的資源來做更多的事?是時候重新檢視你的安全模型了

2013 年 11 月 18 日2013 年 11 月 12 日趨勢科技 TrendMicro

Forrester:組織部署單一廠商模式可以：

減少60％需要被修復的安全問題

修復時間減少50％

每周減少120個最終使用者小時在安全相關的停機或緩慢問題

許多組織仍在沿用多年前所開發的安全模式，而無法反應解決今日挑戰所需的改變，包括威脅形勢的改變，經濟狀況的改變，以及需要以更少資源做更多事的改變。

威脅形勢已經從過去的病毒爆發、垃圾郵件(SPAM)和惡意軟體，到今日的網路犯罪分子會針對特定使用者、群組或組織來製造魚叉式網路釣魚（Phishing）攻擊，包含針對受害者所設計的客製化惡意軟體或客製化連結。如果組織沒有改變他們的安全模型以因應這些改變，成為下一個受害者的風險就會提高。

隨著世界市場繼續著全球性經濟衰退，預算也繼續受到限制，IT部門必須不斷地更少的資源來做更多的事。IT安全預算花費會基於舊的模式，正因為如此，很可能讓組織沒辦法利用規模經濟和商品化特定的解決方案。

在過去幾年間，我們看到需要有一種新的方法來面對這些改變，檢視你目前的安全模型，問問自己底下的問題以幫助你降低風險和成本。

你是否將主要預算都花在解決兩三年前重大威脅的解決方案上，像是垃圾郵件。但現在你可能要更專注於反釣魚攻擊上？
你是否將主要預算都花在現在已經被大量商品化的安全解決方案上？
你是否支持多家防毒廠商解決方案，因為在過去，你認為一家沒有偵測到惡意軟體，另外一家就可以偵測到？

我們在今日經常看到這些狀況，並且會建議一個不同的模型，來同時面對威脅形勢的轉變以及經濟狀況的改變。

趨勢科技委託Forrester研究公司採訪四家全球性的公司，以確定採不採用單一廠商模式會不會提高他們的安全投資 – 從更好的保護和修復角度，以及從投資回報率的角度來看。他們發現，組織部署單一廠商模式可以達到以下幾點：

減少60％需要被修復的安全問題
修復時間減少50％
每周減少120個最終使用者小時在安全相關的停機或緩慢問題上

更重要的是，Forrester計算出這些公司平均有146％對初始投資的回報率，平均投資回收期只需5.3個月。當今的威脅形勢需要能夠在最短時間內保護公司，對抗新的客製化攻擊。因此，可以整合攻擊期間內所需要面對的廠商數量，可以讓他們更快的去處理問題。將組織內所使用的安全解決方案整合成單一廠商解決方案，並使用單一的管理控制台，讓企業對於正在發生的事情更有能見度，花更少的時間去學習和處理多個廠商的解決方案。結果不言自明，這些企業現在可以用更少的資源做更多的事情，無論是用來管理整個解決方案的時間，或是用來識別並解決新威脅所所花費的時間。

趨勢科技一直都表現出自己是應對新威脅速度最快的安全廠商之一。

NSS實驗室是唯一在測試裡加入防護反應時間因子的測試單位。從三個獨立的測試中，趨勢科技顯示出最快的反應時間。

資料來源：NSS實驗室2009年消費者報告（防護反應時間結果）

繼續閱讀

利用主機入侵偵測提高Hadoop安全性-2

2013 年 11 月 15 日2013 年 11 月 11 日趨勢科技 TrendMicro

正如我們在前面文章所提到的，我們可以利用OSSEC來偵測現有Hadoop和HBase系統檔案的完整性。OSSEC會產生紀錄，讓系統管理員用以檢查各種系統事件。

值得注意的是，各種巨量資料系統(Big Data System)，不只是Hadoop和HBase，都會產生驚人數量的記錄資料。至少可以說，要安裝一個巨量資料叢集並不簡單，這些日誌對於幫助IT人員建立叢集和診斷系統問題上發揮至關重要的作用。巨量資料系統管理員實際上已經習慣於透過檢查日誌檔來找到潛在問題。

OSSEC可以監控的重要Hadoop安全事件有：

HDFS作業失敗
HBase登錄
Kerberos票證授予
Root登入節點

設定OSSEC代理程式來監控一個或多個Hadoop日誌檔，需要將日誌檔案目錄路徑加入代理程式的ossec.conf檔案。對於HDFS NameNode，我們希望監控hadoop-hdfs-namenode-{host}.log檔，{host}是NameNode名稱或IP地址。這檔案通常位在/var/log/hadoop-hdfs/目錄。同樣地，對於HMASTER節點，我們會想要監控/var/log/hbase目錄下的hbase-hbase-master-{host}.log。這樣就可以從OSSEC代理程式取得我們Hadoop和HBase的日誌檔案到伺服器上。

下一步就是撰寫解碼規則來解析日誌，還有警報規則來根據日誌內容生成警報。解碼器用正規表示法組成，讓OSSEC伺服器用來找到感興趣的內容，以及將文字對應到伺服器所能辨認的標準欄位。規則讓伺服器可以檢驗解碼後的欄位來找到指示重要安全事件的內容。當一個給定規則找到來自某一解碼器的事件資料，伺服器會生成一個由規則定義的警報。

視覺化Hadoop的安全事件

視覺化OSSEC安全警報最簡單的方法是不斷地顯示警報日誌檔。雖然這也行，但它就像是在看表格內的原始資料。很難或幾近不可能去從資料中找出趨勢。

OSSEC可以透過syslog來發送警報資料給任何安全資訊和事件管理程式（SIEM），提供syslog相容性。我們喜歡用的一個SIEM是Splunk，和一個開放原始碼應用程式稱Splunk for OSSEC。這可以直接從Splunk的應用程式主控台來安裝到OSSEC伺服器上。

Splunk for OSSEC是設計用來取得OSSEC警報，然後歸納總結跟進行趨勢分析。下面顯示的是Splunk上OSSEC儀表板的例子。你可以在這裡看到事件隨著時間推移的摘要，包括之前所討論到的HBase和HDFS事件。

圖二、Splunk for OPSSEC

（圖片來自https://vichargrave.com/securing-hadoop-with-ossec/）

繼續閱讀

透過主機入侵偵測來提高Hadoop安全性-1

2013 年 11 月 14 日2013 年 11 月 11 日趨勢科技 TrendMicro

多年來，Hadoop開發社群逐步地增加 Hadoop 和HBase 的功能，以提高運作的安全性。這些功能包括Kerberos使用者身份驗證，加密叢集節點間的資料傳輸，和HDFS檔案加密。趨勢科技在Hadoop的公開生態系內貢獻了數個安全性功能（參考我們之前的文章保護巨量資料和Hadoop以了解更多詳情）。

雖然這些安全功能都很重要，但它們主要集中在保護Hadoop資料。並沒有讓IT人員擁有他們Hadoop叢集內安全事件的能見度。這裡就是一個良好的主機入侵偵測系統可以發揮的地方。我們一直致力於運用OSSEC，我們的開放原始碼主機入侵偵測系統（HIDS）來提供巨量資料的安全性，為Hadoop和HBase系統加入安全監控能力。在這篇文章裡，我們會解析OSSEC的功能。

OSSEC概述

OSSEC提供許多重要的安全功能，包括文件完整性檢查、系統日誌分析和警報生成。OSSEC具備一個代理/伺服器架構。代理程式處理日誌、檔案和（Windows系統上）註冊碼的監控，然後用UDP將相關日誌以加密的形式送回伺服器。代理程式系統上的入侵通常可以透過檔案變動或是安全事件記錄而加以偵測。

圖一、用OSSEC保護Hadoop安全

（圖片來自https://vichargrave.com/securing-hadoop-with-ossec/）

在伺服器上，日誌透過解碼器加以解析，並用內建規則加以解譯以產生安全警報。OSSEC內建了大量的解碼器和規則，可以支援廣泛種類的系統和事件。OSSEC的覆蓋率也可以透過自行定義的日誌解碼器及安全警報規則來加以擴展。

Hadoop的檔案完整性檢查

Hadoop和HBase系統依賴大量的設定檔案和Java檔案才能正常運作。任何對這些檔案未經授權的變更都會對叢集產生不好的影響。對Hadoop系統內的HDFS Namenode和HBase系統內的HMASTER節點尤其如此。前者控制HDFS的運作，後者則涉及HMASTER和地區伺服器間的I/O。

OSSEC可以偵測這些重要Hadoop檔案的變動。當OSSEC代理程式啟動時，它會遞迴地掃描使用者指定的目錄，計算每一個檔案的MD5和SHA1雜湊值。檔案名稱和雜湊值儲存在OSSEC伺服器的資料庫內。代理程式會根據使用者指定的時間間隔（通常每隔幾個小時）來重複此作業。當伺服器收到某一給定檔案的雜湊值和之前所儲存的不同，伺服器會生成一個安全警報。OSSEC伺服器會在自己的警報日誌檔中記錄每個安全警報。繼續閱讀