「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

趨勢科技 TrendMicro

「李宗瑞影片,趕快下載呦!」~~~政府單位以這測試信,導致 996 名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課程。如果你是 IT 部門的主管,你知道公司裡最會開啟色情附件檔的是哪些員工?那個部門是網路安全的地雷區?

在本部落格提到的這篇文章中,   69%的人每週都碰到網路釣魚,25% 高階員工被釣得逞 ,而根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示,防毒意識最差的部門是:業務部,而最會開危險郵件的員工是:工讀生等臨時雇員。(編按:上述文章中有提到防網路釣魚四步驟,推薦閱讀)

認識駭客(Hacker),Cracker(破壞者),激進駭客(Hacktivist)網路犯罪份子(Cybercriminal),白帽(White Hat),黑帽(Black Hat),灰帽(Grey Hat) 這意味著,幫公司締造業績的部門,卻同時有可能是企業網路運作殺手。跑腿的工讀生,可能因午休時間開啟一封朋友轉寄的色情信件或網站連結,而讓公司數位資產暴露在外。 這不是在叫IT部門看完本文後去把業務部門電腦搜查一遍,或解雇所有工讀生,而是要指出一個現象:在這個調查之前,該公司 IT 部門普遍不知道企業內部的安全殺手潛伏在那個部門,也不知如何隔離那些總是開啟網路釣魚(Phishing)頁面或誤開有毒色情檔案高危險群。

這是目前存在許多企業的安全管理難題,尤其是網路使用自由度高的公司, IT 部門在不干涉員工的網路連線前提下,又要有效率地執行安全守則,著實兩難。 最明顯的例子是,員工開啟色情郵件或連結引狼入室。

此類郵件藉由勾起使用者的好奇心,一個郵件標題、一個附件檔名,就能讓使用者 Click滑鼠進行散播,我們稱之為社交工程陷阱( Social Engineering) 趨勢科技攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲,也沒有透過殭屍網路/傀儡網路 Botnet來散發垃圾郵件(SPAM),而是由人為手動轉寄木馬植入程式。究其原因,原來這封郵件樣本由群組中的某位成員散發給許多該群組的郵件,再滾雪球般地逐漸散佈出去。雖然屬於手動散播,但只要想想這封電子郵件所傳送的群組數目,加上每個群組所擁有的成員數目,也能釀成大禍。

資訊安全從「 IT 部門的事」到「全公司的事」

 

好的風險管理能成功教育員工為資訊安全負責,電腦中毒時不但不再衝動拿起電話開罵 IT部門,反而會為自己違反公司安全政策,影響公司網路安全而自責,讓安全意識的轉變從「千錯萬錯都是 IT 部門的錯」到「安全政策,不再只是 IT 部門的事」。 有個實際案例,某公司過去網路斷線時,員工總是高分貝抗議,但是請其合作遵守資訊安全守則時,卻是得不到明顯的成效,一直到他們舉行防毒演習為止。

在演習中,首先該公司以「看似」某部門最高長官 Dave的名義發出「軟體 Beta 版搶先試用,拿大獎」測試信,結果高達98%的員工開啟附件,結果得到如下訊息:「哈哈,上當了!!你的安全警覺性待加強。」而事實上該部門最高長官的正確名字是 David,而不是Dave。凡是點閱該封信件者,都會留下紀錄,藉著測試活動結果,以統計數據說服當事人或是高層主管,企業潛在的人為因素對整體網路安全的影響。

誤點信件後果比你想像的更嚴重! APT 攻擊全球戒備

今天我們就來分享APT進階持續性威脅 (Advanced Persistent Threat, APT)社交工程陷阱( Social Engineering)信件案例與入侵實際模擬,讓大家看看一時的好奇心,可能付出的代價不只是個人電腦中毒,還有可能失去客戶資料,付出昂貴成本與修復鉅資。

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

這兩年很夯讓許多組織機構聞之色變的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) ,其特色之一就是【假冒信件】:針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

以往駭客發動的APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。

幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。 趨勢科技身為全球雲端安全的領導廠商,在年度雲端資訊安全盛會 “CloudSec 2012”會中如何因應嶄新威脅APT (Advanced Persistent Threat)以守護企業重要機敏資訊的重要性。以下是:趨勢科技全球核心技術研發部技術經理翁世豪,在會議中分享的: 面對APT企業應當採取的縱深防禦防護策略。(含國內外社交工程信件案例與駭客入侵模擬)

 

目標式電子郵件攻擊實際案例(10:22) 駭客入侵模擬(20:20) APT 防護階段(29:16) 以下是幾個郵件樣本 1.攻擊者先收集 eMail 清單,然後寄給內部特定對象這個看起來像是excel 的附件,點開檔案只有一個空白的檔案,是寄錯檔案了嗎? APT社交工程信件攻擊案例

其實看到這畫面時病毒已經在背後運作了,因為該檔案是設計過的,背後插了一個 Adobe flash 物件,,即使用戶已經更新了所有的 patch 還是無法阻擋該攻擊,因為這是零時差漏洞攻擊   繼續閱讀

Google 和 VirusTotal?資安產業的一大勝利

趨勢科技 TrendMicro

趨勢科技執行長 陳怡樺

 雲端

就跟你們一樣,看到了Google宣布收購VirusTotal的新聞。我有一些想法想跟大家分享。

 非常簡單,我認為這對趨勢科技來說是個很好的消息,對整個產業和每個人來說也是。

 你或許會想問:「為什麼?」

 原因有二:

 首先,Google絕對不是想單獨從安全業務裡賺錢。Google在2007年以6.25億美金收購了Postini,一家電子郵件安全公司。但他們最近宣布將會讓Postini走入歷史,而從明年開始,將它的安全及歸檔功能放進Google Apps應用服務。

 其次,從產業角度來看,我們現在有了Google的大規模雲端基礎設施來收集病毒樣本。Google的大規模基礎設施會比現有獨立的VirusTotal基礎設施要來的穩定許多,我們相信這讓它變成更可靠的來源,對整體產業來說也有好處。

 也就是說,像趨勢科技這樣的安全廠商可以直接從Google取得樣本。在現今的系統裡,安全廠商會從防毒測試群組中取得樣本,它們的樣本也是來自於其他防毒軟體廠商。而問題是,誰提出更多的樣本就會有更高的偵測率,同時也讓這系統的結果有所傾斜。整體而言,我認為對大家來說,更好的作法是安全廠商都直接從Google取得樣本。

 從趨勢科技的角度來看,客戶購買我們的安全產品,他們所買的並不僅僅是威脅偵測,他們還買了之後所帶來的好處 – 清除、服務以及有人可以幫忙的安心感覺。這些是趨勢科技的專業領域。

 所以,我對這個消息感到非常興奮!防毒產業需要有另一個收集所有威脅的來源,這來源並不身在這個產業或並不單獨銷售安全產品。Google會是一個很棒的候選人!就像美國疾病控制中心(CDC)一樣,他們是收集和提供疾病綜合資訊的中心,而醫院、診所和醫生則提供解決方案和服務給病人!

 防毒廠商可以競爭於如何服務客戶,如何提供安全解決方案,而不是可以收集多少病毒樣本。

 

 原文出處:Google and VirusTotal? A big win for the security industry.

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

·       駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

·       雲端有多安全?7 個雲端數位生活自保守則

·       會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut) 繼續閱讀

解密 PlugX 能力

趨勢科技 TrendMicro

在我們之前的文章裡,趨勢科技報導了被稱為PlugX的新品種遠端存取工具(RAT),它被用在Poison Ivy相關的APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中。乍一看,這個遠端存取工具似乎只是個簡單的工具,具備有限的遠端存取能力。然而,進一步分析PlugX會發現它有更多微妙之處。

在典型的攻擊中,PlugX通常具備三個組成部分,即:

  • 一個正常檔案
  • 一個可以由正常檔案載入的惡意DLL
  • 一個包含惡意程式碼,可以由DLL載入的二進位檔案。

 

攻擊是由包含惡意附件檔的釣魚郵件所開始,通常是壓縮過或精心製造的文件檔,可以攻擊 Adobe Acrobat Reader微軟Office(特別是 CVE-2010-3333)的漏洞。在此案例中,它透過特製文件檔到達(偵測為TROJ_ARTIEF.LWO)。這個木馬程式會植入並執行BKDR_PLUGX.SME,它接著會植入以下檔案:

所有使用者的%User Profile%\Gf\NvSmart.exe – 一個正常的NVIDIA檔案(NVIDIA Smart Maximise Helper Host)

  • 所有使用者的%User Profile%\Gf\NvSmartMax.dll – BUT
  • 所有使用者的%User Profile%\Gf\boot.ldr – TROJ_PLUGX.SME

要注意的是,這惡意軟體會植入檔案NvSmart.exe,這是一個已知的正常NVIDIA檔案。

繼續閱讀

偽裝成正常應用程式的Android廣告軟體越來越多

趨勢科技 TrendMicro

趨勢科技在八月的後幾週對幾個常見的Android應用程式商店的監測顯示,被偵測為ANDROIDOS_PLANKTON變種的應用程式數量在迅速地增加著。

ANDROIDOS_PLANKTON最初是由北卡羅萊納大學在兩個月前所發現的,因為它可以讓遠端使用者下載惡意檔案並執行指令而被注意著。這個發現也被稱為是「最大規模的Android惡意軟體爆發」,因為有數百萬應用程式含有類似PLANKTON的可疑程式碼。在我們的研究中,這類惡意程式的數量在8月19日至25日之間在Google Play上有所成長。

另一個從我們的監測中所看到值得注意的趨勢是,偽裝成正常應用程式的廣告軟體數量增加。廣告軟體會顯示多個廣告到被感染的設備上,好讓它的開發者獲取利潤。在這些網站上可以看到最多的廣告軟體是ANDROIDOS_ADWIZP,ANDROIDOS_AIRPUSH,ANDROIDOS_ADSWO,ANDROIDOS_LEADBOLT。

 

偽裝成正常應用程式的Android 廣告軟體越來越多

 

 

趨勢科技的客戶目前都已經受到保護, 趨勢科技行動安全防護for Android中文版會偵測這些惡意應用程式。可以防止這些惡意應用程式被安裝在行動設備上。

 

惡意軟體偽裝成Android應用程式在短時間內並不會消失。在這時候,使用者下載應用程式前要保持小心謹慎。注意應用程式和開發者的信譽評價對於保護行動裝置是有所幫助的。

想了解更多關於如何保護行動設備的資訊,可以參考底下的數位生活電子指南:

 

@原文出處:More Adware and PLANKTON Variants Seen in App Stores

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

@延伸:

164個仍在線上的Android廣告軟體,其中有專發送簡中的限制級廣告

以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能

熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大

Android – 更潮就更危險!六個Android 主要威脅與安全守則

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

假 Android 版本Skype,安裝後簡訊爆量,帳單暴增

了解Google Bouncer
Android裝置上的七種惡意軟體類型與排行
Android上的間諜軟體測試版會竊取簡訊
哪一種行動作業系統最合適企業?
[圖文解說]旅行中誰吸乾了你的智慧型手機電力?
安裝手機應用程式前要注意的三件事
2011下半年 Android 手機威脅月平均成長率高達 60%
惡意Android應用程式:看成人影片不付費,威脅公布個資
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu
智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

手機變成落湯”機”頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !

中國第三方應用商店提供下載的手機間諜軟體 想竊聽他人手機 當心被反竊聽
你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

惡意Android應用程式:看成人影片不付費,威脅公布個資

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

◎ 歡迎加入趨勢科技社群網站
   

虛擬化的無代理防護也適用於雲端嗎?

趨勢科技 TrendMicro

作者:趨勢科技Christine Drake

 

嗯,這要看狀況。讓我先退一步來簡單說明一下無代理防護,作為這談話的背景資料。

 在虛擬環境裡,許多公司都安裝了傳統基於代理(Agent-based)的實體端點防護到每台虛擬機器(VM)上。但是安裝完整的解決方案到每一台虛擬機器上會吃光系統資源並降低效能。另一種方法是將安全性整合到虛擬化平台。在每部主機上提供一個專用的安全虛擬設備,可以利用虛擬化平台的API和虛擬機器管理程式的內部互動來保護每台虛擬機器,而不需要在每個客戶端虛擬機器上安裝程式來作為保護。虛擬設備會確保每台虛擬機器都更新到最新防護而不會影響到任一虛擬機器的資源。這設備還會排序安全掃描和更新的時間來維護性能。

 

經由VMware vShield Endpoint和資安夥伴解決方案所整合的第一個無代理(Agentless)虛擬化安全防護是防毒功能。現在有越來越多安全廠商都提供無代理的防毒軟體。但無代理的作法還可以應用在更廣泛的檔案安全上,包括對檔案和虛擬機器管理程式的完整性監控,以及網路安全上,像是入侵防禦和防火牆等。

 

經由VMware的整合,無代理安全防護當然也適用於虛擬資料中心。但它可以被部署在雲端嗎?比方說,在vCloud環境?如果你有自己雲端環境VMware平台底層的虛擬機器管理程式的控制權,那麼答案是肯定的。比方說,佈署到你資料中心的私有雲,你可以控制底層的基礎架構,就可以部署無代理安全防護好帶來安全性和效能優勢。

 

但是公共雲就不同了。在多數情況下,服務供應商會控制底層的基礎架構,你不會有專用主機資源給你的雲端環境部署。在這情況下,你需要安裝基於代理的安全防護,來保護你在這種多租戶環境下的虛擬機器。不過,服務提供商也可以提供無代理安全防護作為服務的附加選項,讓你可以管理自己虛擬機器的無代理安全防護。

 

理想的虛擬化和雲端安全解決方案需要提供無代理和基於代理的部署選項。隨著公司向雲端邁進,大部分都會部署混合雲,包含了私有雲和公共雲的元件。安全解決方案必須要可以靈活地佈署無代理安全防護到私有雲,還有基於代理的安全防護到公共雲,而且可以統一管理,整合協調這兩種環境上的安全策略。不管你在哪裡佈署雲端環境,你會希望安全解決方案可以很容易地跟上雲端運算所需的發展和變化。

  繼續閱讀