《實測》有可能找到公司高層主管在線上交友網站上的相應帳戶嗎?

Posted on 2017 年 08 月 21 日2017 年 08 月 21 日 by Trend Labs 趨勢科技全球技術支援與研發中心

太多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏

從線上交友網站個人檔案收集到的企業資訊數量，高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用，有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例，它會在未經使用者認可的情況下，擷取使用者在 Facebook 上的資訊，然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料，卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。

線上交友軟體透露過多的敏感資訊,也提供攻擊者素材

現在有越來越多的人使用線上交友尋找對象，但線上交友會對企業造成威脅嗎？使用者本身透露的資訊種類及資訊量，例如個人資料、工作場所、經常前往與居住的地點等，對於尋找對象的人而言是很有用的資訊，但同時攻擊者也會利用這些資訊，做為入侵組織的起點。

為了證實這項風險，趨勢科技研究了多個線上交友網站，初步包括先請回答以下問題：

假定有一個已知的目標 (例如公司高層主管、IT 部門主管、公職人員)，是否有可能找到他們在交友網站上的相應帳戶 (假設他們有這樣的帳戶)？
針對線上交友網站上的特定帳戶，是否有可能追蹤到他們在其他社群網站的資料，例如 Facebook、LinkedIn 或企業網頁？

不幸的是，以上答案皆為「是」。

Honeyprofile	誘騙用個人檔案
Profile matching (physical attributes, job information, tec.)	個人檔案匹配 (外表特徵、工作資訊等)
Location profiling	地點分析
Target’s real-word social media profile	目標現實生活的社群媒體個人檔案
Open Source Intelligence profiling	公開來源情報分析
Target’s only dating network profile	目標的線上交友網站個人檔案

圖 1 我們如何追蹤可能目標的線上交友及現實生活/社群媒體個人檔案

駭客也可在線上交友網站,找到特定個人檔案之外的相應身分

在幾乎所有的線上交友網站上，我們發現如果要尋找一個已知在該網站註冊的目標，是非常容易的事。這並沒有什麼好奇怪的，因為線上交友網站可讓使用者運用各種條件來過濾對象，例如年齡、地點、教育程度、職業、薪資，當然還有外表特徵，例如身高與髮色，除了 Grindr 之外，因為此網站要求提供的個人資訊較少。

地點是非常有用的資訊，因為利用 Android 模擬器，可將 GPS 位置設定在地球上的任何地方，將所在地點設定在目標企業的地址，然後將匹配對象的半徑範圍盡可能縮小。

相反的，我們可以透過典型的公開來源情報 (OSINT) 分析，找到特定個人檔案在線上交友網站之外的相應身分。同樣的，這一點也不讓人感到驚訝，許多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏。其實有份研究指出，運用手機上的交友應用程式進行三角測量，就能找到持有人的實際所在位置。

在找到目標的位置並連結目標的真實身分後，攻擊者要做的只剩下利用這些管道。我們對此進行測試，在我們的測試帳戶之間傳送內含已知惡意網站連結的訊息，而這些訊息都正常地發送出去，未被標記為惡意訊息。

只要利用一點社交工程，很容易就能欺騙使用者點擊連結。攻擊者發送的連結可能是常見的網路釣魚網站，例如偽裝的交友應用程式或網站，如果受害者的密碼在多處重複使用，攻擊者就能侵入個人的生活圈。攻擊者也可能使用攻擊套件，但大多數人是在手機上使用交友應用程式，因此入侵難度較高。一旦成功入侵目標，攻擊者可嘗試劫持更多電腦，最終入侵受害者的工作及其企業網路。

接受交友就會被鎖定攻擊？

這種攻擊理論上可行，但實際上真的有發生過嗎？是的，真的有。今年初發生在以色列軍隊的鎖定攻擊，就是利用社群網站的個人檔案做為攻擊進入點。網路愛情詐騙不是什麼新鮮事，但線上交友網站上究竟發生過多少類似事件？

我們用假帳戶設立「誘騙用個人檔案」以進一步探索。將研究範圍縮小至 Tinder、Plenty of Fish、OKCupid 以及 Jdate，選擇這些網站的理由，是根據顯示的個人資訊量、互動的方式，以及無需支付初始費用。

然後，我們建立涵蓋不同地區及產業領域的個人檔案。大多數交友應用程式會限制搜尋區域，而且對象必須也接受你或給你按「讚」才能進行匹配，這表示我們也必須給真人持有的個人檔案按「讚」。於是就出現了一些有趣的情況：我們晚上在家陪伴家人時，得給搜尋範圍內每個新出現的個人檔案按「讚」(是的，我們的配偶都能諒解)。

我們也為研究訂定了幾項規則，就是不輕易答應交往，但保持開放交友心態：

不率先連絡對方
僅回應特定訊息 (以確認對方是否為真人，或只是傳送惡意連結)
嘗試加快對話的速度；在一開始就提供對方良性社群網站的連結，讓攻擊者更容易在回覆中提供惡意連結
嘗試成為被鎖定的目標；不要鎖定任何人或以網路釣魚方式攻擊任何人

以下是我們收到的訊息範例： Continue reading “《實測》有可能找到公司高層主管在線上交友網站上的相應帳戶嗎?”

CVE-2017-0199：新的惡意軟體攻擊PowerPoint漏洞

Posted on 2017 年 08 月 18 日2017 年 08 月 18 日 by Trend Labs 趨勢科技全球技術支援與研發中心

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞，讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入（OLE）介面以散播惡意軟體。它通常利用的是惡意RTF文件，也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本（趨勢科技偵測為TROJ_CVE20170199.JVU）會用新的方法（利用PowerPoint播放模式）來利用CVE-2017-0199漏洞，這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用，本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解，藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

技術分析

Figure 1 CVE-2017-0199 diagram

圖1：TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊（SPEAR PHISHING）附件的方式抵達，偽稱來自電線廠商，實際上則是會植入一個遠端存取工具。這個偽裝是有原因的，因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

郵件樣本內容如下：

Figure 2 spear-phishing email CVE-2017-0199

圖2：魚叉式釣魚郵件樣本

雖然電子郵件本身有提到訂單請求，但收到郵件的使用者看不到商業文件，而是會看到一個PPSX檔案，點擊後會顯示如下： Continue reading “CVE-2017-0199：新的惡意軟體攻擊PowerPoint漏洞”

Android 惡意程式威脅持續不斷,五個提升企業行動裝置安全的原則

Posted on 2017 年 08 月 17 日2017 年 08 月 18 日 by Trend Labs 趨勢科技全球技術支援與研發中心

由於全球手機作業系統主要分成 Android 和 iOS 兩大陣營，因此不論新聞上出現哪一陣營的威脅，都會引起廣大注意。根據最近一份統計，截至 2017 年 5 月為止，Android 全球活躍用戶大約超過 20 億以上，而且許多用戶都會在工作上使用到行動裝置。在這樣的情況下，不論企業或一般使用者，都應隨時掌握最新的威脅情勢，並且養成良好的使用習慣與採取最佳實務原則來保障 Android 裝置安全。

Android 資安公告：解決存在已久的威脅

雖然 Android 發布資安公告早已不是新聞，但所有 Android 用戶，尤其是利用行動裝置來存取企業敏感資料的使用者，千萬不能掉以輕心。

「Android 用戶對於資安公告千萬不能掉以輕心。」

七月初左右，Google 發布了當月份的資安公告，裡面包含兩項修補，解決了幾個月前所發現一些存在已久的漏洞。趨勢科技技術通訊研究員 Giannina Escueta 表示，這次的資安公告主要是針對今年三月以來一直困擾 Android 用戶的 Mediaserver 問題，包括記憶體損毀漏洞，以及遠端執行程式碼漏洞。

此外，這份資安公告也希望針對其系統多媒體架構以及 Broadcom 和 Qualcomm 相關元件的問題加以解決，還有其他 55 項 Qualcomm 非開放程式碼元件的優先問題。儘管這些問題對 Android 用戶來說是相當大的威脅，例如根據 Android Open Source Project 指出，可能讓駭客利用具備管理權限的執行程序來執行任意程式碼，但看來這次 Google 倒是及時在漏洞還未出現攻擊案例之前釋出了修補更新。

Android Open Source Project 指出：「我們未曾接到任何客戶因這些漏洞而遭到攻擊的通報，或是這些新通報問題遭到濫用的情況。」

「Judy」手機惡意程式影響數百萬 Android 用戶

然而前述漏洞還未遭到攻擊就已被修補的狀況，對行動惡意程式來說並不常見。今年稍早，有大批 Android 用戶遭到一個名為「Judy」的手機惡意程式攻擊，根據 BGR 特約作者 Yoni Heisler 指出，前後約有 3650 萬名受害者。 Continue reading “Android 惡意程式威脅持續不斷,五個提升企業行動裝置安全的原則”

這些員工沒看穿的騙局,造成的損失竟比病毒還大!

Posted on 2017 年 08 月 14 日2017 年 08 月 01 日 by Trend Labs 趨勢科技全球技術支援與研發中心

近兩成的企業資料外洩事件,來自內部人為疏失,而非病毒!

員工被認為是公司最大的資產，卻也是資安最脆弱的一環。雖然企業經常遭受駭客蓄意的破壞或惡意入侵，但也有許多資安事件是因為疏忽大意或缺乏安全意識所造成。在今年初，一家投資管理軟體廠商因為變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱 BEC）造成600萬美元損失而被告。

罪魁禍首？沒有遵循正確匯款流程的員工。在這種情況下，如果企業具備適當的安全措施，而且員工能夠確實遵守程序或具備看穿騙局的知識，就能夠成為防禦的關鍵。

19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成

2014年的一份問卷調查顯示有19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成。各式各樣可以有效利用員工的詐騙手法讓網路犯罪分子偏好社交工程（social engineering ），而不去用更加複雜的方法。

實際的詐騙手法可能有所不同，但底下列出最常用的技術 – 出現在許多電視和電影場景裡，可以幫助使用者更加了解自己他們所面臨的社交工程威脅：

假托技術（Pretexting）

冒充老闆

他如何進入?

竊資達人（Identity Thief）：Sandy冒充前老闆說服員工給禁區密碼。

你有沒有非預期地接到來自“技術支援”人員的電話，內容是關於需要立即處理的問題？也許來電者會要求提供個人資料或帳號資訊來立即處理問題。這種社交工程的手法被稱為假托技術（Pretexting）。 Continue reading “這些員工沒看穿的騙局,造成的損失竟比病毒還大!”

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

Posted on 2017 年 08 月 10 日2017 年 08 月 01 日 by Trend Labs 趨勢科技全球技術支援與研發中心

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客，員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證，以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南：處理自帶設備（BYOD）環境所面臨的威脅

自帶設備（BYOD）在過去幾年大大地盛行，因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處，但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分，企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性，不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者，如Super Mario Run。讓某些應用程式特別危險的是，它們運作起來看似很像真正的應用程式，但會包含其他的惡意程式碼，如垃圾廣告，甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

防禦惡意應用程式：對於行動設備，企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案，可以偵測應用程式是否可以安全使用。此外，企業解決方案應該包含設備管理和應用程式管理功能，讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外，企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式，可以透過網路活動來先一步偵測惡意軟體。

網路釣魚

雖然網路釣魚（Phishing）並不僅是BYOD的問題，但它在BYOD生態系造成特別顯著的威脅，因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊，但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊，可能會影響到他們自己的設備。 Continue reading “太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?”

熱門的辦公室通訊平台,如何被網路犯罪分子濫用?

Posted on 2017 年 07 月 06 日2017 年 06 月 30 日 by Trend Labs 趨勢科技全球技術支援與研發中心

網路犯罪分子利用聊天平台API作為 C&C 基礎設施

聊天平台如 Discord、Slack和Telegram已經成為相當熱門的辦公室通訊工具，這三個例子都深受世界各地企業和組織的青睞。一個重要的原因是這些聊天平台可以讓使用者透過API將他們的應用程式與自己的平台整合。這種作法在工作環境內可以減少應用程式切換的時間，進而簡化工作流程並提高效率。但有一點必須提出來，這樣的功能是否會被網路犯罪分子濫用？畢竟，我們已經看過許多將合法服務和應用程式用在惡意網路犯罪行為的例子，像是IRC就是個知名的例子，曾在過去被許多網路犯罪分子作為「Botnet傀儡殭屍網路」的命令與控制（C&C）基礎設施。

將聊天平台API轉換為命令與控制基礎設施

趨勢科技的研究重點是分析這些聊天平台API是否可作為C&C之用，並且看看是否有現行惡意軟體在利用此漏洞。通過大量的監視、研究和製作概念證明程式碼，我們已經可以證明每個聊天平台的 API功能都可能被濫用 – 將聊天平台轉變成C&C伺服器，網路犯罪分子可藉此與中毒或被駭系統進行通訊。

發現濫用API的惡意軟體樣本

我們對聊天平台的大量監視也顯示出網路犯罪分子已經在利用這些聊天平台進行惡意攻擊。在Discord，發現許多惡意軟體，包括檔案注入程式，甚至是比特幣Bitcoin) 採礦程式。同時，Telegram也被發現遭到某些KillDisk變種及TeleCrypt（一種勒索病毒 Ransomware (勒索軟體/綁 Continue reading “熱門的辦公室通訊平台,如何被網路犯罪分子濫用?”

商業流程入侵 (BPC)：進階目標式攻擊的下一個步驟

Posted on 2017 年 06 月 28 日2017 年 06 月 20 日 by Trend Labs 趨勢科技全球技術支援與研發中心

近幾年來，針對性攻擊/鎖定目標攻擊(Targeted attack ) 已有長足發展，其會鎖定特定對象並採用越來越進階的技術來發動攻擊。一般來說，這類駭客會鎖定企業內的單一成員、竊取其憑證、登入帳戶，並冒用這個帳戶來尋找敏感資訊。變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)就是駭客將惡意活動推展到新境界的手法之一，其會運用密集研究與量身訂做的訊息來達到入侵目的。

不過，現在又有新的威脅曝光了：商業流程入侵 (BPC)。BPC 聽起來跟 BEC 很像，但卻是完全不同的概念。

BPC 的運作方式

從趨勢科技的這段影片可以看出，BPC 駭客並非鎖定受害組織中的特定成員，而是鎖定企業中的特定流程，這些流程是完成重要日常作業的關鍵環節。一旦侵入系統之後，駭客就會試圖透過活動、漏洞或整個系統進行滲透，並使用這項弱點作為攻擊主力。

這種攻擊模式的目的是要盡量取得組織的流程資訊，包括商業用的所有活動和系統。駭客可以從這裡查出相關流程和平台的漏洞，並進行巧妙的調整或操控。如此一來，從公司的角度來看，系統仍照常運作。但是，網路罪犯卻躲在背後竊取資料、詐取利潤，甚至盜取實際商品。

BPC 有成功過嗎？

Continue reading “商業流程入侵 (BPC)：進階目標式攻擊的下一個步驟”

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

Posted on 2017 年 06 月 08 日2017 年 06 月 16 日 by Trend Labs 趨勢科技全球技術支援與研發中心

拼字和文法上的錯誤、看似不尋常的網址，瀏覽器上沒有顯示加密連線的圖案，這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客，通常擁有充沛的資源和豐富的經驗，因此不會犯下這種明顯的錯誤。不僅如此，他們會想出一些非常聰明的社交工程（social engineering ）技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件，不論使用哪一種語言，其文字都非常完美且流暢，而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上，登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具，可能導致企業敏感資料遭駭客外洩或損毀，甚至被拿來向企業勒索。

Pawn Storm 又名：Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8，這些名字聽起來很像 Instagram 帳號、機密間諜行動，或是剛剛通過的法案，但其實他們都是指同一個網路間諜集團。該集團為了達到目的，通常會從各種不同角度、利用各種不同手法來攻擊同一目標，其攻擊技巧經常屢試不爽，尤其是網路釣魚（Phishing）攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊，趨勢科技的研究報告:「網路間諜與網路宣傳：檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術： Continue reading “登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板”

從駭客角度看資安: 四個來自網路犯罪集團的令人訝異的發現

Posted on 2017 年 05 月 31 日2017 年 05 月 16 日 by Trend Labs 趨勢科技全球技術支援與研發中心

今日企業對於網路資安絕對不能心存僥倖，因為只要被駭客找到一個小小破口，就可能危及企業存亡。不過在企業強化駭客防禦的同時，其實不妨從另一個角度看看駭客對資安防護有何看法。

澳洲資訊分析軟體公司 Nuix 在 2016 年拉斯維加斯舉行的 DEFCON 駭客大會上做了一份名為「 The Black Report」(黑色報告) 的調查。這份調查的對象不是企業決策者、IT 主管或資安系統管理員，而是駭客。

全新觀點

這份調查令資安界耳目一新，因為絕大多數的研究都是以 IT 人員為對象，當然這也很重要，但若能從駭客的角度來看待資安這件事，倒也是個不錯的觀點。

除了訪問網路駭客之外，The Black Report 還訪問了專門從事滲透測試工作的人員。根據其中一位測試人員表示，他們所做的事情，基本上與駭客無異，只不過他們的工作是合法的。這份問卷調查總共訪問了 70 位駭客與滲透測試人員 (後者亦稱為「白帽駭客」)。

以前曾經當過駭客、但目前擔任 Rhino Security Labs 評估總監的 Hector Monsegur 接受 TechTarget 的訪問時表示，這類調查絕對有其必要，因為這樣能夠發掘一些不論對個人或企業都有所幫助的資安細節。

「駭客通常能在短短的 24 小時內強行入侵。」

Monsegur 向 TechTarget 表示：「能夠發掘 [駭客和滲透測試] 人員的想法以及他們突破資安防線的經驗，是不錯的第一步。縱然 DEFCON、Black Hat、HackInTheBox 等等的研討會提供了不錯的管道讓研究人員發表漏洞相關的資訊、方法與技巧，但事實上，絕大多數人根本不知如何取得這些內容，甚至不知道這些內容存在。」

四個來自網路犯罪集團的令人訝異的發現

這種另類研究還有一項好處是有機會看看駭客的想法與 IT 專業人士及其他企業受害者的想法有何落差。

Nuix 資安長 Chris Pogue 表示：「了解歹徒的想法和作法相當重要，防守的一方越能掌握狀況，就越能做好準備。」

我們發現某些觀點和大家以往對網路資安策略的想法互相牴觸，以下是一些令人訝異的研究發現：

入侵所需的時間越來越短：一項最令人訝異的數據是，今日駭客入侵目標系統所需的時間相當短。根據 Nuix 指出，企業大約要過了 250 至 300 天之後才會發覺自己發生資料外洩，但是駭客通常能在短短的 24 小時內強行入侵並偷走資料。事實上，這項調查還發現，大約有三分之一受害企業從未發現自己受到攻擊。Pogue 總結說：「企業必須從人員和技術雙重管道下手，來提升資料外洩的偵測和矯正能力。」
某些傳統的防護已經失效：這項調查也發現，儘管一般人都信賴像防火牆和防毒產品這類傳統的防護技術，但駭客表示這些防護幾乎不影響他們的攻擊速度。所幸，端點防護證實還能夠發揮阻礙駭客的效果。
駭客並非每次都使用相同的伎倆：一般人認為駭客一旦發現某項伎倆得逞，就會持續使用相同的攻擊方法，但其實不然。該調查發現，50% 以上的網路駭客在面對每個新的目標時都會更換手法。這表示駭客有可能使用我們從未見過的方法，因此那些針對過去攻擊手法的防護根本阻擋不了新式的攻擊。此外，這也會讓企業遭到零時差漏洞攻擊的機會增加。
漏洞攻擊套件並不如專家想像的那樣受到歡迎：同樣令研究人員訝異的一點是，漏洞攻擊套件並非歹徒用來策動攻擊的首選工具。事實上，多數的駭客 (72%) 都是利用社交工程技巧先蒐集情報再策動攻擊，僅有 3% 的攻擊會使用商用軟體工具和漏洞攻擊套件。絕大部分駭客偏愛開放原始碼工具 (60%) 或客製化工具 (21%)。

Continue reading “從駭客角度看資安: 四個來自網路犯罪集團的令人訝異的發現 “

企業如何對抗頑強的 CERBER 勒索病毒變種?

Posted on 2017 年 05 月 31 日2017 年 05 月 25 日 by Trend Labs 趨勢科技全球技術支援與研發中心

勒索病毒 Ransomware (勒索軟體/綁架病毒)在2016年相當地猖獗，出現大規模的攻擊活動及各種能夠對抗安全措施的新變種。在2016年年底，Locky和 CERBER勒索病毒家族似乎在市場佔有率方面遇上頻頸。但這隨著 CERBER 發展出新的躲避偵測能力而有所改變。根據 Security Intelligence的報導，CERBER在2017年的市場佔有率達到70%，並且在第一季末上升至90%。相較之下，Locky在2017年第一季只剩下2%的佔有率。

CERBER已經展現其躲避安全軟體偵測的成功，為了犯罪活動而加以優化。新CERBER變種也開始會繞過機器學習工具，不過趨勢科技也站在解決這些問題的最前端。事實上，趨勢科技最近發表了一份報告秀出CERBER迄今為止的演變及如何維護安全性的進階解決方案。隨著CERBER持續對企業造成威脅，了解如何防範新變種及解決目前漏洞變得相當重要。

CERBER的快速變形讓其躲避偵測

就跟大多數惡意軟體一樣，CERBER透過垃圾郵件、漏洞攻擊套件及其他感染途徑散播。當接收者點入連結或開啟郵件時，程式會在背景被偷偷下載，開始加密檔案。但CERBER與許多其他勒索病毒不同。它不僅會重新命名目標副檔名和檔案名稱；微軟指出它也會選擇感染的資料夾。比方說，CERBER會避開系統資料夾，但會加密共享網路及本機磁碟上，進而讓感染擴散。

CERBER還經常進行升級，以「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS)的形式賣給網路犯罪分子。這些修改使其很難被鎖定。在2016年，伺服器每15秒鐘改變一次CERBER，每次都產生新的哈希（Hash）。根據SecurityWeek，解決方案需要偵測這些哈希（Hash）來識別惡意軟體，但CERBER的快速變形技術讓其躲避偵測。這技巧是讓CERBER能夠繼續保持神祕並且讓新變種成功抵禦安全措施的關鍵。 Continue reading “企業如何對抗頑強的 CERBER 勒索病毒變種?”