CVE 最近又發布了一個新的漏洞:CVE-2020-1472,並且登上了不少媒體版面。這個被稱為「Zerologon」的新漏洞可讓駭客利用 Netlogon 認證所使用的加密演算法來假冒任何電腦向網域控制站取得認證。
簡單來說,這就是 Netlogon Remote Protocol (MS-NRPC 通訊協定) 的一個漏洞,會讓駭客能在網路上的裝置執行惡意程式。駭客可以利用 MS-NRPC 通訊協定向網域控制站 (Domain Controller,簡稱 DC) 認證以取得系統管理權限。
根據我們 ZDI 漏洞懸賞計畫研究人員 Dustin Childs 指出:「更糟糕的是,目前並無法徹底解決該漏洞,此次修補更新只是讓網域控制站可暫時保護裝置,下次的修補更新 (預定 2021 年第一季推出) 才會強迫 Netlogon 使用安全的 RPC 通訊協定來徹底解決這項問題。不過套用這個修補更新之後,您還是要調整網域控制站的設定。Microsoft 已針對這些設定發布了一份指南來協助系統管理員進行調整。」
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選
科技教育熱!花縣府舉辦論壇 探討AI新世代 中時電子報網
唐鳳談資安 口罩再多 不洗手也沒有用! 聯合新聞網
趨勢科技研究發現 39% 員工 會從個人裝置存取企業資料 MediaOutReach
【臺灣資安大會直擊】趨勢揭露一連串鎖定IIS網頁伺服器的無檔案攻擊手法,呼籲企業要加以防範 iThome
別出事才手忙腳亂!因應資安事件要超前部署 趨勢呼籲企業建立事故應變程序 iThome Weekly電腦報
USB攻擊竟能騙過隔離網路的檢疫機制!趨勢揭露鎖定菲律賓軍方的隨身碟竊密攻擊行動USBferry iThome
加群組免費看電影? 刑事局:詐騙個資 華視全球資訊網
4天內有近2千個Magento 1網站被植入側錄程式 iThome
美國土安全部示警,中國利用各大網路設備已知漏洞對政府部門發動攻擊 iThome
從租車業、手搖茶到賣牛肉麵都想做 台灣訂閱先鋒研華、和運 轉型如何不踩雷? 商業周刊
繼續閱讀Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 分享他對強化企業內部資安觀念的看法以及雲端優先的策略如何讓該公司營運順利邁入「新常態」
正當各行各業都在經歷劇烈轉變之際,企業 CXX 高階領導人應重新檢討自己的資安與技術架構是否足以因應。為了保護客戶並提升遠端工作人員的生產力及可用性,高階主管紛紛尋求可用的技術方案,例如導入雲端服務。
隨著疫情持續延燒,企業被迫必須實施在家工作的政策,越來越多企業都開始覺得有必要在永續性、安全與行動化方面做出改變。更重要的是,無論企業大小,這樣的改變都將為決策者帶來新的挑戰與契機。
Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 對於該產業的演變早已司空見慣,包括網路資安與網路犯罪活動的演進,以及企業治理的觀念需要逐漸擴散到企業的各個層面。Levine 在該公司任職已有 25 年之久,憑著他在 IT 與資安產業的多年經驗,他對企業內的許多職務都不陌生:工程與專案管理、資安、基礎架構、網路中心、營運、法務支援、企業管理、存取管理、實體保全、電子化搜尋 (eDiscovery) 與訴訟支援等等。
繼續閱讀【2020年9月17日,台北訊】全球雲端防護領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天針對防疫新生活的遠端資料存取安全提醒企業多加留意,根據其「Head in the Clouds」研究調查指出,在家工作(WFH,Work From Home)遠距工作改變了企業資料的處理方式,現今工作與家庭生活的界線正日益模糊,智慧家庭裝置與相關應用程式將是企業網路資安防線的一大弱點。
趨勢科技「Head in the Clouds」研究調查了 27 國共 13,000 多名在家工作(WFH,Work From Home)遠距工作的員工在疫情期間的生活與工作習慣。該研究顯示,有 39% 的員工會使用個人裝置來存取企業資料,通常是經由雲端服務與雲端應用程式。這些屬於個人的智慧型手機、平板、筆記型電腦不僅在上網安全防護方面不如企業所配發的裝置,而且還暴露於家用網路中各種 IoT 應用程式與裝置的資安弱點。比方說,有超過三分之一 (36%) 的受訪員工,其個人裝置並非都有最基本的密碼保護。
繼續閱讀過去幾週,趨勢科技發現勒索病毒出現最新發展。首先是一個新的勒索病毒家族 (黑暗面-Darkside) 之外,Crysis/Dharma 勒索病毒集團也釋出了一個駭客工具套件。
另外,在訊息威脅部分,我們發現了一波專門散布 Negasteal/Agent Tesla 惡意程式的針對性電子郵件攻擊。
一個名叫「Darkside(黑暗面)」的新勒索病毒家族 (趨勢科技命名為:Ransom.Win32.DARKSIDE.YXAH-THA) 最近浮上檯面。此勒索病毒會要脅受害者若不支付贖金,將公布受害者的資料,此手法與之前的 Maze 和 Nefilim 勒索病毒類似。被加密的檔案,其副檔名會被加上受害者電腦的網路卡 (MAC) 位址。
根據勒索病毒的 Tor 網頁,其幕後犯罪集團其實會評估目標企業的財力,然後再決定要勒贖的金額。除此之外,駭客似乎不會攻擊醫療、教育、非營利及政府等機構。
Crysis/Dharma 勒索病毒 (趨勢科技命名為 Ransom.Win32.CRYSIS.TIBGGS) 最近釋出了一個名為「Toolbox」的駭客工具套件。 Toolbox 當中包含了專門用來搜刮密碼的 Mimikatz、專門用來竊取遠端桌面協定 (RDP) 密碼的 NirSoft Remote Desktop PassView、專門用來竊取雜湊碼的 Hash Suite Tools Free,以及其他用來搜尋攻擊目標電腦並植入勒索病毒的工具。有了這個套件,就連菜鳥駭客也能輕鬆滲透網路。
由於 Crysis 採用的是勒索病毒服務 (RaaS) 的經營模式,因此這套工具有助於讓它散播得更廣。
延伸閱讀:” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?
我們最近發現了一波電子郵件攻擊專門經由惡意附件散布 Negasteal/Agent Tesla 惡意程式 (趨勢科技命名為 TrojanSpy.MSIL.NEGASTEAL.DYSGXT),此波攻擊的對象是泰國一家國有銀行 Krung Thai Bank (泰京銀行) 的客戶。電子郵件內容是有關「對外匯款交易」的收據,匯款金額將近 9,000 美元,郵件內容會請使用者下載並參閱附件檔案。附件檔案是一份會攻擊 Microsoft Office CVE-2017-11882 漏洞的文件 (這是一個已經有 17 年歷史的 Microsoft Office 記憶體內容損毀漏洞),一旦攻擊成功,就可以下載惡意檔案到受害電腦上執行。
首次發現於 2014 年的 Negasteal 一直以來都會經由網站控制台、FTP 或 SMTP 傳送竊取的資料。最近,我們發現它會經由可卸除式裝置流傳,因為它會竊取 Becky!Internet Mail 的登入憑證。
Darkside 勒索病毒
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| 9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297 | Ransom.Win32.DARKSIDE.YXAH-THA |
網址
Crysis/Dharma 勒索病毒
| SHA-256 | 檔案名稱 | 趨勢科技病毒碼偵測名稱 |
| 1cec5e4563e2c1570353e54a4ecc12ab4d896ab7227fd8651adcd56b884c0c1c | GdAgentSrv.de.dll | HackTool.Win64.CVE20160099.A |
| 28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063 | process-hacker-2-39.exe | PUA.Win32.ProcHack.A |
| 3680b9e492f49abc108313c62ceb0f009d5ed232c874cae8828c99ebf201e075 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| 47dc3672971c242154a36622145de7060f17f56af75d21e2130e4f57089f5e48 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| 75d9d85b152e030eb73d17c691203b49bf593ea6a4bddeae48ca255b22c2d36d | takeaway_ps1 | Trojan.PS1.CRYSIS.AA |
| 77cbab006cf6a801dbd1c752659bddf28562fb8681d20305dd1dc0b1e105c67a | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| 78983ad10fe05fadccb201dd3e8c7f952e93332433a42e3d331531c5497d1330 | winhost.exe | Ransom.Win32.CRYSIS.TIBGGQ |
| b0b8fd4f6ab383014ea225c2b7776735af059f526cd7c4fdbdcb2e99d074ade7 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| b2d2f4ecbc680d590743044744b3ff33c38e4aeb0ada990b0ae7be8291368155 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| b5a69f7c4a3681a753f3512e3b36ac06c6ddbb1129a3e87f8c722ff4f9834f0a | purgeMemory.ps1 | Trojan.PS1.KILLSVC.Ahacktool |
| edef024abe48d6ed7b4757d63a8fd448a8ecf1ad15afd39cc97c97b27ed4498e | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| ef5f2ce1a4d68d656400906ae906b0c7e7f61017f14840a7ac145d59ee69a4bd | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446 | NS2.ex | HackTool.Win32.NetTool.A |
Negasteal/Agent Tesla
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| 58e74875b3659fa34aa1ecefba1a43cc049b7bb1c83de5a26ec8045c60f1099e | Trojan.W97M.CVE201711882.YQUOOUM |
| 6991150c06b278712b052377ef768ca80923ff9c3396e7de18fa0fbce7211c96 | TrojanSpy.MSIL.NEGASTEAL.DYSGXT |
原文出處:Threat Recap:Darkside, Crysis, Negasteal, Coinminer 分析師:Miguel Ang、Raphael Centeno、Don Ovid Ladores、Nikko Tamaña 與 Llallum Victoria
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
