2019 年專為躲避傳統防護而設計的隱匿威脅,為資安防禦帶來了終極考驗
【2019年9月5日】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今日發表 2019 上半年資安總評報告,指出藉由無檔案方式來隱藏惡意活動的無檔案式攻擊數量突然暴增。光此一類別的威脅偵測數量就較 2018 上半年成長 265%。
截至目前為止,有多項 2019 年數據皆印證了趨勢科技去年的預測:駭客會越來越聰明,而且專挑投資報酬最大的企業及環境下手。
趨勢科技全球威脅通訊總監 Jon Clay 表示:「隨著商業技術與網路犯罪攻擊日益仰賴網路和智慧化,精密、隱匿的攻擊已成為今日網路資安威脅的主流。我們看到駭客處心積慮地利用針對性精密威脅來攻擊企業人員、流程及技術上的弱點。然而,企業的數位轉型與雲端移轉卻正不斷擴大與改變企業的受攻擊面。為了因應這樣的情勢演變,企業需要一家能夠結合專家與進階資安技術的資安夥伴來提升其偵測、交叉關聯、回應及矯正威脅的能力。」
繼續閱讀最近出現了一個新的勒索病毒 Ransomware 家族,會使用副檔名 – Nemty進行加密。根據Bleeping Computer的一份報告,位在紐約的逆向工程師Vitali Kremez認為Nemty可能是通過暴露的遠端桌面連線散播。
雖然利用RDP來派送勒索病毒並非新鮮事,但跟網路釣魚技術比起來,這顯然是種更加危險的散播方法。一旦網路犯罪分子取得了較高的系統權限,就能夠自由進入系統,在使用者不知情下發動攻擊,就如同之前的SAMSAM勒索病毒一樣。
在2017年,惡意份子散播 Crysis勒索病毒到澳洲及紐西蘭中小企業及大型組織所用的方式就是RDP暴力破解攻擊。這類威脅不僅只是影響企業;趨勢科技監測技術從2018年開始就在家用電腦及個人裝置上偵測到超過 3,500萬次的暴力破解攻擊 – 其中有 85%是針對RDP。
繼續閱讀今日的微處理器內部還有一層比所有軟體使用的機器碼更低階的程式在運作,那就是所謂的微指令 (microcode)。這些微指令通常隨處理器而異,不過當微處理器出現問題時,可透過修改微指令的方式來修正機器碼的錯誤。之前鬧得沸沸揚揚的 Spectre 和 Meltdown 處理器漏洞,就是透過修改微指令的方式來修正。不過,這樣的修改也存在著風險,因為如果沒有改好,很可能會讓微處理器徹底毀於一旦。由於伺服器通常不能任意重新開機,因為它們必須執行一些重要的企業流程,基於這一點,前述的修補絕不能等閒視之。
微指令既然可以修改,意味著就連微處理器晶片也可被視為軟體。且近來似乎更掀起了一股認識如何重新程式化微處理器的風潮。不僅如此,還有其他幾種類型的處理器也可被程式化,例如:可針對特定工作單次程式化的「特殊應用晶片」(ASIC)、可隨時重新程式化的「現場可程式化邏輯閘陣列」(FPGA),以及專門處理類比訊號的「數位訊號處理器」(DSP)。
FPGA 正逐漸被當成特化的協作處理器來使用,例如:影像處理、網路資料過濾,或是其他高效能運算。一些較單純的 CPU 也已經可以用 FPGA 來實做。雖然未來的裝置應該不會由一系列可重新程式化通用晶片所構成,但在某些應用上確實可行。除此之外,還有一種沒有太多人關注的特化 DSP。行動電話和某些裝置為了應付各種版本的無線射頻標準,都將其無線射頻模組設計成所謂的「軟體定義無線射頻」(SDR) 裝置,如此一來,只需單一模組就能透過程式的修改來應付各種不同標準。市面上有許多 DVB-T 電視訊號 USB 接收器都採用 Realtek 的晶片,事實上,這就是一種寬頻 SDR 裝置。許多專案也都利用這款極便宜的接收器來接收無線訊號,少了它,就得使用價格更昂貴的其他套件。
隨著這些不同的可程式化處理器逐漸廣為人知、日益普及,再加上人們對它們的興趣逐漸提高,這類處理器也越來越有可能被用於惡意攻擊。
下期待續:【 軟體無所不在 5-3】-擁有軟體存取權限的車廠等製造商,才知道的隱藏版功能
當Lokibot第一次出現在地下論壇時,標榜的是資訊竊取和鍵盤記錄等能力,但這幾年來它又加入了許多功能。最近的攻擊活動已經看到這病毒家族會利用Windows Installer進行安裝,而且使用了新的派送方式,利用夾帶惡意ISO檔的垃圾郵件。分析新的LokiBot變種後發現它更新了持續性機制且使用 圖像隱碼術 (steganography) 來隱藏其程式碼,讓它在系統內更不容易被發現。
當時我們通知一家使用趨勢科技託管式偵測及回應(MDR)服務的東南亞公司出現潛在威脅時發現此一LokiBot變種(趨勢科技偵測為TrojanSpy.Win32.LOKI.TIOIBOGE) – 一封聲稱來自印度甜點公司的電子郵件附件檔。公司內部署的趨勢科技趨勢科技的Deep Discovery Inspector沙箱發出了警訊加上此封郵件的可疑性質讓我們通知公司可能的惡意威脅,接著趨勢科技研究部門進一步地深入調查和分析。
圖1. 包含LokiBot附件檔的郵件樣本截圖
繼續閱讀詐騙集團又出新花招,繼前陣子假冒宅配公司詐騙後,趨勢科技防詐達人發現詐騙集團開始成立20幾個網站與臉書帳號賣無花果茶,廣告內頁連入一頁式購物詐騙網站,宣稱能治療糖尿病 。
這些詐騙的共通特色,宣稱來自台灣小農,另外,也不再冒用知名品牌的粉絲頁,而是成立各種粉絲團如 「台灣在地小農」 、 「生活家居館」 ,甚至一些跟產品沒有連結度的英文名稱粉絲專頁: 「A quick」 、 「 AthenG 」 、 「 Pure Apple Cider Vinegar Gummies 」 」…刊登臉書廣告促銷「彰化小郭」 的無花果茶。 另外, 趨勢科技防詐達人發現也發現,有宣稱可從根部治好白頭髮,讓黑髮重新長出來桑葚 ,還有打著陳月卿老師推薦的苦茶油 。
其實今年六月大愛醫院就發現網路上有不法份子販賣宣稱可以治療糖尿病的無花果茶,還盜用電視節目影片,以及醫師和病友影像,看似為這家產品背書。
最近這名被盜照片的病友,發現詐騙集團在 FB 故技重施,成立多個粉專刊登廣告,該名病友也留言: 「不要再盜用我的照片,不要再騙人了」
另外也有台灣相關業者發出反詐騙聲明 ,因為不肖詐騙集團,盜用電視台專訪影片,
在網路販售”來路不明”的”無花果乾 。
