資訊安全專欄 - PCDIY! online

資訊安全專欄

ESET協助中小企業頭家打擊駭客防堵勒索

回顧2017三大資安攻擊型態--勒索病毒(WannaCryptor等)、目標式攻擊及DDoS攻擊，各產業無一倖免。而WannaCry是第一個利用Windows系統中SMB漏洞進行攻擊的勒索軟體，直到現在都還有很多駭客利用SMB漏洞發動資安攻擊，且攻擊對象以一般中小企業為主，全球資安大廠ESET推出【家庭辦公室資安包】，適合5-20台電腦以內的小型企業及工作室，此方案結合檔案伺服器與行動裝置防護，以最優秀的主動防禦技術，不影響公司系統架構，提供最優質的資安防護，讓您花小成本，資安防護大效益，一舉打擊駭客防堵勒索。 ESET開春重炮出擊，即日起凡新購【家庭辦公室資安包】20台3年，上網登錄即送日本Brother事務機，讓您“一舉兩得”且省更多，同時擁有安全的網路環境還增添優質辦公配備。數量有限，動作要快！活動詳情可電洽資安團隊(02)7722-6899，或上ESET官網查詢：https://www.eset.tw/event/business/
芬-安全F-Secure強大的Software Updater自動修補軟體弱點、有效阻止已知漏洞攻擊

總部設在芬蘭赫爾辛基，全球領先的網路安全軟體和服務公司芬-安全F-Secure的安全專家表示，每90分鐘就會發現一個新的安全漏洞，且每年都有數千個漏洞被檢測出來。平均來說，這需要103天的時間來修復漏洞。已知的漏洞若無及時修補，將會使企業遭受無法預期的攻擊。芬-安全F-Secure強大的Software Updater軟體更新功能，能夠通知管理者並透過自動修補/更新這些弱點，以防止利用已知漏洞攻擊。在2017年5月大規模的WannaCry加密勒索軟體爆發，是一個利用已知漏洞攻擊最好的例子，這個勒索病毒爆發威染了許多國家的系統、影響了大範圍的行業，包含運輸業及醫療業。WannaCry加密勒索病毒建構在已知的Microsoft Windows Server Message Block(SMB) MS17-010漏洞上，而Microsoft已於2017年3月份修補此漏洞，當時因為多數企業無修補此漏洞，成為此波攻擊的受害者。芬-安全產品管理副總裁Jimmy Ruokolainen表示：「處理網路威脅最好的辦法就是在漏洞被利用之前修復這些漏洞。」威脅評估工具只針對特定位置去檢查就可以有效的發現漏洞和暴露的系統，但是它們並不能有效的發現所有要檢查的系統。網路拓撲(web topology)是網路的結構，包括節點和連線，藉由芬-安全F-Secure整合漏洞掃描和管理的平台，資訊安全管理者可以產生組織中Internet和網路拓撲(web topology)的威脅評估報告，允許管理員識別和管理內部和外部威脅，風險報告並符合現今或未來的法規。透過高效率的服務工作流程，包括漏洞監控、自動化排程掃描以及優先修復和驗證，可提升生產力及簡化安全管理。芬-安全F-Secure具有獨特的網路拓撲(web topology)映射功能，這就是芬-安全比其他漏洞管理解決方案更進一步的地方。芬-安全F-Secure的Software Updater軟體修補/更新功能是其企業版產品的一大特色，支援3800種以上作業系統及應用程式的漏洞更新，包含Microsoft、Adobe、Autodesk、Apple、VMWare、Google…等，主動找出企業環境內的軟體漏洞並將其依關鍵安全性、重要安全性、非安全性、Service pack…等類別，提出軟體更新漏洞修補建議，非常方便管理者使用。
壞兔兔(Bad Rabbit)勒索病毒來臨，偽裝在Flash Player安裝程式中，歐洲已傳出災情

還來不及哭哭！這次，壞兔兔又來囉！自台灣於今年5月開始，陸續受到「WannaCry」勒索病毒(蠕蟲)的威脅之後，相信大家開始對這類「勒索」病毒應該保有一份戒心才是。而縱使網路有傳言直指WannaCry(哭哭)病毒的幕後主使者就是北韓，其利用病毒的網路攻擊方式，來進行所謂的網路恐攻，造成無數受害者資料被加密，而必須選擇放棄自己的數位心血，或是花錢消災！由於WannaCry創下在幾天之內，就在150個國家感染了30多萬台電腦，並要求受害者支付300美元起跳的贖金，才有機會將硬碟裡面被加密的檔案解密回原狀。但是，網路恐攻不會就這樣銷聲匿跡，因為近日，網路上有發現到全新的勒索病毒，叫做「Bad Rabbit」。 Bad Rabbit也是勒索病毒的一種，其目標主要瞄準在企業網路，並發動大規模攻擊！已知包括俄羅斯、烏克蘭等部份歐洲，已經遭受攻擊！目前該病毒也正從歐洲開始向外拓展！玩家們可要小心這一波的攻擊！這次的Bad Rabbit勒索病毒，可能是源自Petya的變種。因Bad Rabbit主攻公共建設與公司行號，目前已知災情主要發生在烏克蘭和俄羅斯的運輸系統，以及媒體產業。烏克蘭的CERT組織(CERT-UA)還在10/24發出一份，來警告其網民們注意這個病毒正在肆虐中！目前尤其是在交通基礎建設方面，更要注意該病毒的下一步攻擊動向！除了俄羅斯受害最嚴重(65%)之外，像是烏克蘭(12%)、保加利亞(10%)，土耳其(6.4%)也有災情，就連亞洲的日本(3.8%)，也有遭受到Bad Rabbit的攻擊！不曉得各位有沒有碰過有些網頁，會回報你說你的Flash Player版本太舊，可能無法完整顯示網頁內容，而要求你更新的？有碰過的話！請務必小心！這種多半可能是病毒所偽裝的技倆，雖然也是幫你安裝好Flash Player，但其實還會「挾帶」一些有害程式，來入侵你的系統。Bad Rabbit就是利用這類的方式，來讓使用者中招！據的分析，Bad Rabbit勒索病毒會透過假的Flash Player更新來進行傳播，再結合Mimikatz這類的開源工具來取得Windows的登入密碼(憑證)，並使用常見的硬編碼憑證列表(例如Admin、Guest、User、Root等)，來獲得權限。除此之外，Bad Rabbit在加密的你的檔案時，還透過這類的合法的開源加密工具，來把你的檔案進行加密，這樣一來，一些比較「嫩」的防毒軟體，還誤以為是使用者自己在加密檔案，而不是病毒在搞鬼！使得災難來臨時，使用者措手不及！由於Bad Rabbit是以網路為傳染途徑，將病毒複製到其他電腦，其透過WMI (Windows Management Instrumentation)與服務控制管理遠端協定，來執行病毒碼。一旦Bad Rabbit被執行到時，就會透過Mimikatz工具，伺機用字典攻擊來取得Windows登入憑證，讓它可以取得最高的系統使用權限，接著再搭配DiskCryptor來加密害者的硬碟。因此，為避免被「壞兔兔」纏上，以下是建議的作法： (1) 趕快更新/修補作業系統漏洞。像是SMB的更新，微軟就有推出MS17-10的重大更新修補包。請到下載，並確認系統有打上這個修補包。可以的話，就將有漏洞的SMB V1功能關閉！ (2) 開啟防火牆、IDS、IPS等安全防護措施。 (3) 將資料分類管理，並使用網段分割架構，以降低受駭後的資料損害風險。 (4) 若用不到的話，就把WMI服務關閉！ (5) 安裝具備主動式防禦的防毒軟體，同時將重要檔案存放至其安全資料夾，以避免發生災難時，檔案被病毒無故加密！以上，也祝福各位免於遭受病毒的侵擾！參考資源：
Wi-Fi密碼被攻陷！KRACK(密鑰重裝攻擊)可輕易入侵你家無線網路！請趕快更新！

自Wi-Fi Alliance (Wi-Fi聯盟)推出了當今最流行的Wi-Fi無線網路協定，至今已成為各3C裝置的無線高速傳輸主要協定，無論是電腦、平板、手機，或是其他聯網裝置，都能享受免接線的上網樂趣！而出門在外，不管是飯店、大眾交通工具上，或是公共場所，也能透過公眾Wi-Fi服務，來享有上網的便利性！不過，服役13年的Wi-Fi密碼保護機制，日前已經破功了！資安專家最近在Wi-Fi的加密協定中發現重大漏洞，將可能導致數以百萬計的使用者容易遭受駭客攻擊，包括Windows、Android、Linux作業平台的使用者，只要您透過Wi-Fi無線上網，都有可能讓您的資訊暴露在外，甚至機密資訊(如信用卡號碼、密碼、聊天訊息、電子郵件內容，甚至照片)遭到竊取！ 2017年初，比利時魯汶大學(KU Leuven)的電腦科學家Mathy Vanhoef，在進行研究時，發現這個漏洞。這個漏洞簡單來說，就是攻擊者或駭客只要在有Wi-Fi的網路環境下，就可以透過繞過WPA2的密碼，並重新安裝新的全部都是0的密碼，來連接到您的Wi-Fi，如此一來，攻擊者就可以在網站裡面植入木馬、蠕蟲等惡意軟體，導致您的資料外洩！這個被稱作「密鑰重裝攻擊」（Key Reinstallation Attacks，簡稱KRACK），可說是近年來被發現的資安問題中，最嚴重的一種！因為如今有超過41%的Android裝置，都有這項漏洞！就連當今所有的Windows電腦也有這項漏洞，更慘的是，不少Linux裝置也含有這項漏洞！因此許多使用Linux為主的NAS、Router等裝置，也有被入侵的可能性！有關於KRACK的攻擊方式，可參考這個網站。裡面有展示攻擊的方式，以及說明細節！由於比較深入，有興趣的讀者可以參考看看！＃影片＝https://www.youtube.com/watch?v=Oh4WURZoR98 KRACK 密鑰重裝攻擊展示，透過繞過WPA2密碼的方式，來攻擊Android與Linux裝置(影片長度大約4分半) 下面整理了相關的Q&A讓大家了解更多的訊息，大家看過之後應該就有基本認知了。相較於先前的漏洞來說，KRACK是不同類型的攻擊方式，因為KRACK是等您的3C裝置在發送訊息時，伺機從中攔截！所以儲存在您手機上的資料都是安全的！但是若您透過Wi-Fi的方式去發送信用卡號碼、網站密碼、Email、簡訊、LINE訊息，都有可以能被盜取！尤其是在HTTP的網站中 (非加密式HTTPS網站)，更容易遭到盜取！有可能！但不是裝置本身的問題！而是Wi-Fi資訊洩漏的問題！尤其是你上一些HTTP的網站，又輸入了密碼！而你家附近剛好有駭客在利用KRACK方式攻擊時，您的密碼就有可能被盜！你可以更改！但這是沒有效果的！因為KRACK攻擊，是利用Wi-Fi的漏洞，其攻擊目標是利用您路由器所加密的訊息，因此攻擊者並不需要破解密碼來達到攻擊的效果！所以更改密碼似乎無法改變被攻擊的機會！是的！只要透過Wi-Fi來發送和接收資料的任何裝置，都有這種風險。發現攻擊的研究人員表示，Android設備的風險要高於其他手機，約有41%的裝置有這樣的漏洞！歹勢！Android 6.0 (Marshmallow)或更高版本的新手機，反而風險更高！因為其程式碼存在一個現有的漏洞，使問題更加複雜化，讓駭客更容易「攔截和操縱流量」。不過，有兩則消息，一則以喜、一則以憂。好消息是：Google已經正式發布修正檔，並說明2017年11月6日以後之安全修補程式的各種Android裝置，都可以防止這些漏洞。看來在這段漏洞期間，你可能盡量少用Wi-Fi上網吧！壞消息是：有數以百萬計的手機還沒有接收到這項更新，有些手機製造商一直以來就不會針對其手機發布安全性更新，或者慢半拍，甚至根本不想理會這些客戶的生死！截止目前為止，已知HTC、Sony、Huawei…等大型手機製造商，都還沒針對其更新政策來發表自己的公開聲明，以修復其上市的各種手機的系統安全漏洞，這真是重大災難！至於Nokia先前就表示每個月都會推出一次更新！而Samsung也承諾「即將推出」這次漏洞的更新，但還沒實際說明哪些裝置可以安裝此更新！至少比Android安全一些！但也不是完全安全的！蘋果已經在先前的聲明中表示，目前的所有iOS、macOS、watchOS和tvOS的beta版本中，都針對KRACK漏洞做了修復，相信將會在短期內釋出給所有Apple用戶來更新。有關這則訊息，請參考。目前已知AirPort路由器、Time Capsule無線基地台，都沒有KRACK的漏洞！簡單來說，新的beta版本是確定完全沒有KRACK漏洞的！由於還在beta版本期間，若你等不及了，可以到，去登記下載Beta版本吧！不！所有的Windows電腦都有KRACK漏洞風險。不過，微軟才在10月10日偷偷放出針對KRACK的安全修正檔！您必須趕快更新，才不會讓您的電腦有所風險！有關這次的更新內容，可以參考，或者你也可以在該網站裡直接下載更新檔來更新。其實可能更不安全！因為研究人員實際上發現，Linux電腦是最脆弱的裝置，因為與Android程式碼中發現相似漏洞，容易遭受KRACK攻擊。而許多LINUX的廠商也已承諾將放出更新！來修正這個問題！ Debian為主的Linux目前可以透過來安裝修正檔。 Ubuntu也針對其14.04以後的版本，發布，記得去更新。 Gentoo也已經了，記得更新！其實關閉Wi-Fi可能也無濟於事！因為您的裝置仍有Wi-Fi漏洞風險！若您覺得恐慌，那麼唯一方法方法就是盡量避免使用Wi-Fi，直到您的路由器廠商發布安全修正檔，並已更新完成後，再使用Wi-Fi。 Microsoft(微軟)已經發布，趕快利用自動更新或手動更新就對了！至於Apple(蘋果)則表示在beta版本的自家各OS裡面，就已經修復這個問題，其Developer(開發者)皆可獲得這個版本。若您的裝置是Android或Linux，現在能做的就是等待！Google已經確認他們已經意識到這個問題的嚴重性，並將在這幾個星期內釋出安全更新檔！而其他Linux供應商也將陸續釋出！您能做的就是追蹤這類的新聞，並繼續持續檢查更新，看看是否有安全修正檔已經釋出！最快的方法，就是在系統更新頁面上，檢視是否有新的更新紀錄！此外，您可以看看這個部落客網站，他會持續追蹤哪些公司已發布了安全修正檔！網址在。首先，您應該檢查您的路由器或NAS，是否有任何未完成的韌體更新或安全性修正。記得用管理員帳號登入管理頁面，來安裝最新的韌體更新，若沒有的話，請記得隨時檢查一下，因為這些廠商應該會在接下來的幾個禮拜內，陸續推出新的更新檔！若擔心的話，記得致電到您路由器或NAS廠商的客服電話來詢問！已知Intel有針對他們家全系列的Wi-Fi無線產品，提出，趕快去更新吧！ Wi-Fi Alliance剛已發布，說明他們現在要求Wi-Fi全球認證實驗室網路中，對此漏洞進行測試，並已提供了一組漏洞檢測工具給任何Wi-Fi聯盟成員使用。對於此漏洞的細節，Wi-Fi聯盟並不掩飾這個瑕疵，還廣泛地做了介紹，並向各Wi-Fi裝置供應商提供了各種補救措施，同時鼓勵他們與他們的解決方案提供商合作，快速整合任何必要的更新檔，給他們的客戶。你看他們都這麼積極在進行補救了，就不要再嘴他們囉！之前發生過Wi-Fi被攻擊的事件，其實層出不窮！而這次KRACK的漏洞更加嚴重，是否讓人考慮，重新取出網路線，透過有線的方式來連接，比較安全呢？也不盡然，畢竟當今病毒的攻擊更可怕！在一直使用LAN方式連接的電腦裝置中，玩家甚至很難去發現自己的電腦已經中毒！最好的方式，就是安裝防毒軟體！總之，有關於這次KRACK的漏洞，大家只要有使用Wi-Fi來上網，就應該重視這個問題，趕緊更新您的電腦與各式3C裝置，讓自己不要身陷遭受到駭客攻擊的危機！
ESET資安產品的家長監管程式獲認證，全球僅3款通過測試！！！

【家長監管程式】的主要作用是在保護兒童避免他們瀏覽成人內容或接觸一些提供賭博、暴力等資訊的網站，讓父母能夠幫助孩子安全地上網並管理他們使用的應用程式及網站。ESET資安產品提供了監控和阻止進入各網站的類別，並設有「限制使用時間/時段」功能，讓家長有效的管控孩子上網的所有行為。全球只有3款家長監控軟體通過「AV-Comparatives Approved Parental Control Award for 2017」並獲得認證，而ESET就是其中之一。即日起，凡購買ESET防毒系列家用版，可享優惠價，上官網登錄還有好禮相送；另外針對企業用戶也有特別方案進行中，可電洽資安團隊(02)7722-6899，活動詳情請上ESET官網查詢：
安克諾斯Acronis Snap Deploy複製磁碟一鍵完成

領先世界的備份保護與安全存取專家 – Acronis安克諾斯最新Snap Deploy 5快照部署解決方案，協助IT經理可以快速度刷新工作站和設備使其回復標準設定，或僅以安裝一套系統所需的時間，執行上千台機器的更新部署，確保企業員工、學生以及其他使用者在安全的設備上工作學習。完整支援Windows 10與2012，提供快速部署至PC、Windows 平板電腦、Windows server與 Linux，兼具速度和便捷性，協助企業經理、員工及學生進行大規模部屬工作，大幅提升工作效率。安克諾斯Acronis台灣總代理－湛揚科技產品技術副理張富凱表示：「IT部門經常需要支援進行各種安裝、佈署工作，尤其在重新安裝或佈署新的作業系統、應用程式、服務至相同硬體甚至不同硬體的工作站或伺服器上，往往需要不同的工具來完成這些任務，以符合作業環境的需要，無形中花費了許多的時間、人力成本，現在運用安克諾斯Acronis Snap Deploy一套易於使用的解決方案，透過一個簡單的步驟，不需厚重的手冊，輕鬆佈署工作站、Windows/Linux伺服器，協助IT人員大幅降低佈署工作帶來的作業成本。」 Acronis Snap Deploy 5 採用了 Acronis AnyData Engine技術，能讓使用者將任何標準的配置，包括系統、配置、檔案以及所有應用程式等，建立一個精確的磁碟影像，以後只需一個步驟，便可即時將該影像同步部署到多台機器。此外，支援多個作業系統，包括Windows、各伺服器平台和Linux系統。 Acronis Snap Deploy 5 可對正在運行的系統即時完成影像部署工作，讓管理員省去傳統需以手動引導每個系統的過程，並可同時管理機器相關的配置，包括電腦名稱、IP、網域成員以及其他的系統設定等，進而提高整體工作效率。採用 Acronis Universal Deploy 技術，將相同的影像發送到不同的硬體，甚至可以同步發送到不同型號機器中。除此之外，若希望針對不同的部門作不同的系統設定，透過 Acronis Snap Deploy 5 亦可實現，支援 MAC 位址定位，管理員可透過定義不同的 MAC 地址，對不同部門的所有電腦，或是獨立一部電腦分配獨立設定，這樣便可進行最適合的配置。安克諾斯Acronis Snap Deploy快照部署解決方案為使用者建立精確的系統影像，部署到多台PC和伺服器，是教育機構、企業培訓中心和中大型企業組織，需要持續部署相同或不同硬體的理想解決方案。了解更多Acronis安克諾斯Snap Deploy快照部署解決方案中文版產品資訊與技術優勢，請洽台灣總代理 - 湛揚科技02-2735-3512，或參考湛揚科技官網。
趨勢科技與歐洲刑警組織 (Europol) 合作協助金融業對抗 ATM 惡意程式

全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 與歐洲刑警組織 (Europol) 的歐洲網路犯罪中心 (European Cybercrime Center，簡稱 EC3) 今天共同發表一份針對 ATM 惡意程式現況的研究報告：「利用 ATM 惡意程式大發利市」，報告中詳細說明駭客如何利用惡意程式對 ATM 提款機進行臨機攻擊或網路攻擊，同時也探討了這些惡意程式的來源。今日，ATM 惡意程式已經從當年駭客必須親自將惡意程式臨機植入 ATM 提款機的時代，演變成可以經由銀行內部網路駭入提款機。這份報告詳細剖析了近期的一些攻擊，說明不論銀行內部是否實施網段分割，歹徒都能利用銀行內部網路駭入 ATM 提款機，讓提款機吐鈔，並竊取提款機內記錄的金融卡資料。這些攻擊不僅將危及個人身分識別資訊 (Personally Identifiable Information，PII) 的安全，更讓銀行蒙受大量金錢損失，也面臨違反 PCI 法規的懲罰。 EC3 總裁 Steven Wilson 表示：「這份由 Europol EC3 與趨勢科技共同製作的產官合作報告指出，歹徒所使用的惡意程式比起以往顯然大幅演進，而且攻擊的範圍和規模也相對擴大。儘管民間產業與政府執法部門之間的合作已更加緊密，但犯罪的情況依然不減，因為網路犯罪集團的獲利實在相當龐大。這份報告詳細探討了這項威脅的發未來展動向，並且希望能成為民間產業與政府執法部門合作的參考藍本。」趨勢科技資訊長鄭奕立指出：「要防範今日的網路威脅並達成法規遵循要求，企業所需投入的資源往往超出自身所能負荷，就連金融業也一樣。因此，透過公私部門共同合作，就能強化全球持續打擊網路犯罪的能力，彌補企業資源上的不足。趨勢科技將持續協助執法機關及私人企業防範未來攻擊與保護消費者。」此報告除公開版本之外，另有一份專門提供給執法機關、金融機構以及資安產業的限定版。這份限定版的內容提供了更詳盡的說明，以便讓公家機關和私人企業了解如何提升 ATM 提款機與網路系統的安全，進而防範金融機構未來可能面臨的攻擊。如需完整的報告，請至：
ExpensiveWall：危險的「封裝式」惡意軟體在 Google Play 現蹤，小心荷包大失血

Check Point 的行動威脅研究團隊發現一個新的 Android 變種惡意軟體，這個軟體會傳送付費詐騙簡訊給使用者，再利用使用者的帳戶收取服務費用，但這些全都是子虛烏有的服務，使用者更是渾然不知。根據 Google Play 的資料，目前至少有 50 款應用程式遭這個惡意軟體感染，而在遭感染的應用程式下架之前，下載次數已經介於 100 萬到 420 萬之間。這個新種惡意軟體稱為「ExpensiveWall」，名稱源自於這款惡意軟體用於感染裝置的其中一款應用程式：「Lovely Wallpaper」。ExpensiveWall 是新的變種，原生惡意軟體是今年稍早在 Google Play 現蹤的惡意軟體。目前，這一系列惡意軟體的下載次數已經介於 590 萬到 2110 萬之間。 ExpensiveWall 與其他同系列惡意軟體的差別在於它經過「封裝」，這是一種先進的模糊化技術，惡意軟體開發者利用這種技術加密惡意程式碼，讓惡意軟體程式碼得以規避 Google Play 內建的防惡意軟體保護機制。 Check Point 於 2017 年 8 月 7 日向 Google 告知 ExpensiveWall 一事，Google 隨即將遭到檢舉的樣本自其商店下架。不過，即便將遭到感染的應用程式下架，短短數天後，又有另一個樣本滲透到 Google Play 中，導致超過 5,000 台裝置遭到感染，四天後 Google 才將其下架。在此強調，若應用程式已遭感染，且安裝時間是在應用程式商店下架該應用程式之前，使用者的裝置仍會繼續保留這些應用程式。因此，下載這些應用程式的使用者仍有風險，應手動將這些應用程式從裝置中移除。這個惡意軟體會在受害者不知情的情況下註冊付費服務，然後傳送付費詐騙簡訊，利用使用者的帳戶收取子虛烏有的服務費用。 ExpensiveWall 目前只以利用受害者牟利為主，但很容易就能改造成另一款類似的惡意軟體，運用相同的基礎架構盜取照片、錄音檔，甚至還能竊取敏感資料，再將資料傳送到命令與控制 (C&C) 伺服器。這個惡意軟體能夠在幕後操作，使用者完全不會察覺任何非法活動，因此其最終轉化為間諜工具。下載 ExpensiveWall 後，這個軟體會要求幾項一般權限，包括存取網際網路 (ExpensiveWall 能利用網際網路連線至 C&C 伺服器) 及簡訊權限 (以利在使用者渾然不知的情況下傳送付費簡訊，並利用使用者的身分註冊其他付費服務)。對惡意軟體開放這些權限會造成傷害，但許多應用程式也會為了正當用途要求相同的權限。大多數使用者會不假思索便核准授權，如果所安裝的應用程式來自 Google Play 這類值得信任的來源，使用者更不會多加懷疑。 ExpensiveWall 包含一個能夠連接程式內操作與 JavaScript 程式碼的介面，這個 JavaScript 程式碼需透過名為 WebView 的執行，也就是說，在 WebView 執行的 JavaScript 能夠觸發應用程式內的活動。使用者安裝 ExpensiveWall 並核准必要權限後，ExpensiveWall 會將遭感染裝置的相關資料傳送至 C&C 伺服器，包括裝置位置和唯一識別碼，例如 MAC 及 IP 位址、IMSI 以及 IMEI。每當使用者將裝置開機，或者裝置改變連線方式，應用程式就會連線至 C&C 伺服器並接收一個 URL，這個 URL 隨即會在內嵌的 WebView 中開啟。這個網頁包含一個 JavaScript 惡意程式碼，能夠利用 Javascript 介面叫用程式內功能，例如訂購付費服務以及傳送簡訊。這個惡意軟體會在幕後點擊網頁中的連結，就像在其他情況下點擊廣告一樣，從而啟動 JavaScript 程式碼。這個惡意軟體會竊取裝置的電話號碼，再利用電話號碼以受害者的身分訂購不同的付費服務，如下方範例所示：在某些情況下，即使發生了簡訊活動，使用者也不見得會收到通知。有時候，惡意軟體則會向使用者顯示名為「繼續」的按鈕，使用者一旦按下這個按鈕，惡意軟體就會利用使用者的身分傳送付費簡訊。以下舉例說明含內嵌式 JavaScript 的 HTML 程式碼：使用者已經留意到惡意活動，參見下方其中一則評論：如上圖所示，許多使用者懷疑 ExpensiveWall 是惡意應用程式。評論內容指出，許多社交網路會出現這個應用程式，Instagram 就是其中一個例子，或許這正是這個應用程式能夠迅速累積下載次數的原因。分析不同的惡意軟體樣本後，Check Point 行動威脅研究人員相信，ExpensiveWall 已經散播到許多不同的應用程式 (作為名為「gtk」的 SDK)，開發者會將其內嵌在自己的應用程式中。目前含有這個惡意程式碼的應用程式共有三種版本。第一種是未封裝版本，發現的時間在今年稍早。第二種是本文探討的封裝版本，第三種則含有程式碼但不會主動使用程式碼。使用者和各組織應特別注意，即使一開始只是個看似無害的廣告軟體，一旦惡意軟體發動攻擊，每一次都會對行動網路造成嚴重破壞。ExpensiveWall 是又一個例子，證明我們有必要立即保護所有行動裝置，防範先進威脅的攻擊。要防範像 ExpensiveWall 這樣的尖端惡意軟體，就必須採用先進的防護措施，要能並用靜態及動態的應用程式分析明辨並封鎖零時差惡意軟體。只有通過詳查惡意軟體在裝置上的運作模式，才能創造出阻止它的成功策略。使用者和企業應對自己的行動裝置與網路中的其他任何部分一視同仁，並且運用市面上最好的網路安全解決方案做好防護措施。 Check Point 客戶有 SandBlast Mobile 為後盾，安全無虞，而網路則可交給 Check Point防殭屍網路刀鋒，這款產品能夠防範這種具有下列特徵標記的威脅：Trojan.AndroidOS.ExpensiveWall。
漏洞研究讓趨勢科技成為資安威脅情報翹楚

隨著駭客攻擊日益精密，今日的資安廠商比以往更需要快速發掘並解決軟體漏洞。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 近日憑著傑出的漏洞研究計畫，被認為是全球首屈一指的資安威脅專家。根據 Frost & Sullivan 的一份研究報告*，2016 年，趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫所發掘並確認的漏洞數量領先全球，占全球總數 (1,262 個) 的 52.2%。ZDI 自 2007 年起即是獨步全球的漏洞研究與發掘計畫，多年來一直是發掘高危險性重大漏洞的業界翹楚。在這樣的優勢之下，受惠最大的就是趨勢科技客戶：當軟體廠商還在忙著修補漏洞的同時，趨勢科技的客戶早已預先獲得妥善的防護。2016 年，趨勢科技客戶平均可在廠商釋出修補更新之前 57 天預先獲得防護。這項漏洞懸賞計畫可說是趨勢科技資安威脅研究的核心支柱，包括：威脅研究員、資料分析師，以及各式各樣的實驗室，都是計畫中的一環。這項研究計畫結合了第三方威脅情報、全球白帽駭客網路、誘捕網路、爬網機器人，以及客戶端情報，隨時不斷強化趨勢科技 Smart Protection Network™ 的全球雲端威脅情報，為趨勢科技以 XGen™ 防護為基礎的解決方案提供強大後盾。趨勢科技威脅研究副總裁 Mike Gibson 表示：「2017 年 4 月，Shadow Brokers 駭客集團公布了多項針對軟體漏洞的攻擊工具，Microsoft 有多項產品名列其中。而這批漏洞有兩個就是 2006 年經由 ZDI 所通報的漏洞，也正因如此，趨勢科技客戶才能在廠商釋出漏洞修補更新之前預先取得防護。」 Gibson 進一步說明：「資料安全一開始或許是 IT 主管的責任，但如今已成為董事會關切的一項重大議題。假使沒有一套跨世代資安解決方案的保護，企業不論法規遵循作業、客戶資料或是品牌商譽，都將面臨威脅。」 ZDI 的成立宗旨，就是希望藉由實質的獎勵，促使外界資安研究人員循正當管道，以負責任的態度揭露零時差漏洞並通報相關廠商。ZDI 除了內部的漏洞研究之外，更舉辦 Pwn2Own 和 Mobile Pwn2Own 兩項年度駭客競賽來鼓勵研究人員發表自己發現的漏洞。這些競賽不僅為 ZDI 收錄了不少重大漏洞，又能鼓勵資安界經由該項計畫負責任地披露重大漏洞，而非將漏洞拿到地下市場販賣，進而助長不法歪風。今年的 Mobile Pwn2Own 駭客競賽將於 11 月 1、2 日在日本東京舉行。 Frost & Sullivan 資深產業分析師 Jason Reed 表示：「趨勢科技 ZDI 漏洞懸賞計畫扮演著全球漏洞發掘研究的龍頭角色。該項計畫鼓勵研究人員以負責的態度披露軟體漏洞，不僅有助於廠商修補自家軟體漏洞，更使趨勢科技能在廠商釋出修補更新之前，預先保護其客戶安全。廣泛收購各種平台的漏洞並確保廠商獲得相關資訊以修補漏洞，確實有助企業和使用者享受更安全的連網體驗。」如需完整報告，請至“Analysis of the Global Public Vulnerability Research Market, 2016.” Frost & Sullivan. July 2017.。
Aruba透過現代化的網路安全防護，幫助企業降低行動、雲端與IoT風險

Aruba(Hewlett Packard Enterprise子公司，紐約證交所代碼：HPE) 今天發布Aruba 360 Secure Fabric安全架構，藉由分析導向的全方位攻擊偵測與回應功能，幫助企業在瞬息萬變的威脅環境中降低風險。Aruba亦不斷擴展Aruba IntroSpect產品線，提供更創新的使用者與實體設備行為分析(User and Entity Behavioral Analytics, UEBA)，讓企業輕鬆迅速地將機器學習的行為偵測功能從小型專案擴大至整個組織。 Gartner的內部威脅研究報告指出，許多案例顯示企業組織曾遭受內部攻擊，儘管如此，他們仍未正視這些受信任的使用者所造成的威脅。好消息是Gartner發現希望解決此類內部威脅的客戶，幾乎增加了一倍，而UEBA正是解決此問題的主要關鍵技術。為了幫助企業解決新發現與未知的威脅，Aruba 360 Secure Fabric為安全與IT團隊提供一套整合方式，讓各種規模的企業在多廠商設備的基礎架構中迅速偵測與回應進階網路攻擊，從授權前到授權後都能獲得保護。 • Aruba IntroSpect UEBA解決方案：這是適用於任何網路的軟體產品，可持續監控與偵測進階攻擊。此方案包括全新的入門版本，以及利用機器學習偵測使用者與裝置的行為變化，以察覺躲避傳統安全機制的網路攻擊。機器學習演算法會根據攻擊嚴重性產生風險指數(Risk Score)，協助資安團隊調查安全事件。 • Aruba ClearPass：這是業界認可的網路存取控制(NAC)與政策管理安全解決方案，可分析BYOD與IoT使用者與裝置，自動回應攻擊。此解決方案現已整合至Aruba IntroSpect。ClearPass也可部署於任何廠商的網路。 • Aruba Secure Core：這是所有Aruba Wi-Fi基地台、無線控制器與交換器都具備的基本安全功能，包括最近推出的Aruba 8400園區核心/匯聚交換器。 IntroSpect UEBA系列產品加入了Aruba IntroSpect Standard，並在Aruba IntroSpect Advanced旗鑑產品中增加新功能。Aruba希望透過更強大的IntroSpect UEBA系列產品，讓安全團隊獲得更多選擇，並加速執行UEBA。 Aruba IntroSpect Standard讓企業快速上手使用UEBA的機器學習安全功能，只要三個資料來源就能加速保護組織與客戶資料。它也具備基本的監控與偵測功能，可察覺網路、行動裝置、雲端、IoT裝置與應用程式中異常且細微的使用行為，並能及早發現攻擊，避免災情擴大或資料被暗中竊取。此產品支援常見的資料來源，例如Microsoft Active Directory或其他LDAP驗證紀錄與身分資訊，以及Checkpoint與Palo Alto Networks™等來源的防火牆日誌或Aruba基礎架構的Aruba監控日誌(AMON)。企業可使用ClearPass迅速隔離、限制或移除已識別的威脅。部署IntroSpect Standard的安全團隊可以因應需求輕鬆升級至IntroSpect Advanced。 Aruba IntroSpect Advanced提供比IntroSpect Standard更齊全的安全功能。它可對多種資料來源建立關聯性，以偵測攻擊，不僅能加速事件的調查，還提升了威脅追蹤、搜尋與深度分析功能。此外還內建100多種監督式與非監督式機器學習模式，可分析與鑑定封包、流程、日誌、警報、端點、以及行動、雲端和IoT流量等資料，幫助企業更有效辨識風險。 • 利用動態機器學習執行智慧化的安全功能：安全團隊可依目前的威脅環境與防護順序自訂IntroSpect的分析模式。內建的鏈結(chaining)功能可將100多種可立即使用的機器學習模式相互連結，以建立新偵測情境和相關的風險指數。 • 利用裝置同類分組功能將行動、雲端與IoT裝置分類：即使只知道裝置IP位址，也能利用ClearPass的分析功能將裝置分類。例如，ClearPass將監控攝影機或工廠感測器分類後，IntroSpect會評估裝置行為，並與同類的群組比較，再根據比較結果標記異常的裝置行為。若要讓不斷擴增的IoT裝置類別獲得UEBA能力，這是非常重要的功能。 • 利用整合的攻擊回應功能加速修復：安全分析人員可以從IntroSpect控制台觸發ClearPass，迅速回應攻擊。 Aruba Secure Core內建於Aruba的網路基礎架構，可為任何網路提供必要的防護，包括安全開機、內建防火牆、集中加密、深度封包檢測與入侵防禦。Aruba獨特的基礎架構設計可防止實體破壞，同時保護與監控網路流量。藉由將IntroSpect UEBA與ClearPass整合至Secure Core，Aruba能提供從裝置搜尋與存取到攻擊偵測與回應的無縫防護，讓客戶獲得無與倫比的攻擊偵測能力，並可自動執行或由分析人員觸發動作，例如重新認證、隔離以及將使用者與裝置列入黑名單，以保護組織重要資產。 Aruba 360 Security Exchange計畫：支援多廠商的封閉迴路（Closed Loop）防護 Aruba 360 Security Exchange計畫結合了IntroSpect技術與Aruba ClearPass Exchange計畫的合作夥伴與技術資源，能提供100多種頂尖的安全與基礎架構解決方案，讓客戶與通路夥伴輕鬆獲得經過驗證的互通性，迅速部署可靠的網路環境。Aruba客戶也能將其整合至Aruba解決方案，以保障既有的安全投資，透過單一解決方案享有開放式架構的靈活性。網路攻擊與日俱增，並日趨複雜，軟體、硬體與半導體IP領導廠商Cadence Design Systems使用Aruba的安全軟體與網路管理解決方案保護其網路、資料與其他數位資產。「除了提供所有網路可視性，Aruba ClearPass還讓我們在有線與無線基礎架構中驗證裝置和執行原則，」Cadence Design Systems IT營運部門資深經理Faramarz Mahdavi表示。「Aruba IntroSpect UEBA的分析與威脅偵測功能會自動偵測異常行為，並決定安全事件的重要性，以加速解決問題，因此我們能更有效地保護我們的程式碼。ClearPass與IntroSpect的結合提供我們強大而一致的解決方案，主動管理與保護組織免於網路攻擊。」「行動、雲端與IoT的普及導致安全網路的界線迅速消失。不論使用者位於何處或使用何種裝置，為端點提供保護將會是對抗網路攻擊的重要手段，」McAfee Security Innovation Alliance領導人D.J. Long表示。「我們很高興看到Aruba 360 Secure Fabric整合平台與McAfee安全產品共同分享威脅情報與工作流程原則，讓雙方客戶獲得更有效率與效益的安全防護。」「Palo Alto Networks與Aruba聯手對抗網路攻擊。藉由擴大整合ClearPass 及雲端服務控制器，我們能透過Aruba 360 Secure Fabric提供進階威脅與內部攻擊的封閉迴路偵測與修復功能，」Palo Alto Networks業務與企業發展部資深副總裁Chad Kinzelberg表示。「即將推出的Palo Alto Networks Application Framework應用架構將徹底改變企業組織使用安全技術的方式，屆時雙方客戶不用部署內部基礎架構也能夠評估與使用Aruba IntroSpect這類解決方案。」參考資料 Partha Narasimhan部落格：The Digital Workplace Amidst a Vanishing Security Perimeter

«
2
3
4
5
6
7
8
»

最多人點閱