近來又爆發幾個重大資安事件,災情遍布全球,從義大利南部小城到中南美洲的哥斯大黎加,烽火連天的烏克蘭更是重中之重,不乏複合式攻擊與旁觀者攻擊手。
戰雲密布,烽煙四起的歐洲地區,義大利南部西西里島的巴勒摩(Palermo)市,在6月份因遭網路攻擊,迫使該市關閉所有市府網路服務,許多公共設施與服務因此而中斷。媒體推斷是勒索軟體所為,而非親俄駭客組織Killnet慣用的DDoS,不過到目前沒有組織正面出來承認。 巴勒摩市已不是頭一招,哥斯大黎加4月中亦遭Conti軟體攻擊勒索2千萬美元,包括財務部、稅務及海關系統等數十個不焚感染及停止服務,無獨有偶地,上周又被Hive勒索軟體攻擊。balabala....... 不勝枚舉.....
▲ 這就是巴勒摩市與哥斯大黎加沒有安裝趨勢科技的勒索剋星。
Windows近來有一個新的零時差漏洞DogWalk,微軟5月底爆發位於MSDT的Windows漏洞CVE-2022-30190(又名Follina)後,本周又有其他研究人員揭露和MSDT有關的新漏洞,到截稿為止,同樣還沒有修補程式釋出的消息。 DogWalk屬於MSDT漏洞,是一項路徑/目錄穿越(Path Traversal)漏洞,允許攻擊者將任何檔案,存在檔案系統任何地方,而且不會被檢查到。DogWalk漏洞開採可利用郵件傳送或連結誘使用戶從網路上下載惡意diagcab檔,這是一個Cabinet(CAB)檔案,包含診斷設定檔,可為實作MSDT的疑難排解工具(Troubleshooter)執行。
▲ 如果使用有安裝趨勢防毒軟體,最基本的掃毒引擎經過病毒碼比對就能嚇阻檔案型病毒,或是依賴郵件掃描功能也能夠阻擋病毒。
中國駭客組織散布WinDealer惡意軟體有新手法,已具旁觀者攻擊手法能力,旁觀者攻擊手法全名稱之為Man-on-the-side attack,一般當攻擊者透過攔截或監聽的手法,即可在網路上看到特定資源請求,攻擊者會藉機會試圖以更快的速度回應受害者,比合法伺服器先一步來回應請求,請求者輕則遭到DDoS攻擊或接收到不正確的資料,重則有可能洩漏隱私資料或者接收到惡意程式。
2022年6月8日,駭客組織Black Basta鎖定虛擬化平臺發展勒索軟體、攻擊者利用微軟Office重大漏洞對烏克蘭下手。
那有沒有複合型攻擊,有的!於4月出現的駭客組織Black Basta,其攻擊目標開始納入VMware虛擬化平臺引發關注;有駭客組織利用近期出現的MSDT零時差漏洞,對烏克蘭政府單位發動釣魚郵件攻擊。這就是透過系統服務漏洞,再利用MSHTML漏洞CVE-2021-40444,以及近期被揭露的MSDT零時差漏洞CVE-2022-30190,下載滲透測試工具Cobalt Strike的Beacon到受害電腦。
▲也有駭客利用BLU中繼的方式,延伸藍牙訊號範圍來打開居家或汽車電子鎖。這個概念與WIFI的中間人攻擊有87%類似,若不想成為被害者,就是盡量不要使用公用WIFI連線,萬一需要使用時也可以借助趨勢防毒軟體來判斷是否安全,
▲ 或者採用安心PAY或VPN保護金融連線。
勒索軟體也有訂閱制,駭客也會改變商業模式,提供其他下游者能自行客制化的勒索軟體產生器,能偵測沙盒陷阱,更具備自我刪除能力,更提供教育訓練與售後服務,並利用親戚的Paypal帳號收取不法所得,由於樹大招風的結果,該名駭客已透過該名親戚確認到身分,目前正面臨十年刑期的起訴。如果能利用勒索剋星來防止加密,不管駭客如何改變商業模式,如何規避機器學習搜尋,最後都是無法成功加密檔案的。
▲ 不要以為Linux作業系統或者虛擬化作業平台就不會中毒,就有以Linux為基礎的NAS被駭客遠程執行代碼,也有不少勒索軟體駭客轉向虛擬化平臺發展,趨勢科技就揭露名為Cheerscrypt鎖定VMware ESXi而來,加密程式會攜帶同組的公鑰與私錀,來產生私鑰,並使用Sosemanuk串流加密法製造密鑰,並將公鑰嵌入被加密的檔案中,最後在刪除私鑰並通知被害者索要贖金,想要恢復檔案就必須透過公鑰到駭客查詢最一開始的私鑰才能進行解密。
勒索軟體也有訂閱制,駭客也會改變商業模式,提供其他下游者能自行客制化的勒索軟體產生器,能偵測沙盒陷阱,更具備自我刪除能力,更提供教育訓練與售後服務,並利用親戚的Paypal帳號收取不法所得,由於樹大招風的結果,該名駭客已透過該名親戚確認到身分,目前正面臨十年刑期的起訴。如果能利用勒索剋星來防止加密,不管駭客如何改變商業模式,如何規避機器學習搜尋,最後都是無法成功加密檔案的。
▲ 不要以為Linux作業系統或者虛擬化作業平台就不會中毒,就有以Linux為基礎的NAS被駭客遠程執行代碼,也有不少勒索軟體駭客轉向虛擬化平臺發展,趨勢科技就揭露名為Cheerscrypt鎖定VMware ESXi而來,加密程式會攜帶同組的公鑰與私錀,來產生私鑰,並使用Sosemanuk串流加密法製造密鑰,並將公鑰嵌入被加密的檔案中,最後在刪除私鑰並通知被害者索要贖金,想要恢復檔案就必須透過公鑰到駭客查詢最一開始的私鑰才能進行解密。
▲ 趨勢科技在Linux平台上也有ServerProtect防毒軟體,這個月公司就不斷地在review APEX ONE與ServerProtect的排程掃描狀況,超過一個月未執行掃描的主機管理員,就會被開資安糾正單,簡單說就是被high-lighted。勒索軟體GoodWill還會劫富濟貧,要求向貧民行不樂之捐,才願意換取密鑰,真是笑掉IT界的大牙。我看很快就要要求被駭者做環保,或者早睡早起、扶老婆婆過馬路之類的,才願意幫忙解索(沒打錯啊!解除勒索。)。
▲ 知名老牌金流平台有點擊挾持攻擊(Clickjacking)的漏洞,駭客藉此乾洗用戶的帳號。點擊挾持攻擊(Clickjacking)就是藉著劫持網頁上可點選的內容,引誘使用者點選另一個網頁上的按鈕或是連結。駭客透過這樣的管道,可從被害者的PayPal帳號偷取金錢,或是在自己的Netflix、Steam等線上服務儲值或購買數位版軟體。該類的攻擊並非送出機敏資料,在挾持攻擊(Clickjacking)時,會轉向另一個URL,只要趨勢防毒軟體能蒐集到足夠完整的惡意URL,就能夠輕易阻擋點擊挾持攻擊。像筆者六月份的月報表中就成功攔截到八個惡意連結點擊。
▲ 有木馬程式可以在使用者送出資料之前,就將機敏資料外傳,PC-cillin-2022雲端版的私密資料保全就能擋住這些封包的外傳。
▲ 在臉書上某大FB討論群組上,版主提出一個防毒軟體使用率調查,就有網友在下面討論各廠牌的防毒軟體,結果沒有看到趨勢科技的罵名。
▲ 安裝來路不明的防毒軟體時,要先確認是不是以毒攻毒。畢竟IT界最講究五洲製藥理念「先研究不傷身體, 再講究效果。」。
▲ 又有苦主的手機被塞了一堆無用的程式。
▲ https://play.google.com/store/apps/details?id=com.trendmicro.tmmspersonal.apac
在行動平台上也有防毒軟體,在google play上搜尋「行動安全防護與防毒」,便可以找到趨勢防毒軟體, Android 智慧型手機和平板電腦皆可安裝使用。
https://play.google.com/store/apps/details?id=com.trendmicro.freetmms.gmobi另外也有免費的的「趨勢安全達人」App,提供 (手機防毒、相片隱藏保護、系統加速清理、App鎖),但安裝收費版「行動安全防護與防毒」之前必須先移除Android裝置上免費的的「安全達人」App。
https://apps.apple.com/tw/app/id910079618?ls=1
為不讓Android專美於前,在iOS上也有防毒軟體,在「App Store」上點搜尋,搜尋列輸入「趨勢科技行動安全防護」,取得然後在安裝。
▲ 為甚麼我可以一次安裝到多個平台上,因為趨勢科技PC-cillin 2022有三台的綑綁販售版本,能以較低的平均價格取得軟體授權。
