圖片來源: 

擷取自SophosLabs

1212-1218一定要看的資安新聞

 

勒索軟體

勒索軟體演化出新手法,將電腦以安全模式重開機以躲過防毒偵測

圖片來源/擷取自SophosLabs

Sophos研究團隊SophosLabs自2018年夏天發現Snatch勒索軟體,今年10月再次偵測到這隻軟體時,它已演化出可在Windows電腦安全模式下運作的能力,能讓電腦在重新開機進入安全模式之際,再對檔案執行加密。SophosLabs認為,這種能力使得這隻勒索軟體更加危險,因為安全模式下,防毒軟體通常不會啟動。

經由種種線索,安全公司判斷Snatch背後是使用俄語的駭客組織,主要鎖定企業攻擊,會將受害系統磁碟上的資訊加密以勒索,而被加密的檔案都會多出.abcde的副檔名,目前美國、加拿大和幾個歐洲國家,都有感染的企業通報。SophosLabs分析其程式碼得知,Snatch透過暴力破解公開於網際網路的服務,如RDP、VNC、TeamViewer,或以WebShell或SQL Injection手法滲透入企業網路,之後在內部散布。更多內容

 

殭屍病毒、物聯網安全

新版Echobot殭屍病毒所使用的漏洞攻擊程式增加到77個

圖片來源/擷取自Carlos Brendel's Twitter

基於Mirai程式碼的新一代殭屍病毒Echobot,於今年初快速崛起,安全研究人員Carlos Brendel在12月12日指出,Echobot殭屍病毒所利用的漏洞攻擊程式數量已達到77種,比6月其他研究人員發現的26種更多。而這些攻擊程式不僅鎖定了路由器、IP攝影機,還包括VoIP電話、展示系統、智慧家庭控制器、軟體、資料分析平臺、NAS,甚至是生物辨識掃描器。關於Echobot的目的,與其他殭屍病毒一樣,是感染眾多裝置並形成殭屍網路,進而利用對這些裝置的控制權,來發動大規模的分散式服務阻斷攻擊。更多內容

 

物聯網安全

FBI警告筆電不應和物聯網裝置共用Wi-Fi網路

圖片來源/擷取自FBI

隨著智慧家電及物聯網應用興起,一般用戶也成駭客下手的目標。美國聯邦調查局(FBI)本周呼籲大眾,連網攝影機、遊戲機及智慧喇叭等物聯網裝置,切記別和筆電設於同一Wi-Fi網路。

FBI指出,這些各式新興家用資訊裝置,將可能以消費者不知道的方式蒐集資訊,並傳到不明去處,還會讓駭客透過駭入上述IoT裝置入侵Wi-Fi網路,再經由家用路由器擴散到各個連網裝置,包括儲存隱私資訊和密碼的筆電。同時,FBI也再次呼籲用戶應變更所有IoT裝置的預設密碼,密碼不要共用且愈長愈好,並檢查IoT裝置搭配的App的資訊蒐集設定,關閉不必要的存取權限。此外,用戶也應啟動IoT裝置的自動更新,確保升級到最新版本軟體及韌體。更多內容

 

企業雲端帳號安全

G Suite在2020年6月將強制第三方App支援OAuth

Google祭出強化G Suite帳號安全措施,要求企業用戶使用支援OAuth協定的第三方App,才能存取G suite帳號。例如,Google指出,企業員工可能想用iOS郵件App,收發工作相關郵件,但這可能讓G Suite帳號陷入被劫持的風險。由於這類存取方式只驗證帳號、密碼,若帳密因為用戶和其他網站共用密碼而被駭客取得,駭客就可以直接存取G Suite相關資訊。若App支援OAuth協定,將讓G Suite可以獲取更多登入資訊,以防止帳密為第三人所用,而且,OAuth也允許G Suite執行管理員定義的登入政策,像是用硬體金鑰或啟用白名單等安全管控。這項措施將分二階段實施,在2020年6月15日,用戶不得新增未支援OAuth的第三方App存取G Suite帳號,到了2021年2月15日,將全面禁止任何不支援OAuth協定的第三方App。此外,微軟在之前也已經宣布,將在2020年10月13日禁止只有帳密驗證的第三方App存取Office 365/Exchange Online。更多內容

 

全球駭客搶旗攻防賽

DEF CON CTF主辦人在HITCON CTF論壇,首度公開PWN College開源課程

圖片來源/黃彥棻攝、擷取自PWN College

該如何透過現在流行的搶旗攻防賽(CTF),吸引更多對資安有興趣的資安人才呢?DEF CON CTF主辦單位O.O.O.(Order of the Overflow)主辦者,也同時是美國亞歷桑納州立大學資工系教授Yan Shoshitaishvili(網路暱稱Zardus),於日前參加在臺舉辦的HITCON CTF論壇時,正式宣布將他在大學開設的PWN College課程,透過開源方式釋出,希望可以作為全世界培育資安人才的入門教材。而這個開源專案用在教育領域是可以授權免費使用,但如果企業有興趣用來作內部的資安基礎訓練課程,也有企業授權方案供其使用。在HITCON CTF論壇之外,期間還有HITCON CTF(搶旗攻防賽)決賽在進行,由來自10個國家、加上臺灣的Balsn CTF決賽冠軍,以及趨勢科技CTF決賽冠軍,總計14個隊伍一起參賽,最終由中國隊Tea Deliverers獲得冠軍,並直接獲得晉級2020 DEF CON CTF決賽的資格。更多內容

 

勒索軟體

微軟認為企業支付勒索軟體贖金,難脫助長網路犯罪之嫌

近年勒索軟體肆虐政府機關或企業的事件頻傳,似乎付不付贖金都難辦。事實上,對於勒索軟體受害者,包括NoMoreRamsom組織,以及許多資安專家都曾建議,付贖金是最不被建議的選項,過去FBI雖曾在2015年建議企業付款花錢消災,但今年,FBI已改變態度,認為支付贖金並不是好方法。然而,市場上也有一些資安業者的業務,就是協助企業付贖金以救回檔案。對於這樣的問題,微軟也抱持不建議付贖金的看法,在12月16日,微軟偵測及回應團隊(DART)資深網路安全顧問Ola Peters指出,他們不建議企業或政府機關支付贖金,以免助長網路犯罪,並建議企業用戶,應將管理權限帳密和一般使用者的帳密切分,使用多因素驗證、特權存取管理方案,並要定期備份公司的關鍵系統、應用及檔案並定期測試,確保事件發生時能有效復原檔案系統。更多內容

 

勒索軟體

美國路易斯安那州今年三度遭勒索軟體攻擊,近日紐奧良市宣布進入緊急狀態

圖片來源/擷取自LaToya Cantrell's Twitter、nola.gov

繼路易斯安那州因勒索病毒攻擊在7月宣布全州進入緊急狀態(Emergency Declaration),位於該州南部的紐奧良市,在12月13日(上週五)傳出政府電腦檔案遭勒索加密勒贖,疑似是Ryuk的勒索軟體,而這次事件也成為該州今年以來第3次攻擊事件。由於此次事件對紐奧良市造成極大影響,紐奧良市長LaToya Cantrell宣布進入緊急狀態,並在推特上持續公布新的情況,例如,他在12月16日(本週一)指出,該市政府網站(http://nola.gov)仍然關閉,但他們已經架設了一個臨時的網站,以供民眾支付停車費、影像拍攝的違規罰單,繳納停車稅、銷售及使用稅,以及提供311非緊急市政服務的臨時管道。更多內容

 

資安教育訓練、銀行公會

銀行公會推動金融資安聯防教育訓練,包含7大實務面的內容

為協助臺灣的銀行業者提升資安防護能量,強化成員的資安意識,中華民國銀行商業同業公會(銀行公會)在12月11日到13日,首次舉辦資安聯防相關教育訓練計畫,讓會員能免費報名參與,提供實務面的訓練內容,包括金融資安治理與管理、資安風險管理與稽核、行動應用程式弱點與防護、滲透測試服務與防護、數位鑑識服務與處理,以及資安事故處理與防護演練。

對於教育訓練計畫的未來發展,銀行公會金融業務電子化委員會主任委員朱永榕表示,他們預計在未來一年或一年半內,還會持續舉辦四次這樣的訓練課程,期望讓銀行業者學習到更多資安實務,並落實到日常工作。此外,銀行公會現已成立了CSIRT輔導小組,期望帶動會員發展,並強調落實資通安全聯防機制的重要性。更多內容

 

資安預測

趨勢科技在臺公布2020資安預測,BEC詐騙、IoT攻擊手法更複雜

圖片來源/羅正漢攝

對於即將到來的2020年,趨勢科技在11月發布下一年的資安預測報告,他們根據複雜、暴露、配置錯誤與防禦性這四大面向,列出未來要注意的17個安全議題。近日,臺灣趨勢科技在一場活動上,公布他們從此報告整理出的資安威脅重點。

趨勢科技臺灣區暨香港區總經理洪偉淦表示,從整體威脅來看,雖然許多新的科技正被討論,不過,現行主要面對的還是傳統環境之下的威脅。他指出,近年時常談及的勒索軟體、APT攻擊並未減緩,但攻擊手法會變得更複雜,勒索軟體攻擊也成常態,而在IoT與5G的發展之下,新的資安挑戰也將隨之出現,此外,由於企業雲端使用比例提升,錯誤設定所引發的資料外洩事件,將會更為普遍。更多內容 

更多資安動態
載有2.9萬名臉書員工資料的硬碟遭歹徒從車內竊走
Visa警告:加油站POS系統成為FIN8駭客集團的新目標
Mozilla要求Firefox外掛開發商啟用2FA
部分英特爾CPU存在Plundervolt漏洞,駭客可透過操縱電壓來偷取敏感資料
微軟Patch Tuesday列出36個安全漏洞
駭客入侵Ring監視器,嚇壞家中小孩


Advertisement

更多 iThome相關內容