APT Malware 外洩 網路攻擊 漏洞與弱點

  • 美官員:中國竊密 美國年失數十億美元

    2015-05-21 世界日報 中國新聞組/綜合19日電

    聯邦司法部19日以涉嫌經濟間諜及盜竊貿易秘密,從而為有利於中國政府所控制的大學及公司罪名,起訴包括三名天津大學年輕教授在內的六名中國人。有美國官員指出,由於中國為本國的商業和工業竊取機密的活動極其猖獗,中國已名列對美國工業進行網路戰的國家之首,每年對美國造成數十億美元的損失。美國公司每年因為網路襲擊而遭受的損失「無法計算」。

    哥倫比亞廣播公司CBS電視台曾在「60分鐘」節目引述美國聯邦調查局(FBI)局長科米說,中國或其他國家竊取美國公司專利權和商業機密的活動,可以導致相關行業損失大量的工作崗位和營業收入。每天來自駭客和網路恐怖分子的襲擊數不勝數,而美國對網路犯罪造成的危險估計不足。

    去年5月,美國司法部以網路盜竊的罪名起訴了中國軍方的五名網路專家,引起中國的憤怒。中國否認侵入美國電腦網路,並指責美國進行工業間諜活動。

    「美國之音」引述香港軍事評論家馬鼎盛說,美中雙方都在互相指責對方從事商業間諜。

    另據「自由亞洲電台」報導,美國眾院情報委員會表示,北京「搜集信息到了令人可怕的程度」。美國大型和小型企業同樣都面臨來自中國「持續和日益複雜的駭客攻擊,他們從網路上竊取美國企業的知識產權資料」;美國企業保護商業機密的難度由此日益加大,從而耗費大量的人力和物力。

    據報導,中國的華為和中興兩家公司雖然一直試圖將自己生產的通訊設備打入美國市場, 但由於國家安全原因,擔心中國可能利用華為和中興在美國的網路竊取機密,美方迄今沒有同意。根據美國國家反間諜執行局提交給國會的報告,中國是全球經濟間諜活動最為活躍的國家。

     

    QRadar Vulnerability Manager 協助企業掃描設備漏洞

    IBM Security Identity Manager 協助管理使用者的存取權限

    IBM QRadar Incident Forensics 協助企業進行網路取證與鑑識

    IBM Guardium 協助企業稽核資料庫存取,並即時阻斷非法存取

     

  • 盜取會員個資 駭客逼偷情網站關門

    2015年07月21日 09:03 郭匡超/綜合報導

    知名偷情網站Ashley Madison,7月15日遭到名為Impact Team的駭客組織攻擊,該駭客組織表示取得3700萬會員個資,威脅Avid Life Media公司立即關閉旗下的Ashley Madison網站,否則公布會員資料。Ashley Madison在20日發表聲明:對駭客入侵事件致歉,重申網站已阻截入侵路徑,並與執法機構調查這起犯罪行為。

    Impact Team駭客組織聲稱,成功入侵AshleyMadison.com系統,掌握全部會員資料、金融紀錄以及電子郵件資訊。要求Avid Life Media公司將Ashley Madison跟Established Men兩個偷情網站永久關閉,否則將公布所有會員紀錄。

    AshleyMadison.com遭入侵消息傳出後,網友留言表示,偷情網站是「破壞婚姻與家庭的」,「很高興它被駭」。有留言指「駭客終於做一些有意義的事情」,對會員個資可能外洩可能引發家庭風暴,網友說「婚姻律師將要發財啦」。

    另外,駭客抨擊Avid Life Media要求用戶繳19美元才能完全刪除個人資料的服務是個騙局。Avid Life Media對此表示,將提供免費完全刪除個人資料服務,來確保客戶隱私。(中時電子報)

    IBM Guardium 稽核與阻斷功能,防止個資外洩

  • 行政院電子公文財會和行政等共用系統,成今年駭客攻擊新目標

    文 ITHOME /黃彥棻 | 2015-07-21發表

    行政院資通安全辦公室主任蕭秀琴表示,駭客除了攻擊關鍵基礎建設(CIP)和關鍵資訊基礎建設(CIIP)外,也鎖定各部會都會使用的共用性系統,例如電子公文系統、財會系統和行政系統等作為攻擊標的。

    行政院資通安全辦公室主任蕭秀琴今(21)日參加資安公司臺灣趨勢科技的記者會時表示,駭客鎖定行政院攻擊標的和以往不同,首見以政府機關部門的共用性系統,例如電子公文系統、財會和行政系統等作為攻擊標的。

    蕭秀琴表示,行政院資安會報今年上半年以資安人才培育和資安等級調整為主要工作內容,資安事件因為有季節性因素,整體統計會以年度為主,但若相較去年同期月份所發生的資安事件,數量差不多。

    政府部門去年一整年大約通報300多起資安事件,今年上半年資安事件通報數量和去年同期相比差異不大,但她表示,目前並沒有發生重大的3級或4級的資安事件通報,因為還有下半年,尚不敢斷言是否有改善。

    不過,若分析上半年發生的資安事件,蕭秀琴指出,駭客主要的攻擊手法以攻擊關鍵基礎建設(CIP)和關鍵資訊基礎建設(CIIP)為主,這也和一些國際資安公司提供的資安趨勢相似。

    但這其中,行政院資安會報也發現一個特殊的現象,她說:「現在有駭客鎖定由政府自行開發、各部會都必須使用的共用性系統為攻擊目標,包括電子公文系統、共用財會和行政系統等。」因為政府這些共用性系統有許多部會都會採用,只要能夠找到其中一個系統弱點,便有可能藉此系統弱點入侵其他各個部會,是一種投資報酬率高的攻擊行為。

    IBM QRadar Vulnerability Manager 漏洞掃描與生命週期管理

    IBM Endpoint Manager 自動化的漏洞修補管理工具

    為了降低這類政府共用性系統一個環節有漏洞,便會危害其他部會所帶來的資安風險,蕭秀琴表示,也會在下半年抽樣20個行政院二級機關、過往有嚴重資安風險事件機關和被高度鎖定的機關,進行一年一度的資安稽核與實兵演練。她說:「今年更特別鎖定共用性系統作為實兵演練的攻擊標的,希望藉此提升部會機關的資安意識和因應資安威脅的能力。」

    她坦言,政府機關面對資安問題時仍舊面臨缺乏資源的情況,沒人沒錢更是常態,但為了讓機關願意主動通報資安事件,也對資安會報有足夠的信任,並不會貿然以資安稽核和實兵演練的成績作為懲處的藉口,「怎麼從這個資安稽核和實兵演練過程中,找到政府部門共通面臨的資安問題,並有助於政府資安政策的制定,並協助受駭部門有足夠的時間改善,才是這個稽核演練的主要目的。」蕭秀琴說道。

    此外,蕭秀琴表示,各機關擇期在每年4月底和9月底進行社交工程演練,目前各機關的演練成績也陸續通報到資安會報,相關成績也將作為協助各機關部會改善資安現況的參考。

  • 近10億用戶恐受駭 微軟緊急發布修補程式

    2015年07月21日 12:17 黃慧雯/綜合報導

    近日微軟Windows被發現出現嚴重等級的漏洞,因此微軟緊急推出了安全更新程式。(取自Open Clips)

    根據資安公司FireEye所發現的系統漏洞,微軟緊急發布了一項安全修補程式,修復一個可能被駭客利用來入侵電腦的漏洞。只要是Windows Vista之後的版本都受到影響,提醒使用者近日要盡速更新。

    由FireEye電腦安全人員Genwei Jiang以及Mateusz Jurczyk所發現的Windows系統漏洞,符合微軟內部所定義的「嚴重」等級。這個漏洞可導致駭客能控制使用者的電腦,並且安裝程式、還能查看、修改或刪除電腦內資料,並且新建一個具有最高權限的帳號。

    這個漏洞影響範圍廣大,包含Windows Vista、Windows 7、Windows 8/8.1、Windows RT都受到影響,這些用戶在全球Windows PC的15億使用者中,約占2/3,也就是大約有10億人都暴露在可能被駭客入侵並控制電腦的危險之中。對此,微軟打破了一個月推出一次安全更新的規律,緊急發布安全更新程式;微軟上是這麼作,是在2014年11月之時。

    以上所發現的漏洞讓駭客或其他有心人士可誘騙使用者點擊惡意連結(link)或文件後,來進行攻擊。使用者訪問嵌入OpenType字型、且不被信任的網頁時,就可能受到駭客的攻擊(OpenType是微軟與Adobe共同開發的字體文件格式)。然而當前並沒有傳出與此漏洞相關的災情。

    在微軟即將發布Windows 10正式版前夕,傳出這類消息,可說時機相當敏感。對此情況,微軟也表示,Windows 10的Device Guard以及Windows Hello等技術,能為新系統帶來更高的安全性。前者可以防範這類惡意攻擊;而後者則因實現人臉、指紋、虹膜辨識等功能,讓系統安全性更為提升。

    有鑒於此漏洞影響範圍廣泛,建議使用受影響Windows版本的使用者,都可把握時間進行更新。(中時電子報)

    透過 IBM Endpoint Manager for Patch Management 可自動大量快速安裝修補程式

  • 如何突破網絡攻擊的生命週期?

    21 七月 2015 By james

    提到網絡安全,很多公司會著重於防禦,的而且確當你擁有充足的防禦,要突破網絡攻擊生命週期的 6 個步驟亦會變得容易;而那些沒有作好充足準備的組織,當然就會成為黑客的天堂。這種針對網絡攻擊的 6 步,對於企業來說亦愈來愈重要。所謂的網絡攻擊週期是指黑客組織從調查到滲透,以及提取數據的程序;面對網絡攻擊的生命週期,企業需要擁有全方位的防禦方案才可應付每一層的攻擊。早前,我們便與來自 Palo Alto Networks 的系統工程師兼副總裁 Joseph Green 探討可行的方式以打破攻擊生命週期,主要可分為 6 種方法:


    步驟一:偵測 (Reconnaissance)

    攻擊者常常會利用一些釣魚攻擊的手法又或者直接從企業員工的社交網絡帳戶或公司網絡之中揪取用戶資料,通過充分利用這些資料,攻擊者可製造出一些看似信任度極高的內容、連結,並從而誘使企業內的員工按下有關連結。當員工按下有關連結後,很多時會不知不覺的下載了惡意軟件,而這些惡意軟件主要會自動偵測目標企業網絡內的所有漏洞及弱點,以便於黑客日後進行攻擊。

    要突破步驟一的攻擊者偵測行為,組織需要採用一些 URL 過濾方案,通過這些方案以預防釣魚網站及惡意連結,同時企業亦應該持續的採用入侵及防禦等相關方案,持續監測網絡流量以預測及預防不知名的 port scan 及 host sweeps 等動作。

     

    步驟二:植入惡意代碼

    攻擊者亦會利用各種方法將一些惡意編碼植入郵件或文件之中,並通過採用一些近期熱門話題的方式引誘用戶開啟。

    面對上述方式,企業可採用一些新一代防火牆(Next-generation firewalls)進行預防。新一代防火牆將能為企業提供最全面的監控資訊,包括網絡流量及封鎖高風險應用等;同時企業更可配合其他不同的方案以便採取更進一步的預防工作,包括部署 IPS、反惡意軟件方案、anti-CnC、DNS 監控以及 sink holing 等技術;而最後再配合上檔案及內容防禦等方案,便可將一切已知的風險、惡意程式以及 inbound 的 C&C 通訊封鎖。


    步驟三:開發並奪取控制權

    如果上述兩個步驟順利找出企業弱點,黑客便可進一步於企業網絡之中啟用攻擊代碼並同時透過 C&C 伺服器控制目標系統。針對這方面,市面上有些終端防禦方案(Endpoint protection)便足以應付。通過採用 Endpoint Protection 技術,大部份已知及未知的漏洞均可被封鎖到。這些 Endpoint protection 方案主要會通過採用一種名為 Sandboxing 技術,此技術製造出一個獨立的虛擬環境,所有惡意軟件會在這獨立的空間之中開啟並完成分析,從而讓防禦系統了解到該惡意軟件的動作,並就此作封鎖及進一步的防禦工作。


    步驟四:安裝

    攻擊者通過取得最高的權限又或者是 root kit 等,提升自己於目標系統之中的權限,並讓監控軟件永久潛藏於系統之中。企業可以做的,就是採用 endpoint protection 技術,從而預防內部員工「貪方便」啟用了最高權限的帳戶而被黑客有機可乘。新一代防火牆可定立獨立的安全區域,並強制進行用戶監控,同時亦可全方位監視進出流量,並分析流量是否出現異常。


    步驟五:C&C(Command and control)

    攻擊者於目標系統安裝 C&C 伺服器,以便於隨時與黑客的電腦進行連接並發動最新入侵及攻擊行為。面對上述情況,現時有幾種方法可以使用。企業可通過 anti-CnC signatures 直接封鎖 outbound 的連線;而採用 URL 過濾則可封鎖已知的惡意網址以及與企業系統與 C&C 之間的連線;同時亦可將惡意的連線轉移至內部預先製造好的 Honeypot 之中,從中分析以更新資料庫及實時封鎖。


    步驟六:黑客最終目的

    攻擊者有很多不同目的,但大多數都是通過入侵目標而進行進一步的入侵行為。例如入侵目標系統並從中取得用戶資料、破壞主要基建等。企業可通過制定檔案傳輸政策並將之套用到防禦方案上,這樣至少可防止黑客採用指令或非企業允許的工具傳輸檔案。通過採用適當的防火牆、anti-malware 以及 endpoint protection 將可突破黑客網絡攻擊生命週期,並可針對惡意連結、C&C 伺服器等進行防禦工作。

    作者為:Joseph Green, Vice President, Systems Engineering, Asia Pacific

     

     

    企業可透過 :

    1. IBM QRADAR SIEM 與 QFLOW 偵測內部的惡意行為

    2. IBM Guardium 針對大量存取資料庫,立即進行阻斷

    3. CA特權帳號管理與Access Control,管伺服器的登入與存取

    4. IBM Endpoint Manager 管控與強化端點的安全