AURIGA SECURITY, INC.

ASUS SHADOWHAMMER EPISODE – 客製化的供應鏈攻擊

4/1/2019

華碩的用戶已成為一個獨特且高度針對性的供應鏈攻擊的最新受害者，該攻擊被稱為 “ Operation ShadowHammer ” 。
這次攻擊可能散播到可能多達 100 萬的華碩用戶，但似乎惡意軟體背後的威脅只對幾百個特定目標感到興趣。在此篇文章中，我們將為您解釋 ShadowHammer 是什麼以及它對企業意味著什麼。

ShadowHammer – A Timeline
根據卡巴斯基研究人員之說法，至少早在2018年6月，甚至有可能更早，華碩更新伺服器就遭到了駭客的攻擊。有一理論認為，公司伺服器的最初妥協可能是通過較早的 CCleaner 供應鏈攻擊發生的，其中華碩是已知目標。

先不探討駭客如何獲得對伺服器的存取權限，一旦他們能夠使用有效的 ASUS 簽名證書向 ASUS Live Update 實用程序，一種預安裝在大多數華碩電腦上的工具提供有毒的更新。由於更新似乎是正確簽名並且是機器操作的正常部分，因此它無法通過用戶和大多數 AV 解決方案進行檢測，這些解決方案通常將來自可信供應商的正確簽名的組件並列入白名單。儘管該活動似乎已於 2018 年 11 月被襲擊者終止，可能表明他們已經實現了目標，但直到 2019 年 1 月才被發現。

ShadowHammer 依 MAC 地址目標鎖定用戶
使 ShadowHammer 如此獨特的一個原因是它使用大量感染向量來破壞選定數量的目標。據估計，多達 100 萬華碩用戶可能已經下載了惡意軟體。然而，令人難以置信的是，分析表示，真正的目標可能一次只有幾十個，在整個活動的生命週期中可能不超過 600 個。

為了實現此選擇性，惡意軟體會計算受感染伺服器的 MAC 地址的 MD5 hash 值。然後將其與硬編碼到惡意軟體中的 hash 表進行比較。如果匹配，則代碼通過從攻擊者的 C2 伺服器下載更多惡意軟體來開始攻擊的第二階段。如果沒有匹配 - 此為絕大多數情況 - 惡意軟體將處於休眠狀態。

雖然這對於駭客的意外受害者來說當然是個好消息，但所有受感染的機器仍然有效地被 “後門” 了;因此，建議所有華碩用戶檢查惡意軟體並將其刪除。

如何檢查您是否被 ShadowHammer 感染?
首先要記住的是，ShadowHammer 僅限於華碩，並不影響其他設備的一般惡意軟體，所以如果你不使用華碩電腦，你就不會被感染。

SentinelOne客戶可以自動受到ShadowHammer惡意軟體的保護。如下面的demo所顯示，SentinelOne辨別並阻止ShadowHammer。這不是新功能，也不需要更新。我們的行為 AI 引擎甚至在公開發布之前就能夠檢測並阻止它。

對於還不是 SentinelOne 客戶的人來說，已有許多解決工具，包括一個來自華碩自己的工具。

Conclusion
ShadowHammer 是很膽大魯莽的，因為以實現非常有限的目標，背後的駭客並不關心可能會感染每個 ASUS 用戶。同時，他們似乎已經成功地在大規模感染的過程中沒有被發現。不訝異的是，威脅對 “ 附帶損害 ” 是沒有任何疑慮 - 感染碰巧碰到他們的任何電腦 - 但與之前見過的任何事情相比，ShadowHammer 都是令人擔憂的升級。鑑於此類活動的成功以及之前的 CCleaner 攻擊，毫無疑問，由於許多供應商沒有採取足夠的安全預防措施，因此犯罪團伙和民族國家的參與者將繼續利用供應鏈攻擊。

對於企業而言，ShadowHammer 及時提醒了依賴聲譽和白名單的安全解決方案會對供應鏈攻擊造成 “盲點” 。鑑於審計和保護所有第三方軟體和依賴的巨大任務，唯一有效的企業解決方案是使用像 SentinelOne Next Gen AV 這樣的安全軟體，因為它可以自動檢測任何實時惡意行為，而不是簡單地查看流程來源或簽署者。

0 Comments

善用駭客戰隊能量強化產業防護力-摘自CIO訪談

2/12/2019

被譽為全球最大資安盛事的DEFCON CTF，2018年改由O.O.O.（Order-of-the-Overflow）舉辦駭客搶旗攻防賽，本屆比賽前三名分別為韓國隊DEFKOROOT獲得冠軍，美國隊PPP、臺灣HITCON戰隊。值得一提之處，首度參賽的臺灣BFS戰隊也獲得第12名，這代表臺灣擁有相當不錯的資安能量，只是以往沒有足夠資源與贊助，以至於無法在國際舞台上有表驗得機會。

在資安等於國安的思維下，2017年行政將資安產業納為「5+2產業創新計畫」所推動的「國防(資安)」產業之一環，並透過「國家資通安全發展方案」全力在科技發展計畫及前瞻基礎建設計畫中推動，期盼藉此帶動資安產業的蓬勃發展，藉此作為發展數位國家的後盾。只是該計畫並沒有納入更多類似於 DEFCON 活動的規劃，顯見政府對駭客社群仍然不慎了解，因此恐怕難以有效整合隱藏於各開源社群中的資安人才，導致削弱帶動台灣資安產業的發展力道。

OWASP台灣分會研發長胡辰澔說，相較於已經偏商業化的 Black Hat大會，眾多駭客聚集的DEFCON 活動現場更為熱鬧，除台灣民眾較熟悉的駭客搶旗攻防賽外，現場有也很多分組活動，所以也吸引不少台灣資安公司、專業資安人士到場參觀。DEFCON 活動帶來效益絕對超過想像，建議台灣政府應該考慮與國內各資安社群多合作，若能夠在台灣舉辦類似活動，除可讓資安產業眼界大開之外，也能強化企業與政府機關的資安意識，才能真正活絡資安產業的發展。

跨足行動資安保護企業安全

OWASP (Open Web Application Security Project) 要是以研究與發佈關於網站應用程式安全為主體，同樣屬於全球性的非營利組織，且每隔一段期間會發佈的 Top 10(前十大)資安威脅。除此以外，Application Security Testing Guide (ASTG) 跟 Application Security Verification Standard (ASVS) 也成為許多程式開發者會用來檢測的項目。因應行動化時代來臨，該組織近年來啟動的研究計畫，也開始跨足行動應用程式安全等相關的領域，其中包含了 Mobile Security Testing Guide (MSTG) 以及 Mobile Application Security Verification Standard (MSVS) 以便因應新興資訊科技出現帶來新的資安問題。

OWASP Taiwan Chapter於2017年重新啟動台灣分會的運作，並隨即舉辦OWASP Taiwan Day，除吸引許多對 OWASP 有興趣的資安人踴躍參與之外，也台灣再次有機會與國際資安組織 OWASP 接軌。OWASP台灣分會依循全球一致的原則，以中立的角色連結產管學研界，希望凝聚國內資安社群的能量，以接軌國際資安社群，能夠同步發佈全球已公開的研究資料，將有助於改善與提昇國內的資安防禦技能與產業環境。而目前社群內也著手翻譯 MSTG 以及 MSVS 等相關文件，以協助能更快速推廣該專案研究的結果。

胡辰澔說，因應行動裝置成為企業無法割捨的重要數位工具，App安全問題也成為全球最關注的問題，OWSAP因應此趨勢針對行動應用程式安全推出驗證標準- 「Mobile Application Security Verification Standard」。在 App 安全問題日益嚴峻，該標準已逐漸成為各國檢測APP安全的參考指南。以台灣經濟部工業局委託資策會制訂「行動應用 App 基本資安檢測基準」，僅只參考 OWASP Mobile Top 10 而定出行動應用程式安全風險評估與審驗，訂定基本資安檢測項目、依檢測項目所須檢測之各項檢查事項、預期之檢測結果及各結果之形成條件等，其內容並不足夠實際應對國際標準。

另外，在新型態攻擊手法問世當下，資訊安全事件進行通報與應變與對於資安威脅進行預警通報，已成為遏制資安威脅事件擴大的最佳方法之一。

DEFCON 打造IoT Village 凸顯物聯網資安問題

受惠於行動通訊技術普及、物聯網技術日益成熟，全球各種連網裝置數量正不斷增加中，根據Gartner統計約在2020年達到250億個以上。而根據IDC公布統計結果，2018年全球智慧居家裝置出貨量將提高31%，達到6.4億個，預估2022年出貨量續升至接近13億個。然而防護能力薄弱的連網裝置，早已成為駭客組織發動大規模DDoS攻擊的最愛，如2016年Mirai入侵的上萬台監控器，最後導致多數企業的資訊服務遭到大規模的DDoS而停擺。

而在2018 DEFCON 大會上，主辦單位也特別打造IoT Village，會場中匯集市面上各種品牌的智慧設備，讓現場與會專業人士運用各種工具進行攻擊，凸顯出連網設備的不安全性。而台灣多家公司推出的NAS設備也列其中，讓人不禁好奇這些產品是否還能夠在企業內部使用。

「雖然不管台灣或是國外品牌的NAS產品確實存在安全疑慮，但能夠被主辦單位挑中，也代表產品功能與穩定度確實不錯，在市場上很受消費者肯定，不能就此抹滅台灣廠商的努力。」胡辰澔認為：「在接觸前述品牌業者過程中，也感受到台灣業者也很關注資安問題，也很努力修補各種漏洞，建議企業用戶最好要定時更新修補程式，搭配完善的資安防護機制，才能兼顧使用便利性與安全。」

DEFCON China 在北京後續影響力不容小看

近來在DEFCON大會現場，都可以看到來中國資安公司投入大筆行銷活動，以提升在國際舞台上的知名度。而以往每年DEFCON舉辦的駭客大會都僅在美國拉斯維加斯舉辦，而2018年透過與中國搜尋引擎巨頭百度合作，今首度在5月11-13日於北京召開DEFCON China 活動，且也吸引逾1300人參加。這場DEFCON活動在中國政府默許之下，首度移師到海外舉行，儘管活動內容與規模無法與美國相比，但也代表該國政府積極引進創新技術，藉此帶動資安產業發展的目標。

胡辰澔認為，在北京召開DEFCON China活動有兩大目的，首先是讓無法或沒空到海外參加活動的中國企業或專業人士，能掌握最新全球資安技術與趨勢，有利於產業與國際資安社群接軌。其次，藉由DEFCON的名義可吸引原本隱身在檯面下的駭客現身，未來若中國有特殊需求時，有足夠籌碼可運用。

相較之下，行政院在今年第一季，通過資安產業發展行動計畫，規劃利用半導體、晶片、資通訊產業優勢，整合5＋2產業創新、新南向、留才與攬才等計畫資源，打造台灣產業優質安全品牌，穩固國內關鍵基礎設施資安環境，進而扶植我國資安產業進軍國際市場。另外，亦積極透過參訪全球第二資訊大國-以色列，吸取國外經驗。

但是若能將國內各資安社群整合並邀請到更多的國外資安社群如DEFCON到台灣舉辦活動，重現在美國活動的現況，才能活絡台灣產業的發展能量。而多數產業內的資源分配，以集資安新創的能量，仍有帶更完整的 Eco System 才能持續發展，而非像目前僅分配至特定對象身上。

防禦與分析綜合主動回應資安威脅

面對今日日益複雜的網路威脅，企業需要完全不同的新思維，因為傳統防毒軟體只有預防功能並沒有減少網路威脅。因此，現今進階惡意程式、漏洞、其他網路攻擊，能在防毒軟體尚未到更新的特徵值之前，短時間內攻擊系統，所以無論靜態分析如何縝密，不應該是最後一道防線，企業更因該需要一套整合性新世代端末保護機制與資安資料分析機制主動瞭解企業內的資安現況。

除了擔任OWASP台灣分會研發長也身兼安創資訊創辦人的胡辰澔表示，因應此種趨勢，安創資安推出SentinelOne端末防護平台（Endpoint Protection Platform，EPP）在單一控制台管理的平台上整合了預防，偵測、反應。為組織提供即時一致端末防護。並整合了先進的資料分析（Qlik）以及資料收容系統（JAICAS）進行分析處理。這套平台利用先進的機器學習和「真」人工智慧機能來保護Windows、OS X、Linux的端末設備，除了可避免端末設備受各種主要威脅，如進階的惡意程式（透過檔案和記憶體），漏洞利用和Script的隱身攻擊。密切監視系統上的每一個行程和運作，甚至到Kernel層級。更進一步的，能夠將這些資料融合其他資安設備的日誌資訊，並完整的分析和呈現目前資訊安全的整體現況。

由於台灣資安市場規模不大，所以安創資訊未來勢必會朝向歐美市場發展。至於多數人看好的中國市場部分，考量到軟體業若進入該市場，得將軟體原始碼交給中國官方審查，不利於公司長遠發展與歐美市場的疑慮，短時間內尚且沒有進軍中國市場的計畫。

SentinelOne 端末防護平台可提供全面系統監視，包括系統調用(system call)、網路功能，I / O，系統登錄檔、歷史記錄等，透過 JAICAS及 Qlik 系統更可收集更多資訊並提供全視圖區分正常和惡意行為。一旦識別出惡意模式並對其進行評分，即可在攻擊開始之前，立即觸發回應結束駭客攻擊。

改變資安防護心態才能有效杜絕資安事件

在資安事件持續擴大下，近來台灣企業在提升資安預算之虞，也開始委託資安公司進行滲透測試，找出公司防護機制現有的漏洞。由於這是模擬駭客組織的攻擊手法，對網路或主機進行攻擊的測試，有助於發掘系統漏洞、提出改善方法的目標，對強化資安防護力有極大幫助。然而此種機制在施行之後，卻往往沒有發揮預期效益，反而引進部分企業內部人員反感。

胡辰澔指出，台灣企業把執行滲透測試當作是例行公事，最好不要找出任何漏洞，即便有也不要寫在報告上，因為相對的會讓人員工作增加。相較之下，國外企業則認為唯有找出漏洞與修補，才能夠降低被駭客入侵的風險，所以才會出現許多台灣企業遭到駭客攻擊而不自知的現象，因此整體防護觀念有改善必要。

因此，胡辰澔建議台灣企業應該要運用獎金制度，邀請各方資安團隊挖掘產品或資安防護的漏洞，才能夠達成降低資安風險疑慮，保護重要商業組織的目的。

SENTINELONE RECOGNIZED AS A 2019 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT DETECTION AND RESPONSE SOLUTIONS

1/20/2019

0 Comments

Gartner Peer Insights 客戶的選擇區別基於用戶有購買，實施和/或使用產品或服務之經驗專業人士的反饋和評價。

於加州山景城，2019年1月17日 - SentinelOne ，一領先的自動端點保護解決方案軟體提供商很高興地分享他們被命名為2019 年 Gartner Peer Insights 客戶選擇端點保護平台。除了公司被命名為2018年11月 Gartner Peer Insights 客戶選擇的端點保護平台之外，我們相信這兩項認可共同突出了客戶對 SentinelOne EPP 和 EDR 解決方案的信任及市場採用。

Gartner 將端點檢測和響應解決方案（EDR）定義為記錄和存儲端點系統級行為的解決方案，使用各種數據分析技術檢測可疑系統行為，提供上下文信息，阻止惡意活動，並提供修復建議以利恢復受影響的系統。

“ 我們客戶的聲音是我們的指引燈：我們一直致力於為客戶提供統一的 EPP 和 EDR 平台，包括對不斷變化的威脅形勢的絕對最佳保護和可見性。我們相信被評為 2019 年 Gartner Peer Insights 客戶對 EDR 的選擇證實了我們公司的使命並強調了我們不斷擴大的規模，“ SentinelOne 首席執行官兼聯合創始人 Tomer Weingarten 說。 “S entinelOne 的專利產品內自動修復和威脅搜尋功能重新定義了傳統的 EDR 。我們的平台是保護當今企業的關鍵，我們將繼續不斷的努力，確保我們的客戶始終領先於威脅，無論攻擊媒介，操作系統，部署偏好或網路安全 / IT 團隊規模如何。“

截至 2019 年 1 月 16 日， SentinelOne 在 EDR 市場的總體評分為 4.7 分，基於 133 條經過驗證的評論，這是評論超過 100 條的供應商中評分最高的評分。 SentinelOne 收到的一些評論包括：

“ 我們需要一個可以與 Defender ATP 整合的 MacOS EDR 解決方案。此解決方案易於安裝和設置。 Defender ATP 整合就像點擊幾下一樣的簡單....一旦啟動並運行，我們的 MacOS 系統的 EDR 數據立即開始出現在 Defender ATP 控制台中。我的安全運營團隊甚至發現我在 Macbook 上使用 VMWare Fusion 在 Kali Linux VM 中運行 nmap 掃描。令人驚艷的是，他們甚至沒有帳戶到 SentinelOne 儀表板。他們在 Defender ATP 控制台中抓住了它。“ - CISO - 金融業

“ 這個產品超出了我的預期。其易用性，以及出色的保護和響應使這成為一項寶貴的投資。在我擁有該產品的那一年，不斷的創新和速度發布了新的功能和能力。威脅和不斷發展和變化的戰術，所以我很高興知道我是處於最前線的保護。優秀的客務也是能解決可能出現的問題。 - 安全分析師 - 政府單位

“ 我們非常高興我們決定在 2018年將 SentinelOne 部署到我們的企業組織。最重要的是，此技術是非常可行的。在解決方案調整到我們的環境之後，基於 SentinelOne 降低端點風險，我們非常有信心。控制台一目瞭然。在控制台內部署軟體為非常簡單易用。雖然升級是經常進行的，但幾乎可以在控制台內立即部署。最大的業務差異可能是 SentinelOne 真正的多租戶架構，通過簡單分發可用許可證，實現完整的子組織控制。 SentinelOne 的後端支援為有效響應的，實際上解決了問題（意指僅資訊性客服..）。“ - 資訊安全經理 - 金融業

通過應用機器學習和 AI，SentinelOne 可以主動保護企業組織免受進階級威脅，並自動檢測和修復端點問題。
SentinelOne 的 Behavioral AI 引擎監控每個系統進程，不僅提供對最廣泛的攻擊媒介的卓越保護，而且在單個代碼庫中產生無與倫比的端點可見性。

關於 Peer Insights:
Peer Insights 是 IT 專業人員和技術決策者編寫和閱讀的 IT 軟體和服務評級和評論的在線平台。目標是幫助 IT 領導者做出更具洞察力的購買決策，並通過從客戶那裡獲得客觀，公正的反饋來幫助技術提供商改進他們的產品。 Gartner Peer Insights在 200 多個市場中包含超過 70,000 條經過驗證的評論。欲知更多信息: www.gartner.com/reviews/home

免責聲明:
Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

關於 SentinelOne
SentinelOne 通過單個代理提供自動端點保護，該代理成功的防止，檢測和響應所有主要向量的攻擊。 S1 平台專為極易使用而設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，為客戶節省了時間，是唯一可直接從端點提供跨網絡可見性的解決方案。

原文

0 Comments

A REVIEW OF MALWARE AFFECTING MACOS IN 2018

12/31/2018

在 2018 年的最後一天，讓我們來回顧一下 macOS 安全狀態。

2018年是 MacOS RAT 的一年，特別有 Empyre 作為一路領先多種惡意軟件變體的首選開發框架。 EvilOSX，EvilEgg 和基於Java 的 RAT 也一起亮相。今年加密貨幣的惡意軟體在新聞中佔到量的也很大，因為糟糕的演員既針對比特幣的錢包，又利用加密貨幣實用程序來感染毫無戒心的用戶。 Cryptojacking 仍然在增加，但主要局限於持續存在的 macOS 廣告軟體問題。

Malware in Development
這一年由 OSX.MaMi 開始，一個可疑的舊版 Windows 惡意軟體 DNSUnlocker 的 macOS 變種。 Mami 改變 macOS 的SystemConfiguration.plist 以劫持受害者的DNS服務器。該惡意軟體包含用於遠程下載和上傳文件，記錄滑鼠點擊，截屏和嘗試權限提升的邏輯。

同月，Java 基礎的 CrossRAT 被發現作為 Dark Caracel APT 工具包的一部分，該組織代表黎巴嫩政府為了國家安全目的收集攻擊性網絡能力情報。 CrossRAT 是一個多平台監控工具，它通過自身副本在 macOS 上寫入〜/ Library / mediamgrs.jar 並安裝用戶 LaunchAgent 來實現持久性。

有趣的是，或者令人擔憂的是，MaMi 和 CrossRAT 都有版本號，表明它們處於早期開發狀態，未來看到這兩種的進階版本也就不足為奇了。

Lazarus APT
在今年年初發生的兩項重要發現之後，惡意軟體方面有點相對的安靜，直到4月份才發布了一個名為 CelasTradePro 的加密貨幣交易應用程序。該惡意軟體歸屬於與朝鮮有關的 APT 小組 Lazarus，由三部分組成。作為 CelasTradePro.app 中的更新程式植入的木馬下載程序，具有標記 “com.celastradepro.plist” 和有效負載的 LaunchDaemon，最初被放在 / var / zdiffsec 處。

目前還不清楚這種被稱為 OSX.AppleJeus 的惡意軟體是否是軟體供應鏈攻擊，或者 CelasTradePro.app 是專門用於感染加密貨幣交易所。在任何一種情況下，該應用程式都有一個有效的開發人員簽名，因此很容易繞過 Apple 的內置安全技術。

WindShift APT
雖然是在4月底創造的，AppleJeus 一直到 8月才被發現，而那個月也出現了另一個針對 Mac 平台的 APT 組織，WindShift APT 的消息。雖然早在去年 1 月就被認為首次針對 macOS，但 WindShift 似乎已經在2018年開始活動，因為這個數字（感謝 DarkMatter）顯示：

WindTail.A 針對受害者電腦上具有以下檔類的文件：.txt .pdf .doc .docx .ppt .pptx .db .rtf .xls .xlsx 並使用 LoginItem 進行持久化。後門 WindTape 獲取當前桌面的螢幕截圖，將其發送到 C2 伺服器並刪除本地副本。並每5秒重複一次這個過程。

感染此特定惡意軟體的關鍵是在默認情況下 Safari 選項允許 .zip 文件在下載時自動取消歸檔。此功能意味著 macOS 將自動註冊在惡意軟體中定義的自定 URL，這是有助於進一步感染的。一般情況下，用戶在 Safari 的選項中取消選中以下設置總是明智的：

The Weakest Links?
7月，OSX.Dummy 出現在一些挖礦聊天群組中。因為認為這是來自可靠的來源，攻擊者讓受害者運行具有提升權限的工具，。詐騙的也不必太努力，因為他們提供惡意軟體作為受害者自己尋求幫助問題的答案。該工具安裝了一個 bash 腳本，該腳本利用 python 打開 reverse shell：

OSX.Dummy 之所以如此命名，是因為它接受到了受害者的大量的同意，並成功地破壞了目標。在這方面，至少，它與下一個在2018年出現的惡意軟體的極端相反。九月看到了許多人認為最不可能的威脅來源：Apple 自己的 App Store。從 Mac App Store 下載的軟體是已被 Apple 的 Gatekeeper 信任的，因此沒有額外防禦的用戶在未經許可的情況下，完全不受一系列批准的應用程式洩露個資的保護就不足為奇了。APP 程式包括 Adware Doctor，Open Any Files，Dr. AntiVirus 和 Dr. Cleaner。蘋果在9月份最終將所有這些商品從商店中移除，但至少有兩名違規者已與 Apple 報告過，並未採取任何行動。

The Other Side of the Coin
10月份，CoinTicker 進入戰場，通過挖礦應用程式植入木馬後門。結合 open source 利用工具，EvilOSX 和 EggShell，CoinTicker 似乎是一個簡單的狀態工作表程式，顯示各種加密貨幣的當前交易價格。該應用程序功能齊全，但同時嘗試通過reverse shell 允許攻擊。

" 感謝 " 開發工具的性質，攻擊者可以有多種選擇功能。可以第一優先攻擊的事情之一就是竊取受害者的虛擬貨幣錢包。

針對虛擬貨幣的用戶攻擊並未在 2018 年停止。去年 11 月，Exodus cryptowallet 的用戶成為電子郵件網絡釣魚活動的目標。攻擊者曾希望安裝基於 RealTimeSpy 商業間諜軟體的惡意軟體。雖然沒有任何關於 RealTimeSpy 開發人員參與的暗示，但毫無疑問，此活動背後的人希望在受害者的主機上安裝 RealTimeSpy 版本。假設目標是竊取比特幣錢包是合理的，但是這個 macOS 間諜軟體還可以通過螢幕截圖和鍵盤記錄來竊取其他個資。此外，該計劃還能夠捕獲社交網絡活動和網站訪問。

Festive Crackers

這一年在繁忙的12月結束，在一周之內發現了一連串的三次惡意軟體（有相關性）。首先是Adobe CC的破解應用程式，OSX.DarthMiner，利用 Automator 工作流程通過 Empyre 後端安裝加密器。 OSX.LamePyre 是遊戲玩家的 Discord 語音和聊天應用程式的假冒版，也使用了類似的 Automator 工作流程和 Empyre 後門程式。 LamePyre 的主要功能似乎是採用受害者桌面的常規螢幕截圖並將其上傳到 C2 服務器。

目前尚不清楚這兩個相關的木馬是由同一攻擊者創作的，或是最近在 DarkNet 上交易的一些通用代碼。我們也注意到假的Discord 應用程式似乎已經俄語本地化並包含一些俄文。

當然，我們無法說出這些線索是故意留下來誤導還是粗心的結果。無論哪種方式，我們都不會驚訝看到這些 Automator 基礎的木馬程式在 2019年新年之前或之後再次出現。

最後，OSX.BadWord 通過利用 Microsoft Word for Mac 沙箱逃離並提供 Meterpreter payload 來提供不同類型的威脅。襲擊者似乎已經在八月份已首次介紹了武器化的概念驗證。與 Windows 上類似的基於 Word 的攻擊一樣，它利用 VBA marcro 來執行代碼並感染用戶。 OSX.BadWord 似乎是通過電子郵件發送給 Quidax 加密貨幣平台的員工，邀請他們為 “BitCoin Magazine UK” 捐獻。

Also Ran
除了完全的惡意軟體之外，我們今年也已看到許多廣告軟體安裝程式充當了密碼管理器的木馬程式，例如 PPMiner，CreativeUpdate 和 SearchPageInstaller。

廣告軟體仍然是一個問題，特別是當我們看到廣告軟體開發人員越來越擴展他們的技術範圍並開始越線進入類似惡意軟體的行為時。

Summary
總結一下，2018 年 APT 針對 macOS 攻擊增加以及意圖利用加密技術或針對加密貨幣參與者（包括員工和貨幣交易）的犯罪分子。像 Empyre 這樣的 open-source 開發工具包在過去12個月中一直是 macOS 惡意軟體的首選工具。我們預計這樣的趨勢將持續到 2019 年，而一如往常，在 SentinelOne，我們會持續發布最新消息並使我們的用戶受到保護。

祝大家有一個 "安全" 的新年！HAPPY NEW YEAR!!

原文

WHAT IS A PHISHING SCAM? (AND WHAT TO DO TO STOP ATTACKS)

12/22/2018

雖然惡意軟體攻擊和大數據洩露通常會成為媒體的頭條新聞，但網絡釣魚詐騙更為常見，在許多情況下對公司構成嚴重威脅。除了用於竊取信用卡詳細信息，登錄憑據，社會安全號碼和其他個資之外，網絡釣魚詐騙還被廣泛用作惡意軟體和勒索軟體攻擊的入口點。網絡釣魚不僅會導致身份盜用，還會導致客戶數據和公司知識產權的遺失。當攻擊者參與魚叉式網絡釣魚攻擊，針對公司人員有針對性攻擊或冒充軟體即服務（SaaS）等企業平台時，風險為更大。在過去12個月中，69％遭受勒索軟體攻擊的組織表示，攻擊者通過電子信箱或社交媒體進行網絡釣魚獲取了對其網絡的訪問權限。

本週發布的追踪網絡釣魚活動趨勢的最新報告顯示，針對有品牌的網絡釣魚活動在上一季度一直在穩步增長：

該報告指出，網絡釣魚詐騙越來越多託管在 HTTPS 網站上，近一半的網絡釣魚網站現在都已使用安全協議。這些不會觸發Chrome 不安全標籤等機制的警告，並且其內容對於傳統AV解決方案是隱形的，也無法讀取其加密流量。

HTTPS對詐騙者很有吸引力，因激勵用戶認為瀏覽器地址欄中大肆吹噓的綠色表示安全或合法的網站。但事實上，任何網站，無論多麼危險，都可以獲得 SSL 證書。它們甚至可以通過 Comodo 和 Let's Encrypt 等服務免費提供。 SSL證書僅建立與用戶登陸的網站點的安全連接。並不保證網站不是為惡意的。

Phishing for Profit 釣魚如何獲利
對於任何網絡攻擊，網絡釣魚活動是一個很好的開始。讓我們看看為什麼它是壞演員中的一個受歡迎的原因

心理學上

正如古老的格言所說，任何電腦防禦策略中最薄弱的環節通常是在鍵盤和椅子之間;換句話說，利用人類心理學通常比利用技術系統更容易。即使是那些知道如何從惡意連結發現真正連結的人，也無法免受精心設計的網絡釣魚活動的影響。

使用社群工程技術，持久性和一些良好的初始偵察，網絡釣魚是攻擊者獲得入口點的合理可靠方式。詐騙者有自己的心理和技術。再加上某種時間壓力，例如 “黑色星期五” 或“ Cyber Monday” 等有季節性的跳樓大拍賣，或者來自假律師告知您的配偶提出離婚意外消息，這都是在統計上有利於攻擊者並讓受害者點擊的連結。

特別是在有針對性的魚叉式網絡釣魚活動中，訣竅就是要充分了解目標，以便知道 “按下按鈕” 的內容，並在精心設計的可靠來源中模擬中使用這些信息。

低風險，高回報
網絡釣魚受攻擊者歡迎的第二個原因是它是一種低風險，高回報的策略。雖然威脅者可以使用網絡釣魚來實現直接進入目標，但是這種技術更常被玩家使用，除了竊取憑據並在暗網上出售之外，使用比特幣和其他加密貨幣輕鬆接收無法追踪付款。由於許多人在多個站點上重複使用相同的登錄憑據，因此通過在線銷售敏感信息，網絡釣魚可以為參與牟取暴利的人帶來意外獎勵，其中單點登錄憑證可能會打開龐大的數據和訪問點。

模擬
眾所周知，通過書面溝通來驗證身份是很困難的。如果朋友進行視頻或打個電話，您可以立即識別出該線路的另一端是您的朋友。如果您收到來自朋友的簡訊，要求您查看連結或打開檔案，則事情要困難得多。繁忙中，總是有一些人會無意中點擊惡意內容，統計上來說，這是一種必然性。詐騙者知道這一點，就像任何類型的廣告一樣，獲得 “點擊通過” 都是一個了解你的觀眾並提供足夠數據的問題。

It Started With a Link
那麼網絡釣魚騙局如何運作？電子郵件是主要的，但不是唯一的誘因。 Facebook，Twitter 和 LinkedIn 等簡訊和社交媒體網站也被利用，但目標始終如一：讓受害者點擊連結，撥打電話或啟動其他一些會觸發的操作騙局。
許多網絡釣魚詐騙將試圖模仿受害者熟悉的商店，例如這個假的 Spotify 訂閱消息：

像這樣的訊息直接正中下懷正確的心理按鈕。收件人將對 “錯誤” 感到憤怒，並擔心收費，因此有強烈的動機點擊誘餌 “審核您的訂閱” 連結。

連結本身經常被操縱，以便在不經意下看起來看起來正常。但其中只有一個是真的，但有多少使用者可立即知道呢？

然後是 Homographic attacks，其中詐騙者使用 unicode 註冊網站，這些文字在視覺上類似於真實網站名稱中使用的 ASCII 。請比較這兩個unicode：

\ u0430 \ u0440 \ u0440 \ u04CF \ u0435

\ u0061 \ u0070 \ u0070 \ u006C \ u0065

和他們的視覺上 “印刷” 形式，如下圖所示：

這兩種編碼就乍看之下類似，但電腦會以不同的方式讀取它們。如果第一個用於域名註冊，它實際上將指向與第二個完全不同的站點。

幸運的是，大多數現在的瀏覽器都能識別出這種類型的攻擊，但是最近一年中 Chrome，Firefox 和 Opera 都存在漏洞，這些漏洞能夠繞過這些瀏覽器的同形保護過濾器。

在最近的攻擊中，詐騙者使用 Google.com 的真實子域 sites.google.com 來託管網頁，然後將受害者重定向到惡意網站。

Reeling in the Catch 掉入陷阱中
一旦受害者被吸引住，該騙局可能涉及任何數量的詭計，從欺詐性技術支持詐騙到假電子郵件登錄頁面。一個常見的策略是告訴受害者他們需要更新他們的電子郵件帳戶，然後提供一個相當令人信服的假網站：

但是，檢查網站後台的代碼將會顯示它的真實身份是什麼：試圖竊取用戶的登錄憑據。用戶在虛假站點中輸入憑據後，代碼會將其重定向到真實站點。

針對企業的魚叉式網絡釣魚活動可能正在尋找工業或國家間諜活動的知識產權。例如，一家英國工程公司最近成為針對其海事技術秘密的魚叉式網絡釣魚活動的目標，可能是來自支持中國的APT小組。

How to Avoid A Scam
考量到危險，一個忙碌的人可以做些什麼來降低網絡釣魚詐騙的風險？這裡有一些提示：

Take Control
確保已打開瀏覽器的反網絡釣魚首選項。
而使用者會取消此選項是很罕見的，惡意軟體在沒有用戶許可的情況下禁用它是很簡單可以做到的。
根據不同的瀏覽器，可以在不同的位置找到設定，及不同的名稱。對於 Chrome 和 Chromium瀏覽器，它們通常屬於“進階”或“隱私”，並且會被稱為 “安全瀏覽” 或 “網絡釣魚和惡意軟件防護” 。

Firefox 的是在 “阻止危險和欺騙性內容” 設置，該設置位於 “ 隱私和安全 ” 下的 “ 選項 ” 頁面中。對於 Safari，請在 “ 選項 ” 的
“ 安全 ” 選項卡中選中 “ 訪問欺詐性網站時發出警告 ” 選項。

在您的電子郵件客戶端中，禁用自動加載存儲在遠程服務器上的圖像和外部內容。如果不這樣做，攻擊者就可以代替使用可點擊的圖像，而不是連結本身，並可以避免安全過濾器。並允許包含隱藏的圖像，以便在目標打開中毒的電子郵件時通知他們。

Take a Closer Look
電子郵件和其他郵件中的拼寫錯誤和語法錯誤始終是一個危險信號，因此養成仔細查看包含連結的電子郵件文本的習慣。將游標停在任何連結上，然後點擊它們以查看它們真正的位置。

養成不從電子郵件中點擊連結的習慣也是一個好方式。避免點擊連結或撥打要求個人資訊，信用卡號或帳戶密碼的電話號碼。並從瀏覽器中的書籤轉到頁面，或在搜索引擎中查找地址。同樣，請務必仔細檢查您要求通過網絡搜索或查看之前的信件來撥打的電話號碼。

Get with the Program
對於企業用戶，請考慮定期模擬網絡釣魚活動的員工培訓。使用像 SentinelOne 這樣的優秀的次世代 AV，它可以檢查加密的流量並強制執行防火牆控制來阻止已知的詐騙站點。

Be a Good Citizen
當然，如果發現網絡釣魚攻擊，請務必告知。您可以於 Federal Trade Commission（FTC）報告網絡釣魚，身份盜竊和其他詐騙，並告知相關組織欺詐是否欺騙合法網站。報告功能由 Apple，Google，Microsoft 和大多數其他主要供應商提供。您可以通過互聯網搜索“報告網絡釣魚到”和供應商名稱輕鬆找到其他供應商的相應頁面。

MALICIOUS MEDIA | WHY YOUR ENDPOINTS NEED DEVICE CONTROL

12/10/2018

0 Comments

USB 中的 U 的是真的最佳解釋：“Universal” 幾乎描述了可以插入端口的設備範圍及其普遍程度。幾乎每個工作點和筆電上都有 USB 端口，遍布企業網絡。但是 USB 槽有多危險以及您的安全解決方案使您能夠查看和控制正在加載到網路上的內容有多重要？讓我們來看看與 USB 端口相關的五大威脅。

1. 自動執行和其他攻擊
我們都聽說過 Stuxnet，這是現在著名的襲擊伊朗核燃料濃縮廠的氣隙伺服器，後來洩漏到外。 Stuxnet 利用了這樣一個模式：外圍設備將自動在桌面上顯示一個圖標，並將其與 Windows Shell 中的 zero-day 相結合，以實現遠程代碼執行。

這是與自動執行，cold boot 攻擊和預設命令相關的一整類漏洞的戲劇性範例，這些漏洞利用了操作系統識別，枚舉和與USB 協議和標準交互的方式。將惡意製作的文件加載到普通的 flash drive 上會產生毀滅性的影響。

2. 黃色小鴨和朋友
外觀可能是欺騙性的，在這種情況下，並非所有看似簡單的數據存儲設備的東西都是它看起來的樣子。大拇哥可能看起來像被動數據存儲設備，但它們實際上是 mini 電腦。它們包含一個帶有自己的 CPU，RAM 和 ROM 的小型板載微控制器單元。從本質上講，這些用於管理 NAND flash drive，以及大拇哥通過報告它是什麼類型的設備來向主機標識自己。這些功能可能被其他 MCU（如 Teensy 和R ubber Ducky ）所欺騙，這些 MCU 安裝在正常的 flash drive 內。當用戶認為他們正在插入USB 時，惡意外設可以將自己辨別為鍵盤或滑鼠，並開始發送自動鍵盤敲擊和點擊以控制主機，遍歷文件系統或打開應用程式。

3. Flashed Firmware
此為更難實現，但許多研究人員已證明可以修補或更換正常的 USB 設備的 fireware 以進行惡意攻擊。這些有可能是，從注入鍵盤敲擊到通過重新編程的 USB - ethernet adapter 捕獲網絡流量。在一個 demo 中，研究人員討論了如何修改幾個字節的 fireware 代碼可以使用戶認為保存在設備上的數據是加密的，而實際上數據可以通過任何密碼來存取。

4. Denial of Service
心懷不滿的員工，激烈的競爭對手或駭客行為主義者 “就因為他們路在其中” 只是一些人可以使用你無人看守的 USB 端口來銷毀帶有 USB.Killer 的筆電或工作點。這種惡意設備會向其插入的任何設備發送重複的電流。在大多數情況下，這會導致電腦邏輯板的致命損壞。

5. 數據洩露
大多數的商業攻擊都是關於賺錢和竊取數據，USB 是網路盜賊的理想切入點。從不可見的分區到簡單的複制和貼上，不受保護的 USB 端口使犯罪分子可以在未經許可的情況下輕鬆傳輸機密信息。有鑑於大拇哥體積小但容量大，可以是客戶數據庫，機密電子郵件，產品規格以及您擁有的任何 IP。當一名員工將 APT 駭客工具複製到大拇哥並將他帶回家時，即使是NSA 也失去了對其資產的控制權！

結論：
為了防範這些威脅，您的安全軟體必須實施設備控制，並使您能夠管理整個網路中 USB 和其他外圍設備的使用。結合SentinelOne 端點防火牆控制功能，設備控制提供了一些被認為是缺失的部分，以完全取代傳統的防病毒（AV）解決方案。與平台的其他功能一樣，這些功能可通過 SentinelOne 的單一代理，單代碼庫，單一控制台架構來提供。隨著 SentinelOne 全球部署的增長，我們將繼續專注於解決客戶關心的問題。從Eiffel / 2.8 agent 開始提供設備控制。

想看 SentinelOne 設備控制的 demo?，請按我。

原文

0 Comments

HITCON Defense 企業資安防禦大賽

12/9/2018

HITCON Defense
HITCON Defense 企業資安防禦大賽將於2018年12月14日在台北文創14F隆重舉行。
歡迎同好們一起組隊參加。
08:00-08:30 參加隊伍報到
欲參加者請於比賽前10分鐘至14樓服務台登記報名。（每場次為25人為限）
現場參加的隊伍可以選擇當今最火紅的防禦軟體 SentinelOne 做為防護機制之一。
小編等你來挑戰！

按我得知更多詳情

FIREWALL CONTROL – FEATURE SPOTLIGHT

12/6/2018

0 Comments

請想像以下故事情節：IT 獲取有效情報，指示特定的網路釣魚 URL 正在全局掃描憑據。為了保護網路上的用戶，管理員立即向網路防火牆添加規則以阻止 URL 。但那些不在防火牆後的遠端用戶呢？如果 perimeter 保護失敗或被規避怎麼辦？

端點防火牆控制通過管理與每個端點之間的允許通信來應對這些挑戰。它允許管理員控制和實施策略。

為什麼？
我們在 SentinelOne agent 中建立此功能有 4 個原因：

1. 能見度
據 SentinelOne Ransomware 調查顯示，在過去12個月中，遭受勒索軟體攻擊的企業中，近十分之七（69％）的人表示攻擊者能夠通過電子郵件或社交媒體進行網路釣魚，從而獲得對其企業網路的訪問權限。大約五分之二的受訪者表示，通過點擊受感染網站（44％）導致的下載驅動獲得了訪問權限。這清楚地表明網路是最普遍的感染來源。為了使事情更具挑戰性，大多數網路流量都經過加密，從而提高了隱私性，但卻消除了網路防火牆超出 header 的選項。同時，越來越多的用戶處於遠端的狀態，使得網路防火牆無法提供防禦屏蔽。您的用戶可以在任何地方工作，而唯一可以確定的是他們是使用他們的端點設備。

最佳的答案是通過使用網路控制處理與網路相關的感染來增加資產保護。SentinelOne Deep Visibility功能的一部分可查看所有流量，該功能還支持對加密流量的可見性。

2. 惡意軟體預防
對於惡意攻擊者，網路流量有兩個主要原因：

大多數惡意軟體感染都會嘗試連接到 Command & Control（C2）伺服器以建立遠端控製或洩露數據。

勒索軟體通常將加密密鑰存儲在遠端伺服器上以增加支付的機會。

3. 預防企業數據遺失
防火牆控制可以阻止未經授權的數據傳輸到企業網路內外的所有端點。這樣可以降低資產洩漏數據的風險。當惡意軟體和/或惡意行為者從電腦執行未經授權的數據傳輸時，就會發生數據竊取。惡意軟體通常會試圖保持未被發現並刪掉個人數據，無論是敲詐勒索還是間諜活動。例如，今年早些時候，我們得知特斯拉員工編寫軟體來定期導出數 gigabytes 的專有數據並將其匯集到組織外部並分享出去。網路訪問控制是可以防止這種損失。

4. 符合法規
由於防火牆控制提供了另一種降低企業風險的措施，它可以幫助您的企業實現需要網路訪問控制的合規性。

易於管理
向平台添加功能始終是一個理想的舉動，但它不能犧牲可用性來做為代價。建立一個需要經過嚴格培訓的人員來管理的產品可能會解決一些客戶的需求，但這會產生另一個問題。您仍然可以看到那些產品未正確配置或由於使用困難而無法有效監控的情況。結果是複雜的產品無法解決他們想要解決的問題。在防火牆控制的情況下，我們實施了一種簡單基於規則的體驗，提供了靈活性而沒有複雜性。

Demo
在此 Demo 中，您可以看到如何使用防火牆控制來阻止網路釣魚的嘗試。

Take Away

資安不僅僅是防止惡意軟體。整個網路的良好乾淨狀況有助於在戰鬥之前贏得戰鬥。端點防火牆控制是分層安全模型的重要組成部分。保護網路流量對 SentinelOne 來說並不陌生。我們已經看到許多嘗試過的攻擊，並對其進行了自動響應。平台的強大之處在於您可以在一個自動 Agent 中獲得所有這些功能 - 無需額外安裝。

Firewall Control is supported starting with 2.8 agents (with Eiffel console) and is part of the SentinelOne “Complete” offering.

原文

0 Comments

SENTINELONE IS RECOGNIZED AS A 2018 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT PROTECTION PLATFORMS

11/22/2018

Gartner Peer Insights 客戶的選擇區別基於用戶有購買，實施和/或使用產品或服務之經驗專業人士的反饋和評價。

於加州山景城，2018年11月19日 - SentinelOne ，一領先的自動端點保護解決方案軟體提供商很高興地分享他們被命名為2018 年 Gartner Peer Insights 客戶選擇端點保護平台。 Gartner 將端點保護平台定義為部署在端點設備上的解決方案，以防止基於文件的惡意軟體，檢測和阻止來自受信任和不受信任的應用程序的之惡意活動，並提供動態響應安全事件和警報所需的調查和修復功能。

SentinelOne 首席執行官兼聯合創始人Tomer Weingarten 表示：“我們相信，被評為2018年 Gartner Peer Insights 客戶選擇進一步證實了我們傾聽客戶意見並不斷創新我們的解決方案以滿足其安全需求的承諾，並且擁有一些世界上最大的公司作為我們的客戶是一個很好的認證我們的技術處於第一線。” “ SentinelOne 堅信，今天的威脅形勢需要自動端點保護，可以即時響應每個攻擊媒介，並且我們一直在努力確保我們的平台始終讓客戶領先於每個設備，無論是虛擬的、物理的，端點，伺服器或雲端。“

截至 2018 年 11 月 17 日，依據 276 個經過驗證的評論，SentinelOne 在 Endpoint Protection 平台市場的總體評分為 4.7 分（滿分5分）。 SentinelOne 收到的一些評論包括：

“SentinelOne 是一個令人驚嘆的次世代端點保護平台。易於實施，檢測威脅的力度，對於可能已經成為威脅的 roll-back 能力補救措施，並且他們的支援團隊的迅速響應確實贏得了我們的支持。我們已經看到了我們以前的 AV 平台錯過的威脅，有點令人失望是，當 SentinelOne 已攔截到時但其他平台卻沒有。我強烈推薦 SentinelOne。他們的開發團隊是很快速及迅速地整合與改進他們的產品。這是一個很大的優勢“ - 資深IT系統管理員

“我們選擇 SentinelOne 的原因如下：

安全有效性水平超過了同一領域的競爭對手 - 通過 NSS Labs 和 Gartner 的報告。）
易用性，端點上的輕量級客戶端負載以及基於公司的規模增長來、部署和管理能力.
離線檢測能力
TCO 排在248美元，而行業平均水平為 690美元
跨OS（操作系統）兼容性。“ - IT經理 - 端點系統製造業

“我從病毒和勒索軟體的各個角度攻擊它，每次都讓我的測試系統保持乾淨。他們非常友善，讓我在生產中進行測試，並且在檢測，預防和易於安裝和管理方面超出了我的預期。我終於覺得我從威脅中受到了保護。“ - 製造業所有者

通過機器學習和 AI，SentinelOne 端點保護平台（EPP）可以主動保護企業免受進階威脅，以及全自動和自動檢測和修復端點問題。 SentinelOne 的行為 AI 引擎監控每個系統進程，不僅提供最廣泛的攻擊媒介之卓越保護，而且在單個 codebase 中產生無與倫比的端點可見性。

關於 Peer Insights:
Peer Insights 是 IT 專業人員和技術決策者編寫和閱讀的 IT 軟體和服務評級和評論的在線平台。目標是幫助 IT 領導者做出更具洞察力的購買決策，並通過從客戶那裡獲得客觀，公正的反饋來幫助技術提供商改進他們的產品。 Gartner Peer Insights在 200 多個市場中包含超過 70,000 條經過驗證的評論。欲知更多信息: www.gartner.com/reviews/home

免責聲明：
Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

關於 SentinelOne
SentinelOne 通過單個代理提供自動端點保護，該代理成功的防止，檢測和響應所有主要向量的攻擊。 S1 平台專為極易使用而設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，為客戶節省了時間，是唯一可直接從端點提供跨網絡可見性的解決方案。

The Gartner Peer Insights Customers’ Choice logo is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice distinctions are determined by the subjective opinions of individual end-user customers based on their own experiences, the number of published reviews on Gartner Peer Insights and overall ratings for a given vendor in the market, as further described here, and are not intended in any way to represent the views of Gartner or its affiliates.

原文

2018’S MOST PREVALENT RANSOMWARE – WE TOOK IT FOR A RIDE

11/3/2018

儘管我們已經做出了努力來消滅它，但 GandCrab 勒索軟體在整個2018年繼續發展和擴散。就讓我們欣賞一下 SentinelOne 是如何抵擋它。

GandCrab 是一種侵略性的惡意軟體，自2018年1月首次被發現以來已經襲擊了近50萬受害者。它使用各種感染媒介來破壞端點，包括電子郵件廣告，網站和漏洞利用工具包，例如 Rig 和 GrandSoft 。

感染的第一階段收集數據，例如電腦名稱，操作系統版本以及是否安裝了任何舊版 AV軟件。它還檢查目標機器是否具有俄語鍵盤，如果沒有，則進入下一階段。這涉及終止受害者可能用於內容創建的應用程序和進程，例如內容編輯器和電子郵件客戶端。惡意軟體會感染每個連接的驅動器（CD-ROM media 除外），並且還會確保刪除用戶數據的任何備份或 Shadow 副本：

然後，惡意軟體可以在使用其 C＆C 服務器登記之前嘗試提升權限，此時服務器接收到受害者的唯一 ID 的加密密鑰。

GandCrab “聰明到” 足以忽略系統和程序文件，受害者當然可能需要向攻擊者付款，並專注於用戶數據文件。其並使用唯一的 AES-256 密鑰加密每個文件。

在成功加密目標設備後， GandCrab 提供贖金票據，指示受害者使用比特幣或 Dash 付款，要求 300 美元至 6000 美元之間的任何費用。

有幾次的嘗試擊敗 GandCrab 。 2月，在歐洲刑警組織的支持下，羅馬尼亞警方在 No More Ransom 上提供了第一個解密工具。隨後，犯罪分子發布了第二版 GandCrab 勒索軟體，改進了編碼，甚至發表評論針對執法部門，安全公司和 No More Ransom 。第三個版本是在一天後發布的。現在，在其第五個版本中，此文件鎖定惡意軟體繼續以激進的速度更新。每個版本都出現了新的，更複雜的技術，以繞過網路安全供應商的對策。

如以下 Demo 所顯示， SentinelOne 可以阻止 GandCrab 的執行，並且作為最後的安全措施，甚至可以通過 rollback 解密用戶的 .crab 文件。

DEMO

原文

<<Previous

ASUS SHADOWHAMMER EPISODE – 客製化的供應鏈攻擊

善用駭客戰隊能量強化產業防護力-摘自CIO訪談

SENTINELONE RECOGNIZED AS A 2019 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT DETECTION AND RESPONSE SOLUTIONS

A REVIEW OF MALWARE AFFECTING MACOS IN 2018

WHAT IS A PHISHING SCAM? (AND WHAT TO DO TO STOP ATTACKS)

MALICIOUS MEDIA | WHY YOUR ENDPOINTS NEED DEVICE CONTROL

HITCON Defense 企業資安防禦大賽

FIREWALL CONTROL – FEATURE SPOTLIGHT

SENTINELONE IS RECOGNIZED AS A 2018 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT PROTECTION PLATFORMS

2018’S MOST PREVALENT RANSOMWARE – WE TOOK IT FOR A RIDE

Archives

Categories