Category: SentinelOne

A REVIEW OF MALWARE AFFECTING MACOS IN 2018

12/31/2018

在 2018 年的最後一天，讓我們來回顧一下 macOS 安全狀態。

2018年是 MacOS RAT 的一年，特別有 Empyre 作為一路領先多種惡意軟件變體的首選開發框架。 EvilOSX，EvilEgg 和基於Java 的 RAT 也一起亮相。今年加密貨幣的惡意軟體在新聞中佔到量的也很大，因為糟糕的演員既針對比特幣的錢包，又利用加密貨幣實用程序來感染毫無戒心的用戶。 Cryptojacking 仍然在增加，但主要局限於持續存在的 macOS 廣告軟體問題。

Malware in Development
這一年由 OSX.MaMi 開始，一個可疑的舊版 Windows 惡意軟體 DNSUnlocker 的 macOS 變種。 Mami 改變 macOS 的SystemConfiguration.plist 以劫持受害者的DNS服務器。該惡意軟體包含用於遠程下載和上傳文件，記錄滑鼠點擊，截屏和嘗試權限提升的邏輯。

同月，Java 基礎的 CrossRAT 被發現作為 Dark Caracel APT 工具包的一部分，該組織代表黎巴嫩政府為了國家安全目的收集攻擊性網絡能力情報。 CrossRAT 是一個多平台監控工具，它通過自身副本在 macOS 上寫入〜/ Library / mediamgrs.jar 並安裝用戶 LaunchAgent 來實現持久性。

有趣的是，或者令人擔憂的是，MaMi 和 CrossRAT 都有版本號，表明它們處於早期開發狀態，未來看到這兩種的進階版本也就不足為奇了。

Lazarus APT
在今年年初發生的兩項重要發現之後，惡意軟體方面有點相對的安靜，直到4月份才發布了一個名為 CelasTradePro 的加密貨幣交易應用程序。該惡意軟體歸屬於與朝鮮有關的 APT 小組 Lazarus，由三部分組成。作為 CelasTradePro.app 中的更新程式植入的木馬下載程序，具有標記 “com.celastradepro.plist” 和有效負載的 LaunchDaemon，最初被放在 / var / zdiffsec 處。

目前還不清楚這種被稱為 OSX.AppleJeus 的惡意軟體是否是軟體供應鏈攻擊，或者 CelasTradePro.app 是專門用於感染加密貨幣交易所。在任何一種情況下，該應用程式都有一個有效的開發人員簽名，因此很容易繞過 Apple 的內置安全技術。

WindShift APT
雖然是在4月底創造的，AppleJeus 一直到 8月才被發現，而那個月也出現了另一個針對 Mac 平台的 APT 組織，WindShift APT 的消息。雖然早在去年 1 月就被認為首次針對 macOS，但 WindShift 似乎已經在2018年開始活動，因為這個數字（感謝 DarkMatter）顯示：

WindTail.A 針對受害者電腦上具有以下檔類的文件：.txt .pdf .doc .docx .ppt .pptx .db .rtf .xls .xlsx 並使用 LoginItem 進行持久化。後門 WindTape 獲取當前桌面的螢幕截圖，將其發送到 C2 伺服器並刪除本地副本。並每5秒重複一次這個過程。

感染此特定惡意軟體的關鍵是在默認情況下 Safari 選項允許 .zip 文件在下載時自動取消歸檔。此功能意味著 macOS 將自動註冊在惡意軟體中定義的自定 URL，這是有助於進一步感染的。一般情況下，用戶在 Safari 的選項中取消選中以下設置總是明智的：

The Weakest Links?
7月，OSX.Dummy 出現在一些挖礦聊天群組中。因為認為這是來自可靠的來源，攻擊者讓受害者運行具有提升權限的工具，。詐騙的也不必太努力，因為他們提供惡意軟體作為受害者自己尋求幫助問題的答案。該工具安裝了一個 bash 腳本，該腳本利用 python 打開 reverse shell：

OSX.Dummy 之所以如此命名，是因為它接受到了受害者的大量的同意，並成功地破壞了目標。在這方面，至少，它與下一個在2018年出現的惡意軟體的極端相反。九月看到了許多人認為最不可能的威脅來源：Apple 自己的 App Store。從 Mac App Store 下載的軟體是已被 Apple 的 Gatekeeper 信任的，因此沒有額外防禦的用戶在未經許可的情況下，完全不受一系列批准的應用程式洩露個資的保護就不足為奇了。APP 程式包括 Adware Doctor，Open Any Files，Dr. AntiVirus 和 Dr. Cleaner。蘋果在9月份最終將所有這些商品從商店中移除，但至少有兩名違規者已與 Apple 報告過，並未採取任何行動。

The Other Side of the Coin
10月份，CoinTicker 進入戰場，通過挖礦應用程式植入木馬後門。結合 open source 利用工具，EvilOSX 和 EggShell，CoinTicker 似乎是一個簡單的狀態工作表程式，顯示各種加密貨幣的當前交易價格。該應用程序功能齊全，但同時嘗試通過reverse shell 允許攻擊。

" 感謝 " 開發工具的性質，攻擊者可以有多種選擇功能。可以第一優先攻擊的事情之一就是竊取受害者的虛擬貨幣錢包。

針對虛擬貨幣的用戶攻擊並未在 2018 年停止。去年 11 月，Exodus cryptowallet 的用戶成為電子郵件網絡釣魚活動的目標。攻擊者曾希望安裝基於 RealTimeSpy 商業間諜軟體的惡意軟體。雖然沒有任何關於 RealTimeSpy 開發人員參與的暗示，但毫無疑問，此活動背後的人希望在受害者的主機上安裝 RealTimeSpy 版本。假設目標是竊取比特幣錢包是合理的，但是這個 macOS 間諜軟體還可以通過螢幕截圖和鍵盤記錄來竊取其他個資。此外，該計劃還能夠捕獲社交網絡活動和網站訪問。

Festive Crackers

這一年在繁忙的12月結束，在一周之內發現了一連串的三次惡意軟體（有相關性）。首先是Adobe CC的破解應用程式，OSX.DarthMiner，利用 Automator 工作流程通過 Empyre 後端安裝加密器。 OSX.LamePyre 是遊戲玩家的 Discord 語音和聊天應用程式的假冒版，也使用了類似的 Automator 工作流程和 Empyre 後門程式。 LamePyre 的主要功能似乎是採用受害者桌面的常規螢幕截圖並將其上傳到 C2 服務器。

目前尚不清楚這兩個相關的木馬是由同一攻擊者創作的，或是最近在 DarkNet 上交易的一些通用代碼。我們也注意到假的Discord 應用程式似乎已經俄語本地化並包含一些俄文。

當然，我們無法說出這些線索是故意留下來誤導還是粗心的結果。無論哪種方式，我們都不會驚訝看到這些 Automator 基礎的木馬程式在 2019年新年之前或之後再次出現。

最後，OSX.BadWord 通過利用 Microsoft Word for Mac 沙箱逃離並提供 Meterpreter payload 來提供不同類型的威脅。襲擊者似乎已經在八月份已首次介紹了武器化的概念驗證。與 Windows 上類似的基於 Word 的攻擊一樣，它利用 VBA marcro 來執行代碼並感染用戶。 OSX.BadWord 似乎是通過電子郵件發送給 Quidax 加密貨幣平台的員工，邀請他們為 “BitCoin Magazine UK” 捐獻。

Also Ran
除了完全的惡意軟體之外，我們今年也已看到許多廣告軟體安裝程式充當了密碼管理器的木馬程式，例如 PPMiner，CreativeUpdate 和 SearchPageInstaller。

廣告軟體仍然是一個問題，特別是當我們看到廣告軟體開發人員越來越擴展他們的技術範圍並開始越線進入類似惡意軟體的行為時。

Summary
總結一下，2018 年 APT 針對 macOS 攻擊增加以及意圖利用加密技術或針對加密貨幣參與者（包括員工和貨幣交易）的犯罪分子。像 Empyre 這樣的 open-source 開發工具包在過去12個月中一直是 macOS 惡意軟體的首選工具。我們預計這樣的趨勢將持續到 2019 年，而一如往常，在 SentinelOne，我們會持續發布最新消息並使我們的用戶受到保護。

祝大家有一個 "安全" 的新年！HAPPY NEW YEAR!!

原文

WHAT IS A PHISHING SCAM? (AND WHAT TO DO TO STOP ATTACKS)

12/22/2018

雖然惡意軟體攻擊和大數據洩露通常會成為媒體的頭條新聞，但網絡釣魚詐騙更為常見，在許多情況下對公司構成嚴重威脅。除了用於竊取信用卡詳細信息，登錄憑據，社會安全號碼和其他個資之外，網絡釣魚詐騙還被廣泛用作惡意軟體和勒索軟體攻擊的入口點。網絡釣魚不僅會導致身份盜用，還會導致客戶數據和公司知識產權的遺失。當攻擊者參與魚叉式網絡釣魚攻擊，針對公司人員有針對性攻擊或冒充軟體即服務（SaaS）等企業平台時，風險為更大。在過去12個月中，69％遭受勒索軟體攻擊的組織表示，攻擊者通過電子信箱或社交媒體進行網絡釣魚獲取了對其網絡的訪問權限。

本週發布的追踪網絡釣魚活動趨勢的最新報告顯示，針對有品牌的網絡釣魚活動在上一季度一直在穩步增長：

該報告指出，網絡釣魚詐騙越來越多託管在 HTTPS 網站上，近一半的網絡釣魚網站現在都已使用安全協議。這些不會觸發Chrome 不安全標籤等機制的警告，並且其內容對於傳統AV解決方案是隱形的，也無法讀取其加密流量。

HTTPS對詐騙者很有吸引力，因激勵用戶認為瀏覽器地址欄中大肆吹噓的綠色表示安全或合法的網站。但事實上，任何網站，無論多麼危險，都可以獲得 SSL 證書。它們甚至可以通過 Comodo 和 Let's Encrypt 等服務免費提供。 SSL證書僅建立與用戶登陸的網站點的安全連接。並不保證網站不是為惡意的。

Phishing for Profit 釣魚如何獲利
對於任何網絡攻擊，網絡釣魚活動是一個很好的開始。讓我們看看為什麼它是壞演員中的一個受歡迎的原因

心理學上

正如古老的格言所說，任何電腦防禦策略中最薄弱的環節通常是在鍵盤和椅子之間;換句話說，利用人類心理學通常比利用技術系統更容易。即使是那些知道如何從惡意連結發現真正連結的人，也無法免受精心設計的網絡釣魚活動的影響。

使用社群工程技術，持久性和一些良好的初始偵察，網絡釣魚是攻擊者獲得入口點的合理可靠方式。詐騙者有自己的心理和技術。再加上某種時間壓力，例如 “黑色星期五” 或“ Cyber Monday” 等有季節性的跳樓大拍賣，或者來自假律師告知您的配偶提出離婚意外消息，這都是在統計上有利於攻擊者並讓受害者點擊的連結。

特別是在有針對性的魚叉式網絡釣魚活動中，訣竅就是要充分了解目標，以便知道 “按下按鈕” 的內容，並在精心設計的可靠來源中模擬中使用這些信息。

低風險，高回報
網絡釣魚受攻擊者歡迎的第二個原因是它是一種低風險，高回報的策略。雖然威脅者可以使用網絡釣魚來實現直接進入目標，但是這種技術更常被玩家使用，除了竊取憑據並在暗網上出售之外，使用比特幣和其他加密貨幣輕鬆接收無法追踪付款。由於許多人在多個站點上重複使用相同的登錄憑據，因此通過在線銷售敏感信息，網絡釣魚可以為參與牟取暴利的人帶來意外獎勵，其中單點登錄憑證可能會打開龐大的數據和訪問點。

模擬
眾所周知，通過書面溝通來驗證身份是很困難的。如果朋友進行視頻或打個電話，您可以立即識別出該線路的另一端是您的朋友。如果您收到來自朋友的簡訊，要求您查看連結或打開檔案，則事情要困難得多。繁忙中，總是有一些人會無意中點擊惡意內容，統計上來說，這是一種必然性。詐騙者知道這一點，就像任何類型的廣告一樣，獲得 “點擊通過” 都是一個了解你的觀眾並提供足夠數據的問題。

It Started With a Link
那麼網絡釣魚騙局如何運作？電子郵件是主要的，但不是唯一的誘因。 Facebook，Twitter 和 LinkedIn 等簡訊和社交媒體網站也被利用，但目標始終如一：讓受害者點擊連結，撥打電話或啟動其他一些會觸發的操作騙局。
許多網絡釣魚詐騙將試圖模仿受害者熟悉的商店，例如這個假的 Spotify 訂閱消息：

像這樣的訊息直接正中下懷正確的心理按鈕。收件人將對 “錯誤” 感到憤怒，並擔心收費，因此有強烈的動機點擊誘餌 “審核您的訂閱” 連結。

連結本身經常被操縱，以便在不經意下看起來看起來正常。但其中只有一個是真的，但有多少使用者可立即知道呢？

然後是 Homographic attacks，其中詐騙者使用 unicode 註冊網站，這些文字在視覺上類似於真實網站名稱中使用的 ASCII 。請比較這兩個unicode：

\ u0430 \ u0440 \ u0440 \ u04CF \ u0435

\ u0061 \ u0070 \ u0070 \ u006C \ u0065

和他們的視覺上 “印刷” 形式，如下圖所示：

這兩種編碼就乍看之下類似，但電腦會以不同的方式讀取它們。如果第一個用於域名註冊，它實際上將指向與第二個完全不同的站點。

幸運的是，大多數現在的瀏覽器都能識別出這種類型的攻擊，但是最近一年中 Chrome，Firefox 和 Opera 都存在漏洞，這些漏洞能夠繞過這些瀏覽器的同形保護過濾器。

在最近的攻擊中，詐騙者使用 Google.com 的真實子域 sites.google.com 來託管網頁，然後將受害者重定向到惡意網站。

Reeling in the Catch 掉入陷阱中
一旦受害者被吸引住，該騙局可能涉及任何數量的詭計，從欺詐性技術支持詐騙到假電子郵件登錄頁面。一個常見的策略是告訴受害者他們需要更新他們的電子郵件帳戶，然後提供一個相當令人信服的假網站：

但是，檢查網站後台的代碼將會顯示它的真實身份是什麼：試圖竊取用戶的登錄憑據。用戶在虛假站點中輸入憑據後，代碼會將其重定向到真實站點。

針對企業的魚叉式網絡釣魚活動可能正在尋找工業或國家間諜活動的知識產權。例如，一家英國工程公司最近成為針對其海事技術秘密的魚叉式網絡釣魚活動的目標，可能是來自支持中國的APT小組。

How to Avoid A Scam
考量到危險，一個忙碌的人可以做些什麼來降低網絡釣魚詐騙的風險？這裡有一些提示：

Take Control
確保已打開瀏覽器的反網絡釣魚首選項。
而使用者會取消此選項是很罕見的，惡意軟體在沒有用戶許可的情況下禁用它是很簡單可以做到的。
根據不同的瀏覽器，可以在不同的位置找到設定，及不同的名稱。對於 Chrome 和 Chromium瀏覽器，它們通常屬於“進階”或“隱私”，並且會被稱為 “安全瀏覽” 或 “網絡釣魚和惡意軟件防護” 。

Firefox 的是在 “阻止危險和欺騙性內容” 設置，該設置位於 “ 隱私和安全 ” 下的 “ 選項 ” 頁面中。對於 Safari，請在 “ 選項 ” 的
“ 安全 ” 選項卡中選中 “ 訪問欺詐性網站時發出警告 ” 選項。

在您的電子郵件客戶端中，禁用自動加載存儲在遠程服務器上的圖像和外部內容。如果不這樣做，攻擊者就可以代替使用可點擊的圖像，而不是連結本身，並可以避免安全過濾器。並允許包含隱藏的圖像，以便在目標打開中毒的電子郵件時通知他們。

Take a Closer Look
電子郵件和其他郵件中的拼寫錯誤和語法錯誤始終是一個危險信號，因此養成仔細查看包含連結的電子郵件文本的習慣。將游標停在任何連結上，然後點擊它們以查看它們真正的位置。

養成不從電子郵件中點擊連結的習慣也是一個好方式。避免點擊連結或撥打要求個人資訊，信用卡號或帳戶密碼的電話號碼。並從瀏覽器中的書籤轉到頁面，或在搜索引擎中查找地址。同樣，請務必仔細檢查您要求通過網絡搜索或查看之前的信件來撥打的電話號碼。

Get with the Program
對於企業用戶，請考慮定期模擬網絡釣魚活動的員工培訓。使用像 SentinelOne 這樣的優秀的次世代 AV，它可以檢查加密的流量並強制執行防火牆控制來阻止已知的詐騙站點。

Be a Good Citizen
當然，如果發現網絡釣魚攻擊，請務必告知。您可以於 Federal Trade Commission（FTC）報告網絡釣魚，身份盜竊和其他詐騙，並告知相關組織欺詐是否欺騙合法網站。報告功能由 Apple，Google，Microsoft 和大多數其他主要供應商提供。您可以通過互聯網搜索“報告網絡釣魚到”和供應商名稱輕鬆找到其他供應商的相應頁面。

SENTINELONE IS RECOGNIZED AS A 2018 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT PROTECTION PLATFORMS

11/22/2018

Gartner Peer Insights 客戶的選擇區別基於用戶有購買，實施和/或使用產品或服務之經驗專業人士的反饋和評價。

於加州山景城，2018年11月19日 - SentinelOne ，一領先的自動端點保護解決方案軟體提供商很高興地分享他們被命名為2018 年 Gartner Peer Insights 客戶選擇端點保護平台。 Gartner 將端點保護平台定義為部署在端點設備上的解決方案，以防止基於文件的惡意軟體，檢測和阻止來自受信任和不受信任的應用程序的之惡意活動，並提供動態響應安全事件和警報所需的調查和修復功能。

SentinelOne 首席執行官兼聯合創始人Tomer Weingarten 表示：“我們相信，被評為2018年 Gartner Peer Insights 客戶選擇進一步證實了我們傾聽客戶意見並不斷創新我們的解決方案以滿足其安全需求的承諾，並且擁有一些世界上最大的公司作為我們的客戶是一個很好的認證我們的技術處於第一線。” “ SentinelOne 堅信，今天的威脅形勢需要自動端點保護，可以即時響應每個攻擊媒介，並且我們一直在努力確保我們的平台始終讓客戶領先於每個設備，無論是虛擬的、物理的，端點，伺服器或雲端。“

截至 2018 年 11 月 17 日，依據 276 個經過驗證的評論，SentinelOne 在 Endpoint Protection 平台市場的總體評分為 4.7 分（滿分5分）。 SentinelOne 收到的一些評論包括：

“SentinelOne 是一個令人驚嘆的次世代端點保護平台。易於實施，檢測威脅的力度，對於可能已經成為威脅的 roll-back 能力補救措施，並且他們的支援團隊的迅速響應確實贏得了我們的支持。我們已經看到了我們以前的 AV 平台錯過的威脅，有點令人失望是，當 SentinelOne 已攔截到時但其他平台卻沒有。我強烈推薦 SentinelOne。他們的開發團隊是很快速及迅速地整合與改進他們的產品。這是一個很大的優勢“ - 資深IT系統管理員

“我們選擇 SentinelOne 的原因如下：

安全有效性水平超過了同一領域的競爭對手 - 通過 NSS Labs 和 Gartner 的報告。）
易用性，端點上的輕量級客戶端負載以及基於公司的規模增長來、部署和管理能力.
離線檢測能力
TCO 排在248美元，而行業平均水平為 690美元
跨OS（操作系統）兼容性。“ - IT經理 - 端點系統製造業

“我從病毒和勒索軟體的各個角度攻擊它，每次都讓我的測試系統保持乾淨。他們非常友善，讓我在生產中進行測試，並且在檢測，預防和易於安裝和管理方面超出了我的預期。我終於覺得我從威脅中受到了保護。“ - 製造業所有者

通過機器學習和 AI，SentinelOne 端點保護平台（EPP）可以主動保護企業免受進階威脅，以及全自動和自動檢測和修復端點問題。 SentinelOne 的行為 AI 引擎監控每個系統進程，不僅提供最廣泛的攻擊媒介之卓越保護，而且在單個 codebase 中產生無與倫比的端點可見性。

關於 Peer Insights:
Peer Insights 是 IT 專業人員和技術決策者編寫和閱讀的 IT 軟體和服務評級和評論的在線平台。目標是幫助 IT 領導者做出更具洞察力的購買決策，並通過從客戶那裡獲得客觀，公正的反饋來幫助技術提供商改進他們的產品。 Gartner Peer Insights在 200 多個市場中包含超過 70,000 條經過驗證的評論。欲知更多信息: www.gartner.com/reviews/home

免責聲明：
Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

關於 SentinelOne
SentinelOne 通過單個代理提供自動端點保護，該代理成功的防止，檢測和響應所有主要向量的攻擊。 S1 平台專為極易使用而設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，為客戶節省了時間，是唯一可直接從端點提供跨網絡可見性的解決方案。

The Gartner Peer Insights Customers’ Choice logo is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice distinctions are determined by the subjective opinions of individual end-user customers based on their own experiences, the number of published reviews on Gartner Peer Insights and overall ratings for a given vendor in the market, as further described here, and are not intended in any way to represent the views of Gartner or its affiliates.

原文

2018’S MOST PREVALENT RANSOMWARE – WE TOOK IT FOR A RIDE

11/3/2018

儘管我們已經做出了努力來消滅它，但 GandCrab 勒索軟體在整個2018年繼續發展和擴散。就讓我們欣賞一下 SentinelOne 是如何抵擋它。

GandCrab 是一種侵略性的惡意軟體，自2018年1月首次被發現以來已經襲擊了近50萬受害者。它使用各種感染媒介來破壞端點，包括電子郵件廣告，網站和漏洞利用工具包，例如 Rig 和 GrandSoft 。

感染的第一階段收集數據，例如電腦名稱，操作系統版本以及是否安裝了任何舊版 AV軟件。它還檢查目標機器是否具有俄語鍵盤，如果沒有，則進入下一階段。這涉及終止受害者可能用於內容創建的應用程序和進程，例如內容編輯器和電子郵件客戶端。惡意軟體會感染每個連接的驅動器（CD-ROM media 除外），並且還會確保刪除用戶數據的任何備份或 Shadow 副本：

然後，惡意軟體可以在使用其 C＆C 服務器登記之前嘗試提升權限，此時服務器接收到受害者的唯一 ID 的加密密鑰。

GandCrab “聰明到” 足以忽略系統和程序文件，受害者當然可能需要向攻擊者付款，並專注於用戶數據文件。其並使用唯一的 AES-256 密鑰加密每個文件。

在成功加密目標設備後， GandCrab 提供贖金票據，指示受害者使用比特幣或 Dash 付款，要求 300 美元至 6000 美元之間的任何費用。

有幾次的嘗試擊敗 GandCrab 。 2月，在歐洲刑警組織的支持下，羅馬尼亞警方在 No More Ransom 上提供了第一個解密工具。隨後，犯罪分子發布了第二版 GandCrab 勒索軟體，改進了編碼，甚至發表評論針對執法部門，安全公司和 No More Ransom 。第三個版本是在一天後發布的。現在，在其第五個版本中，此文件鎖定惡意軟體繼續以激進的速度更新。每個版本都出現了新的，更複雜的技術，以繞過網路安全供應商的對策。

如以下 Demo 所顯示， SentinelOne 可以阻止 GandCrab 的執行，並且作為最後的安全措施，甚至可以通過 rollback 解密用戶的 .crab 文件。

DEMO

原文

SENTINELONE ACHIEVES ISO 27001 CERTIFICATION

10/16/2018

被全球資訊安全管理承諾標準認可之端點保護領導者

於加洲山景城時間 - 2018年10月16日 - 自動化端點保護公司 SentinelOne 今天宣布已獲得 ISO / IEC 27001：2013 認證，表彰其致力於為客戶提供最高水平的資訊安全管理。經過廣泛的審核，該認證由位於美國的 ANAB 和 UKAS 認證機構Schellman＆Company LLC 頒發。

ISO 27001 是全球公認的標準規範，要求對資訊安全管理系統（ISMS）的建立，維護和認證進行多種控制。 SentinelOne 的 ISMS 特定了大量技術，管理和實體控制，旨在保護 SentinelOne 自身的信息，以及整體業務風險背景下的客戶和員工信息。 SentinelOne 在首次 ISO 嘗試時獲得了認證，展現了其資訊安全計劃的完整性和嚴謹性。

總顧問兼資訊安全主管 Efi Harari 表示，“我們一直堅持使用業界最先進的端點解決方案保護關鍵基礎設施的使命，我們努力保護所有從客戶端收集的數據也是如此，” “我們的客戶根據行業最佳標準和慣例正確地要求最高級別的數據安全性，獲得ISO 27001認證是對我們的極大認可。”

SentinelOne 了解到資訊必須得到精心管理，控制和保護，因為它對客戶和產品都有重大影響，SentinelOne 擁有一個專門的安全團隊，負責監督公司的資訊安全計劃。該計劃包括高品質的網路安全，應用程序安全，身份認證和存取控制，變更管理，漏洞管理，日誌/事件管理，第三方測試等。為了解決客戶對跨境數據傳輸的任何擔憂，SentinelOne 現在可以根據客戶的要求在特定的地理位置處理客戶數據。

Schellman 的ISO / IEC 27001：2013 認證涵蓋 SentinelOne 端點保護產品的全部產品，包括 agent，管理控制台，客戶數據處理活動和軟體即服務（SaaS）。認證詳細訊息在 Schellman 證書目錄中公開提供。

About SentinelOne

SentinelOne 通過單個代理提供自動端點保護，代理能成功地防止，檢測和響應所有主要向量的攻擊。為使客戶節省時間，S1 平台為極易使用設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，是唯一可直接從端點提供跨網路可見性的解決方案。

欲了解更多詳情，請與我們聯繫

原文

5 THINGS EVERYONE GETS WRONG ABOUT ANTI-VIRUS

9/25/2018

任何人都應該知道網絡威脅正在增加，並且隨著先進的駭客技術在外繼續擴散，擁有有效安全解決方案的要求已是公司企業的迫切需求。

由於市場充斥著供應商製造誇張的主張和新聞報導甚至更顯眼的頭條新聞，因此很難將事實與虛構分開。如果您還不熟悉端點安全性，那麼這裡有五個基本的要素可以確保您正確選擇可用的選項。

1. 病毒不是你唯一的威脅
資安威脅從早期電腦病毒的所有認識中發展而來，但大多數資安解決方案仍然在其名稱中使用“防毒”一詞，這其實在現今威脅版中是一種誤稱。

現實情況是，網絡攻擊採取了許多與病毒無關的不同形式，它們的範圍從不區分到高度針對性。其中包括勒索軟件，魚叉式網絡釣魚，偷渡式攻擊以及可能導致客戶和企業資料外洩的軟體和硬體漏洞。

並且不要陷入認為您的業務太小而無法成為目標的陷阱。攻擊者現在正在武器化機器學習，以低成本為自己製作高度針對性的活動。

另外，不要忘記威脅可以來自內部; 心懷不滿的員工比任何局外人更了解您的系統的弱點。但無論起源點如何，良好的端點安全性都需要能夠檢測到不良行為。

2. 惡意檔案只是故事的一部分
大多數人認為資安軟體的工作原理是掃描本地電腦上的文件並確定它們是否是惡意軟體。就像“防毒”一詞一樣，這是一種過時的思考方式。儘管主要以這種方式工作的傳統 AV 仍然存在，即使它們通常也會提供一些附加功能，例如阻止惡意網站或檢測到資源使用過度（通常為勒索軟體和加密礦工使用），還仍然無法有效阻擋這些攻擊的波勢。

為了獲得真正有效的保護，您應該關注那些不僅僅是這些的資安解決方案。今天的網絡犯罪分子能夠利用 filesless 攻擊，更改 DNS 配置去將您的網絡流量重新路由並將惡意程式碼注入合法程序中。傳統的AV解決方案主要重於掃描惡意檔案，這就像上週買的牛奶一樣，遠遠超過其銷售日期。

3. 信任是系統的弱點
正如我們在前面提到的那樣，不受信任的軟體並不是您端點上的唯一危險。甚至第一方和已知的軟體品牌可以被利用來破壞您的系統。

雖然 MS Office Macro 攻擊歷史悠久，但 DDE 之類的攻擊可以利用漏洞，這些漏洞將繞過許多資安軟體，因為它們似乎來自可信的應用程序。同樣，大多數企業可能需要合法的 PowerShell 操作，而 PowerShell 驅動的攻擊正變得越來越普遍。您需要一個有智慧的資安解決方案，允許 PowerShell 保持您的工作效率，同時還能確保它能夠區分惡意行為和合法行為。

如果能夠以系統級權限運行，無論是通過權限提升漏洞還是其他感染方法，現今的惡意軟體也可以在運行 AV 解決方案的許多系統上無干擾地運行。這是因為許多 AV 採用錯誤的方法，其使用通過身份而不是行為來授予信任。當資安解決方案採用這種 “白名單” 方法時，端點變得脆弱並容易受到 supply chain 攻擊和假認證的攻擊。

4. 簡潔的力量
資安軟體不應該是難以使用的，您也不必是資安專家來管理它。不幸的是，許多資安軟體給企業帶來了這種印象，使用需要專業培訓課程掌握的診斷工具和套件，使事情過於復雜。請確保您是選擇最小化維護安全的端點解決方案，並有提供簡潔易懂的使用界面及提供一鍵式修復。

您是需要一個解決方案，團隊中的任何人都可以快速學習和操作。對於業務連續性而言，資安解決方案的知識與受過專門培訓的員工無關。世事難預料，員工們有一天會成長離開，並將這些資安解決方案的專業知識一起帶走。

5. 資安是一種心態，而不是一種產品
最大的問題就是 AV 軟體讓您相信它可以一舉解決所有安全問題。威脅有多種型態和形式：從不區別的勒索軟體攻擊到心懷不滿的員工。當攻擊發生時（不是 “如果” 發生），您的行動計劃是什麼？您會如何回應？未安排應變計劃可能會對您的客戶，資料和聲譽造成更大的損害。

這就是為什麼您需要一個可以成為整個應變計劃一部分的端點解決方案。像 SentinelOne 這樣的跨平台解決方案可以提供對網絡中甚至加密流量的 deep visibility 深入可見性，一鍵式修復和 rollback，以及易於使用的單個整體 agent。

原文

想了解 SentinelOne 如何有效保護您免受當前的安全風險？
歡迎與我們聯繫

HOW RYUK RANSOMWARE TARGETS AV SOLUTIONS, NOT JUST YOUR FILES

9/17/2018

自8月中旬以來，最近的 Ryuk 勒索軟體為其作者提供了一筆可觀的金額，並證明僅僅擁有AV和備份解決方案可能還不夠。

與臭名昭著的 APT Lazarus 集團和早期的 HERMES 勒索軟體變種相關聯，Ryuk 的比特幣錢包已累積超過64萬美元的比特幣，這表明他們的策略迄今為止已取得了多大的成功。我們測試的特定樣品就賺進了50.41 BTC（截至今日為316,265美元）。

我們發現特別有趣的是 Ryuk 試圖在勒索軟體啟動其加密程序之前就停止傳統的 AV 產品並刪除Windows VSS shadow 副本。

在默認情況下， Windows 最多可進行64次卷影複製備份，使用戶能夠在數據遺失或覆蓋的情況下在不同時間點從快照恢復數據。

然而，Ryuk 先刪除快照並調整存儲空間大小並將任何恢復機會為零：

除了確保內置備份不可用， Ryuk 還禁用了多個第三方備份服務，包括 Acronis ， SQLSafe ， VEEAM 和 Zoolz 。

Ryuk 還試圖阻止屬於某些傳統 AV 保護軟體的進程，其中包括 Sophos 和 Symantec System Recovery 進程。

從下面的 Demo 中可以看出，Sophos 特別受到關注，從 SentinelOne 管理控制台視圖顯示出：

Ryuk 的嘗試對 SentinelOne 是無效的，因為它有幾個檢測層和防篡改保護。

Pre-execution - 如以下 demo 所顯示，一旦將惡意軟體被複製到桌面，就會檢測到它。在現實生活中，當威脅被隔離時會發生這種情況，確保用戶永遠不會有機會執行它。
On execution - 這裡就是行為 AI ，behavioral I 發揮作用的地方。如 demo 中所示，Ryuk 範例正在使用 bat 文件生成多個進程以完成其操作。行為 AI 能夠連接所有點並建立我們稱之為“ group ”的東西。
這引導到第三層並顯示出我們不同的地方，即深度可見性 Deep Visibility。該組包含所有文件，進程，registry（在本範例中為建立的 registry auto run key）以及與此惡意軟體相關的其他 IOC。即使設備設置為僅檢測時，SOC 分析師也能夠執行威脅搜索操作，該操作將顯示與此威脅相關的所有項目，如下例所示：

Demo

Take away
Anti-tampering – 在 default 情況下，SentinelOne agent 會保護其服務，進程，registry entries 等。它還可以保護所有 VSS 卷影副本，因此用戶可以快速 rollback 和恢復其文件。

Ryuk 的行為模式為 SentinelOne 這樣的安全解決方案的定義了基礎的重要性，它提供深度防禦並且不受篡改的影響。並且永遠不可能禁用或減弱可靠的端點保護。

原文

SENTINELONE DETECTS KEYPASS RANSOMWARE

8/20/2018

photo credit by: https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/

KeyPass 是一種新的勒索軟體威脅，自8月7日以來，已有至少 20 個國家/地區受到威脅，並且此軟體似乎通過假的軟體安裝程序來進一步擴散。

受害者的資料使用 “.KEYPASS” extenstion 加密，並且贖金票據存放在每個成功加密的目錄中。勒所金為 300 美元，並試圖通過提前在付款之前發送解密證明來安撫受害者。鼓勵受害者向攻擊者發送一個小型加密文件的樣本。在這樣做之後，根據說明，受害者將免費獲得該文件的未加密版本。很明顯，攻擊者正在採用與合法軟體開發人員相同的 “用戶體驗” 關注度，以最大化他們的利潤。

Demo and Findings
從以下的視頻中可以看出，SentinelOne 客戶自動受到對於 KeyPass 的保護。

Agent 會立即檢測到惡意活動，然後刪除惡意軟體。當 SentinelOne 的 policy 設置為 “Protect” 時，預期性的行為是刪除，但在 demo 中，我們使用 “僅檢測” 的 policy 來觀察勒索軟件的行為。那麼是什麼導致惡意軟體被刪除呢？

事實證明，勒索軟體實際上正在刪除自己。讓我們通過檢查 SentinelOne 管理控制台中的攻擊故事情節，仔細研究一下層面下到底發生了什麼。

執行時，KeyPass ransomware.exe 會建立該文件

/c "C:\Users\admin\AppData\Local\Temp\delself.bat"

然後，此檔案會刪除以下兩個文件：

\Device\HarddiskVolume2\Users\admin\Desktop\KeyPass 、\ransomware.exe\Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\delself.bat

幾秒鐘後，贖金票據出現：

幾分鐘後，它開始加密受害者的文件，包括捷徑和桌面背景，導致這種狀態：

出於 demo 的目的，我們使用了 “僅檢測” policy ，並允許勒索軟體完成對整個設備的加密。在這種情況下，SentinelOne 的 rollback 功能可以輕鬆地將設備恢復到原始狀態，只需點擊一下即可。在現實生活中，勒索軟體將會在有機會造成任何損害之前就被阻止。

Deep Visibility

通過 SentinelOne 管理控制台提供的 Deep Visibility 揭示了攻擊故事情節背後的其他事件。控制台顯示惡意軟體首先嘗試與位於俄羅斯的四台伺服器進行溝通，然後自我刪除及其關聯的腳本。
你可以在控制台中檢視到溝通和確切的 DNS 查詢：
178.208.83.13; type: 2 ns4.mchost.ru; type: 2 ns3.mchost.ru; type: 2 ns2.mchost.ru; type: 2 ns1.mchost.ru; 178.208.73.21; 92.222.67.101; 91.134.50.205; 209.250.253.181;

避免停機
通常，勒索軟體攻擊的受害者面臨著嚴峻的選擇。在最近的 ZDNet 採訪中， SentinelOne 的客戶 Lester Godsey ，亞利桑那州梅薩市的首席信息安全官指出，受害者必須支付費用並承擔進一步攻擊的風險，或者仰賴他們從備份中恢復的能力。在影響業務關鍵服務的情況下，避免停機是首要考慮因素。如上所述， SentinelOne agent 可以在所有端點上提供預防和（如果需要）點擊還原選項，從而避免停機。如上所示， SentinelOne agetn 能夠在不中斷用戶的情況下即時恢復受感染的主機。想了解 SentinelOne 如何幫助您改善資安嗎？ Get a Demo Now

原文

AUTOMATED MACOS MALWARE SUBMISSIONS “INFECTING” VIRUSTOTAL

8/3/2018

Photo credit by: https://www.geckoandfly.com/3929/download-the-best-mac-os-x-anti-spyware-and-anti-virus-software-for-free/

研究人員和注重安全的電腦用戶都依賴在線反惡意軟體沙箱服務 VirusTotal 來跟上最新的威脅，並檢查他們發現的可疑樣本是否已經是已知的違法者。此工具的一個重要功能是任何人都可以上傳任何內容並立即檢查它是否是已知的威脅。

令人驚訝的是，即使惡意軟體開發者本身也可以利用 VirusTotal 等服務，通過上傳自己的惡意軟體來查看是否被檢測到來。雖然惡意軟體開發人員將其產品預先警告反惡意軟件服務似乎違反常裡，但這是開發人員測試其軟體是否會避免現有檢測算法以及了解其軟體在現實中的反檢測方式的是否起作用的一種方法。在 2015 年發布的一項研究中，發現在成為公開惡意軟體活動的一部分之前，已超過有 1500 個惡意軟體樣本在 VirusTotal 和其他在線虛擬沙箱上預先發布了。

考慮到這一點，研究人員熱衷於在這些網站上搜索和 “追捕” 未檢測到或檢測不到的惡意程式，並意識到他們很可能能夠更新自己的檢測機制以捕獲新出現的惡意軟體。這一情況在今年3月得到了極大的體現，由於此 “概念性驗證”（PoC）被上傳到 VirusTotal，發現了兩個 zero-day 漏洞影響 Adobe 和微軟的並進行了預先修補。

事實上，這是一場在公開服務上玩弄貓捉老鼠的遊戲。

最近，這場遊戲發生了不尋常的轉變因為一名 SentinelOne 研究人員注意到 2018 年上半年被引用的 macOS 惡意軟體感染的數據特別奇怪。獨立研究機構 AV-Test，其主要任務是比較和測試主要的 AV 解決方案，注意到目前為止，FlashBack 和MaControl（又名“MacKontrol”，“MacControl”）是迄今為止 macOS 平台上最普遍的威脅。

當然，惡意軟體在macOS上的增加也就不足為奇了。令人驚訝的是 FlashBack 和 MaControl 是應該如此的普遍。 FlashBack和 MaControl 在 2012 年幾已經成為頭條新聞，即便如此，它們也不是第一個在外發現的變種。即使對那些仍然在危險軟體風險中翻滾的人來說，如果沒有像 SentinelOne 使用全面的反惡意軟體解決方案來強化套件，那麼這些數字是相當令人大開眼界。這不僅也是因為我們面對的是一個六年前的威脅。而且 FlashBack 和 MaControl 已被 Apple 自己的基本反惡意軟體工具-- Gatekeeper，XProtect 和 MRT 認可，它們將阻止，識別和刪除許多這些變種。

雖然可能是 Apple 的檢測通常不像 SentinelOne 有最新檢測，但事實是大多數聲譽良好的 macOS 反惡意軟體產品都清楚所有當前已知的 FlashBack 和 MaControl 變種。此外，在 2014 年，Apple 收購了所有與 FlashBack bot 相關的 C＆C 域名，並且在2013年末已關閉與上一個已知相關的 Java 漏洞。從各方面來看，FlashBack 已經不活躍。那麼，FlashBack 和MaControl 怎麼還能夠有如此龐大數量並被發現呢？

在分析 VirusTotal 上的樣本後，SentinelOne 研究人員發現了一條線索：

SentinelOne 的 macOS 團隊更進一步研究發現，FlashBack 和 MaControl 的相同樣本在同一天內以增倍時間點多次提交。

Making a Hash of it

要了解這如何影響檢測，讓我們將原始 MaControl 樣本與最近上傳的樣本進行比較。在兩個文件上執行二進制差異表示它們是相同的，除了末尾的插入：

令人擔憂的是，對於未受保護的 Mac 用戶，Apple 的內建安全工具將無法檢測到 “填充” 樣本。 Apple 的識別程序依賴於與Yara 規則匹配的Sha1 hash 值：

但是，“填充” 將 XProtect 可識別的 Sha1，從 8a86ff808d090d400201a1f94d8f706a9da116ca 更改為
93922b711f18b7b9d859718521ba2854c37d39d7，這與搜索規則不匹配，並讓 Apple 不會注意到該文件的安全保護。

有趣的是，我們使用 “填充” 版本，刪除附加的字符串並將其轉回原始副本，XProtect 會注意到。這證明了 2012 年的原始樣本與最近上傳到 VirusTotal 的樣本之間沒有其他區別，除了二進製文件末尾的填充。

Automated Variants 自動變種
到目前為止，我們可能會認為惡意軟體開發者必須負責製造這些小變種以避免被發現，但事實證明，這是個有點複雜的故事。當我們檢查檔案末尾的填充性質時，我們可以開始明白為什麼。

這是 FlashBack 變種末尾的填充，然後是 MaControl 變種末尾的填充：

驚訝的是，它們看起來非常相似，具有多個 “H” 字符串的形式：

FlashBack sample
H42_IP11.005_W7_x86_Ent_SP11531001025.22
H42_IP11.005_W7_x86_Ent_SP11531001240.06
H42_IP11.005_W7_x86_Ent_SP11531002164.69

MaControl sample
H43_IP13.054_W2008R2_x64_Ent_SP11531643140.19
H43_IP13.054_W2008R2_x64_Ent_SP11531643213.24
H43_IP13.054_W2008R2_x64_Ent_SP11531643334.22

字符串的主體表示出這是不同版本的 Windows 和字符串的結尾，正如以上提到的 SentinelOne 研究員所發現的，結果是包含了 Unix 時間點：

當然，這些與提交到 VirusTotal 的檔案實際時間點無關：

但是，一次刪除一個時間點，再重新計算 Hash 值並在 VirusTotal 上搜索，在大多數情況下，一次僅能命中一個範本，而且還是最近上傳的。

進一步的調查顯示，VirusTotal 中又增加了 10000 多個包含 “H” 字符串的 FlashBack 獨特變種。至於 MaControl，在某些情況下，unix timestring 被附加到文件的 __LINKEDIT 段以及 “H” 字符串或代替 “H” 字符串，以製造同一檔案的更多變種。我們的研究表示，僅在7月份，就有1000多個 MaControl 變種一次就上傳到 VirusTotal。

目前尚不清楚是誰上傳了這些變種，但考慮到 “H” 字符串和 unix timestring 的絕對數量和常見形式，它很可能是自動化和單一的。以下範例顯示嵌入的時間為非常接近的日期：

Thu 12 Jul 2018 08:51:05
Thu 12 Jul 2018 08:52:37
Thu 11 Jul 2018 23:56:07
Thu 12 Jul 2018 00:00:05

對於以上的範例，實際上傳時間為3天後。

此外，據我們所知，FlashBack 和 MaControl 沒有共同的開發者身份或分發管道。我們還注意到，儘管 Apple 的內建檢測很容易被 Hash 的變化所欺騙，但這些變種可被 VirusTotal 上的引擎廣泛檢測到。當然，SentinelOne 是不依賴於基於 hash 或特徵碼的檢測，無論二進制的更改如何，都還是可以識別這些變種。由於這些原因，這些上傳的變種似乎不太可能是以擊敗已知的安全軟體為目的。

最後，我們能夠從 VirusTotal 上的可用 metadata 中確定上傳者是使用API密鑰及通過程序化界面上傳的。

Wrapping Up

不論這些上傳是否試圖誇大 FlashBack 和 MaControl 的範圍，或者它們是否是 “友好的攻擊火力” 的結果 - 也或許是由資安供應商使用的自動腳本，沒有注意到，甚至失去控制，這還有待觀察。

然而，很清楚的是，隨著安全研究人員依賴對像 VirusTotal 等服務的分析，惡意軟體獵人很可能會因此類提交而得出錯誤的結論。當提交檔案像這樣誇大時，研究不僅可能淹沒在這些無關的噪音中，還可能導致對當前威脅景觀性質的誤解。 FlashBack 和 MaControl 是否真的是 macOS 用戶目前面臨的五大威脅之一？或者是過去的威脅被挖出來了，還是重新開始？如果是後者，那麼 2018 年 macOS 上最普遍的惡意軟體究竟是什麼？

我們的研究結果已在發布前告知 VirusTotal。當更多新信息曝光時，我們會更新 SentinelOne 讀者。

原文

WHAT IS RANSOMWARE? THE RANSOM-BASED MALWARE DEMYSTIFIED

7/5/2018

0 Comments

在許多資安刊物中，當勒索軟體被提起時，他的恐怖影響力與氣候變化，伊波拉或某某名星死去等有著相同令人恐懼的敬畏 - 這是一個具有毀滅性影響的謎。

然而，現在出現的勒索軟體通常不比之前如花園般多樣式的惡意軟體來的複雜多。它是可以被停止。

勒索軟體與普通惡意軟體有什麼共同之處？

所有惡意軟體的基本需求都是避免檢測 - 如果被發現，那麼成功機會很低。以下是惡意軟體隱藏的一些常見方式：

Encryption 加密: 大多數惡意軟體使用加密來混淆特徴碼檢測。它們不是顯示為惡意可執行文件，而是顯示為字母數字的隨機字串。大多數防毒現在都知道如何查找這些文本字符串或 Hash值，但製作惡意軟體的人很容易改變其文件的基礎子結構，以使該 Hash 顯示不同。

Timing 定時: 如果端末檢測系統沒有連續監控功能，則基於定時的混淆的惡意軟體可以在其周圍運行。此類惡意軟體僅在絕對必要時運行，例如在用戶重新啟動後運行，以避免在惡意軟體掃描期間運行。

Communication 通訊 : 基本上，惡意軟體是為了竊取數據而製作的 - 這意味著它通常需要向其父母 “打電話回家” 通報。防毒軟體檢視在伺服器，網域和 IP 地址上進行通信的程序，而對於既定類型的惡意軟體的host command 及 control server ，這些伺服器，網域和 IP 地址為已知。通過倒換這些地址，惡意軟體可以逃避防病軟體：其程序被編程為在既定時間僅查看小範圍的 C＆C 伺服器。

Virtualization Awareness 虛擬化檢視 : 許多惡意軟體工具都有特定的 sensors ，可以檢測它們是否處於虛擬環境中，以逃避 honeypots 或阻止資安研究人員解開其組件。

那到底是什麼讓 RANSOMWARE 不同？
當然，真正的區別就是贖金啦。勒索軟體旨在執行新奇的操作，例如加密大量文件，刪除允許用戶從備份恢復的 shadow 副本，以及使用 C＆C 伺服器存儲用戶在付款後解鎖文件的加密密鑰。

然而，所有這些動作都是行為機制。基於特徵碼的防毒軟體不會尋找行為，而是尋找其可識別特徵，例如正在運行的進程名稱，加密文件的 hash 值或惡意軟體回報所在的伺服器。正如以上所述，這些特徵很容易掩蓋，一旦勒索軟體開始採取行動，基於特徴碼的惡意軟體就無法得知有壞事正在發生。

請確保您的端末安全提供軟體使用行為檢測，以防止勒索軟體攻擊，並確保您不是一個簡單的目標。