Well, 不得不說 2020 年非比尋常。 這裡是世界對於過去 12 個月的想法,而這兒是在網路世界發生的一些重要事件,我們不打算再回顧過去。 相反的,讓我們看一下 2021 年的會發生什麼。我們向 SentinelOne 的一些專家詢問了他們對今年的預測。 儘管沒有人擁有水晶球可以洞悉一切,但依據我們對現在的了解,以下就是他們預料的發展。 Ransomware – We Haven’t Seen Anything Yet 第一!流行的勒索程式不僅會持續下去,甚至還會變得更糟。 攻擊會變得更加複雜,頻率和贖金要求也將因多種原因而增加。 首先,攻擊者們已逐漸了解容易攻擊目標的狀況,而目前已證明是市政當局和地方政府組織。 由於這些目標使用的資源有限,修補速度緩慢,使用舊式防禦解決方案,並採用老舊的技術來落實並嘗試解決未來的問題。。。 而抵制勒索程式攻擊的最有效方法不是先受到攻擊,我們只能通過縮小攻擊者的複雜性和當今的防禦措施來實現。 不幸的是,官僚主義的預算編制和採購流程 (是不是很熟悉啊??),將使政府機構和地區政府無法跟上攻擊者。 通常,下一年的公共部門預算是落在 7 月 1 日之前,這表示公共部門組織,很肯定的會落後於安全曲線 18 到 24 個月。 短期內也將無法獲得可替換過時的舊系統的額外資金。 其次,勒索程式是以利潤為主的業務,特別是在 Baltimore 攻擊事件之後,,由於未能滿足 76,000 美元的要求而導致損失超過 1800 萬美元,市政當局放棄 FBI 不向攻擊者付款的建議。 而這種趨勢可能會持續下去,曾經被認為是必備的網路保險,現在已成為必需品,用 claim 向攻擊者付款要比八位數的損失金更具吸引力。 Morgan Wright, Chief Security Officer at SentinelOne to read more! Attack Sophistication Will Become the New ‘Normal’ 有在 follow SolarWinds 攻擊最新發現的任何人都知道,這樣的規模和複雜性將繼續存在。 儘管國家級駭客與以賺錢為動機的網路犯罪組織之間的界線越來越模糊,但現在使用的戰策略是從未見過。 首先他們先竊取 certificate 以對由聯邦和 state 機構廣泛使用的軟體進行惡意更新,再使用現有 API calls 和網域,同時製造 『客製化』的 DLL 進行 communications,然後躲起來幾個月……這些 TTP 超出了大多數政府機構和目前已構建安全程式來對抗。 這意味著我們所有的人(身為一個防御者)必須重新思考我們的保護方式。 傳統的監視和安全工具是無法檢測到以上提到的TTP; 為了檢測這些,需要建立一個良好的 baseline,持續尋找異常,偵查每個異常,並確保每個端點都具有不是依賴在流量或網路發現的設備上檢測機制。 如果有一個端點沒有受到保護,它很可能成為在其餘網路上的入口點。 實際上,是可以找到依靠這一方面來檢測傳入有企圖性的解決方案,也稱為欺騙市場 - deception market。 最後,作為防御者其實很簡單:“多吃蔬菜 eat your cvegetables”- 意指從基礎開始,確保良好的基準並檢測異常,進行可以互相通聯的的防禦層,並確保你的端點是受到基於行為的檢測 behavioral-based 的保護並在發生時進行捕獲。 Migo Kedem, Senior Director, Products & Marketing at SentinelOne to read more! Deepfake Is Coming of Age…And We’re Not Ready For It Back in the far-far past, before The Fall, there was little yibber about a spesh story that many would have missed if they didn’t sivvy for it. It’s all true true, not a yarn I tell you. 若是追溯到遙遠的 past,在 The Fall 之前,大家對那些無聊的故事幾乎是一點興趣都沒有,甚至他們若不喜歡它的話,也是會錯過的。 這都是真的!。 除了 Cloud Atlas 和新冠肺炎之外,有個故事爆發了,有點喧染但似乎消失了。 而富比士 Forbes 對這事件的報導是在 2019 年9 月 3 日發布,照我們現在的標準來說,這好像是很久很久之前.. 但這個故事還是很重要的啦~。 一個總部位於英國的 CEO 致電了母公司的德國 CEO,並下令將 220,000 歐元轉入匈牙利供應商的銀行帳戶。 聽起來有點怪吧?對嗎? 但是~這位 CEO 並不擔心,因為他碰巧認識了這另一位 CEO,而且熟道可以聽出聲音中有了德國人的口音 - 而且還帶有個人獨特的腔調。” 後來這筆錢就很正常的轉走了。 但在第二次和第三次電話會議之後,這位英國 CEO 才開始懷疑,並想起了其他線索才發現犯罪分子利用研究人員認為是 AI 模仿的第一案例來進行欺詐案,or deepfake. 由於可預見的將來,大部分的人仍會在家中工作,甚至在疫情過,大部分時間仍是在家中工作,這種詐騙行為將會變得越來越普遍。 我們無法與同事聊天,也無法直接面對面尋求確認。 而隨著 Deepfake 技術價格越來越便宜,電腦的功能越來越強大,目標也被剝奪了去實際工作場所的權利,那犯罪分子會變得更有利。 因此,以下是我的預測…… 我相信在2021年,我們將看到第一個成功,based on video 的 Deepfake 網路釣魚攻擊,這將導致重大的金錢或數據遺失。 我希望我是錯的,但我認為所有都已準備就緒。 Thom Langford, Security Advocate at SentinelOne to read more! The Supply Chain Risk Becomes Real for Everyone 2020 年底發生的 FireEye / Solarwinds 漏洞仍在不斷發展,而且這種供應鏈攻擊的範圍是很驚人的。 除此之外,美國 DOD CMMC 法規將於 2021 年開始執行。向 DOD 提供產品或服務的任何公司以及所有這些公司的分包商和供應商都必須符合CMMC 標準。 因此,請準備好強大的控制措施,並專注於供應鏈中的網路安全。 Chris Bates, CISO at SentinelOne Here to Stay | May The Remote Workforce Be With You 直到 2020年,遠端工作的轉移是過去 100 年人們工作方式的最大轉變之一。 隨著 2021 年的年度合規性和認證審核以及CMMC 的到來,網路的相關程序將不得不改變,以利遠端工作環境中啟動流程。 對於許多努力在 2020 年達到這些要求的公司來說,例如漏洞管理和僅在遠端主機可見性之類的項目將成為必不可少的。 Chris Bates, CISO at SentinelOne A Change in Perspective | Security As Essential Infrastructure 明年的另一個預測是,資安將繼續擺脫被視為對業務和增長造成的責任,資安將被視為可確保業務的持續性的基本結構。 Migo Kedem, Senior Director, Products & Marketing at SentinelOne Judgement Day is Coming for Apple’s Approach to Security 最後,在蘋果的生態系統中正在發生一場戰爭,我們從一般的安全性提要中是很難知道。 這場戰爭圍繞著安全性的中心哲學,一場辯論便展開並圍繞在哪種方法更安全:開放或封閉的技術? 蘋果認為,包括安全研究人員在內的所有人都不得進入其硬體和軟體的某些區域,這會使 macOS 和 iOS 操作系統更加安全。 但安全研究人員認為,厲害的攻擊者無論如何都還是會找到方法,但在蘋果系統的封閉性,意味著受害者可能永遠不會知道自己已經受到威脅。 如果妳是站在 '開放' 的那一邊,那聽到在 2020 年最後一周。法院裁定蘋果不可以試圖關閉安全研究機構 Corellium 的舉動將令你感到安慰,儘管這場仗將無疑的持續到 2021 年,因為 Apple 一定會提起上訴。 再來~我們可以說連歷史也贊成 “開放” 的方式,因為已有無數 “ security by obscurity” 失敗的例子。 2020 年的兩個例子:在macOS 上,蘋果的 opaque Notarization 系統多次的被商業惡意程式 bypass。 在 iOS上,一名研究人員在本月初撰寫了30,000 字論文,詳細介紹了可以竊取用戶照片的零點擊 Wifi 漏洞。 零點擊? 對!不需要人任何的動作,即可通過空氣,觸發漏洞利用。 最後這是個價值 6,400 萬美元的問題:我們會在 2021 年看到駭客們在外利用 macOS 和 iOS 漏洞嗎? 我認為,有鑑於對macOS Big Sur 的漏洞研究的早期狀態以及因 checkra1n 而導致的各種 iOS 設備中無法修復的漏洞,2021 年將是網路安全的不平凡的一年。 請保護你的蘋果,與保護其他設備相同。 在這樣的模糊中是沒有魔法或安全感。 Phil Stokes, macOS Threat Researcher at SentinelLabs to read more!
0 Comments
Executive Summary
Zerologon 漏洞介紹 CVE-2020-1472(一般稱之為“ Zerologon”)是當前所有 Microsoft Windows Server 版本(Windows 2008 R2、2012、2016、2019)中的一個嚴重漏洞。 這個提升特權,利用了 Netlogon Remote Protocol(MS-NRPC)中的漏洞,並允許攻擊者可模擬系統,包括網域控制器本身的帳號。 這個漏洞是由 Secura 的資全專家 Tom Tervoort 發現的,漏洞可以讓 remote 的攻擊者偽造 Netlogon 的身份驗證,將 domain 控制器的密碼設置為已知值。 之後,攻擊者可以使用新密碼來接 domain 控制器,更改或添加其他身份驗證憑證,提升特權或橫向移動到 domain 中的其他主機。 之後呢,除了重置 domain 密碼之外,其他研究人員還發現了更多可操作 Zerologon 漏洞的方法,他們還證明了 Zerologon 可竊取所有 domain 密碼的能力。 這樣的發展趨勢,增加了企業將面臨的風險。 而為了成功的攻擊,駭客們必須首先獲得對 domain 控制器或可以遠端相同網路上的設備或直接進入。 有效的憑據或 member 身份,不是成功攻擊的先決條件。自從漏洞被公開以來,在外界以發現了可被利用的代碼,CISA 表示該漏洞構成了 “不可接受的風險”,並需要 “立即採取緊急行動”。 儘管微軟已經發布了 Zerologon 的 initial patch,但這僅僅是第一階段的開始, 他們預計至少要等到 2021 年第一季才能完成。 同時,Microsoft 的建議指出,目前的更新僅保護被支援的 Windows 設備,舊版 Windows 和其他使用 Netlogon MS-NRPC protocol 的 domain controller 來通信的設備還是容易受到損害。 除此之外,initial patch 是無法阻止 Zerologon 的攻擊。 相反的,如果沒有使用該 protocal 的設備,它僅是添加 logging 來檢測 non-secure RPC,並添加 registry 設置來停止使用。 而資安團隊面臨的挑戰是,如果僅是禁用,這可能會破壞舊版的應用程式。 因此,即使目前有可用的 patch,但如果公司企業不能禁用 registry 設置,它們仍然容易受到攻擊。 Detecting and Defending Against Abuse of Zerologon 從端點的角度來看,檢測這種攻擊是具有挑戰性,因為在實質上,攻擊者是以類似 “合法用戶/帳號行為”的方式向 domain 進行身份驗證。 另外,主要攻擊媒介是網路級別,而不是通過與主機 filesystem 之間的 interaction。 因此,對於許多傳統的端點安全解決方案而言,直接去解決該漏洞是 “不可行的”。 相比之下,SentinelOne 研究人員採用了 vector agnostic 的方法,這個方法利用了一些獨特的,專有的創新技術,可以在端點上檢測到此漏洞。 我們的 SentinelLabs 研究團隊已在各種可用的 frameworks 上進行了許多測試。 在我們的分析過程中,我們觀察到,這種攻擊雖然成功,但在 domain 控制器上也引起了注意,正是因為該攻擊以多種方式對與 domain 控制器的 communications 間接產生了負面影響。而研究的結果,SentinelOne 平台能夠檢測到針對目標系統的 initial 前、後的攻擊 (事發前,事發後)。 雖然攻擊是從網路開始,但端點已察覺傳入的流量嘗試。 Netlogon Remote Protocol 是用於維護在 domain member 至 domain controller (DC)、 domain DCs 以及跨域 DC 之間的關連。 通過 local 和遠端監視系統內進行的身份驗證嘗試,並將其通過我們的行為 AI 引擎,我們可以將正常的身份驗證及試圖攻擊區分開來。 當檢測到可疑活動時,會啟動 in-context 警報,並會在控制台中顯示出。 Interested in Protection from Zerologon?
這就像對 agent 進行的任何修改一樣,我們開始將此功能部署到選定的客戶,以確保在各種環境中的穩定性。 現在,已部署 4.2 SP4 的既有客戶可以使用這項關鍵檢測。 版本 4.3 和 4.4 將會在即將發布的 Service Pack 更新中包含此檢測功能。 如果您還不是 SentinelOne 客戶,我們歡迎你來了解有關如何保護你企業或在這兒 request free demo 已得到更多信息。 你可能已經聽說過以下這幾個名字:Emotet,Trickbot,Dridex。 這些是當前網路空間中最臭名昭著的殭屍網路,可以感染並劫持數十萬台設備。 上個月,英國 Labour party 遭到威脅組織 Lizard Squad 兩次 DDoS 攻擊, Lizard Squard 聲稱控制了與 “數百萬個設備” 連接的網絡。 年初時,在巴西一個擁有 40 萬台 IoT 設備的殭屍網路對一個站點進行了大規模攻擊,該點在 13 天的時間內發出每秒超過 200,00 個 request。 殭屍網路的威脅是當今企業面臨的最嚴重問題之一。 在這篇 blog 中,我們來仔細研究什麼是殭屍網路以及它們是如何運作的。 那什麼是殭屍網路? 簡單來說,殭屍網路是由一堆受感染的主機所組成的網絡,這些主機由駭客作單一控制。 並可以讓受感染網絡中的所有的主機同時執行相同的指令。 殭屍網路如此可怕是因為他們可執行大規模的動作,控制成千上萬台機器的行為能力。 若再結合蠕蟲,則殭屍網絡不僅可以大規模發揮,而且還可以感染並控制同一公司網路上的其他主機,開始自己生長。 What Are Botnets Used For? 殭屍網路最常見的手法之一是對企業伺服器和網站進行 DDoS(分散式阻斷服務)攻擊。 當大量設備都嘗試同時連接到伺服器時,就會發生 DDoS 攻擊。 這可能會使伺服器能力超過負荷來處理所有傳入的數據、然後就斷線,導致希望使用服務的真正客戶無法進入。 這樣的阻斷服務攻擊的例子有很多。 Mirai 的創造者 “ Anna Senpai” 在 Hackforums 網站上發布了代碼,製造出很多模仿者,這是用於 DDoS 的最成功的殭屍網路之一。 而 Mirai 是被用來攻擊一名資安 blogger, Brian Krebs。因為他暴露了在之前對 Github 和 DNS 提供商 Dyn 進行 DDoS 攻擊的駭客。 Mirai 殭屍網路專門感染 Linux IoT 硬體設備,例如監視器,印表機,路由器和其他簡單的 Internet 連接設備。 經由殭屍網路驅動的 DDoS 攻擊也是一個問題,因爲他可能影響其他目標,而不是直接攻擊目標。 由於大多數網站本身都託管在其他 ISP 或網路提供商例如 Akamai,Cloudfare,Fastly 等,因此,如果這些伺服器無法處理額外的流量,則這些提供商的其他客戶端也會遇到拒絕服務的狀況。 在 Krebs 攻擊中,Akamai 被迫放棄 Krebs 網站以保護其他客戶。 DDoS 並不是殭屍網路唯一的用途。 另一個 loT 殭屍網路 BCMUPnP 曾經成功地控制了 100,000 個家用和小型辦公室路由器,其目的是發送垃圾郵件。 如今,發送垃圾郵件也是 Emotet 殭屍網路最喜歡的攻擊之一,同時還提供了惡意程式,木馬和勒索程式。 殭屍網路還被用於金融攻擊(GameOver ZeuS),憑證填充攻擊和針對性入侵。 Also see: Looking into Ransomware as a Service (Project Root) | Behind Enemy Lines Botnet 惡意程式通常包含自動更新和管理功能,所以操作者可以增加或刪除功能,與同伴進行溝通,洩露數據,更改時間方法並採取對策來擊敗傳統的 AV 和惡意程式特徵碼檢測。 How Do Botnets Work? Botnets 怎麼運作 ? 一般來說,殭屍網絡利用兩種不同的網絡架構,一種是 client-server,使用像是IRC ,HTTP 等。或是 Peer-to-Peer(P2P)分散網路類型來聯絡。 在 client-server 模型中,網路中的所有的 bots 都連接到一個或多個由 bot master 運行的命令和控制伺服器。 這樣的模式允許與 bot client 端進行快速直接的連線,但這存在了結構缺陷:所有 bot 都必須知道 C2 伺服器的 Internet 地址,這意味著執法部門可以很輕鬆的知道的伺服器位置並將其移除 。 這正是今年年初發生的事情,當時法國警察與聯邦調查局(FBI)合作中發現,RETADUP 殭屍網路的 C2 伺服器位於 Île-de-France 地區,其中有 850,000 被感染的主機被狹持。 當局通過託管服務提供商偷偷的進入伺服器,替換了自己的代碼。 為了不吵醒這些犯罪分子,當局複製了原始惡意代碼,但添加秘密功能,使所有的程序在與 C2 連接後立即對自己進行消毒。 “The gendarmerie has dismantled one of the largest networks of pirated computers in the world! In collaboration with the FBI, French cyber police managed to “disinfect” more than 850,000 computers remotely. A world first!” 從駭客們的角度來看, P2P 提供了更安全的架構。 這種分散式的設置可以比喻為 “恐怖分子牢房” 樣的網絡,在這樣的網絡中,固定牢房中的任何人都不知道其他牢房中其他人的身份。 而這一個 cell(一小組的殭屍網路),都具有一個已知的 “head” 或 “node”,在一個 P2P 殭屍網絡中通常有一個公用 Internet 地址。可以經由這個公用的 address 與其他殭屍網路(可能位於 NAT 或防火牆後面) 連接。 由於沒有從中發出指令的 command,因此 Owner 會發出在與對方之間共享的數位加密鑰匙命令。 只有 owner 發送的命令才會被解密(使用 master 的 public key)並由其他的 bots 來執行。 這種非對稱加密的使用可防止其他人劫持分散網路中的殭屍程序。 但如果我們耐心地建立一個 P2P 網路圖,是有可能的利用他來破壞此殭屍網路。 據說由在北韓的駭客來控制的 Joanap 殭屍網路,在被 FBI 使用一種我們稱為 “peer poisoning" 的模仿技術攻擊後,於2019年初被破壞。 Peer poisoning 能夠收集被感染主機的 IP address,並通知受害者及其網路提供商。 How Are Botnets Created? 建立一個簡單的 C2 模式的殭屍網路,殭屍網路 herder 或 bot master 將需要設置伺服器來提供命令和控制結構。 這通常是 在 LAMP 環境之上,使用 PHP 和 MySQL構建的 Web 應用程式。 後台設置完成後,bot master 需要一個 bot builder。 Buulder 的主要功能是打包第三個組件,也就是 malware payload,並將其嵌入配置和一個或多個 C2 地址。 建立殭屍網絡的工具包可以在暗網上“出售”中找到或在 “ 軟體及服務 Software as a Service ”(SaaS)模型中找到。 ICE9(Ice IX)和 Neutrino 是兩個有名的範例。 一旦工具包打包了惡意 payload,C2 地址和配置文件後,最後一步就是將打包發布給受害者。 通常,殭屍網路感染以釣魚電子郵件中的惡意附件的形式出現。即使在今天,這種傳染媒介仍是最有效的方法。 對於殭屍網路牧民獲取新 “客戶來源”是經由購買其他已建立好的殭屍網絡,再加以利用。 Are Botnets Illegal? 殭屍網路本身就是一種主機網路,因此建立自己或有權控制的主機殭屍網路並不觸法。 例如,研究人員可創建自己的“殭屍網路實驗室” 並對其深入研究。 但是,未經他人允許將惡意軟體安裝在屬於他人的主機上是被視為刑事犯罪。 然後,如果控制並指示主機進行其他活動也是非法的,則指示該主機進行其他活動也是一種刑事犯罪,因此,如果被執法機構抓到的話,這些網路牧者可能會面臨不止一項指控。 Mitigating Botnet Attacks
就如我們所見,botnets 是一堆感染了惡意程式的主機網路。 因此,對殭屍網絡感染最有效的制止方式是使用有強大的 AI 行為安全解決方案,防止惡意 payload 在設備上執行。 防火牆的控制對於檢測網路上的殭屍網路通訊也是有用的。 一年又過去了,在令人震驚的統計數字中,有一個數字比其他數字高。 據估計,勒索軟體去年在美國造成的損失超過 7.5 億 美元。 事實上,我們聽說過無數勒索軟體事件,並且看到了可自我創造的勒索軟體 RaaS projects 的爆炸式增長,這也讓駭客入門者更容易採取攻擊。 但是,當我們將數字相加併計算平均支出時,這些金額並不能完全反映出遭受勒索軟體的企業組織所承受的財務負擔。 以下,我們將研究勒索軟體攻擊的六大實際損失。 1. Direct Cost: The Ransom Payment 贖金 當然,勒索軟體的支付是最主要的,但這只是勒索軟體給受害者造成的總體成本中的一個小小的因素,而不是最大的。 在 2019 年第三季,我們看到平均贖金支付增加了 13%,達到 41,198 美元,而 2019 年第二季為 36,295 美元。 Ryuk 導致了勒索軟體付款的大量增加。 平均需要 288,000 美元駭客們才能釋放系統,而其他平均要價 10,000 美元。 2. Indirect Cost: Enforced Downtime 間接性的損失是指與勒索軟體攻擊相關的業務中斷成本。 業務中斷的成本通常是直接成本的五到十倍。 若是要計算實際 downtime 的成本是有挑戰性的,因為不同的企業和組織有著不同的影響。 對於中小型企業來說,2019 年的平均 downtime 成本為 141,000 美元,比去年的 46,800 美元的平均 downtime 成本增加了 200% 以上。 這比對中小企業要求的平均贖金(5,900美元)高出了 20 倍以上。 在公家單位中,有 42% 的單位在過去 12 個月中遭受了勒索軟體攻擊,其中 73% 的組織因此遭受了兩天或更長的 downtime。 根據 Ponemon Institute 的研究,對於企業來說,2019 年第三季的平均 downtime 時間為 12.1 天,總成本估計為 740,357 美元。 製造商 Norsk 在遭受勒索軟體攻擊時造成了 5500 萬美元的累計損失,這導致了運營關閉的額外成本,這才是真正驚人的影響。 對市政當局的襲擊也可能代價高昂。 據估計,對 New orleans 的攻擊使這座城市損失了 100 萬美元,而對 Baltimore 的攻擊估計造成了總計 1800 萬美元的損失。 3. Indirect Cost: 名譽損失 勒索軟體攻擊與過往的隱形網路攻擊不同。 因此,它們具有很高的破壞力,而且是看的見的,這使受害者別無選擇,只能讓大家知道他們已遭到攻擊。 這樣的公開,通常會導致客戶,投資者和其他利益相關者的強列負面反應。 儘管數據是可以恢復,但想要恢復大眾的信任並不容易,尤其是如果未及時,很好的透明化處理的話。 這可能對保留現有客戶,未來業務產生不利影響,甚至會對公司的股價產生負面影響。 4. Indirect Cost: Liability 企業責任 勒索軟體攻擊可能會產生不開信的客戶,而這些客戶反過來又可以走法律並尋求賠償。 這就是 在 2019年 12 月時,Alabama 醫院被勒索軟體攻擊後,患者對 DCH Health Systems 提起了集體訴訟,指控侵犯隱私,疏忽大意和醫療服務中斷。 儘管公司企業在其他狀況下還是會被提起誹謗訴訟,但只要一牽涉到勒索軟體,公開化了,要求賠償的理由也更加的簡單。 此外,駭客們已開始公開竊取的數據,這可能導致受害公司陷入潛在的尷尬囧境,從洩露數據的客戶可更進一步提起訴訟。 5. Indirect Cost: Collateral Damage 附帶損害 與任何類型的網路感染一樣,即使與攻擊沒有直接關係,受害者要有心理準備遭受全部損失。 正如 Brian Krebs 報導的那樣,一家被 Ryuk 攻擊的公司,公司的憑證全部被盜,然後再用於各種惡意行為,有部分是 Emotet 的幫助下進行的。 儘管這不是許多與勒索軟體相關的典型行為,駭客通常直接尋求快速付款,但這表現出此類的攻擊,是帶有可以更進一步造成附帶損害的可能性 6. Indirect Cost: Data Loss 不幸的是,在攻擊本身造成損失之後,支付贖金並不能保證受害者的加密數據可以安全地恢復。 最近,我們發現 Ryuk 使用的數據恢復機制有問題,即使受害者支付了贖金,還是導致某些類型文件的沒有完全恢復及遺失。 在其他情況下,當收者支付了贖金後,駭客們也走了,也不提供解密方式,而不幸的受害者將陷入黑洞中,數據拜拜。 Is This The End? 勒索軟體攻擊對企業是致命的,它們可能永遠無法從直接性或間接性中造成的損害恢復財務。 在一個案例中,一家美國 fundraising 公司在 10 月被勒索軟體嚴重攻擊之後,被迫關門。即使他們已支付了贖金,但這家超過 60 年的企業,不得不在12月下旬結束營運,他們員工被迫過了一個非常不愉快的聖誕節。 Summary
在嘗試評估勒索軟體攻擊產生的潛在風險時,公司企業應考慮以下幾點:贖金支出,downtime ,名譽受損,數據遺失等。 一旦考慮了這些因素,我們建議尋求一個受信任的端點解決方案,可針對勒索軟體來提供最大的安全性,並通過適當的備份系統和營運不斷電進行加強。 我們還建議購買合適的網路保險,以進一步降低風險。 歷史上到目前為止,地球人民所經歷過的有:地震 、淹水、海嘯、 森林大火、 山崩、 颱風、 龍捲風、SARS、H1N1、MERS、伊波拉、 HIV、愛滋、 茲卡。 而現在有了 COVID-19,也稱為新冠狀病毒。 天災和流行傳染病有很多共同點,包括人類生命的失去。 但其實還存在著一個更黑暗,更險惡的連鎖反應 - 駭客們利用這樣的機會來傳播惡意程式,開始了網路釣魚和交叉式活動,再利用情感來進行欺詐。 新冠狀病毒(也稱為COVID-19)就是這種情況。 利用恐懼來幫助和教唆詐財 駭客們不會把自己設限於惡意程式。 FDA 還發出警告消費者有關騙人的產品,這些產品 “聲稱可以預防,治療,減輕,診斷或治愈 2019 年新冠狀病毒(COVID-19)”。 這次是一個全面性的詐欺。 在 2019 年 12 月,SentinelLabs 發布了關於網路犯罪組織 TrickBot (APT 進階持續性滲透攻擊) 與北韓之間關係的突破性報告。 報告表示當對收件人部署了有效心理攻勢之後,TrickBots 功能的使用就會放大。 最近,SentinelLabs 發現了一個使用來自加拿大當局發送關於新冠狀病毒醫療通知後,間接對金融機構發送惡意程式的攻擊。 Johns Hopkins 和 CSSE (Center for Systems, Science, and Engineering) 共同開發了一個依照國家,地區,州和城市中被 COVID-19 的傳染人數來呈現的一個地圖 。 到 2020 年 3 月 10 日,按感染人數排列的國家是中國,意大利,伊朗,韓國,西班牙,法國,德國,美國和日本。 這意味著每個國家都將成為被大量網路釣魚攻擊的目標。 在設計惡意電子郵件時,內容是非常重要的。人性總是恐懼損失,相比之下,這些反應比獲得利益的可能性更好預測。 例如,你們看看以下哪個主題會產生更高的回應? “How to prevent the spread of the coronavirus in 3 easy steps.” 預防新冠病毒傳染的三步驟 “URGENT: You have been in contact with a verified coronavirus patient.” 警急: 你與一名確診病患有接觸到。 第一個主題不會引起人們對損失的恐懼,他只會產生獲得更多有關阻止冠狀病毒傳播的信息的潛力。 第二個成功的攻擊了問題的核心 – 對死亡的恐懼。 相關連的行為會影響人們對有價值的稀缺性的正面信念。 針對 COVID-19,可能是篩檢的可行性。 “Don’t lose your chance to get these hard-to-find coronavirus test kits.” 別錯失了篩檢的機會! 最後一個主題是既有對失去的恐懼,並帶有缺乏、少量的意味。 數千年來的人類進化讓我們避免了損失。 同樣的進化也增強了人類大腦的主要目的, 那就是活著。 除此之外,其餘的一切都是增加的紅利。 為什麼市民不能購買這些快篩而只有政府可以擁有並使用? 對失去的恐懼,緊迫感以及專於在 COVID-19 的媒體數量讓我們忘記常識,並迫使我們回到原始的恐懼並採取行動。 死亡,是最後的王牌。 利用人類的脆弱漏洞 犯罪份子在利用對人類情感的更多理解來執行針對性的攻擊。 社交工程基於這樣一個前提,也就是: 我可以讓你採取並控制行動,但實際上它是一個通過操縱,影響和欺騙而構成的惡意行為。 激進駭客長期以來一直依靠社會工程來執行間諜活動,system compromise,影響選舉和操控社交媒體等目標。 變臉詐騙(BEC)基於說服 email 的接收者,發件人是授權人,並且應該執行特定的行為(例如轉帳數十萬美元)。 對抗政府者和激進駭客使用的第一策略不是利用漏洞。 而是利用人類的弱點。 在本文作者為《Hill》撰寫的一篇文章中,他概述了俄羅斯如何成功地使用名為 Black Energy 的惡意程式發動第一次攻擊。 最初的方法? 據稱是烏克蘭政府發送的魚叉式網絡釣魚電子郵件。 附檔中的 Excel 要求用戶啟動 macros。 就這樣,最初的 payload 就成功了。 沒有什麼花招。 只是一種忘記常識的壓迫感(烏克蘭政府)(還有千萬不要啟用附件中的marcos)。 沒有人對社交工程是免疫的 恐懼,不確定和懷疑的心態是強大的武器。 在作者執法期間,他是專門從事連續犯罪和行為分析採訪。 讓人按下電子郵件中的連接,並沒有讓罪犯承認謀殺一個人要來的困難得多。 在 behavioral analysis 行為分析訪談(BAI)中,我分析了案例(內容)並相應提出了問題。 BAI 的目的是確定受訪者是誠實的還是個騙子。 如果對象具有欺騙性,並且看起來他們可能犯了罪,那麼該是收集事實並轉到偵訊的時候了。 但是,並非每次受訪後都會偵訊。 在偵訊過程中,目的地是使受訪者感到焦慮,以至於減輕焦慮的唯一方法就是誠實。 作者曾在國家安全局向參與美國歷史上一些最嚴重間諜活動的損害評估人員教導相同的技術。 員工點擊可疑連結或打開帶有惡意程式的檔案的原因也相同:找出答案,解除恐懼,不確定和懷疑的焦慮感受。 那這個故事的意義是什麼? 不管你進行了多少安全意識訓練,在辦公室貼了多少網路安全海報,或者通過 email 發送了多少每週提醒,最後,數十萬年的人類行為還是會勝出。 這意味著害怕失去(死亡)和自我保護(減輕焦慮/壓力)將戰勝常識。 機器說: 害怕是什麼? 但是,在黑暗中還是會出現一匹白馬,帶來一線希望。 人工智慧和機器學習的使用將平衡從攻擊者轉移到了被攻擊者身上的力量。 AI / ML 提高了檢測和預防的速度和準確度,而不是回應攻擊並從中恢復。 數千年來,根深蒂固的行為已可以通過利用應用科技來平衡。 與其要求使用者確定物件是否 “安全”,還不如從一開始就避免。 防止勒索程式攻擊要比從攻擊中恢復容易。 還有,管理好新聞要比管理壞新聞也容易得多。 人工智慧不會屈服於恐懼。 沒有情感可以操縱,也不能感染新冠狀病毒。 這或許是對於恐懼,不確定性和懷疑的完美解毒劑。 作者 Morgan是 SentinelOne 的 Chief 安全顧問,也是 Center for Digital Government 的高階院士。 他多次在國會上為大型政府系統的安全性作證,目前是 Fox News Channel 和 Fox Business Network 的首席技術分析師,負責網路安全。
OUR TAKE: SENTINELONE PLACED FURTHEST FOR COMPLETENESS OF VISION WITHIN THE VISIONARIES QUADRANT8/29/2019 你們的成功,等於我們的成功 SentinelOne is proud to be recognized by Gartner as a Visionary in the Magic Quadrant for Endpoint Protection Platforms. This year, we’re placed furthest for completeness of vision within the Visionaries quadrant. SentinelOne 很自豪能夠被 Gartner 視為 Visionary in the Magic Quadrant 之端點保護平台。 對於我們的 2,500 多位客戶,我們感謝您對我們的信任! 對於那些正在評估解決方案的人,無論是替換傳統的 AV,傳統的EDR 或還在尋找企業的第一個EDR解決方案,我們都鼓勵您評估我們。 對於已部署我們產品及評價我們的人,我們將他們視為核心理念。 我們敢於做事,做同行公司不做的事只為為一個目的:保護我們的客戶並確保他們的成功。 正如我們的客戶和競爭對手所知,我們是一個致力於行動,堅持不懈追求客戶成功的團隊。 我們夢想大並執行它。 我們很快地提供創新。 我們推動網路安全,向前發展。 在過去的一年裡,我們已經提供並交付了300多種產品,並發布了影響其他人追隨的創新。 我們認為物聯網設備是端點。 SentinelOne Ranger 允許企業從同一個代理平台發現,映射和降低其物聯網設備的風險。 我們知道,我們的客戶比以往任何時候都更快地遷移到雲端,我們的 native container 和數據中心解決方案可幫助客戶安全地實現數字化轉型的下一步。 成效會為自己說話 言歸正傳,我們每天都在阻止數百萬次攻擊。 SentinelOne 部署在 Fortune 10 及 hundred of the Global 2000,,其中每個競爭對手的贏率都超過 70%。 今天,我們是市場上增長最快的端點供應商。 我們相信這一點可以通過我們對 Gartner Peer Insights 的評論得到證明,我們在 2018 年 11 月獲得了 EPP 的 Gartner Peer Insights 客戶選擇獎以及 2019 年 1 月最新的Gartner Peer Insights - 客戶對 EDR 的選擇。* 我們的承諾是始終如一地提供:創新,質量和成果。 我們相信,我們在2019中 Magic Quadrant 的定位象徵著我們對客戶和整個市場的承諾。 讓我們幫助您將端點安全性 - 以及一般的網絡安全 - 帶到前所未有的地方。 我們通過完全自主的解決方案最大化您的團隊輸出,幫助您最大限度地降低企業風險。 賦予人們更多,更豐富的產品體驗,並專注於其他安全問題。 讓我們向您展示如何通過主動 SOC 在您的企業的每個方面為您工作,使停滯的時間成為過去式。
在 2018 年的最後一天,讓我們來回顧一下 macOS 安全狀態。 2018年是 MacOS RAT 的一年,特別有 Empyre 作為一路領先多種惡意軟件變體的首選開發框架。 EvilOSX,EvilEgg 和基於Java 的 RAT 也一起亮相。今年加密貨幣的惡意軟體在新聞中佔到量的也很大,因為糟糕的演員既針對比特幣的錢包,又利用加密貨幣實用程序來感染毫無戒心的用戶。 Cryptojacking 仍然在增加,但主要局限於持續存在的 macOS 廣告軟體問題。 Malware in Development 這一年由 OSX.MaMi 開始,一個可疑的舊版 Windows 惡意軟體 DNSUnlocker 的 macOS 變種。 Mami 改變 macOS 的SystemConfiguration.plist 以劫持受害者的DNS服務器。該惡意軟體包含用於遠程下載和上傳文件,記錄滑鼠點擊,截屏和嘗試權限提升的邏輯。 同月,Java 基礎 的 CrossRAT 被發現作為 Dark Caracel APT 工具包的一部分,該組織代表黎巴嫩政府為了國家安全目的收集攻擊性網絡能力情報。 CrossRAT 是一個多平台監控工具,它通過自身副本在 macOS 上寫入〜/ Library / mediamgrs.jar 並安裝用戶 LaunchAgent 來實現持久性。 有趣的是,或者令人擔憂的是,MaMi 和 CrossRAT 都有版本號,表明它們處於早期開發狀態,未來看到這兩種的進階版本也就不足為奇了。 Lazarus APT 在今年年初發生的兩項重要發現之後,惡意軟體方面有點相對的安靜,直到4月份才發布了一個名為 CelasTradePro 的加密貨幣交易應用程序。該惡意軟體歸屬於與朝鮮有關的 APT 小組 Lazarus,由三部分組成。作為 CelasTradePro.app 中的更新程式植入的木馬下載程序,具有標記 “com.celastradepro.plist” 和有效負載的 LaunchDaemon,最初被放在 / var / zdiffsec 處。 目前還不清楚這種被稱為 OSX.AppleJeus 的惡意軟體是否是軟體供應鏈攻擊,或者 CelasTradePro.app 是專門用於感染加密貨幣交易所。在任何一種情況下,該應用程式都有一個有效的開發人員簽名,因此很容易繞過 Apple 的內置安全技術。 WindShift APT 雖然是在4月底創造的,AppleJeus 一直到 8月 才被發現,而那個月也出現了另一個針對 Mac 平台的 APT 組織,WindShift APT 的消息。雖然早在去年 1 月就被認為首次針對 macOS,但 WindShift 似乎已經在2018年開始活動,因為這個數字(感謝 DarkMatter)顯示: WindTail.A 針對受害者電腦上具有以下檔類的文件:.txt .pdf .doc .docx .ppt .pptx .db .rtf .xls .xlsx 並使用 LoginItem 進行持久化。後門 WindTape 獲取當前桌面的螢幕截圖,將其發送到 C2 伺服器並刪除本地副本。並每5秒重複一次這個過程。 感染此特定惡意軟體的關鍵是在默認情況下 Safari 選項允許 .zip 文件在下載時自動取消歸檔。此功能意味著 macOS 將自動註冊在惡意軟體中定義的自定 URL,這是有助於進一步感染的。一般情況下,用戶在 Safari 的選項中取消選中以下設置總是明智的: The Weakest Links? 7月,OSX.Dummy 出現在一些挖礦聊天群組中。因為認為這是來自可靠的來源,攻擊者讓受害者運行具有提升權限的工具,。詐騙的也不必太努力,因為他們提供惡意軟體作為受害者自己尋求幫助問題的答案。該工具安裝了一個 bash 腳本,該腳本利用 python 打開 reverse shell: OSX.Dummy 之所以如此命名,是因為它接受到了受害者的大量的同意,並成功地破壞了目標。在這方面,至少,它與下一個在2018年出現的惡意軟體的極端相反。九月看到了許多人認為最不可能的威脅來源:Apple 自己的 App Store。從 Mac App Store 下載的軟體是 已被 Apple 的 Gatekeeper 信任的,因此沒有額外防禦的用戶在未經許可的情況下,完全不受一系列批准的應用程式洩露個資的保護就不足為奇了。APP 程式包括 Adware Doctor,Open Any Files,Dr. AntiVirus 和 Dr. Cleaner。蘋果在9月份最終將所有這些商品從商店中移除,但至少有兩名違規者已與 Apple 報告過,並未採取任何行動。 The Other Side of the Coin 10月份,CoinTicker 進入戰場,通過挖礦應用程式植入木馬後門。結合 open source 利用工具,EvilOSX 和 EggShell,CoinTicker 似乎是一個簡單的狀態工作表程式,顯示各種加密貨幣的當前交易價格。該應用程序功能齊全,但同時嘗試通過reverse shell 允許攻擊。 " 感謝 " 開發工具的性質,攻擊者可以有多種選擇功能。可以第一優先攻擊的事情之一就是竊取受害者的虛擬貨幣錢包。 針對虛擬貨幣的用戶攻擊並未在 2018 年停止。去年 11 月,Exodus cryptowallet 的用戶成為電子郵件網絡釣魚活動的目標。攻擊者曾希望安裝基於 RealTimeSpy 商業間諜軟體的惡意軟體。雖然沒有任何關於 RealTimeSpy 開發人員參與的暗示,但毫無疑問,此活動背後的人希望在受害者的主機上安裝 RealTimeSpy 版本。假設目標是竊取比特幣錢包是合理的,但是這個 macOS 間諜軟體還可以通過螢幕截圖和鍵盤記錄來竊取其他個資。此外,該計劃還能夠捕獲社交網絡活動和網站訪問。 Festive Crackers 這一年在繁忙的12月結束,在一周之內發現了一連串的三次惡意軟體(有相關性)。首先是Adobe CC的破解應用程式,OSX.DarthMiner,利用 Automator 工作流程通過 Empyre 後端安裝加密器。 OSX.LamePyre 是遊戲玩家的 Discord 語音和聊天應用程式的假冒版,也使用了類似的 Automator 工作流程和 Empyre 後門程式。 LamePyre 的主要功能似乎是採用受害者桌面的常規螢幕截圖並將其上傳到 C2 服務器。 目前尚不清楚這兩個相關的木馬是由同一攻擊者創作的,或是最近在 DarkNet 上交易的一些通用代碼。我們也注意到假的Discord 應用程式似乎已經俄語本地化並包含一些俄文。 當然,我們無法說出這些線索是故意留下來誤導還是粗心的結果。無論哪種方式,我們都不會驚訝看到這些 Automator 基礎的木馬程式在 2019年 新年之前或之後再次出現。 最後,OSX.BadWord 通過利用 Microsoft Word for Mac 沙箱逃離並提供 Meterpreter payload 來提供不同類型的威脅。襲擊者似乎已經在八月份已首次介紹了武器化的概念驗證。與 Windows 上類似的基於 Word 的攻擊一樣,它利用 VBA marcro 來執行代碼並感染用戶。 OSX.BadWord 似乎是通過電子郵件發送給 Quidax 加密貨幣平台的員工,邀請他們為 “BitCoin Magazine UK” 捐獻。 Also Ran
除了完全的惡意軟體之外,我們今年也已看到許多廣告軟體安裝程式充當了密碼管理器的木馬程式,例如 PPMiner,CreativeUpdate 和 SearchPageInstaller。 廣告軟體仍然是一個問題,特別是當我們看到廣告軟體開發人員越來越擴展他們的技術範圍並開始越線進入類似惡意軟體的行為時。 Summary 總結一下,2018 年 APT 針對 macOS 攻擊增加以及意圖利用加密技術或針對加密貨幣參與者(包括員工和貨幣交易)的犯罪分子。像 Empyre 這樣的 open-source 開發工具包在過去12個月中一直是 macOS 惡意軟體的首選工具。我們預計這樣的趨勢將持續到 2019 年,而一如往常,在 SentinelOne,我們會持續發布最新消息並使我們的用戶受到保護。 祝大家有一個 "安全" 的新年!HAPPY NEW YEAR!! 雖然惡意軟體攻擊和大數據洩露通常會成為媒體的頭條新聞,但網絡釣魚詐騙更為常見,在許多情況下對公司構成嚴重威脅。除了用於竊取信用卡詳細信息,登錄憑據,社會安全號碼和其他個資之外,網絡釣魚詐騙還被廣泛用作惡意軟體和勒索軟體攻擊的入口點。網絡釣魚不僅會導致身份盜用,還會導致客戶數據和公司知識產權的遺失。當攻擊者參與魚叉式網絡釣魚攻擊,針對公司人員有針對性攻擊或冒充軟體即服務(SaaS)等企業平台時,風險為更大。在過去12個月中,69%遭受勒索軟體攻擊的組織表示,攻擊者通過電子信箱或社交媒體進行網絡釣魚獲取了對其網絡的訪問權限。 本週發布的追踪網絡釣魚活動趨勢的最新報告顯示,針對有品牌的網絡釣魚活動在上一季度一直在穩步增長: 該報告指出,網絡釣魚詐騙越來越多託管在 HTTPS 網站上,近一半的網絡釣魚網站現在都已使用安全協議。這些不會觸發Chrome 不安全標籤等機制的警告,並且其內容對於傳統AV解決方案是隱形的,也無法讀取其加密流量。 HTTPS對詐騙者很有吸引力,因激勵用戶認為瀏覽器地址欄中大肆吹噓的綠色表示安全或合法的網站。但事實上,任何網站,無論多麼危險,都可以獲得 SSL 證書。它們甚至可以通過 Comodo 和 Let's Encrypt 等服務免費提供。 SSL證書僅建立與用戶登陸的網站點的安全連接。並不保證網站不是為惡意的。 Phishing for Profit 釣魚如何獲利 對於任何網絡攻擊,網絡釣魚活動是一個很好的開始。讓我們看看為什麼它是壞演員中的一個受歡迎的原因 心理學上 正如古老的格言所說,任何電腦防禦策略中最薄弱的環節通常是在鍵盤和椅子之間;換句話說,利用人類心理學通常比利用技術系統更容易。即使是那些知道如何從惡意連結發現真正連結的人,也無法免受精心設計的網絡釣魚活動的影響。 使用社群工程技術,持久性和一些良好的初始偵察,網絡釣魚是攻擊者獲得入口點的合理可靠方式。詐騙者有自己的心理和技術。再加上某種時間壓力,例如 “黑色星期五” 或“ Cyber Monday” 等有季節性的跳樓大拍賣,或者來自假律師告知您的配偶提出離婚意外消息,這都是在統計上有利於攻擊者並讓受害者點擊的連結。 特別是在有針對性的魚叉式網絡釣魚活動中,訣竅就是要充分了解目標,以便知道 “按下按鈕” 的內容,並在精心設計的可靠來源中模擬中使用這些信息。 低風險,高回報 網絡釣魚受攻擊者歡迎的第二個原因是它是一種低風險,高回報的策略。雖然威脅者可以使用網絡釣魚來實現直接進入目標,但是這種技術更常被玩家使用,除了竊取憑據並在暗網上出售之外,使用比特幣和其他加密貨幣輕鬆接收無法追踪付款。由於許多人在多個站點上重複使用相同的登錄憑據,因此通過在線銷售敏感信息,網絡釣魚可以為參與牟取暴利的人帶來意外獎勵,其中單點登錄憑證可能會打開龐大的數據和訪問點。 模擬 眾所周知,通過書面溝通來驗證身份是很困難的。如果朋友進行視頻或打個電話,您可以立即識別出該線路的另一端是您的朋友。如果您收到來自朋友的簡訊,要求您查看連結或打開檔案,則事情要困難得多。繁忙中,總是有一些人會無意中點擊惡意內容,統計上來說,這是一種必然性。詐騙者知道這一點,就像任何類型的廣告一樣,獲得 “點擊通過” 都是一個了解你的觀眾並提供足夠數據的問題。 It Started With a Link 那麼網絡釣魚騙局如何運作?電子郵件是主要的,但不是唯一的誘因。 Facebook,Twitter 和 LinkedIn 等簡訊和社交媒體網站也被利用,但目標始終如一:讓受害者點擊連結,撥打電話或啟動其他一些會觸發的操作騙局。 許多網絡釣魚詐騙將試圖模仿受害者熟悉的商店,例如這個假的 Spotify 訂閱消息: 像這樣的訊息直接正中下懷正確的心理按鈕。收件人將對 “錯誤” 感到憤怒,並擔心收費,因此有強烈的動機點擊誘餌 “審核您的訂閱” 連結。 連結本身經常被操縱,以便在不經意下看起來看起來正常。但其中只有一個是真的,但有多少使用者可立即知道呢? 然後是 Homographic attacks,其中詐騙者使用 unicode 註冊網站,這些文字在視覺上類似於真實網站名稱中使用的 ASCII 。請比較這兩個unicode: \ u0430 \ u0440 \ u0440 \ u04CF \ u0435 \ u0061 \ u0070 \ u0070 \ u006C \ u0065 和他們的視覺上 “印刷” 形式,如下圖所示: 這兩種編碼就乍看之下類似,但電腦會以不同的方式讀取它們。如果第一個用於域名註冊,它實際上將指向與第二個完全不同的站點。 幸運的是,大多數現在的瀏覽器都能識別出這種類型的攻擊,但是最近一年中 Chrome,Firefox 和 Opera 都存在漏洞,這些漏洞能夠繞過這些瀏覽器的同形保護過濾器。 在最近的攻擊中,詐騙者使用 Google.com 的真實子域 sites.google.com 來託管網頁,然後將受害者重定向到惡意網站。 Reeling in the Catch 掉入陷阱中 一旦受害者被吸引住,該騙局可能涉及任何數量的詭計,從欺詐性技術支持詐騙到假電子郵件登錄頁面。一個常見的策略是告訴受害者他們需要更新他們的電子郵件帳戶,然後提供一個相當令人信服的假網站: 但是,檢查網站後台的代碼將會顯示它的真實身份是什麼:試圖竊取用戶的登錄憑據。用戶在虛假站點中輸入憑據後,代碼會將其重定向到真實站點。 針對企業的魚叉式網絡釣魚活動可能正在尋找工業或國家間諜活動的知識產權。例如,一家英國工程公司最近成為針對其海事技術秘密的魚叉式網絡釣魚活動的目標,可能是來自支持中國的APT小組。 How to Avoid A Scam 考量到危險,一個忙碌的人可以做些什麼來降低網絡釣魚詐騙的風險?這裡有一些提示: Take Control 確保已打開瀏覽器的反網絡釣魚首選項。 而使用者會取消此選項是很罕見的,惡意軟體在沒有用戶許可的情況下禁用它是很簡單可以做到的。 根據不同的瀏覽器,可以在不同的位置找到設定,及不同的名稱。對於 Chrome 和 Chromium瀏 覽器,它們通常屬於“進階”或“隱私”,並且會被稱為 “安全瀏覽” 或 “網絡釣魚和惡意軟件防護” 。 Firefox 的是在 “阻止危險和欺騙性內容” 設置,該設置位於 “ 隱私和安全 ” 下的 “ 選項 ” 頁面中。對於 Safari,請在 “ 選項 ” 的
“ 安全 ” 選項卡中選中 “ 訪問欺詐性網站時發出警告 ” 選項。 在您的電子郵件客戶端中,禁用自動加載存儲在遠程服務器上的圖像和外部內容。如果不這樣做,攻擊者就可以代替使用可點擊的圖像,而不是連結本身,並可以避免安全過濾器。並允許包含隱藏的圖像,以便在目標打開中毒的電子郵件時通知他們。 Take a Closer Look 電子郵件和其他郵件中的拼寫錯誤和語法錯誤始終是一個危險信號,因此養成仔細查看包含連結的電子郵件文本的習慣。將游標停在任何連結上,然後點擊它們以查看它們真正的位置。 養成不從電子郵件中點擊連結的習慣也是一個好方式。避免點擊連結或撥打要求個人資訊,信用卡號或帳戶密碼的電話號碼。並從瀏覽器中的書籤轉到頁面,或在搜索引擎中查找地址。同樣,請務必仔細檢查您要求通過網絡搜索或查看之前的信件來撥打的電話號碼。 Get with the Program 對於企業用戶,請考慮定期模擬網絡釣魚活動的員工培訓。使用像 SentinelOne 這樣的優秀的次世代 AV,它可以檢查加密的流量並強制執行防火牆控制來阻止已知的詐騙站點。 Be a Good Citizen 當然,如果發現網絡釣魚攻擊,請務必告知。您可以於 Federal Trade Commission(FTC)報告網絡釣魚,身份盜竊和其他詐騙,並告知相關組織欺詐是否欺騙合法網站。報告功能由 Apple,Google,Microsoft 和大多數其他主要供應商提供。您可以通過互聯網搜索“報告網絡釣魚到”和供應商名稱輕鬆找到其他供應商的相應頁面。 USB 中的 U 的是真的最佳解釋:“Universal” 幾乎描述了可以插入端口的設備範圍及其普遍程度。幾乎每個工作點和筆電上都有 USB 端口,遍布企業網絡。但是 USB 槽有多危險以及您的安全解決方案使您能夠查看和控制正在加載到網路上的內容有多重要?讓我們來看看與 USB 端口相關的五大威脅。 1. 自動執行和其他攻擊 我們都聽說過 Stuxnet,這是現在著名的襲擊伊朗核燃料濃縮廠的氣隙伺服器,後來洩漏到外。 Stuxnet 利用了這樣一個模式:外圍設備將自動在桌面上顯示一個圖標,並將其與 Windows Shell 中的 zero-day 相結合,以實現遠程代碼執行。 這是與自動執行,cold boot 攻擊和預設命令相關的一整類漏洞的戲劇性範例,這些漏洞利用了操作系統識別,枚舉和與USB 協議和標準交互的方式。將惡意製作的文件加載到普通的 flash drive 上會產生毀滅性的影響。 2. 黃色小鴨和朋友 外觀可能是欺騙性的,在這種情況下,並非所有看似簡單的數據存儲設備的東西都是它看起來的樣子。大拇哥可能看起來像被動數據存儲設備,但它們實際上是 mini 電腦。它們包含一個帶有自己的 CPU,RAM 和 ROM 的小型板載微控制器單元。從本質上講,這些用於管理 NAND flash drive,以及大拇哥通過報告它是什麼類型的設備來向主機標識自己。這些功能可能被其他 MCU(如 Teensy 和R ubber Ducky )所欺騙,這些 MCU 安裝在正常的 flash drive 內。當用戶認為他們正在插入USB 時,惡意外設可以將自己辨別為鍵盤或滑鼠,並開始發送自動鍵盤敲擊和點擊以控制主機,遍歷文件系統或打開應用程式。 3. Flashed Firmware 此為更難實現,但許多研究人員已證明可以修補或更換正常的 USB 設備的 fireware 以進行惡意攻擊。這些有可能是,從注入鍵盤敲擊到通過重新編程的 USB - ethernet adapter 捕獲網絡流量。在一個 demo 中,研究人員討論了如何修改幾個字節的 fireware 代碼可以使用戶認為保存在設備上的數據是加密的,而實際上數據可以通過任何密碼來存取。 4. Denial of Service 心懷不滿的員工,激烈的競爭對手或駭客行為主義者 “就因為他們路在其中” 只是一些人可以使用你無人看守的 USB 端口來銷毀帶有 USB.Killer 的筆電或工作點。這種惡意設備會向其插入的任何設備發送重複的電流。在大多數情況下,這會導致電腦邏輯板的致命損壞。 5. 數據洩露
大多數的商業攻擊都是關於賺錢和竊取數據,USB 是網路盜賊的理想切入點。從不可見的分區到簡單的複制和貼上,不受保護的 USB 端口使犯罪分子可以在未經許可的情況下輕鬆傳輸機密信息。有鑑於大拇哥體積小但容量大,可以是客戶數據庫,機密電子郵件,產品規格以及您擁有的任何 IP。當一名員工將 APT 駭客工具複製到大拇哥並將他帶回家時,即使是NSA 也失去了對其資產的控制權!
請想像以下故事情節:IT 獲取有效情報,指示特定的網路釣魚 URL 正在全局掃描憑據。為了保護網路上的用戶,管理員立即向網路防火牆添加規則以阻止 URL 。但那些不在防火牆後的遠端用戶呢?如果 perimeter 保護失敗或被規避怎麼辦?
端點防火牆控制通過管理與每個端點之間的允許通信來應對這些挑戰。它允許管理員控制和實施策略。
為什麼?
我們在 SentinelOne agent 中建立此功能有 4 個原因:
1. 能見度
據 SentinelOne Ransomware 調查顯示,在過去12個月中,遭受勒索軟體攻擊的企業中,近十分之七(69%)的人表示攻擊者能夠通過電子郵件或社交媒體進行網路釣魚,從而獲得對其企業網路的訪問權限。大約五分之二的受訪者表示,通過點擊受感染網站(44%)導致的下載驅動獲得了訪問權限。這清楚地表明網路是最普遍的感染來源。為了使事情更具挑戰性,大多數網路流量都經過加密,從而提高了隱私性,但卻消除了網路防火牆超出 header 的選項。同時,越來越多的用戶處於遠端的狀態,使得網路防火牆無法提供防禦屏蔽。您的用戶可以在任何地方工作,而唯一可以確定的是他們是使用他們的端點設備。 最佳的答案是通過使用網路控制處理與網路相關的感染來增加資產保護。SentinelOne Deep Visibility功能的一部分可查看所有流量,該功能還支持對加密流量的可見性。
2. 惡意軟體預防
對於惡意攻擊者,網路流量有兩個主要原因:
3. 預防企業數據遺失
防火牆控制可以阻止未經授權的數據傳輸到企業網路內外的所有端點。這樣可以降低資產洩漏數據的風險。當惡意軟體和/或惡意行為者從電腦執行未經授權的數據傳輸時,就會發生數據竊取。惡意軟體通常會試圖保持未被發現並刪掉個人數據,無論是敲詐勒索還是間諜活動。例如,今年早些時候,我們得知特斯拉員工編寫軟體來定期導出數 gigabytes 的專有數據並將其匯集到組織外部並分享出去。網路訪問控制是可以防止這種損失。
4. 符合法規
由於防火牆控制提供了另一種降低企業風險的措施,它可以幫助您的企業實現需要網路訪問控制的合規性。
易於管理
向平台添加功能始終是一個理想的舉動,但它不能犧牲可用性來做為代價。建立一個需要經過嚴格培訓的人員來管理的產品可能會解決一些客戶的需求,但這會產生另一個問題。您仍然可以看到那些產品未正確配置或由於使用困難而無法有效監控的情況。結果是複雜的產品無法解決他們想要解決的問題。在防火牆控制的情況下,我們實施了一種簡單基於規則的體驗,提供了靈活性而沒有複雜性。
Demo
在此 Demo 中,您可以看到如何使用防火牆控制來阻止網路釣魚的嘗試。
Take Away
資安不僅僅是防止惡意軟體。整個網路的良好乾淨狀況有助於在戰鬥之前贏得戰鬥。端點防火牆控制是分層安全模型的重要組成部分。保護網路流量對 SentinelOne 來說並不陌生。我們已經看到許多嘗試過的攻擊,並對其進行了自動響應。平台的強大之處在於您可以在一個自動 Agent 中獲得所有這些功能 - 無需額外安裝。 Firewall Control is supported starting with 2.8 agents (with Eiffel console) and is part of the SentinelOne “Complete” offering. |
Categories
All
Archives
January 2021
|