Category: SentinelOne

A REVIEW OF MALWARE AFFECTING MACOS IN 2018

12/31/2018

在 2018 年的最後一天，讓我們來回顧一下 macOS 安全狀態。

2018年是 MacOS RAT 的一年，特別有 Empyre 作為一路領先多種惡意軟件變體的首選開發框架。 EvilOSX，EvilEgg 和基於Java 的 RAT 也一起亮相。今年加密貨幣的惡意軟體在新聞中佔到量的也很大，因為糟糕的演員既針對比特幣的錢包，又利用加密貨幣實用程序來感染毫無戒心的用戶。 Cryptojacking 仍然在增加，但主要局限於持續存在的 macOS 廣告軟體問題。

Malware in Development
這一年由 OSX.MaMi 開始，一個可疑的舊版 Windows 惡意軟體 DNSUnlocker 的 macOS 變種。 Mami 改變 macOS 的SystemConfiguration.plist 以劫持受害者的DNS服務器。該惡意軟體包含用於遠程下載和上傳文件，記錄滑鼠點擊，截屏和嘗試權限提升的邏輯。

同月，Java 基礎的 CrossRAT 被發現作為 Dark Caracel APT 工具包的一部分，該組織代表黎巴嫩政府為了國家安全目的收集攻擊性網絡能力情報。 CrossRAT 是一個多平台監控工具，它通過自身副本在 macOS 上寫入〜/ Library / mediamgrs.jar 並安裝用戶 LaunchAgent 來實現持久性。

有趣的是，或者令人擔憂的是，MaMi 和 CrossRAT 都有版本號，表明它們處於早期開發狀態，未來看到這兩種的進階版本也就不足為奇了。

Lazarus APT
在今年年初發生的兩項重要發現之後，惡意軟體方面有點相對的安靜，直到4月份才發布了一個名為 CelasTradePro 的加密貨幣交易應用程序。該惡意軟體歸屬於與朝鮮有關的 APT 小組 Lazarus，由三部分組成。作為 CelasTradePro.app 中的更新程式植入的木馬下載程序，具有標記 “com.celastradepro.plist” 和有效負載的 LaunchDaemon，最初被放在 / var / zdiffsec 處。

目前還不清楚這種被稱為 OSX.AppleJeus 的惡意軟體是否是軟體供應鏈攻擊，或者 CelasTradePro.app 是專門用於感染加密貨幣交易所。在任何一種情況下，該應用程式都有一個有效的開發人員簽名，因此很容易繞過 Apple 的內置安全技術。

WindShift APT
雖然是在4月底創造的，AppleJeus 一直到 8月才被發現，而那個月也出現了另一個針對 Mac 平台的 APT 組織，WindShift APT 的消息。雖然早在去年 1 月就被認為首次針對 macOS，但 WindShift 似乎已經在2018年開始活動，因為這個數字（感謝 DarkMatter）顯示：

WindTail.A 針對受害者電腦上具有以下檔類的文件：.txt .pdf .doc .docx .ppt .pptx .db .rtf .xls .xlsx 並使用 LoginItem 進行持久化。後門 WindTape 獲取當前桌面的螢幕截圖，將其發送到 C2 伺服器並刪除本地副本。並每5秒重複一次這個過程。

感染此特定惡意軟體的關鍵是在默認情況下 Safari 選項允許 .zip 文件在下載時自動取消歸檔。此功能意味著 macOS 將自動註冊在惡意軟體中定義的自定 URL，這是有助於進一步感染的。一般情況下，用戶在 Safari 的選項中取消選中以下設置總是明智的：

The Weakest Links?
7月，OSX.Dummy 出現在一些挖礦聊天群組中。因為認為這是來自可靠的來源，攻擊者讓受害者運行具有提升權限的工具，。詐騙的也不必太努力，因為他們提供惡意軟體作為受害者自己尋求幫助問題的答案。該工具安裝了一個 bash 腳本，該腳本利用 python 打開 reverse shell：

OSX.Dummy 之所以如此命名，是因為它接受到了受害者的大量的同意，並成功地破壞了目標。在這方面，至少，它與下一個在2018年出現的惡意軟體的極端相反。九月看到了許多人認為最不可能的威脅來源：Apple 自己的 App Store。從 Mac App Store 下載的軟體是已被 Apple 的 Gatekeeper 信任的，因此沒有額外防禦的用戶在未經許可的情況下，完全不受一系列批准的應用程式洩露個資的保護就不足為奇了。APP 程式包括 Adware Doctor，Open Any Files，Dr. AntiVirus 和 Dr. Cleaner。蘋果在9月份最終將所有這些商品從商店中移除，但至少有兩名違規者已與 Apple 報告過，並未採取任何行動。

The Other Side of the Coin
10月份，CoinTicker 進入戰場，通過挖礦應用程式植入木馬後門。結合 open source 利用工具，EvilOSX 和 EggShell，CoinTicker 似乎是一個簡單的狀態工作表程式，顯示各種加密貨幣的當前交易價格。該應用程序功能齊全，但同時嘗試通過reverse shell 允許攻擊。

" 感謝 " 開發工具的性質，攻擊者可以有多種選擇功能。可以第一優先攻擊的事情之一就是竊取受害者的虛擬貨幣錢包。

針對虛擬貨幣的用戶攻擊並未在 2018 年停止。去年 11 月，Exodus cryptowallet 的用戶成為電子郵件網絡釣魚活動的目標。攻擊者曾希望安裝基於 RealTimeSpy 商業間諜軟體的惡意軟體。雖然沒有任何關於 RealTimeSpy 開發人員參與的暗示，但毫無疑問，此活動背後的人希望在受害者的主機上安裝 RealTimeSpy 版本。假設目標是竊取比特幣錢包是合理的，但是這個 macOS 間諜軟體還可以通過螢幕截圖和鍵盤記錄來竊取其他個資。此外，該計劃還能夠捕獲社交網絡活動和網站訪問。

Festive Crackers

這一年在繁忙的12月結束，在一周之內發現了一連串的三次惡意軟體（有相關性）。首先是Adobe CC的破解應用程式，OSX.DarthMiner，利用 Automator 工作流程通過 Empyre 後端安裝加密器。 OSX.LamePyre 是遊戲玩家的 Discord 語音和聊天應用程式的假冒版，也使用了類似的 Automator 工作流程和 Empyre 後門程式。 LamePyre 的主要功能似乎是採用受害者桌面的常規螢幕截圖並將其上傳到 C2 服務器。

目前尚不清楚這兩個相關的木馬是由同一攻擊者創作的，或是最近在 DarkNet 上交易的一些通用代碼。我們也注意到假的Discord 應用程式似乎已經俄語本地化並包含一些俄文。

當然，我們無法說出這些線索是故意留下來誤導還是粗心的結果。無論哪種方式，我們都不會驚訝看到這些 Automator 基礎的木馬程式在 2019年新年之前或之後再次出現。

最後，OSX.BadWord 通過利用 Microsoft Word for Mac 沙箱逃離並提供 Meterpreter payload 來提供不同類型的威脅。襲擊者似乎已經在八月份已首次介紹了武器化的概念驗證。與 Windows 上類似的基於 Word 的攻擊一樣，它利用 VBA marcro 來執行代碼並感染用戶。 OSX.BadWord 似乎是通過電子郵件發送給 Quidax 加密貨幣平台的員工，邀請他們為 “BitCoin Magazine UK” 捐獻。

Also Ran
除了完全的惡意軟體之外，我們今年也已看到許多廣告軟體安裝程式充當了密碼管理器的木馬程式，例如 PPMiner，CreativeUpdate 和 SearchPageInstaller。

廣告軟體仍然是一個問題，特別是當我們看到廣告軟體開發人員越來越擴展他們的技術範圍並開始越線進入類似惡意軟體的行為時。

Summary
總結一下，2018 年 APT 針對 macOS 攻擊增加以及意圖利用加密技術或針對加密貨幣參與者（包括員工和貨幣交易）的犯罪分子。像 Empyre 這樣的 open-source 開發工具包在過去12個月中一直是 macOS 惡意軟體的首選工具。我們預計這樣的趨勢將持續到 2019 年，而一如往常，在 SentinelOne，我們會持續發布最新消息並使我們的用戶受到保護。

祝大家有一個 "安全" 的新年！HAPPY NEW YEAR!!

原文

WHAT IS A PHISHING SCAM? (AND WHAT TO DO TO STOP ATTACKS)

12/22/2018

雖然惡意軟體攻擊和大數據洩露通常會成為媒體的頭條新聞，但網絡釣魚詐騙更為常見，在許多情況下對公司構成嚴重威脅。除了用於竊取信用卡詳細信息，登錄憑據，社會安全號碼和其他個資之外，網絡釣魚詐騙還被廣泛用作惡意軟體和勒索軟體攻擊的入口點。網絡釣魚不僅會導致身份盜用，還會導致客戶數據和公司知識產權的遺失。當攻擊者參與魚叉式網絡釣魚攻擊，針對公司人員有針對性攻擊或冒充軟體即服務（SaaS）等企業平台時，風險為更大。在過去12個月中，69％遭受勒索軟體攻擊的組織表示，攻擊者通過電子信箱或社交媒體進行網絡釣魚獲取了對其網絡的訪問權限。

本週發布的追踪網絡釣魚活動趨勢的最新報告顯示，針對有品牌的網絡釣魚活動在上一季度一直在穩步增長：

該報告指出，網絡釣魚詐騙越來越多託管在 HTTPS 網站上，近一半的網絡釣魚網站現在都已使用安全協議。這些不會觸發Chrome 不安全標籤等機制的警告，並且其內容對於傳統AV解決方案是隱形的，也無法讀取其加密流量。

HTTPS對詐騙者很有吸引力，因激勵用戶認為瀏覽器地址欄中大肆吹噓的綠色表示安全或合法的網站。但事實上，任何網站，無論多麼危險，都可以獲得 SSL 證書。它們甚至可以通過 Comodo 和 Let's Encrypt 等服務免費提供。 SSL證書僅建立與用戶登陸的網站點的安全連接。並不保證網站不是為惡意的。

Phishing for Profit 釣魚如何獲利
對於任何網絡攻擊，網絡釣魚活動是一個很好的開始。讓我們看看為什麼它是壞演員中的一個受歡迎的原因

心理學上

正如古老的格言所說，任何電腦防禦策略中最薄弱的環節通常是在鍵盤和椅子之間;換句話說，利用人類心理學通常比利用技術系統更容易。即使是那些知道如何從惡意連結發現真正連結的人，也無法免受精心設計的網絡釣魚活動的影響。

使用社群工程技術，持久性和一些良好的初始偵察，網絡釣魚是攻擊者獲得入口點的合理可靠方式。詐騙者有自己的心理和技術。再加上某種時間壓力，例如 “黑色星期五” 或“ Cyber Monday” 等有季節性的跳樓大拍賣，或者來自假律師告知您的配偶提出離婚意外消息，這都是在統計上有利於攻擊者並讓受害者點擊的連結。

特別是在有針對性的魚叉式網絡釣魚活動中，訣竅就是要充分了解目標，以便知道 “按下按鈕” 的內容，並在精心設計的可靠來源中模擬中使用這些信息。

低風險，高回報
網絡釣魚受攻擊者歡迎的第二個原因是它是一種低風險，高回報的策略。雖然威脅者可以使用網絡釣魚來實現直接進入目標，但是這種技術更常被玩家使用，除了竊取憑據並在暗網上出售之外，使用比特幣和其他加密貨幣輕鬆接收無法追踪付款。由於許多人在多個站點上重複使用相同的登錄憑據，因此通過在線銷售敏感信息，網絡釣魚可以為參與牟取暴利的人帶來意外獎勵，其中單點登錄憑證可能會打開龐大的數據和訪問點。

模擬
眾所周知，通過書面溝通來驗證身份是很困難的。如果朋友進行視頻或打個電話，您可以立即識別出該線路的另一端是您的朋友。如果您收到來自朋友的簡訊，要求您查看連結或打開檔案，則事情要困難得多。繁忙中，總是有一些人會無意中點擊惡意內容，統計上來說，這是一種必然性。詐騙者知道這一點，就像任何類型的廣告一樣，獲得 “點擊通過” 都是一個了解你的觀眾並提供足夠數據的問題。

It Started With a Link
那麼網絡釣魚騙局如何運作？電子郵件是主要的，但不是唯一的誘因。 Facebook，Twitter 和 LinkedIn 等簡訊和社交媒體網站也被利用，但目標始終如一：讓受害者點擊連結，撥打電話或啟動其他一些會觸發的操作騙局。
許多網絡釣魚詐騙將試圖模仿受害者熟悉的商店，例如這個假的 Spotify 訂閱消息：

像這樣的訊息直接正中下懷正確的心理按鈕。收件人將對 “錯誤” 感到憤怒，並擔心收費，因此有強烈的動機點擊誘餌 “審核您的訂閱” 連結。

連結本身經常被操縱，以便在不經意下看起來看起來正常。但其中只有一個是真的，但有多少使用者可立即知道呢？

然後是 Homographic attacks，其中詐騙者使用 unicode 註冊網站，這些文字在視覺上類似於真實網站名稱中使用的 ASCII 。請比較這兩個unicode：

\ u0430 \ u0440 \ u0440 \ u04CF \ u0435

\ u0061 \ u0070 \ u0070 \ u006C \ u0065

和他們的視覺上 “印刷” 形式，如下圖所示：

這兩種編碼就乍看之下類似，但電腦會以不同的方式讀取它們。如果第一個用於域名註冊，它實際上將指向與第二個完全不同的站點。

幸運的是，大多數現在的瀏覽器都能識別出這種類型的攻擊，但是最近一年中 Chrome，Firefox 和 Opera 都存在漏洞，這些漏洞能夠繞過這些瀏覽器的同形保護過濾器。

在最近的攻擊中，詐騙者使用 Google.com 的真實子域 sites.google.com 來託管網頁，然後將受害者重定向到惡意網站。

Reeling in the Catch 掉入陷阱中
一旦受害者被吸引住，該騙局可能涉及任何數量的詭計，從欺詐性技術支持詐騙到假電子郵件登錄頁面。一個常見的策略是告訴受害者他們需要更新他們的電子郵件帳戶，然後提供一個相當令人信服的假網站：

但是，檢查網站後台的代碼將會顯示它的真實身份是什麼：試圖竊取用戶的登錄憑據。用戶在虛假站點中輸入憑據後，代碼會將其重定向到真實站點。

針對企業的魚叉式網絡釣魚活動可能正在尋找工業或國家間諜活動的知識產權。例如，一家英國工程公司最近成為針對其海事技術秘密的魚叉式網絡釣魚活動的目標，可能是來自支持中國的APT小組。

How to Avoid A Scam
考量到危險，一個忙碌的人可以做些什麼來降低網絡釣魚詐騙的風險？這裡有一些提示：

Take Control
確保已打開瀏覽器的反網絡釣魚首選項。
而使用者會取消此選項是很罕見的，惡意軟體在沒有用戶許可的情況下禁用它是很簡單可以做到的。
根據不同的瀏覽器，可以在不同的位置找到設定，及不同的名稱。對於 Chrome 和 Chromium瀏覽器，它們通常屬於“進階”或“隱私”，並且會被稱為 “安全瀏覽” 或 “網絡釣魚和惡意軟件防護” 。

Firefox 的是在 “阻止危險和欺騙性內容” 設置，該設置位於 “ 隱私和安全 ” 下的 “ 選項 ” 頁面中。對於 Safari，請在 “ 選項 ” 的
“ 安全 ” 選項卡中選中 “ 訪問欺詐性網站時發出警告 ” 選項。

在您的電子郵件客戶端中，禁用自動加載存儲在遠程服務器上的圖像和外部內容。如果不這樣做，攻擊者就可以代替使用可點擊的圖像，而不是連結本身，並可以避免安全過濾器。並允許包含隱藏的圖像，以便在目標打開中毒的電子郵件時通知他們。

Take a Closer Look
電子郵件和其他郵件中的拼寫錯誤和語法錯誤始終是一個危險信號，因此養成仔細查看包含連結的電子郵件文本的習慣。將游標停在任何連結上，然後點擊它們以查看它們真正的位置。

養成不從電子郵件中點擊連結的習慣也是一個好方式。避免點擊連結或撥打要求個人資訊，信用卡號或帳戶密碼的電話號碼。並從瀏覽器中的書籤轉到頁面，或在搜索引擎中查找地址。同樣，請務必仔細檢查您要求通過網絡搜索或查看之前的信件來撥打的電話號碼。

Get with the Program
對於企業用戶，請考慮定期模擬網絡釣魚活動的員工培訓。使用像 SentinelOne 這樣的優秀的次世代 AV，它可以檢查加密的流量並強制執行防火牆控制來阻止已知的詐騙站點。

Be a Good Citizen
當然，如果發現網絡釣魚攻擊，請務必告知。您可以於 Federal Trade Commission（FTC）報告網絡釣魚，身份盜竊和其他詐騙，並告知相關組織欺詐是否欺騙合法網站。報告功能由 Apple，Google，Microsoft 和大多數其他主要供應商提供。您可以通過互聯網搜索“報告網絡釣魚到”和供應商名稱輕鬆找到其他供應商的相應頁面。

MALICIOUS MEDIA | WHY YOUR ENDPOINTS NEED DEVICE CONTROL

12/10/2018

0 Comments

USB 中的 U 的是真的最佳解釋：“Universal” 幾乎描述了可以插入端口的設備範圍及其普遍程度。幾乎每個工作點和筆電上都有 USB 端口，遍布企業網絡。但是 USB 槽有多危險以及您的安全解決方案使您能夠查看和控制正在加載到網路上的內容有多重要？讓我們來看看與 USB 端口相關的五大威脅。

1. 自動執行和其他攻擊
我們都聽說過 Stuxnet，這是現在著名的襲擊伊朗核燃料濃縮廠的氣隙伺服器，後來洩漏到外。 Stuxnet 利用了這樣一個模式：外圍設備將自動在桌面上顯示一個圖標，並將其與 Windows Shell 中的 zero-day 相結合，以實現遠程代碼執行。

這是與自動執行，cold boot 攻擊和預設命令相關的一整類漏洞的戲劇性範例，這些漏洞利用了操作系統識別，枚舉和與USB 協議和標準交互的方式。將惡意製作的文件加載到普通的 flash drive 上會產生毀滅性的影響。

2. 黃色小鴨和朋友
外觀可能是欺騙性的，在這種情況下，並非所有看似簡單的數據存儲設備的東西都是它看起來的樣子。大拇哥可能看起來像被動數據存儲設備，但它們實際上是 mini 電腦。它們包含一個帶有自己的 CPU，RAM 和 ROM 的小型板載微控制器單元。從本質上講，這些用於管理 NAND flash drive，以及大拇哥通過報告它是什麼類型的設備來向主機標識自己。這些功能可能被其他 MCU（如 Teensy 和R ubber Ducky ）所欺騙，這些 MCU 安裝在正常的 flash drive 內。當用戶認為他們正在插入USB 時，惡意外設可以將自己辨別為鍵盤或滑鼠，並開始發送自動鍵盤敲擊和點擊以控制主機，遍歷文件系統或打開應用程式。

3. Flashed Firmware
此為更難實現，但許多研究人員已證明可以修補或更換正常的 USB 設備的 fireware 以進行惡意攻擊。這些有可能是，從注入鍵盤敲擊到通過重新編程的 USB - ethernet adapter 捕獲網絡流量。在一個 demo 中，研究人員討論了如何修改幾個字節的 fireware 代碼可以使用戶認為保存在設備上的數據是加密的，而實際上數據可以通過任何密碼來存取。

4. Denial of Service
心懷不滿的員工，激烈的競爭對手或駭客行為主義者 “就因為他們路在其中” 只是一些人可以使用你無人看守的 USB 端口來銷毀帶有 USB.Killer 的筆電或工作點。這種惡意設備會向其插入的任何設備發送重複的電流。在大多數情況下，這會導致電腦邏輯板的致命損壞。

5. 數據洩露
大多數的商業攻擊都是關於賺錢和竊取數據，USB 是網路盜賊的理想切入點。從不可見的分區到簡單的複制和貼上，不受保護的 USB 端口使犯罪分子可以在未經許可的情況下輕鬆傳輸機密信息。有鑑於大拇哥體積小但容量大，可以是客戶數據庫，機密電子郵件，產品規格以及您擁有的任何 IP。當一名員工將 APT 駭客工具複製到大拇哥並將他帶回家時，即使是NSA 也失去了對其資產的控制權！

結論：
為了防範這些威脅，您的安全軟體必須實施設備控制，並使您能夠管理整個網路中 USB 和其他外圍設備的使用。結合SentinelOne 端點防火牆控制功能，設備控制提供了一些被認為是缺失的部分，以完全取代傳統的防病毒（AV）解決方案。與平台的其他功能一樣，這些功能可通過 SentinelOne 的單一代理，單代碼庫，單一控制台架構來提供。隨著 SentinelOne 全球部署的增長，我們將繼續專注於解決客戶關心的問題。從Eiffel / 2.8 agent 開始提供設備控制。

想看 SentinelOne 設備控制的 demo?，請按我。

原文

0 Comments

FIREWALL CONTROL – FEATURE SPOTLIGHT

12/6/2018

0 Comments

請想像以下故事情節：IT 獲取有效情報，指示特定的網路釣魚 URL 正在全局掃描憑據。為了保護網路上的用戶，管理員立即向網路防火牆添加規則以阻止 URL 。但那些不在防火牆後的遠端用戶呢？如果 perimeter 保護失敗或被規避怎麼辦？

端點防火牆控制通過管理與每個端點之間的允許通信來應對這些挑戰。它允許管理員控制和實施策略。

為什麼？
我們在 SentinelOne agent 中建立此功能有 4 個原因：

1. 能見度
據 SentinelOne Ransomware 調查顯示，在過去12個月中，遭受勒索軟體攻擊的企業中，近十分之七（69％）的人表示攻擊者能夠通過電子郵件或社交媒體進行網路釣魚，從而獲得對其企業網路的訪問權限。大約五分之二的受訪者表示，通過點擊受感染網站（44％）導致的下載驅動獲得了訪問權限。這清楚地表明網路是最普遍的感染來源。為了使事情更具挑戰性，大多數網路流量都經過加密，從而提高了隱私性，但卻消除了網路防火牆超出 header 的選項。同時，越來越多的用戶處於遠端的狀態，使得網路防火牆無法提供防禦屏蔽。您的用戶可以在任何地方工作，而唯一可以確定的是他們是使用他們的端點設備。

最佳的答案是通過使用網路控制處理與網路相關的感染來增加資產保護。SentinelOne Deep Visibility功能的一部分可查看所有流量，該功能還支持對加密流量的可見性。

2. 惡意軟體預防
對於惡意攻擊者，網路流量有兩個主要原因：

大多數惡意軟體感染都會嘗試連接到 Command & Control（C2）伺服器以建立遠端控製或洩露數據。

勒索軟體通常將加密密鑰存儲在遠端伺服器上以增加支付的機會。

3. 預防企業數據遺失
防火牆控制可以阻止未經授權的數據傳輸到企業網路內外的所有端點。這樣可以降低資產洩漏數據的風險。當惡意軟體和/或惡意行為者從電腦執行未經授權的數據傳輸時，就會發生數據竊取。惡意軟體通常會試圖保持未被發現並刪掉個人數據，無論是敲詐勒索還是間諜活動。例如，今年早些時候，我們得知特斯拉員工編寫軟體來定期導出數 gigabytes 的專有數據並將其匯集到組織外部並分享出去。網路訪問控制是可以防止這種損失。

4. 符合法規
由於防火牆控制提供了另一種降低企業風險的措施，它可以幫助您的企業實現需要網路訪問控制的合規性。

易於管理
向平台添加功能始終是一個理想的舉動，但它不能犧牲可用性來做為代價。建立一個需要經過嚴格培訓的人員來管理的產品可能會解決一些客戶的需求，但這會產生另一個問題。您仍然可以看到那些產品未正確配置或由於使用困難而無法有效監控的情況。結果是複雜的產品無法解決他們想要解決的問題。在防火牆控制的情況下，我們實施了一種簡單基於規則的體驗，提供了靈活性而沒有複雜性。

Demo
在此 Demo 中，您可以看到如何使用防火牆控制來阻止網路釣魚的嘗試。

Take Away

資安不僅僅是防止惡意軟體。整個網路的良好乾淨狀況有助於在戰鬥之前贏得戰鬥。端點防火牆控制是分層安全模型的重要組成部分。保護網路流量對 SentinelOne 來說並不陌生。我們已經看到許多嘗試過的攻擊，並對其進行了自動響應。平台的強大之處在於您可以在一個自動 Agent 中獲得所有這些功能 - 無需額外安裝。

Firewall Control is supported starting with 2.8 agents (with Eiffel console) and is part of the SentinelOne “Complete” offering.

原文

0 Comments

SENTINELONE IS RECOGNIZED AS A 2018 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT PROTECTION PLATFORMS

11/22/2018

Gartner Peer Insights 客戶的選擇區別基於用戶有購買，實施和/或使用產品或服務之經驗專業人士的反饋和評價。

於加州山景城，2018年11月19日 - SentinelOne ，一領先的自動端點保護解決方案軟體提供商很高興地分享他們被命名為2018 年 Gartner Peer Insights 客戶選擇端點保護平台。 Gartner 將端點保護平台定義為部署在端點設備上的解決方案，以防止基於文件的惡意軟體，檢測和阻止來自受信任和不受信任的應用程序的之惡意活動，並提供動態響應安全事件和警報所需的調查和修復功能。

SentinelOne 首席執行官兼聯合創始人Tomer Weingarten 表示：“我們相信，被評為2018年 Gartner Peer Insights 客戶選擇進一步證實了我們傾聽客戶意見並不斷創新我們的解決方案以滿足其安全需求的承諾，並且擁有一些世界上最大的公司作為我們的客戶是一個很好的認證我們的技術處於第一線。” “ SentinelOne 堅信，今天的威脅形勢需要自動端點保護，可以即時響應每個攻擊媒介，並且我們一直在努力確保我們的平台始終讓客戶領先於每個設備，無論是虛擬的、物理的，端點，伺服器或雲端。“

截至 2018 年 11 月 17 日，依據 276 個經過驗證的評論，SentinelOne 在 Endpoint Protection 平台市場的總體評分為 4.7 分（滿分5分）。 SentinelOne 收到的一些評論包括：

“SentinelOne 是一個令人驚嘆的次世代端點保護平台。易於實施，檢測威脅的力度，對於可能已經成為威脅的 roll-back 能力補救措施，並且他們的支援團隊的迅速響應確實贏得了我們的支持。我們已經看到了我們以前的 AV 平台錯過的威脅，有點令人失望是，當 SentinelOne 已攔截到時但其他平台卻沒有。我強烈推薦 SentinelOne。他們的開發團隊是很快速及迅速地整合與改進他們的產品。這是一個很大的優勢“ - 資深IT系統管理員

“我們選擇 SentinelOne 的原因如下：

安全有效性水平超過了同一領域的競爭對手 - 通過 NSS Labs 和 Gartner 的報告。）
易用性，端點上的輕量級客戶端負載以及基於公司的規模增長來、部署和管理能力.
離線檢測能力
TCO 排在248美元，而行業平均水平為 690美元
跨OS（操作系統）兼容性。“ - IT經理 - 端點系統製造業

“我從病毒和勒索軟體的各個角度攻擊它，每次都讓我的測試系統保持乾淨。他們非常友善，讓我在生產中進行測試，並且在檢測，預防和易於安裝和管理方面超出了我的預期。我終於覺得我從威脅中受到了保護。“ - 製造業所有者

通過機器學習和 AI，SentinelOne 端點保護平台（EPP）可以主動保護企業免受進階威脅，以及全自動和自動檢測和修復端點問題。 SentinelOne 的行為 AI 引擎監控每個系統進程，不僅提供最廣泛的攻擊媒介之卓越保護，而且在單個 codebase 中產生無與倫比的端點可見性。

關於 Peer Insights:
Peer Insights 是 IT 專業人員和技術決策者編寫和閱讀的 IT 軟體和服務評級和評論的在線平台。目標是幫助 IT 領導者做出更具洞察力的購買決策，並通過從客戶那裡獲得客觀，公正的反饋來幫助技術提供商改進他們的產品。 Gartner Peer Insights在 200 多個市場中包含超過 70,000 條經過驗證的評論。欲知更多信息: www.gartner.com/reviews/home

免責聲明：
Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

關於 SentinelOne
SentinelOne 通過單個代理提供自動端點保護，該代理成功的防止，檢測和響應所有主要向量的攻擊。 S1 平台專為極易使用而設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，為客戶節省了時間，是唯一可直接從端點提供跨網絡可見性的解決方案。

The Gartner Peer Insights Customers’ Choice logo is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice distinctions are determined by the subjective opinions of individual end-user customers based on their own experiences, the number of published reviews on Gartner Peer Insights and overall ratings for a given vendor in the market, as further described here, and are not intended in any way to represent the views of Gartner or its affiliates.

原文

2018’S MOST PREVALENT RANSOMWARE – WE TOOK IT FOR A RIDE

11/3/2018

儘管我們已經做出了努力來消滅它，但 GandCrab 勒索軟體在整個2018年繼續發展和擴散。就讓我們欣賞一下 SentinelOne 是如何抵擋它。

GandCrab 是一種侵略性的惡意軟體，自2018年1月首次被發現以來已經襲擊了近50萬受害者。它使用各種感染媒介來破壞端點，包括電子郵件廣告，網站和漏洞利用工具包，例如 Rig 和 GrandSoft 。

感染的第一階段收集數據，例如電腦名稱，操作系統版本以及是否安裝了任何舊版 AV軟件。它還檢查目標機器是否具有俄語鍵盤，如果沒有，則進入下一階段。這涉及終止受害者可能用於內容創建的應用程序和進程，例如內容編輯器和電子郵件客戶端。惡意軟體會感染每個連接的驅動器（CD-ROM media 除外），並且還會確保刪除用戶數據的任何備份或 Shadow 副本：

然後，惡意軟體可以在使用其 C＆C 服務器登記之前嘗試提升權限，此時服務器接收到受害者的唯一 ID 的加密密鑰。

GandCrab “聰明到” 足以忽略系統和程序文件，受害者當然可能需要向攻擊者付款，並專注於用戶數據文件。其並使用唯一的 AES-256 密鑰加密每個文件。

在成功加密目標設備後， GandCrab 提供贖金票據，指示受害者使用比特幣或 Dash 付款，要求 300 美元至 6000 美元之間的任何費用。

有幾次的嘗試擊敗 GandCrab 。 2月，在歐洲刑警組織的支持下，羅馬尼亞警方在 No More Ransom 上提供了第一個解密工具。隨後，犯罪分子發布了第二版 GandCrab 勒索軟體，改進了編碼，甚至發表評論針對執法部門，安全公司和 No More Ransom 。第三個版本是在一天後發布的。現在，在其第五個版本中，此文件鎖定惡意軟體繼續以激進的速度更新。每個版本都出現了新的，更複雜的技術，以繞過網路安全供應商的對策。

如以下 Demo 所顯示， SentinelOne 可以阻止 GandCrab 的執行，並且作為最後的安全措施，甚至可以通過 rollback 解密用戶的 .crab 文件。

DEMO

原文

SENTINELONE ACHIEVES ISO 27001 CERTIFICATION

10/16/2018

被全球資訊安全管理承諾標準認可之端點保護領導者

於加洲山景城時間 - 2018年10月16日 - 自動化端點保護公司 SentinelOne 今天宣布已獲得 ISO / IEC 27001：2013 認證，表彰其致力於為客戶提供最高水平的資訊安全管理。經過廣泛的審核，該認證由位於美國的 ANAB 和 UKAS 認證機構Schellman＆Company LLC 頒發。

ISO 27001 是全球公認的標準規範，要求對資訊安全管理系統（ISMS）的建立，維護和認證進行多種控制。 SentinelOne 的 ISMS 特定了大量技術，管理和實體控制，旨在保護 SentinelOne 自身的信息，以及整體業務風險背景下的客戶和員工信息。 SentinelOne 在首次 ISO 嘗試時獲得了認證，展現了其資訊安全計劃的完整性和嚴謹性。

總顧問兼資訊安全主管 Efi Harari 表示，“我們一直堅持使用業界最先進的端點解決方案保護關鍵基礎設施的使命，我們努力保護所有從客戶端收集的數據也是如此，” “我們的客戶根據行業最佳標準和慣例正確地要求最高級別的數據安全性，獲得ISO 27001認證是對我們的極大認可。”

SentinelOne 了解到資訊必須得到精心管理，控制和保護，因為它對客戶和產品都有重大影響，SentinelOne 擁有一個專門的安全團隊，負責監督公司的資訊安全計劃。該計劃包括高品質的網路安全，應用程序安全，身份認證和存取控制，變更管理，漏洞管理，日誌/事件管理，第三方測試等。為了解決客戶對跨境數據傳輸的任何擔憂，SentinelOne 現在可以根據客戶的要求在特定的地理位置處理客戶數據。

Schellman 的ISO / IEC 27001：2013 認證涵蓋 SentinelOne 端點保護產品的全部產品，包括 agent，管理控制台，客戶數據處理活動和軟體即服務（SaaS）。認證詳細訊息在 Schellman 證書目錄中公開提供。

About SentinelOne

SentinelOne 通過單個代理提供自動端點保護，代理能成功地防止，檢測和響應所有主要向量的攻擊。為使客戶節省時間，S1 平台為極易使用設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，是唯一可直接從端點提供跨網路可見性的解決方案。

欲了解更多詳情，請與我們聯繫

原文

5 THINGS EVERYONE GETS WRONG ABOUT ANTI-VIRUS

9/25/2018

任何人都應該知道網絡威脅正在增加，並且隨著先進的駭客技術在外繼續擴散，擁有有效安全解決方案的要求已是公司企業的迫切需求。

由於市場充斥著供應商製造誇張的主張和新聞報導甚至更顯眼的頭條新聞，因此很難將事實與虛構分開。如果您還不熟悉端點安全性，那麼這裡有五個基本的要素可以確保您正確選擇可用的選項。

1. 病毒不是你唯一的威脅
資安威脅從早期電腦病毒的所有認識中發展而來，但大多數資安解決方案仍然在其名稱中使用“防毒”一詞，這其實在現今威脅版中是一種誤稱。

現實情況是，網絡攻擊採取了許多與病毒無關的不同形式，它們的範圍從不區分到高度針對性。其中包括勒索軟件，魚叉式網絡釣魚，偷渡式攻擊以及可能導致客戶和企業資料外洩的軟體和硬體漏洞。

並且不要陷入認為您的業務太小而無法成為目標的陷阱。攻擊者現在正在武器化機器學習，以低成本為自己製作高度針對性的活動。

另外，不要忘記威脅可以來自內部; 心懷不滿的員工比任何局外人更了解您的系統的弱點。但無論起源點如何，良好的端點安全性都需要能夠檢測到不良行為。

2. 惡意檔案只是故事的一部分
大多數人認為資安軟體的工作原理是掃描本地電腦上的文件並確定它們是否是惡意軟體。就像“防毒”一詞一樣，這是一種過時的思考方式。儘管主要以這種方式工作的傳統 AV 仍然存在，即使它們通常也會提供一些附加功能，例如阻止惡意網站或檢測到資源使用過度（通常為勒索軟體和加密礦工使用），還仍然無法有效阻擋這些攻擊的波勢。

為了獲得真正有效的保護，您應該關注那些不僅僅是這些的資安解決方案。今天的網絡犯罪分子能夠利用 filesless 攻擊，更改 DNS 配置去將您的網絡流量重新路由並將惡意程式碼注入合法程序中。傳統的AV解決方案主要重於掃描惡意檔案，這就像上週買的牛奶一樣，遠遠超過其銷售日期。

3. 信任是系統的弱點
正如我們在前面提到的那樣，不受信任的軟體並不是您端點上的唯一危險。甚至第一方和已知的軟體品牌可以被利用來破壞您的系統。

雖然 MS Office Macro 攻擊歷史悠久，但 DDE 之類的攻擊可以利用漏洞，這些漏洞將繞過許多資安軟體，因為它們似乎來自可信的應用程序。同樣，大多數企業可能需要合法的 PowerShell 操作，而 PowerShell 驅動的攻擊正變得越來越普遍。您需要一個有智慧的資安解決方案，允許 PowerShell 保持您的工作效率，同時還能確保它能夠區分惡意行為和合法行為。

如果能夠以系統級權限運行，無論是通過權限提升漏洞還是其他感染方法，現今的惡意軟體也可以在運行 AV 解決方案的許多系統上無干擾地運行。這是因為許多 AV 採用錯誤的方法，其使用通過身份而不是行為來授予信任。當資安解決方案採用這種 “白名單” 方法時，端點變得脆弱並容易受到 supply chain 攻擊和假認證的攻擊。

4. 簡潔的力量
資安軟體不應該是難以使用的，您也不必是資安專家來管理它。不幸的是，許多資安軟體給企業帶來了這種印象，使用需要專業培訓課程掌握的診斷工具和套件，使事情過於復雜。請確保您是選擇最小化維護安全的端點解決方案，並有提供簡潔易懂的使用界面及提供一鍵式修復。

您是需要一個解決方案，團隊中的任何人都可以快速學習和操作。對於業務連續性而言，資安解決方案的知識與受過專門培訓的員工無關。世事難預料，員工們有一天會成長離開，並將這些資安解決方案的專業知識一起帶走。

5. 資安是一種心態，而不是一種產品
最大的問題就是 AV 軟體讓您相信它可以一舉解決所有安全問題。威脅有多種型態和形式：從不區別的勒索軟體攻擊到心懷不滿的員工。當攻擊發生時（不是 “如果” 發生），您的行動計劃是什麼？您會如何回應？未安排應變計劃可能會對您的客戶，資料和聲譽造成更大的損害。

這就是為什麼您需要一個可以成為整個應變計劃一部分的端點解決方案。像 SentinelOne 這樣的跨平台解決方案可以提供對網絡中甚至加密流量的 deep visibility 深入可見性，一鍵式修復和 rollback，以及易於使用的單個整體 agent。

原文

想了解 SentinelOne 如何有效保護您免受當前的安全風險？
歡迎與我們聯繫

HOW RYUK RANSOMWARE TARGETS AV SOLUTIONS, NOT JUST YOUR FILES

9/17/2018

自8月中旬以來，最近的 Ryuk 勒索軟體為其作者提供了一筆可觀的金額，並證明僅僅擁有AV和備份解決方案可能還不夠。

與臭名昭著的 APT Lazarus 集團和早期的 HERMES 勒索軟體變種相關聯，Ryuk 的比特幣錢包已累積超過64萬美元的比特幣，這表明他們的策略迄今為止已取得了多大的成功。我們測試的特定樣品就賺進了50.41 BTC（截至今日為316,265美元）。

我們發現特別有趣的是 Ryuk 試圖在勒索軟體啟動其加密程序之前就停止傳統的 AV 產品並刪除Windows VSS shadow 副本。

在默認情況下， Windows 最多可進行64次卷影複製備份，使用戶能夠在數據遺失或覆蓋的情況下在不同時間點從快照恢復數據。

然而，Ryuk 先刪除快照並調整存儲空間大小並將任何恢復機會為零：

除了確保內置備份不可用， Ryuk 還禁用了多個第三方備份服務，包括 Acronis ， SQLSafe ， VEEAM 和 Zoolz 。

Ryuk 還試圖阻止屬於某些傳統 AV 保護軟體的進程，其中包括 Sophos 和 Symantec System Recovery 進程。

從下面的 Demo 中可以看出，Sophos 特別受到關注，從 SentinelOne 管理控制台視圖顯示出：

Ryuk 的嘗試對 SentinelOne 是無效的，因為它有幾個檢測層和防篡改保護。

Pre-execution - 如以下 demo 所顯示，一旦將惡意軟體被複製到桌面，就會檢測到它。在現實生活中，當威脅被隔離時會發生這種情況，確保用戶永遠不會有機會執行它。
On execution - 這裡就是行為 AI ，behavioral I 發揮作用的地方。如 demo 中所示，Ryuk 範例正在使用 bat 文件生成多個進程以完成其操作。行為 AI 能夠連接所有點並建立我們稱之為“ group ”的東西。
這引導到第三層並顯示出我們不同的地方，即深度可見性 Deep Visibility。該組包含所有文件，進程，registry（在本範例中為建立的 registry auto run key）以及與此惡意軟體相關的其他 IOC。即使設備設置為僅檢測時，SOC 分析師也能夠執行威脅搜索操作，該操作將顯示與此威脅相關的所有項目，如下例所示：

Demo

Take away
Anti-tampering – 在 default 情況下，SentinelOne agent 會保護其服務，進程，registry entries 等。它還可以保護所有 VSS 卷影副本，因此用戶可以快速 rollback 和恢復其文件。

Ryuk 的行為模式為 SentinelOne 這樣的安全解決方案的定義了基礎的重要性，它提供深度防禦並且不受篡改的影響。並且永遠不可能禁用或減弱可靠的端點保護。

原文

SENTINELONE DETECTS KEYPASS RANSOMWARE

8/20/2018

photo credit by: https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/

KeyPass 是一種新的勒索軟體威脅，自8月7日以來，已有至少 20 個國家/地區受到威脅，並且此軟體似乎通過假的軟體安裝程序來進一步擴散。

受害者的資料使用 “.KEYPASS” extenstion 加密，並且贖金票據存放在每個成功加密的目錄中。勒所金為 300 美元，並試圖通過提前在付款之前發送解密證明來安撫受害者。鼓勵受害者向攻擊者發送一個小型加密文件的樣本。在這樣做之後，根據說明，受害者將免費獲得該文件的未加密版本。很明顯，攻擊者正在採用與合法軟體開發人員相同的 “用戶體驗” 關注度，以最大化他們的利潤。

Demo and Findings
從以下的視頻中可以看出，SentinelOne 客戶自動受到對於 KeyPass 的保護。

Agent 會立即檢測到惡意活動，然後刪除惡意軟體。當 SentinelOne 的 policy 設置為 “Protect” 時，預期性的行為是刪除，但在 demo 中，我們使用 “僅檢測” 的 policy 來觀察勒索軟件的行為。那麼是什麼導致惡意軟體被刪除呢？

事實證明，勒索軟體實際上正在刪除自己。讓我們通過檢查 SentinelOne 管理控制台中的攻擊故事情節，仔細研究一下層面下到底發生了什麼。

執行時，KeyPass ransomware.exe 會建立該文件

/c "C:\Users\admin\AppData\Local\Temp\delself.bat"

然後，此檔案會刪除以下兩個文件：

\Device\HarddiskVolume2\Users\admin\Desktop\KeyPass 、\ransomware.exe\Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\delself.bat

幾秒鐘後，贖金票據出現：

幾分鐘後，它開始加密受害者的文件，包括捷徑和桌面背景，導致這種狀態：

出於 demo 的目的，我們使用了 “僅檢測” policy ，並允許勒索軟體完成對整個設備的加密。在這種情況下，SentinelOne 的 rollback 功能可以輕鬆地將設備恢復到原始狀態，只需點擊一下即可。在現實生活中，勒索軟體將會在有機會造成任何損害之前就被阻止。

Deep Visibility

通過 SentinelOne 管理控制台提供的 Deep Visibility 揭示了攻擊故事情節背後的其他事件。控制台顯示惡意軟體首先嘗試與位於俄羅斯的四台伺服器進行溝通，然後自我刪除及其關聯的腳本。
你可以在控制台中檢視到溝通和確切的 DNS 查詢：
178.208.83.13; type: 2 ns4.mchost.ru; type: 2 ns3.mchost.ru; type: 2 ns2.mchost.ru; type: 2 ns1.mchost.ru; 178.208.73.21; 92.222.67.101; 91.134.50.205; 209.250.253.181;

避免停機
通常，勒索軟體攻擊的受害者面臨著嚴峻的選擇。在最近的 ZDNet 採訪中， SentinelOne 的客戶 Lester Godsey ，亞利桑那州梅薩市的首席信息安全官指出，受害者必須支付費用並承擔進一步攻擊的風險，或者仰賴他們從備份中恢復的能力。在影響業務關鍵服務的情況下，避免停機是首要考慮因素。如上所述， SentinelOne agent 可以在所有端點上提供預防和（如果需要）點擊還原選項，從而避免停機。如上所示， SentinelOne agetn 能夠在不中斷用戶的情況下即時恢復受感染的主機。想了解 SentinelOne 如何幫助您改善資安嗎？ Get a Demo Now

原文

<<Previous

A REVIEW OF MALWARE AFFECTING MACOS IN 2018

WHAT IS A PHISHING SCAM? (AND WHAT TO DO TO STOP ATTACKS)

MALICIOUS MEDIA | WHY YOUR ENDPOINTS NEED DEVICE CONTROL

FIREWALL CONTROL – FEATURE SPOTLIGHT

SENTINELONE IS RECOGNIZED AS A 2018 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT PROTECTION PLATFORMS

2018’S MOST PREVALENT RANSOMWARE – WE TOOK IT FOR A RIDE

SENTINELONE ACHIEVES ISO 27001 CERTIFICATION

5 THINGS EVERYONE GETS WRONG ABOUT ANTI-VIRUS

HOW RYUK RANSOMWARE TARGETS AV SOLUTIONS, NOT JUST YOUR FILES

SENTINELONE DETECTS KEYPASS RANSOMWARE

Archives

Categories