Blog Posts

2018’S MOST PREVALENT RANSOMWARE – WE TOOK IT FOR A RIDE

11/3/2018

儘管我們已經做出了努力來消滅它，但 GandCrab 勒索軟體在整個2018年繼續發展和擴散。就讓我們欣賞一下 SentinelOne 是如何抵擋它。

GandCrab 是一種侵略性的惡意軟體，自2018年1月首次被發現以來已經襲擊了近50萬受害者。它使用各種感染媒介來破壞端點，包括電子郵件廣告，網站和漏洞利用工具包，例如 Rig 和 GrandSoft 。

感染的第一階段收集數據，例如電腦名稱，操作系統版本以及是否安裝了任何舊版 AV軟件。它還檢查目標機器是否具有俄語鍵盤，如果沒有，則進入下一階段。這涉及終止受害者可能用於內容創建的應用程序和進程，例如內容編輯器和電子郵件客戶端。惡意軟體會感染每個連接的驅動器（CD-ROM media 除外），並且還會確保刪除用戶數據的任何備份或 Shadow 副本：

然後，惡意軟體可以在使用其 C＆C 服務器登記之前嘗試提升權限，此時服務器接收到受害者的唯一 ID 的加密密鑰。

GandCrab “聰明到” 足以忽略系統和程序文件，受害者當然可能需要向攻擊者付款，並專注於用戶數據文件。其並使用唯一的 AES-256 密鑰加密每個文件。

在成功加密目標設備後， GandCrab 提供贖金票據，指示受害者使用比特幣或 Dash 付款，要求 300 美元至 6000 美元之間的任何費用。

有幾次的嘗試擊敗 GandCrab 。 2月，在歐洲刑警組織的支持下，羅馬尼亞警方在 No More Ransom 上提供了第一個解密工具。隨後，犯罪分子發布了第二版 GandCrab 勒索軟體，改進了編碼，甚至發表評論針對執法部門，安全公司和 No More Ransom 。第三個版本是在一天後發布的。現在，在其第五個版本中，此文件鎖定惡意軟體繼續以激進的速度更新。每個版本都出現了新的，更複雜的技術，以繞過網路安全供應商的對策。

如以下 Demo 所顯示， SentinelOne 可以阻止 GandCrab 的執行，並且作為最後的安全措施，甚至可以通過 rollback 解密用戶的 .crab 文件。

DEMO

原文

SENTINELONE ACHIEVES ISO 27001 CERTIFICATION

10/16/2018

被全球資訊安全管理承諾標準認可之端點保護領導者

於加洲山景城時間 - 2018年10月16日 - 自動化端點保護公司 SentinelOne 今天宣布已獲得 ISO / IEC 27001：2013 認證，表彰其致力於為客戶提供最高水平的資訊安全管理。經過廣泛的審核，該認證由位於美國的 ANAB 和 UKAS 認證機構Schellman＆Company LLC 頒發。

ISO 27001 是全球公認的標準規範，要求對資訊安全管理系統（ISMS）的建立，維護和認證進行多種控制。 SentinelOne 的 ISMS 特定了大量技術，管理和實體控制，旨在保護 SentinelOne 自身的信息，以及整體業務風險背景下的客戶和員工信息。 SentinelOne 在首次 ISO 嘗試時獲得了認證，展現了其資訊安全計劃的完整性和嚴謹性。

總顧問兼資訊安全主管 Efi Harari 表示，“我們一直堅持使用業界最先進的端點解決方案保護關鍵基礎設施的使命，我們努力保護所有從客戶端收集的數據也是如此，” “我們的客戶根據行業最佳標準和慣例正確地要求最高級別的數據安全性，獲得ISO 27001認證是對我們的極大認可。”

SentinelOne 了解到資訊必須得到精心管理，控制和保護，因為它對客戶和產品都有重大影響，SentinelOne 擁有一個專門的安全團隊，負責監督公司的資訊安全計劃。該計劃包括高品質的網路安全，應用程序安全，身份認證和存取控制，變更管理，漏洞管理，日誌/事件管理，第三方測試等。為了解決客戶對跨境數據傳輸的任何擔憂，SentinelOne 現在可以根據客戶的要求在特定的地理位置處理客戶數據。

Schellman 的ISO / IEC 27001：2013 認證涵蓋 SentinelOne 端點保護產品的全部產品，包括 agent，管理控制台，客戶數據處理活動和軟體即服務（SaaS）。認證詳細訊息在 Schellman 證書目錄中公開提供。

About SentinelOne

SentinelOne 通過單個代理提供自動端點保護，代理能成功地防止，檢測和響應所有主要向量的攻擊。為使客戶節省時間，S1 平台為極易使用設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，是唯一可直接從端點提供跨網路可見性的解決方案。

欲了解更多詳情，請與我們聯繫

原文

5 THINGS EVERYONE GETS WRONG ABOUT ANTI-VIRUS

9/25/2018

任何人都應該知道網絡威脅正在增加，並且隨著先進的駭客技術在外繼續擴散，擁有有效安全解決方案的要求已是公司企業的迫切需求。

由於市場充斥著供應商製造誇張的主張和新聞報導甚至更顯眼的頭條新聞，因此很難將事實與虛構分開。如果您還不熟悉端點安全性，那麼這裡有五個基本的要素可以確保您正確選擇可用的選項。

1. 病毒不是你唯一的威脅
資安威脅從早期電腦病毒的所有認識中發展而來，但大多數資安解決方案仍然在其名稱中使用“防毒”一詞，這其實在現今威脅版中是一種誤稱。

現實情況是，網絡攻擊採取了許多與病毒無關的不同形式，它們的範圍從不區分到高度針對性。其中包括勒索軟件，魚叉式網絡釣魚，偷渡式攻擊以及可能導致客戶和企業資料外洩的軟體和硬體漏洞。

並且不要陷入認為您的業務太小而無法成為目標的陷阱。攻擊者現在正在武器化機器學習，以低成本為自己製作高度針對性的活動。

另外，不要忘記威脅可以來自內部; 心懷不滿的員工比任何局外人更了解您的系統的弱點。但無論起源點如何，良好的端點安全性都需要能夠檢測到不良行為。

2. 惡意檔案只是故事的一部分
大多數人認為資安軟體的工作原理是掃描本地電腦上的文件並確定它們是否是惡意軟體。就像“防毒”一詞一樣，這是一種過時的思考方式。儘管主要以這種方式工作的傳統 AV 仍然存在，即使它們通常也會提供一些附加功能，例如阻止惡意網站或檢測到資源使用過度（通常為勒索軟體和加密礦工使用），還仍然無法有效阻擋這些攻擊的波勢。

為了獲得真正有效的保護，您應該關注那些不僅僅是這些的資安解決方案。今天的網絡犯罪分子能夠利用 filesless 攻擊，更改 DNS 配置去將您的網絡流量重新路由並將惡意程式碼注入合法程序中。傳統的AV解決方案主要重於掃描惡意檔案，這就像上週買的牛奶一樣，遠遠超過其銷售日期。

3. 信任是系統的弱點
正如我們在前面提到的那樣，不受信任的軟體並不是您端點上的唯一危險。甚至第一方和已知的軟體品牌可以被利用來破壞您的系統。

雖然 MS Office Macro 攻擊歷史悠久，但 DDE 之類的攻擊可以利用漏洞，這些漏洞將繞過許多資安軟體，因為它們似乎來自可信的應用程序。同樣，大多數企業可能需要合法的 PowerShell 操作，而 PowerShell 驅動的攻擊正變得越來越普遍。您需要一個有智慧的資安解決方案，允許 PowerShell 保持您的工作效率，同時還能確保它能夠區分惡意行為和合法行為。

如果能夠以系統級權限運行，無論是通過權限提升漏洞還是其他感染方法，現今的惡意軟體也可以在運行 AV 解決方案的許多系統上無干擾地運行。這是因為許多 AV 採用錯誤的方法，其使用通過身份而不是行為來授予信任。當資安解決方案採用這種 “白名單” 方法時，端點變得脆弱並容易受到 supply chain 攻擊和假認證的攻擊。

4. 簡潔的力量
資安軟體不應該是難以使用的，您也不必是資安專家來管理它。不幸的是，許多資安軟體給企業帶來了這種印象，使用需要專業培訓課程掌握的診斷工具和套件，使事情過於復雜。請確保您是選擇最小化維護安全的端點解決方案，並有提供簡潔易懂的使用界面及提供一鍵式修復。

您是需要一個解決方案，團隊中的任何人都可以快速學習和操作。對於業務連續性而言，資安解決方案的知識與受過專門培訓的員工無關。世事難預料，員工們有一天會成長離開，並將這些資安解決方案的專業知識一起帶走。

5. 資安是一種心態，而不是一種產品
最大的問題就是 AV 軟體讓您相信它可以一舉解決所有安全問題。威脅有多種型態和形式：從不區別的勒索軟體攻擊到心懷不滿的員工。當攻擊發生時（不是 “如果” 發生），您的行動計劃是什麼？您會如何回應？未安排應變計劃可能會對您的客戶，資料和聲譽造成更大的損害。

這就是為什麼您需要一個可以成為整個應變計劃一部分的端點解決方案。像 SentinelOne 這樣的跨平台解決方案可以提供對網絡中甚至加密流量的 deep visibility 深入可見性，一鍵式修復和 rollback，以及易於使用的單個整體 agent。

原文

想了解 SentinelOne 如何有效保護您免受當前的安全風險？
歡迎與我們聯繫

HOW RYUK RANSOMWARE TARGETS AV SOLUTIONS, NOT JUST YOUR FILES

9/17/2018

自8月中旬以來，最近的 Ryuk 勒索軟體為其作者提供了一筆可觀的金額，並證明僅僅擁有AV和備份解決方案可能還不夠。

與臭名昭著的 APT Lazarus 集團和早期的 HERMES 勒索軟體變種相關聯，Ryuk 的比特幣錢包已累積超過64萬美元的比特幣，這表明他們的策略迄今為止已取得了多大的成功。我們測試的特定樣品就賺進了50.41 BTC（截至今日為316,265美元）。

我們發現特別有趣的是 Ryuk 試圖在勒索軟體啟動其加密程序之前就停止傳統的 AV 產品並刪除Windows VSS shadow 副本。

在默認情況下， Windows 最多可進行64次卷影複製備份，使用戶能夠在數據遺失或覆蓋的情況下在不同時間點從快照恢復數據。

然而，Ryuk 先刪除快照並調整存儲空間大小並將任何恢復機會為零：

除了確保內置備份不可用， Ryuk 還禁用了多個第三方備份服務，包括 Acronis ， SQLSafe ， VEEAM 和 Zoolz 。

Ryuk 還試圖阻止屬於某些傳統 AV 保護軟體的進程，其中包括 Sophos 和 Symantec System Recovery 進程。

從下面的 Demo 中可以看出，Sophos 特別受到關注，從 SentinelOne 管理控制台視圖顯示出：

Ryuk 的嘗試對 SentinelOne 是無效的，因為它有幾個檢測層和防篡改保護。

Pre-execution - 如以下 demo 所顯示，一旦將惡意軟體被複製到桌面，就會檢測到它。在現實生活中，當威脅被隔離時會發生這種情況，確保用戶永遠不會有機會執行它。
On execution - 這裡就是行為 AI ，behavioral I 發揮作用的地方。如 demo 中所示，Ryuk 範例正在使用 bat 文件生成多個進程以完成其操作。行為 AI 能夠連接所有點並建立我們稱之為“ group ”的東西。
這引導到第三層並顯示出我們不同的地方，即深度可見性 Deep Visibility。該組包含所有文件，進程，registry（在本範例中為建立的 registry auto run key）以及與此惡意軟體相關的其他 IOC。即使設備設置為僅檢測時，SOC 分析師也能夠執行威脅搜索操作，該操作將顯示與此威脅相關的所有項目，如下例所示：

Demo

Take away
Anti-tampering – 在 default 情況下，SentinelOne agent 會保護其服務，進程，registry entries 等。它還可以保護所有 VSS 卷影副本，因此用戶可以快速 rollback 和恢復其文件。

Ryuk 的行為模式為 SentinelOne 這樣的安全解決方案的定義了基礎的重要性，它提供深度防禦並且不受篡改的影響。並且永遠不可能禁用或減弱可靠的端點保護。

原文

SENTINELONE DETECTS KEYPASS RANSOMWARE

8/20/2018

photo credit by: https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/

KeyPass 是一種新的勒索軟體威脅，自8月7日以來，已有至少 20 個國家/地區受到威脅，並且此軟體似乎通過假的軟體安裝程序來進一步擴散。

受害者的資料使用 “.KEYPASS” extenstion 加密，並且贖金票據存放在每個成功加密的目錄中。勒所金為 300 美元，並試圖通過提前在付款之前發送解密證明來安撫受害者。鼓勵受害者向攻擊者發送一個小型加密文件的樣本。在這樣做之後，根據說明，受害者將免費獲得該文件的未加密版本。很明顯，攻擊者正在採用與合法軟體開發人員相同的 “用戶體驗” 關注度，以最大化他們的利潤。

Demo and Findings
從以下的視頻中可以看出，SentinelOne 客戶自動受到對於 KeyPass 的保護。

Agent 會立即檢測到惡意活動，然後刪除惡意軟體。當 SentinelOne 的 policy 設置為 “Protect” 時，預期性的行為是刪除，但在 demo 中，我們使用 “僅檢測” 的 policy 來觀察勒索軟件的行為。那麼是什麼導致惡意軟體被刪除呢？

事實證明，勒索軟體實際上正在刪除自己。讓我們通過檢查 SentinelOne 管理控制台中的攻擊故事情節，仔細研究一下層面下到底發生了什麼。

執行時，KeyPass ransomware.exe 會建立該文件

/c "C:\Users\admin\AppData\Local\Temp\delself.bat"

然後，此檔案會刪除以下兩個文件：

\Device\HarddiskVolume2\Users\admin\Desktop\KeyPass 、\ransomware.exe\Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\delself.bat

幾秒鐘後，贖金票據出現：

幾分鐘後，它開始加密受害者的文件，包括捷徑和桌面背景，導致這種狀態：

出於 demo 的目的，我們使用了 “僅檢測” policy ，並允許勒索軟體完成對整個設備的加密。在這種情況下，SentinelOne 的 rollback 功能可以輕鬆地將設備恢復到原始狀態，只需點擊一下即可。在現實生活中，勒索軟體將會在有機會造成任何損害之前就被阻止。

Deep Visibility

通過 SentinelOne 管理控制台提供的 Deep Visibility 揭示了攻擊故事情節背後的其他事件。控制台顯示惡意軟體首先嘗試與位於俄羅斯的四台伺服器進行溝通，然後自我刪除及其關聯的腳本。
你可以在控制台中檢視到溝通和確切的 DNS 查詢：
178.208.83.13; type: 2 ns4.mchost.ru; type: 2 ns3.mchost.ru; type: 2 ns2.mchost.ru; type: 2 ns1.mchost.ru; 178.208.73.21; 92.222.67.101; 91.134.50.205; 209.250.253.181;

避免停機
通常，勒索軟體攻擊的受害者面臨著嚴峻的選擇。在最近的 ZDNet 採訪中， SentinelOne 的客戶 Lester Godsey ，亞利桑那州梅薩市的首席信息安全官指出，受害者必須支付費用並承擔進一步攻擊的風險，或者仰賴他們從備份中恢復的能力。在影響業務關鍵服務的情況下，避免停機是首要考慮因素。如上所述， SentinelOne agent 可以在所有端點上提供預防和（如果需要）點擊還原選項，從而避免停機。如上所示， SentinelOne agetn 能夠在不中斷用戶的情況下即時恢復受感染的主機。想了解 SentinelOne 如何幫助您改善資安嗎？ Get a Demo Now

原文

AUTOMATED MACOS MALWARE SUBMISSIONS “INFECTING” VIRUSTOTAL

8/3/2018

Photo credit by: https://www.geckoandfly.com/3929/download-the-best-mac-os-x-anti-spyware-and-anti-virus-software-for-free/

研究人員和注重安全的電腦用戶都依賴在線反惡意軟體沙箱服務 VirusTotal 來跟上最新的威脅，並檢查他們發現的可疑樣本是否已經是已知的違法者。此工具的一個重要功能是任何人都可以上傳任何內容並立即檢查它是否是已知的威脅。

令人驚訝的是，即使惡意軟體開發者本身也可以利用 VirusTotal 等服務，通過上傳自己的惡意軟體來查看是否被檢測到來。雖然惡意軟體開發人員將其產品預先警告反惡意軟件服務似乎違反常裡，但這是開發人員測試其軟體是否會避免現有檢測算法以及了解其軟體在現實中的反檢測方式的是否起作用的一種方法。在 2015 年發布的一項研究中，發現在成為公開惡意軟體活動的一部分之前，已超過有 1500 個惡意軟體樣本在 VirusTotal 和其他在線虛擬沙箱上預先發布了。

考慮到這一點，研究人員熱衷於在這些網站上搜索和 “追捕” 未檢測到或檢測不到的惡意程式，並意識到他們很可能能夠更新自己的檢測機制以捕獲新出現的惡意軟體。這一情況在今年3月得到了極大的體現，由於此 “概念性驗證”（PoC）被上傳到 VirusTotal，發現了兩個 zero-day 漏洞影響 Adobe 和微軟的並進行了預先修補。

事實上，這是一場在公開服務上玩弄貓捉老鼠的遊戲。

最近，這場遊戲發生了不尋常的轉變因為一名 SentinelOne 研究人員注意到 2018 年上半年被引用的 macOS 惡意軟體感染的數據特別奇怪。獨立研究機構 AV-Test，其主要任務是比較和測試主要的 AV 解決方案，注意到目前為止，FlashBack 和MaControl（又名“MacKontrol”，“MacControl”）是迄今為止 macOS 平台上最普遍的威脅。

當然，惡意軟體在macOS上的增加也就不足為奇了。令人驚訝的是 FlashBack 和 MaControl 是應該如此的普遍。 FlashBack和 MaControl 在 2012 年幾已經成為頭條新聞，即便如此，它們也不是第一個在外發現的變種。即使對那些仍然在危險軟體風險中翻滾的人來說，如果沒有像 SentinelOne 使用全面的反惡意軟體解決方案來強化套件，那麼這些數字是相當令人大開眼界。這不僅也是因為我們面對的是一個六年前的威脅。而且 FlashBack 和 MaControl 已被 Apple 自己的基本反惡意軟體工具-- Gatekeeper，XProtect 和 MRT 認可，它們將阻止，識別和刪除許多這些變種。

雖然可能是 Apple 的檢測通常不像 SentinelOne 有最新檢測，但事實是大多數聲譽良好的 macOS 反惡意軟體產品都清楚所有當前已知的 FlashBack 和 MaControl 變種。此外，在 2014 年，Apple 收購了所有與 FlashBack bot 相關的 C＆C 域名，並且在2013年末已關閉與上一個已知相關的 Java 漏洞。從各方面來看，FlashBack 已經不活躍。那麼，FlashBack 和MaControl 怎麼還能夠有如此龐大數量並被發現呢？

在分析 VirusTotal 上的樣本後，SentinelOne 研究人員發現了一條線索：

SentinelOne 的 macOS 團隊更進一步研究發現，FlashBack 和 MaControl 的相同樣本在同一天內以增倍時間點多次提交。

Making a Hash of it

要了解這如何影響檢測，讓我們將原始 MaControl 樣本與最近上傳的樣本進行比較。在兩個文件上執行二進制差異表示它們是相同的，除了末尾的插入：

令人擔憂的是，對於未受保護的 Mac 用戶，Apple 的內建安全工具將無法檢測到 “填充” 樣本。 Apple 的識別程序依賴於與Yara 規則匹配的Sha1 hash 值：

但是，“填充” 將 XProtect 可識別的 Sha1，從 8a86ff808d090d400201a1f94d8f706a9da116ca 更改為
93922b711f18b7b9d859718521ba2854c37d39d7，這與搜索規則不匹配，並讓 Apple 不會注意到該文件的安全保護。

有趣的是，我們使用 “填充” 版本，刪除附加的字符串並將其轉回原始副本，XProtect 會注意到。這證明了 2012 年的原始樣本與最近上傳到 VirusTotal 的樣本之間沒有其他區別，除了二進製文件末尾的填充。

Automated Variants 自動變種
到目前為止，我們可能會認為惡意軟體開發者必須負責製造這些小變種以避免被發現，但事實證明，這是個有點複雜的故事。當我們檢查檔案末尾的填充性質時，我們可以開始明白為什麼。

這是 FlashBack 變種末尾的填充，然後是 MaControl 變種末尾的填充：

驚訝的是，它們看起來非常相似，具有多個 “H” 字符串的形式：

FlashBack sample
H42_IP11.005_W7_x86_Ent_SP11531001025.22
H42_IP11.005_W7_x86_Ent_SP11531001240.06
H42_IP11.005_W7_x86_Ent_SP11531002164.69

MaControl sample
H43_IP13.054_W2008R2_x64_Ent_SP11531643140.19
H43_IP13.054_W2008R2_x64_Ent_SP11531643213.24
H43_IP13.054_W2008R2_x64_Ent_SP11531643334.22

字符串的主體表示出這是不同版本的 Windows 和字符串的結尾，正如以上提到的 SentinelOne 研究員所發現的，結果是包含了 Unix 時間點：

當然，這些與提交到 VirusTotal 的檔案實際時間點無關：

但是，一次刪除一個時間點，再重新計算 Hash 值並在 VirusTotal 上搜索，在大多數情況下，一次僅能命中一個範本，而且還是最近上傳的。

進一步的調查顯示，VirusTotal 中又增加了 10000 多個包含 “H” 字符串的 FlashBack 獨特變種。至於 MaControl，在某些情況下，unix timestring 被附加到文件的 __LINKEDIT 段以及 “H” 字符串或代替 “H” 字符串，以製造同一檔案的更多變種。我們的研究表示，僅在7月份，就有1000多個 MaControl 變種一次就上傳到 VirusTotal。

目前尚不清楚是誰上傳了這些變種，但考慮到 “H” 字符串和 unix timestring 的絕對數量和常見形式，它很可能是自動化和單一的。以下範例顯示嵌入的時間為非常接近的日期：

Thu 12 Jul 2018 08:51:05
Thu 12 Jul 2018 08:52:37
Thu 11 Jul 2018 23:56:07
Thu 12 Jul 2018 00:00:05

對於以上的範例，實際上傳時間為3天後。

此外，據我們所知，FlashBack 和 MaControl 沒有共同的開發者身份或分發管道。我們還注意到，儘管 Apple 的內建檢測很容易被 Hash 的變化所欺騙，但這些變種可被 VirusTotal 上的引擎廣泛檢測到。當然，SentinelOne 是不依賴於基於 hash 或特徵碼的檢測，無論二進制的更改如何，都還是可以識別這些變種。由於這些原因，這些上傳的變種似乎不太可能是以擊敗已知的安全軟體為目的。

最後，我們能夠從 VirusTotal 上的可用 metadata 中確定上傳者是使用API密鑰及通過程序化界面上傳的。

Wrapping Up

不論這些上傳是否試圖誇大 FlashBack 和 MaControl 的範圍，或者它們是否是 “友好的攻擊火力” 的結果 - 也或許是由資安供應商使用的自動腳本，沒有注意到，甚至失去控制，這還有待觀察。

然而，很清楚的是，隨著安全研究人員依賴對像 VirusTotal 等服務的分析，惡意軟體獵人很可能會因此類提交而得出錯誤的結論。當提交檔案像這樣誇大時，研究不僅可能淹沒在這些無關的噪音中，還可能導致對當前威脅景觀性質的誤解。 FlashBack 和 MaControl 是否真的是 macOS 用戶目前面臨的五大威脅之一？或者是過去的威脅被挖出來了，還是重新開始？如果是後者，那麼 2018 年 macOS 上最普遍的惡意軟體究竟是什麼？

我們的研究結果已在發布前告知 VirusTotal。當更多新信息曝光時，我們會更新 SentinelOne 讀者。

原文

WHAT IS RANSOMWARE? THE RANSOM-BASED MALWARE DEMYSTIFIED

7/5/2018

0 Comments

在許多資安刊物中，當勒索軟體被提起時，他的恐怖影響力與氣候變化，伊波拉或某某名星死去等有著相同令人恐懼的敬畏 - 這是一個具有毀滅性影響的謎。

然而，現在出現的勒索軟體通常不比之前如花園般多樣式的惡意軟體來的複雜多。它是可以被停止。

勒索軟體與普通惡意軟體有什麼共同之處？

所有惡意軟體的基本需求都是避免檢測 - 如果被發現，那麼成功機會很低。以下是惡意軟體隱藏的一些常見方式：

Encryption 加密: 大多數惡意軟體使用加密來混淆特徴碼檢測。它們不是顯示為惡意可執行文件，而是顯示為字母數字的隨機字串。大多數防毒現在都知道如何查找這些文本字符串或 Hash值，但製作惡意軟體的人很容易改變其文件的基礎子結構，以使該 Hash 顯示不同。

Timing 定時: 如果端末檢測系統沒有連續監控功能，則基於定時的混淆的惡意軟體可以在其周圍運行。此類惡意軟體僅在絕對必要時運行，例如在用戶重新啟動後運行，以避免在惡意軟體掃描期間運行。

Communication 通訊 : 基本上，惡意軟體是為了竊取數據而製作的 - 這意味著它通常需要向其父母 “打電話回家” 通報。防毒軟體檢視在伺服器，網域和 IP 地址上進行通信的程序，而對於既定類型的惡意軟體的host command 及 control server ，這些伺服器，網域和 IP 地址為已知。通過倒換這些地址，惡意軟體可以逃避防病軟體：其程序被編程為在既定時間僅查看小範圍的 C＆C 伺服器。

Virtualization Awareness 虛擬化檢視 : 許多惡意軟體工具都有特定的 sensors ，可以檢測它們是否處於虛擬環境中，以逃避 honeypots 或阻止資安研究人員解開其組件。

那到底是什麼讓 RANSOMWARE 不同？
當然，真正的區別就是贖金啦。勒索軟體旨在執行新奇的操作，例如加密大量文件，刪除允許用戶從備份恢復的 shadow 副本，以及使用 C＆C 伺服器存儲用戶在付款後解鎖文件的加密密鑰。

然而，所有這些動作都是行為機制。基於特徵碼的防毒軟體不會尋找行為，而是尋找其可識別特徵，例如正在運行的進程名稱，加密文件的 hash 值或惡意軟體回報所在的伺服器。正如以上所述，這些特徵很容易掩蓋，一旦勒索軟體開始採取行動，基於特徴碼的惡意軟體就無法得知有壞事正在發生。

請確保您的端末安全提供軟體使用行為檢測，以防止勒索軟體攻擊，並確保您不是一個簡單的目標。

原文

0 Comments

SENTINELONE DETECTS AND BLOCKS NEW VARIANT OF POWERSHELL CRYPTOWORM

5/29/2018

0 Comments

https://twitter.com/hashtag/cryptoworm

Introduction
在去年年底，Marco Ramilli 發表了一篇關於 in-memory Powershell-WMI CryptoWorm 的文章。很慶幸的，SentinelOne 發現了這種傳播 CryptoWorm 的新活動變體。在這篇文章中，我們將審視這個變體中的新內容，並建議如何將它從受感染的網路中移除。

這個版本有什麼新功能？
Communication
此種 CryptoWorm 通過 HTTP 進行傳達。它使用主伺服器的 IP 地址及使用 DNS 地址作為後備。

Figure 1 – Command-and-Control Servers Fallback

惡意程式的 IP 是195.22.127.93 和 windowsdefenderhost.club（port 8000）的子域。與之前的版本不同，如果檔案是在Powershell之外下載的，則伺服器回覆403 Forbidden HTTP 錯誤代碼。蠕蟲也可以從 CNC 服務器上自我更新。它檢查自己的版本並將其與伺服器上 ver.txt 文件中寫入的版本進行比較。如果有更高版本可用，它將下載並更新。

Figure 2 – Version Control

現在，CryptoWorm版本是1.4。它有兩個 Powershell 腳本，每個操作系統體系結構一個：32位的 info3.ps1 和 64 位的info6.ps1。

持久性
此惡意軟體使用 WMI 計時器方法來實現持久性。它設置計時器並使用 WMI 事件使用者。現階版本計時器和事件使用者使用名稱“SCM Events Log Filter”，“SCM Events Log Consumer”。先前的版本分別使用`SCM Event Filter`和`SCM Event Consumer`。

散播
像舊版本一樣，這種蠕蟲使用少量的方法來散播至整個網路。它通過發布 Invoke-ReflectivePEInjection 並加載 Mimikatz 來竊取憑證。
之後，它使用 Powershell 中執行的 Invoke-WMIExec 和 Eternal Blue 進行散播。最後，它在遠端機器上運行遠端安裝命令。

阻止 SMB 連接
此惡意程式阻止傳入 SMB 連接到受感染的機器。可能為了防止其他類型的惡意軟體使用相同的方法散播，刪除CryptoWorm 或使用CPU。

Figure 3 – Firewall Blocking Rules

Conclusion
SentinelOne 的客戶不用擔心該 CryptoWorm 的任何一個版本，因為 SentinelOne agent 使用從 2.0 版開始的行為 AI 引擎檢測並阻止它。對於沒有 SentinelOne 的讀者，以下將解釋如何從他們的網路中刪除這個 CryptoWorm：

在所有網路主機上同時運行相同的命令是一個麻煩的過程。因此，從網路中刪除蠕蟲最困難的部分是阻止它從其他的主機散播到新清理乾淨的主機。

因此，為了消除這種蠕蟲，首先我們建議先將它的遠端命令行列入黑名單。這項措施將防止它再散播開來。

之後，我們建議殺死 CryptoWorm Powershell 進程，刪除其防火牆規則以及 WMI 計時器篩選器和 WMI 事件使用者。

這是一個移除 PS 腳本，用於刪除防火牆規則並刪除 WMI 項目。請以管理員身份運行。

在以下附錄中，我們詳細介紹了要阻止的相關命令行和 IP。

Demo
在以下 Demo 影片中，我們運行無檔案 CryptoWorm，它是從真正的 CNC 直接下載到內存中。
可以看到 SentinelOne 如何檢測並阻止它。

Appendix
IOCs
Malicious IP and domain addresses:

195.22.127.93
windowsdefenderhost.club

Malicious files (SHA1 hashes):

Info3.ps1 – 266D7C2E7F48EB0C1778EBCF76658575982BA41E
Info6.ps1 – ABAAC4E9005BFE692AA583DDBD10AA5429E49F87

Malicious Command Lines
Available here.

原文

0 Comments

Qlikview, 一個尷尬的愛情故事，還有一個不請自來的產品認可

4/3/2018

0 Comments

讓我先事先說明，這不是一篇業配文，但如果有人因此受到傷害，就讓他們就來吧！這篇文章也是NSFM 限制級。而我相信在2015年，這適合在工作閱讀 - 但絕對不適合媽媽幫。

如果你曾經閱讀過我的其他文章，沒有的話也請立馬閱讀，你會知道我喜歡用很好的比喻。本直著透明的精神，這篇文章幾乎是一個故事，敘述了一個飢餓的男子有一個釣竿，並準備拋向到一個儲備豐富的湖泊。但說實話，我本人討厭釣魚。當我去的時候，我寧願拿起一瓶酒，故意忘記誘餌......但這將是一個不同的故事。

所以相反的，這是一篇愛情故事......但也可能是尷尬的故事...
我已經參與這場遊戲二十年了。在玩 BI 的領域中，這算是一個不短的時間。事實也證明了，我有很多BI 工具。但一個男人在最終的某個時刻，他還是需要一個好女人，好好的安頓下來。我想在2015年是可以安全地說一個好的男人......但我會把這個故事留給其他人。

好女人難尋..
我與 MicroStrategy 有關係好一段時間了。隨著與她交往中，她是非常隨和的。事實上，當你在Data Technology 中聆聽你的朋友時，他們總是試圖向你推銷她。但有一個很好的理由可以讓你堅決反對這個觀點，那就是她提供的維護很少。所以謝謝有緣再聯絡。

接下來是Essbase。外傳她知道 Kama Sutra 中所敘述的每一個位置。但我必須說實話，她似乎沒有興趣與我一起做這些事情。她的金融朋友說她只是有點複雜。我的供應商暗示我沒有足夠的經驗。老實說，她讓我覺得我是不及格......但這最好留給我的治療師的來說吧。

然後是Tableau。她絕對是個美女，而且很簡單。對不起老媽。但她真的很容易上手。與Tableau，可以在第一次約會時就直衝三壘！但不幸的是，她不擅長長期合作關係。特別是牽扯到數據和其他用戶時，她還是可以解決問題：雖然一些更混雜的人喜歡讓她站一邊參與，但我會形容她有點混亂。

然後我找到了 Qlikview
雖說 Qlikview 不是最漂亮的女孩，但當她穿上那件黑色的小禮服時，她是非常有吸引力。她建立了良好的關係，非常的開放，在社交社群中廣為人知。最好的是，大多數的時候，我所有的朋友都喜歡她。

她有時讓我發瘋。有時喜怒無常。會議總是遲到。是一個固執女人，總是將 slider bars 移動到圖表的另一側。無論我們同意如何開始，她總是會忘記。有時候，當我按錯鈕時，她會沉默的對待我和無神的眼光要我來啟動。

也可以用母親來形容她。真的，她很擅長照顧孩子們。她在他們後面收拾殘局並幫助他們完成作業。但人無完人，房子還是有點亂，洗衣服對他來說可能是一個挑戰。但是，她很擅長送乾洗，而且現在我們有一個女傭。

我仍然是不明白關於她的許多事情。她的一些故事是無稽之談，她並讓我嘗試了一些最奇怪的東西。我的意思是......設置符號...真的有需要嗎？她跳舞時感到緊張，而且她的朋友 NPrinting 也是常常破壞舞會。

對於製造錯誤我也小有貢獻。她稱他們為使用者錯誤。她的 HoneyDo 清單很長，而且有時是困難的工作。然而我依舊在等待一個可以給我一杯啤酒的課題（或一杯葡萄酒），但是她又會把它扔給我......

最後，這是一個很好的關係，只需要一些額外的照料，它就會很棒。 Qlikview 是你安定下來的那種女孩，而安定下來也並不是那麼糟糕。

原文

0 Comments

想哭嗎？

4/2/2018

0 Comments

小編一直到現在都無法置信居然純樸的菜市場都會被 wannacry 攻擊.

Yes, wannacry 想哭 is back again! 而且這次是襲擊了傳統的菜市場....
先讓小編來喚起大家對於wannacry 的記憶 -

WannaCry（又名Wanna Decryptor），一種“蠕蟲式”的勒索病毒軟體，由不法分子利用NSA（National Security Agency，美國國家安全局）洩露的危險漏洞 “EternalBlue”（永恆之藍）進行散播。其攻擊特點利用Windows操作系統445端口存在的漏洞進行散播，並具有自我複制、主動散播的特性。

被該勒索軟體入侵後，用戶主機系統內的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密，加密文件的副檔名被統一修改為 .WNCRY，並會在桌面彈出勒索對話框，要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包，且贖金金額還會隨著時間的推移而增加。