|
||||||||||||||||||||||||||||||||
賽門鐵克的行為分析技術(SONAR)徹底拆解BatCloak混淆技術!有越來越多的 BAT 檔被濫用於載入攻擊鏈不同階段的惡意程式BatCloak 產生的批次檔案會混合使用壓縮、加密、多型 (polymorphism) 等手法進行高度混淆,以躲避檔案掃描和模擬引擎的偵測。 SONAR 是賽門鐵克安全防護中,多掃毒引擎之一也是不可或缺的一層,非常適合偵測和攔截具有攻擊性混淆的惡意軟體,SONAR 會追蹤並分析所有程序的行為,包括作業系統的行為。 賽與時俱進的賽門鐵克靜態資料掃描器之 .NET 模擬器,再老練的駭客也討不到便宜Snake Keylogger、Formbook 和Lokibot 等惡意軟體最近變種活動更加頻繁.Net 是微軟在 2000 年代初推出的軟體開發框架,但網路罪犯很快就找到濫用其功能以謀取自身利益的方法,他們通常使用特殊工具來混淆 .NET 應用程式的原始程式碼。 賽門鐵克靜態資料掃描技術:SDS--Symantec Static Data Scanner,其中包含模擬器是它主要功能之一,SDS 實際上包含好幾個模擬器,其中一個是進階的 .NET 模擬器,專門用來有效偵測並解除這些隱藏的威脅。 賽門鐵克端點上的網路層入侵防護系統 (IPS) 的稽核特徵,精準發現兩用工具的異常活動所謂兩用工具,即本身是可運行在電腦中的合法工具,但可被惡意威脅者用來發動攻擊此類攻擊讓攻擊者不需另外撰寫惡意程式,因其工具的合法特性不易被使用者或安全工具偵測,也更難被追蹤和特定組織的關聯性。 賽門鐵克端點上的網路層入侵防護系統 (IPS) 引擎的主要功能之一是稽核特徵,對於不使用這些兩用工具執行日常裝置管理任務的管理員而言,稽核特徵有助於通知網路內的不尋常活動。 賽門鐵克雲端沙箱,瓦解新興惡意程式的「零日」威脅所謂「day zero(零日)」是指前所未見的惡意軟體發佈到真實網路情境上的那一天,因此對資安產品來說完全未知賽門鐵克雲端沙箱提供更全面的防護,可偵測從混淆機制和可疑技術,到躲避靜態層和被檢測威脅行為的網路物件。 透過利用投入密集的資源的靜態掃描∼這是遠超乎運行在端點上模擬偵測技術、頂尖的行為監控和偵測技術(可關聯所有可用的中繼資料,以偵測此類惡意軟體),針對上述攻擊提供「零日」防護。 防護Linux供應鏈攻擊第一選擇賽門鐵克重要主機防護系統:DCS∼Data Center Security賽門鐵克的威脅獵手團隊發現一個由北韓 Springtail 間諜組織 (又名Kimsuky) 所開發的全新 Linux後門,該後門與最近一次針對南韓組織攻擊行動中使用的惡意軟體有關。 DCS 提供全面深度的防護方法,以確保Linux伺服器的安全與防護。我們的解決方案能有效提供零時差防護,以對抗日益猖獗的供應鏈攻擊和其他針對 Linux 資料中心環境的網路威脅。 賽門鐵克檔案信譽系統Symantec File Reputation System 是賽門鐵克領先業界防護功能的基石維護所有檔案的即時信譽資料庫的優勢之一,就是可以快速偵測到進入到客戶網路的新惡意軟體,而不會有中斷業務運作的風險。 為了成功攔截惡意軟體且不干擾業務運作,賽門鐵克檔案信譽系統會適應客戶的環境,並學習如何區分自行開發的應用程式與惡意軟體。 來自 Impacket 遭濫用的危害「扶搖直上」一個令人不安的趨勢是,威脅份子似乎越來越依賴 Impacket 來進行橫向移動和遠端執行賽門鐵克端點偵測與回應 (EDR:Symantec Endpoint Detection and Response) 使用機器學習和行為分析來偵測和揭露可疑的網路活動。 EDR 會針對潛在的有害活動發出警示,排定事件的優先順序以進行快速分流 (類似災難現場的檢傷分類),並允許事件回應人員瀏覽裝置活動記錄,以便對潛在攻擊進行鑑識分析。 應對GitHub屢遭惡意濫用-賽門鐵克的防護機制越來越多威脅份子濫用GitHub 服務來寄生和散播垃圾郵件與惡意軟體濫用 GitHub 發動的攻擊鏈、惡意軟體原始碼/廣告、駭客工具,以及軟體和硬體漏洞的方式: 惡意軟體原始碼、惡意軟體散佈、指揮與控制、惡意軟體廣告、漏洞開採濫用、網路釣魚行動。 賽門鐵克的郵件安全雲端服務 (Cloud Email Security Service) 和郵件安全閘道 (虛擬) 硬體裝置(Messaging Gateway) 可發揮封鎖作用。 勒索軟體即服務(Ransomware-as-a Service)的演進、影響以及緩解措施浪頭上的 Eldorado:-勒索軟體即服務 (RaaS) 興起的這12年的寫照威脅環境中惡意軟體之演進是網路安全專家無法安枕無憂的唯一原因,勒索軟體即服務(RaaS) 的崛起與演化更是不遑多讓。 勒索軟體集團非常依賴「就地取材」(LOTL:living-off-the-land) 戰術來運行其攻擊鏈的自動化,意即他們使用已遭感染系統上已有的現成工具。巨集會執行 PowerShell 指令碼,而 PowerShell 指令碼則會下載工具並將其注入記憶體以避免被偵測。 賽門鐵克新增掃描/封鎖電子郵件相關的釣魚網頁先進技術:ScriptNN我們啟用一項新的先進技術,我們稱之為 ScriptNNto 來掃描電子郵件並封鎖這些釣魚網頁網路釣魚是一種非常常見的社交工程攻擊類型,通常透過電子郵件或簡訊 (SMS) 傳送看似來自合法來源的詐騙通訊。 ScriptNN 是「HTML 與 JavaScript 神經網路模型」的縮寫,它會掃描電子郵件附件中的HTML 與 JavaScript,並使用以深度神經網路為基礎的機器學習 (ML) 模型。 QR Code 詐騙呈上升趨勢,SEP Mobile提供最先進的防護能力在普遍使用之下不可避免地導致網路犯罪活動增加,常見的手法包括:釣魚網站,惡意軟體散佈,付款詐騙,收集憑證我們預期 QR code 詐騙會在巴黎奧運期間激增,因為大型的國際活動會吸引許多遊客,創造一個容易被利用的環境。 SEP Mobile 使用者可透過網路防護與行動威脅防護(MTD)的多層次防護,抵禦惡意 QR code 的攻擊。當使用者被誘騙瀏覽嵌入 QR code 的惡意連結時,網路防護會識別後續衍生的攻擊。 SEP第一時間有效攔截漏洞開採利用程式語言 PHP 存在PHP-CGI引數注入(Argument Injection)漏洞:CVE-2024-4577CVE-2024-4577 是一個高嚴重性等級 (CVSS風險評分:9.8) 的參數注入漏洞,當 PHP 以 CGI 模式執行時會受到影響。 如成功開採濫用此漏洞,未經認證的攻擊者可在受影響的 PHP 伺服器上執行任意程式碼,導致系統被完全入侵及隨後的惡意軟體傳遞。 賽門鐵克端點防護技術,有效應對近期遽增的側載攻擊MITRE 在 T1574.002 中將側載攻擊定義為一種 (搜尋順序) 劫持執行流程攻擊者將惡意 DLL 存放在他們知道作業系統會搜尋的位置,以便將合法檔案載入到記憶體中執行。 惡意 DLL 會有效地隱藏在合法名稱的檔案程序中,以執行攻擊者的預期的操作。這不僅使惡意程序難以被發現,也讓惡意軟體在系統重啟後依然存在。 賽門鐵克主動監控和防禦 LLM 催生的新形態攻擊與許多強大的技術一樣,大型語言模型也可能被濫用。最近,賽門鐵克觀察到利用 LLM 生成惡意腳本的攻擊持續增加這種極有可能由 LLM 生成的內容正被用於現實世界的攻擊鏈中,這顯示威脅行為者在採用有助於降低其營運成本的技術時非常精明。 在本公告中,賽門鐵克揭示另一個幾乎可以肯定由 LLM 生成威脅的使用案例,其功能是促進網路釣魚階段和有效酬載遞交階段。它的形式是 HTML 格式的惡意電子郵件附件。 固若金湯的IPS防護技術,提供目錄遍歷攻擊堅若磐石的保護目錄遍歷( Path Traversal )/路徑跨越(path traversal)漏洞目錄遍歷漏洞又稱路徑跨越漏洞,是網路應用程式中的一個安全性漏洞,允許攻擊者存取網頁伺服器根目錄之外受限制存取的檔案和目錄,攻擊者修改路徑變數,以便在 目錄結構中向上移動或瀏覽到不同的目錄。 目錄遍歷在 CWE 前 25 個最危險軟體弱點清單和前 25 個頑固弱點列表中排名第 8。美國網路安全暨基礎設施安全局 CISA 在「已知成功利用漏洞列表(the Known Exploited Vulnerabilities Catalog-KEV)」目錄中列出 50 多個目錄遍歷漏洞。因此,目錄遍歷漏洞仍然是軟體產品中長期存在的一項缺陷。 WebPulse網頁動態分析技術有效力抗搜索引擎優化中毒(SEO)伎倆搜尋引擎優化 (Search Engine Optimization),簡稱 SEO,是提高網站在搜尋引擎中的能見度,提高網站在自然搜尋中排名 (即非付費買排名/非贊助) 的過程不幸的是,搜尋引擎優化也可能被濫用。SEO 中毒就是一種常見的網路攻擊手法,在這種情況下,威脅行為者會建立惡意網站,或在現有合法網站中植入關鍵字和網址,有時還會隱藏起來。 搜尋引擎優化技術會提高已遭入侵網站在搜尋引擎結果中的排名,以便讓對關鍵字感興趣的用戶更容易接觸到,進而增加威脅行動者的非法所得的收入和/或引誘毫無戒心的使用者瀏覽惡意網頁內容。 網路釣客加大對Telegram聊天機器「應用程式介面」(API)的惡意濫用Telegram 是一種安全的雲端訊息服務平台,以其「高度隱私性」、「豐富的跨平台支援」、「免費且極大的開發彈性」三大特色和自毀訊息而聞名在過去幾個月裡,越來越多的網路釣客透過惡意 HTML 檔案,效仿惡意竊密程式和遠端存取木馬 (RAT),現在還濫用 Telegram Bot API 來竊取用戶的憑證和其他敏感資訊。 從威脅行為者的角度來看,Telegram 提供的易用性和匿名性使其成為一個極具吸引力的選擇。Telegram Bot API 直接明瞭,只需最低限度的程式設計技能,並提供一種高效率、可擴展的方式來處理大量被盜資料。 有效抵禦複雜攻擊鏈的威脅情報--STARGate(*星際之門)採用多層式的安全方法、跨技術分享事件脈絡、對抗不斷演變的威脅態勢,是積極保護我們的客戶的關鍵STARGate 透過關聯分析、交叉比對攻各層級擊攻鏈的資訊來阻止攻擊。這種跨技術分享事件脈絡,使 STARGate 能夠成功提取加密的 ZIP 附件和電子郵件正文中的嵌入密碼。 STARGate 提供可根據威脅情況隨時擴充並改變遊戲規則的安全性,它是一種先進的網路防禦平臺,涵蓋廣泛的賽門鐵克企業安全產品,能夠在超過 100 億個檔案中,對靜態內容進行威脅檢測和分析。 SONAR同時採用多重先進技術防護「就地取材(LOTL)」程序和兩用工具的威脅行為分析這種即時防護,可在電腦上執行應用程式時偵測潛在惡意的行為行為分析提供「零時差」防護,因為它會在傳統病毒和間諜軟體偵測定義檔建立前偵測惡意行為,從而解決威脅。 賽門鐵克的行為分析技術被稱為「SONAR」,我們將在本防護公報中使用這個專用術語。SONAR 可透過追蹤跨檔案譜系、登錄檔、程序譜系、服務、執行緒插入、DLL 側載和程序空白技術等複雜攻擊鏈。 賽門鐵克靜態資料掃描技術(Symantec Static Data Scanner:SDS)Static Data Scanner(SDS): 整合了多種先進技術,可針對各種網路威脅提供全面保護,進而應對這些安全挑戰傳統的防禦措施往往無法應對攻擊者快速發展的技術。這種動態環境需要的工具不僅要能對已知威脅做出反應,還要能主動預測和緩解新出現的風險。 最近遭遇 Latrodectus 惡意軟體凸顯我們掃描引擎的功效。Latrodectus 源自 IcedID(又名BokBot)惡意軟體家族,它利用欺騙性釣魚電子郵件或 PDF 檔傳播 JavaScript 檔案,以便從遠端伺服器下載惡意 MSI/DLL 檔。 賽門鐵克入侵預防技術∼以防護GuLoader的實例來驗證IPS的實績賽門鐵克的入侵預防技術讓威脅不能越雷池一步,並在初始階段就阻斷以防患未然賽門鐵克的 IPS 是行業中最佳深度資料封包檢查引擎,可保護數以億計的端點 (桌上型電腦和伺服器),其中包括財富 500 強企業和消費者。 多年來一直支援Windows和MacOS上SEP的IPS網路防護技術也為賽門鐵克的瀏覽器保護解決方案提供支援。瀏覽器防護將賽門鐵克IPS網路保護導入谷歌Chrome瀏覽器和微軟Edge瀏覽器。 賽門鐵克雲端沙箱--提供全新和未知威脅的進階防護在不斷變化的威脅環境中,惡意威脅者不斷提高其人力與資源,以產出精密又複雜的全新惡意軟體賽門鐵克雲端沙箱提供一個深入分析惡意軟體的領先平臺,以確保既能適當地檢測到這些日新月異的惡意軟體,又能提供足夠的中繼資料來幫助威脅獵捕和關聯能力。 雲端沙箱可為賽門鐵克安全產品組合中的內部部署和基於雲的安全產品提供雲端託管分析功能。除了提供行為分析的標準沙箱外,賽門鐵克雲端沙箱也提供端點或正常雲端分析安全產品所不具備的尖端檢測技術和功能。 Symantec Data Center Security 保護 Microsoft SQL Server 免受勒索軟體威脅的首選最能兼顧安全與持續運轉,可確保伺服器和底層作業系統的安全資料庫工作負載承載著企業的敏感性資料,為關鍵任務業務提供服務動能,所以成為勒索軟體攻擊者竊取資料並透過加密關鍵資料檔案勒以索贖金的重要目標。 攻擊者越來越常用的方法是直接鎖定資料中心的伺服器和工作負載服務作為攻擊鏈的初始步驟。這些系統或著工作負載可能無法安排進行修補更新,因此資料中心環境遭受網路攻擊和勒索軟體活動的風險非常高。 下載鑑識-基於檔案信譽的零時差保護技術惡意軟體、勒索軟體,甚至複雜的網路攻擊都只需透過單一個受感染的檔案滲入您的網路不受信任的檔案下載正為各種線上威脅敞開大門。賽門鐵克下載鑑識 (Symantec Download Insight) 的獨特之處在於它能夠利用賽門鐵克檔案信譽來防範千奇百怪的威脅。 當檔案與諸如不良用戶-機器行為、最近使用時間、低普及率、不受信任的數位簽章、不受信任的來源以及數百個其他聲譽不佳指標相關聯時,就會被評為可疑的檔案。賽門鐵克檔案信譽不僅能識別威脅,還能瞭解全球威脅環境中每個檔案的來龍去脈。 賽門鐵克端點偵測與回應(EDR)具有最完整的「防禦規避」偵測能力網每擊倒一個惡意軟體,似乎就會有另外兩個惡意軟體冒出來為了避免被發現並在已入侵的系統中保持常駐能力,攻擊者(通常稱為「對手」)在攻擊鏈/過程中會使用各種技術,例如:停用安全產品、濫用和利用被信任的執行緒、偽裝以及許多其他策略。 「防禦規避」並不簡單,它由數十種技術組成,為避免被偵測而可能使用的特定方法或伎倆框架的一部分,該框架對攻擊者在網路攻擊的不同階段所使用的方法和戰術進行分類。 HTML 附件在網路釣魚呈現日益增長的趨勢網路威脅情勢的不斷發展,網路釣魚應該是最禁得起時間考驗的資安威脅儘管網際網路上的通訊方式和技術一直推陳出新、行動裝置上的簡訊網路釣魚攻擊也持續上升,但是電子郵件仍然是網路釣魚攻擊的主要手段。 在大多數甚至全部情況下,以令人信服而且極具說服力的語言詳述、虛假的安全警報和營造一種有急迫性情景的資訊,塑造出讓人信服的假象,預先填寫收件人電子郵寄地址的登錄欄位,會令使用者難以辨別真假網站。 「調適型防護:AdaptiveProtection」如何幫助資安團隊阻止不斷變化的威脅這些威脅通常會利用企業內部的合法工具和流程,使其難以在不中斷基本業務運作的情況下被發現和緩解它使企業能夠主動防禦勒索軟體和其他惡意活動,同時最大限度地減少對日常營運的干擾。 賽門鐵克的「調適型防護」功能為此難題提供重要的解決方案,它讓客戶監控並阻止企業內發生的一般應用程式行為,同時透過自動白名單允許合法的使用案例。 賽門鐵克進階機器學習技術(AML)賽門鐵克進階機器學習技術(AML)是如何防範零時差威脅機器學習 (通常簡稱為 ML) 是一種無特徵碼的技術,可在執行前階段阻止全新的惡意軟體。 賽門鐵克有能力利用一套全面的威脅掃描引擎,在新內容出現時立即對其進行動態分析,並將威脅情資同步到賽門鐵克全球威脅情資網路 (GIN:Global Intelligence Network)。 行動裝置網路釣魚攻擊持續上升上升趨勢和當務之急的解決方案行動裝置的使用環境面臨著持續進化的威脅:攻擊者現在透過建立幾可亂真的假冒身份驗證網站來誘騙員工。他們的目標是什麼?騙取有價值的憑證和多重身份驗證 (MFA) 的驗證碼。 當企業行動管理 (EMM) 本身存在不足時,Symantec Mobile Threat Defense 系統就會介入,MTD 可提供及時、強大的保護,有效攔截使用者在行動裝置上瀏覽釣魚網站。 針對中東各國政府的網路攻擊在東歐和中東持續不斷的衝突中,一個網路惡棍一直在策劃針對中東各國政府的網路間諜行動攻擊行動是透過精心設計過的魚叉式網路釣魚電子郵件發起,攻擊者冒充一家信譽良好的美國航太和國防公司,對該地區的穩定和安全構成更大的威脅。 這些精心製作的電子郵件大多以軍事和執法勤務裝備機具為主要誘餌,攻擊者誘使用戶存取他們偽造的常見問題 (FAQ) 檔案。在該檔案中,除了提供每種產品的獨特屬性、技術規格和推薦應用外,還提供詳細的說明。 名為 ApateWeb 惡意轉導向網路攻擊行動ApateWeb 會將毫無戒心的使用者帶到內藏惡意內容的網站受害者首先會收到一個 javascript 惡意有效籌載,該惡意籌載會使用一個獨特的架構對受害者進行跟蹤。 賽門鐵克的網路層防護技術-入侵預防系統(IPS)會阻止 ApateWeb 的重導向嘗試,以防止系統受到感染/入侵,攻擊在初始階段就會被阻止。 基於VB6的惡意軟體威脅在2024年依然活躍Vilsel 蠕蟲就是一種一段時間就會出風頭的 VB6 惡意軟體自 2015 年底安全研究人員首次發現以來,Vilsel 已被修改過好多次,2024 年我們仍能在全球範圍內看到它的存在,它是整個 VB 惡意軟體生態系的要角。 攻擊者仍然可以利用 VB6 建立新病毒,這可能是希望安全研究人員更難分析和檢測這些使用老式工具製作的可執行檔。 PDF檔案的網路攻擊持續上升濫用惡意 PDF 檔案的郵件攻擊激增為了應對這些攻擊,賽門鐵克創新的 PDF 啟發式解決方案利用先進的啟發式和機器學習技術。 這種主動式防護技術非常有效,成功阻止大量攻擊,包括由 TA544、TA577 和 RogueRadicate… 等惡名昭章的駭客組織所策動的網路攻擊。 Apache ActiveMQ 漏洞(CVE-2023-46604)仍被大肆開採濫用CVE-2023-46604 是一個存在 Apache ActiveMQ 的嚴重等級 (CVSS 風險評分:10) 遠端程式碼執行 (REC) 漏洞。 由於該漏洞很容易被開採濫用,攻擊者可以很快將其整合到他們攻擊手法中,以入侵企業環境並傳播各種惡意軟體有效籌載。 正在光顧日本手機/行動裝置的惡意竊密程式:FakeCopFakeCop 惡意竊密程式,它以手機/行動裝置為目標,蒐集各種類型的資料作者採用 XOR 加密技術,試圖躲避靜態檢測方法,但還是無法逃脫賽門鐵克端點防護行動裝置版本 (SEP mobile) 先進偵測技術的法眼。 賽門鐵克最近發現另一波偽裝成日本電信公司 APP 安裝檔--檔名 ([公司名]2024.apk) 的FakeCop。如果使用者不疑有他在其安卓手機/行動裝置上部署該惡意程式,它會要求使用者授予執行任務所需的相關權限。 如何避免空投(Airdrop)騙局?賽門鐵克發現以加密貨幣熱門流行語為幌子的惡意網域名稱Airdrop一詞通常與更廣泛的加密貨幣領域相關聯,加密貨幣空投是指將數位資產從加密貨幣專案轉帳分發至多個錢包位址。 Airdrop 通常被用作一種行銷策略,以提高知名度並吸引更多用戶,在過去6個月已有2700多個黑心網域名稱使用這個熱門流行語。 又見WikiLoader惡意程式載入器強勢回歸WikiLoader 是早在 2022 年就被發現的惡意程式載入器,可以下載並植入惡意軟體在目標電腦上它之所以被命名為 WikiLoader,是因為最初的版本會向維基百科網站發出 Https 的連線請求。 WikiLoader 的典型初始感染鏈始於一封包含PDF附件的電子郵件,在PDF檔中會有一個連結,點擊該連結就會下載一個壓縮的JavaScript檔,進而下載最終有效籌載。 Hunters International(*獵人國際)勒索軟體駭客集團以世界各國各種規模的企業為目標,其中包括 Hunters International、Meow、DragonForce、Werewolves、Malekteam……等駭客集團。 我們將介紹 Hunters International 駭客集團,該駭客集團使用的勒索軟體似乎與惡名昭章的 Hive 勒索軟體之程式碼有密切相關,2023 年初美國 FBI 已瓦解 Hive 勒索軟體犯罪網路。 端點防護--SEP入侵預防系統元件 (IPS) 去年 (2023年 ) 為您做了什麼?賽門鐵克 IPS 是同類最佳的深度資料封包檢測引擎,可保護包括財富 500 強企業和消費者在內的數億個端點 (桌上型電腦和伺服器)。 在 2023 年期間,SEP 多重防護技術中,單單入侵預防系統元件 (IPS) 的網路防護引擎,在賽門鐵克保護的端點上攔截超過 47 億次威脅。其中 93% 的攻擊在感染前階段就被攔截。 IPS(入侵防禦系統)阻止了數百萬次Log4j攻擊有許多漏洞早已被修補,但仍被世界各地的駭客組織和個體戶大肆開採濫用雖然大多數漏洞在被披露的當年影響最大、破壞性最強,但有些漏洞在多年後仍然非常有效,例如:Log4j RCE CVE-2021-44228。 賽門鐵克每天都能監控到世界各地的威脅行動者試圖開採濫用這個漏洞,賽門鐵克將這些攻擊攔截為『Log4j2』,我們的 IPS 技術能夠更好地防禦這一漏洞。 濫用Replit線上平臺釣魚攻擊行動在南韓興風作浪Replit 是一款具有多人協作和開發者社群功能的線上平臺,能為各種程式設計語言提供整合式開發環境 (IDE)。 它還提供一項名為『Repl.it』線上開發環境並提供內建資料庫,允許用戶直接從 Replit 帳戶建立靜態網站,賽門鐵克持續偵測到有人濫用 Replit 並在該平臺上上架其網路釣魚網頁,儘管不那麼普遍,但仍然很 危險。 祝福的季節謹防禮券和獎勵計畫詐騙正值年終節慶期間,禮品卡和獎勵計畫詐騙猖獗,這是永遠不會退流行的騙術,這些惡意禮券和獎勵計畫詐騙通常屬於網路釣魚攻擊的範疇。 用戶可能會被要求提供個人資訊或下載含有惡意軟體的檔案,一旦點擊連結或按照他們的指示操作,用戶可能會被要求提供個人資訊或下載含有惡意軟體的檔案。 讓數據說話∼賽門鐵克的Webpulse(網頁脈衝)網頁安全防護生態系統上個月的防護績效?Symantec WebPulse (網頁脈衝) 網頁安全防護機制是業界最佳的網路安全引擎,可為包括財富 500 強企業和消費者在內的數億客戶設備提供保護。 WebPulse 是賽門鐵克全球資安情資網路 (GIN:Symantec Global Intelligence Network) 的重要成員,是一種架構在雲端基礎架構,採用多種技術對輸入內容進行分析,是業界最快、最精準的網頁分類和風險評級。 網路釣魚呈上升趨勢,賽門鐵克讓自己更強大攻擊者發送垃圾郵件,目的在欺騙目標對象洩露敏感資訊或在受害者的裝置上安裝惡意軟體網路釣魚攻擊日益增多,任何使用電子郵件、簡訊和其他通訊方式的人(即我們中的大多數人)都有可能成為受害者。 據聯邦調查局報告,僅在2022年網路釣魚攻擊就超過30萬次。據報導,公司遭受一次典型的網路釣魚攻擊需要花費近500萬美元來善後。 入侵預防的稽核特徵(IPS Audit Signatures)防範Discord和Telegram遭濫用的另一層數位監控系統Discord 和 Telegram 是近年來大受歡迎的通訊和檔案分享應用程式,也自然成為網路犯罪分子覬覦的目標。 Discord 主要面向遊戲社群,提供各種迎合這一人群的功能,包括語音和文字聊天頻道、檔案分享和可定制性。 濫用Cloudflare物件儲存服務JR2的網路釣魚威脅星際檔案系統 (IPFS) 和 Cloudflare 物件儲存服務 R2 等內容存儲網路 (CDN) 是被濫用最多的網路釣魚網頁主機。 在過去30天內,我們在全球觀察到更多的實例,主要是試圖竊取企業使用者的電子郵件憑據/帳密。 濫用JavaScript的惡意廣告如果你正在瀏覽一個網頁,它的程式碼中很可能包含 JavaScript惡意廣告的定義是利用線上廣告傳播惡意軟體,通常是在合法的線上廣告網路和網頁中注入惡意或含有惡意軟體的廣告。 惡意 JavaScript 很難被發現,因為它本質上只是純文字。當它被偷偷注入網站時,有時會在網頁上停留數月甚至數年,包括在非常熱門、知名和完全合法的網站上。 Agent Tesla惡意程式轉為濫用CHM和PDF檔案進行傳播自2014年以來 Agent Tesla 竊密程式一直在網路犯罪圈具有很高的影響力這種具有竊密程式和遠端存取功能的惡意程式廣受許多駭客組織和個人青睞,常被用於電子犯罪和發動目標攻擊。 CHM 檔案來自下載的 PowerShell 腳本,該腳本會釋放一個載入程式 DLL 檔案,該檔案又將 Agent Tesla 載入到名為「RegAsm.exe」的合法 Windows 程序。 DarkGate 惡意程式已轉向濫用PDF附件檔透過惡意廣告和購買搜尋引擎廣告排名 (SEO) 進行傳播這是一種基於 Windows 的惡意軟體,兼具竊密惡意程式和遠端存取木馬的功能。 上個月被稱為 TA577 的駭客組織,同時也是前 Qakbot 的聯盟夥伴公司被發現透過其惡意電子郵件行動傳播 DarkGate,深入拆解其攻擊鏈發現其是複雜精密的工具與手法的組合。 Ursnif 銀行金融木馬家族,冒充義大利國稅局Ursnif (又名 Gozi、Snifula) 是一個著名的銀行金融木馬家族,已有 15 年以上的歷史主要透過惡意垃圾郵件傳播,目的在從遭入侵染系統中竊取登錄憑證、雙因子驗證碼、銀行詳細資訊和其他機密資料。 最近觀察到傳播 Ursnif 的行動,主要針對義大利的金融機構冒充稅務局。全然不是意外,因為每年這個時候都是提交各種稅務相關表格的最後期限。 BatCloak 使威脅形勢雪上加霜一種被稱為 BatCloak 的批次檔混淆工具引起安全研究人員的關注.BAT 的批次檔由於其簡單性、也是 Windows 內建的功能,長期以來一直被網路上的壞蛋用於各種目的,但主要還是用作惡意程式載入程式。 多份報告顯示惡意批次載入程式被該工具混淆,並在世界各地的攻擊行動中用於傳遞惡意籌載,例如:資訊竊取程式、遠端存取木馬等。 Lokibot仍然是一個危險Lokibot 竊密程式的歷史可以追溯到 2015 年左右,至今仍然非常活躍它透過持續發動一連串的垃圾郵件行動進行傳播,通常利用電子郵件中附加的惡意 PDF、RTF 和 Office 文件作為感染媒介。 並使用報價、運輸、銀行、SWIFT、發票和支付相關的社交工程主旨,Lokibot 試圖從數百個應用程式中竊取憑證。 「置入式行銷」的廣告詐騙/垃圾郵件網路過去一周,兩起「置入式行銷」的垃圾/詐騙郵件攻擊行動,發送數萬封電子郵件內嵌的網址會重導向到詐騙網站,這些網站看起來像是推薦銷售產品的消費者研究部落格。 這些垃圾郵件/詐騙惡意行動於 9 月 22 日和 26 日被發現,並且由於時間和內容類型而可能存在關聯。 在巴爾幹地區發現的Formbook竊密程式Formbook 雖然是較老牌的竊密程式,但其威脅無所不在,遍及全世界這次在巴爾幹的攻擊行動的幕後黑手試圖透過惡意電子郵件來引誘某些公司,這些電子郵件聲稱來自馬其頓的家電製造商。 這些電子郵件附帶一個惡意 ZIP 壓縮附件檔,內容包含偽裝成採購訂單的 PDF 檔案其實就是 Formbook 竊密程式。 韓國正遭受登錄註冊檔濫用的惡意郵件攻擊賽門鐵克觀察到針對韓國機構組織(本地和跨國)的惡意垃圾郵件行動.reg 登錄註冊檔是 Microsoft Windows 作業系統中用於新增、修改或刪除登錄子機碼和值的文字格式的登錄檔的腳本檔。 雖然 .reg 檔案通常用於合法目的,它的特性也讓網路犯罪分子可以在受害者的系統上下載和執行惡意軟體。 Inc 勒索軟體成功加密後,Inc 勒索軟體會在被加密檔冠上 .inc 副檔名賽門鐵克最近發現一個被稱為『Inc.Ransom』的新興勒索軟體犯罪組織。 他們的攻擊鏈仍有部分未知,但有跡象表明他們利用遠端桌面通訊協定 (RDP) 連接到目的電腦,隨後使用合法工具查看、打包和滲出檔案。 7月和8月的IcedID惡意攻擊行動IcedID(也稱為Bokbot)是一種模組化銀行金融木馬惡意軟體賽門鐵克觀察到,由於惡意垃圾郵件活動依舊節節攀升,7 月和 8 月 IcedID 相關活動也明顯增加,8 月份的最新攻擊樣貌以多階段的攻擊鏈為主。 賽門鐵克有效防護網路釣魚簡訊,以近期的加拿大為例賽門鐵克最近幾週阻止其中的多起詐騙行動賽門鐵克全天候監控全球範圍內可能會引爆網路詐騙、網路釣魚和惡意軟體的惡意簡訊(也稱為簡訊詐騙)。 賽門鐵克防護超越國界日本正遭受境外沒完沒了的日文化網路釣魚電子郵件日本消費者和企業用戶每天都不斷受到大量惡意電子郵件的轟炸,這些電子郵件的伎倆是透過網路釣魚獲取機敏資訊和 (或) 進行詐騙。 SEP Mobile( 賽門鐵克端點安全手機/行動版 )利用 WebPulse 網頁安全情資生態系統攔截簡訊釣魚攻擊簡訊釣魚也稱為簡訊網路釣魚,歹徒利用簡訊來欺騙智慧型手機用戶,誘騙他們洩露敏感資訊、點擊惡意鏈接或下載有害附件。 BlackByte 勒索軟體Nokoyawa 勒索軟體自 2022 年初以來就非常活躍ProxyShell 和 ProxyLogon 漏洞是各種威脅(包括勒索軟體)的目標,作為滲透系統的初始手段。 Play 勒索軟體Play 勒索軟體 (也稱為 PlayCrypt) 於 2022 年中左右首次出現駭客集團已駭入超過 25 名受害者,目標包括各種規模的不同行業等公共與私人組織,如果不支付贖金,他們的資料將被出售。 加密貨幣挖礦劫持透過瀏覽器也可以進行加密貨幣挖礦透過瀏覽器也可以進行加密貨幣挖礦,它是在瀏覽器核心,運行腳本語言,這種方法與更常見的加密貨幣開採程式的方法不同,後者需要下載和運行一個專用的挖礦程式。 如果網頁中被注入了一個加密貨幣挖礦腳本,那麼只要瀏覽該網頁的用戶處於瀏覽狀態,他們電腦上的運算效能就會被暗中用來挖掘加密貨幣。 LockBit-- 多產、持久、可預防LockBit 是一種勒索軟體即服務 (RaaS)LockBit 採用勒索軟體即服務 (RaaS) 營運模式,招募新的聯盟夥伴使用 LockBit 勒索軟體工具和基礎設施進行攻擊。 星際檔案系統(IPFS)網路釣魚行動呈上升趨勢IPFS是一個分散式點對點超媒體傳輸協議使用基於檔案的雜奏 (hash) 值產生的唯一內容辨識碼 (content identifier,CID),檔案分散在與 IPFS 共享用戶的電腦上。 IPS∼補強內容管理系統(CMS)漏洞的安全網ContentManagement System 被廣泛用於建立和管理網站它們的受歡迎程度意味著大量網站建立在這些平台上,使它們成為攻擊者覬覦的目標。 再次檢視GuLoader進階下載器GuLoader 是一種基於 shellcode 的進階下載器目標是提供一系列惡意軟體,包括但不限於勒索軟體、竊密程式、銀行木馬、遠端存取木馬 (RAT) 和代理 (proxy)。 Akira 勒索軟體∼鎖定大戶看起來是由 Conti 勒索軟體的原始碼來進行修改台電腦被成功入侵時,資料會被上傳到攻擊者的伺服器,在檔案被加密並附加 .akira 副檔名之前作為威脅受害者之用。 『模擬』Android 阻斷服務攻擊 (DoS)在我們 7x24 的日常工作中,我們會不斷監控異常和跡象我們的自動化系統最近提醒我們注意一個問題,即在檢測特定 Android 手動安裝包 .APK 的樣本時,我們的雲端掃描明顯變慢。 SEP的網路層防護技術--IPS有效防護RDP攻擊駭客不斷進行 RDP 攻擊以存取和入侵企業網路成功的 RDP 攻擊可能允許攻擊者獲取憑證、執行惡意程式碼,甚至讓他們完全控制目標系統。 RDP 攻擊是一種網路攻擊,它試圖使用 RDP 協議存取遠端電腦。這些攻擊是駭客利用不安全系統、面向公眾網路的暴險服務和易受攻擊的網路端點一種非常熱門手法。 賽門鐵克網路層入侵預防(IPS)技術有效封鎖端點上的 SMB 攻擊SMB 攻擊是一種網路攻擊,其目標是 SMB 傳輸協定中的漏洞伺服器訊息區塊 (SMB:Server Message Block) 一種用戶端 (Client)-伺服器 (Server) 應用層網路傳輸協定。 SEP提供行動裝置的中間人(MITM)攻擊防護MITM 攻擊是近期熱門的網路攻擊模式之一隨著越來越多的人使用行動裝置進行銀行、購物和存取敏感資料等線上活動,行動裝置上的 SSL MITM 攻擊變得越來越猖獗。 賽門鐵克 WebPulse 網頁安全生態系統,為用戶提供更高層級的保護每天偵測到由 VipersoftX 觸發的百萬次惡意網址連結它一種經過高度混淆並定期更新的遠端存取木馬 (RAT),透過使用破解的軟體經由世界各地的種子 (torrents) 和軟體共享站台進行傳播。 應對惡意XMRig挖礦應用程式賽門鐵克游刃有餘XMRig 是一種占用 CPU 的熱門的開放原始碼密貨幣挖礦應用程式雖然 XMRig 是一種合法工具,但它經常被惡意軟體作者用來在遭駭入的系統未經用戶同意的情況下使用(即竊取)其運算能力來開採門羅幣。 Agent Tesla的OneNote活動為它是一個非常普遍的竊密程式,因此值得警惕主要透過惡意電子郵件進行傳送,通常帶有普通的社交主旨,主旨包含帳單、報價、運輸、SWIFT 等,並且仍然試圖從受害裝置竊取機密訊息。 面對Snake鍵盤側錄程式,賽門鐵克用戶∼高枕無憂Snake 鍵盤側錄程式是一種基於 .NET 開發的惡意軟體主要的傳播方法與其他兩個非常熱門的竊密程式:Formbook 和 Agent Tesla 相似,多採用夾帶特定附件的電子郵件。 Dark Power(*黑暗力量)勒索軟體日以繼夜地持續監控勒索軟體駭客集團是賽門鐵克的核心任務如果在受感染的電腦上加密成功,被加密檔將新增 .darkpower副檔名。如果這個犯罪集團確實取得一定程度的成功,他們活動很可能會繼續並加劇。 第一時間成功攔截∼GuLoader隱藏在眾目睽睽之下的先進惡意軟體下載程式利用軟體漏洞讓 CPU 執行特定程序的機械碼GuLoader利用多種對抗分析的方式來增加反向工程的難度,使得它更難被偵測到。它的終極目標是傳遞一系列的惡意軟體。 賽門鐵克第一時間就能攔截假冒美商優比速國際股份有限公司(UPS)的網路釣魚行動賽門鐵克安全解決方案每天全天候檢測並阻止網路釣魚行動,但惡意軟體偶爾會激增電子郵件流量非常大,因為它往往表明有人比平時更努力地嘗試竊取某些系統或其他系統的登錄資訊。 請放心,所有這些惡意攻擊行動都被我們的 Stargate 安全引擎(它是我們電子郵件安全服務的基礎)及其先進的啟發式威脅檢測功能主動阻止。。 Chaos勒索軟體持續肆虐全球造成錯亂Chaos 勒索軟體於 2019 年首次出現,對全球企業和個人發起多次攻擊透過網路釣魚電子郵件或惡意網站傳播,目的是利用老舊軟體中的漏洞來獲得對受害者系統的存取權限。 手機行動惡意軟體以日本為目標iPhone 用戶被重導向到一個虛假的電子帳單系統網站。攻擊行動的方法保持不變,攻擊者繼續使用惡意簡訊作為感染手段,並利用免費的動態DNS 代管服務 Duck DNS 使用子網域。 IPS Chrome 瀏覽器延伸單 IPS 技術就能阻止 70% 的惡意軟體--遠遠超過傳統的檔案型掃描技術Symantec Endpoint Protection (SEP) 14.3 RU2 和更新版本會安裝 Google Chrome 延伸,讓用戶端電腦無法存取惡意網站。 DCS提供固若金湯、堅如磐石的伺服主機保護號稱攻無不克的全新Royal 勒索軟體家族,也無功而返正如我們之前關於 Royal 的貼文所表明的那樣,賽門鐵克在我們的好幾種保護技術都能同時偵測到這種新型的勒索軟體。 賽門鐵克的端點 IPS 入侵防護技術,有效攔截日新月異的技術支援詐騙Formbook難逃賽門鐵克郵件安全服務(ESS)的手掌心技術支援詐騙是已久的老梗,許多人不相信這個年代還會有受害者,賽門鐵克每天都會繼續偵測到全新的假冒技術支援網站和惡意流量重導向到詐騙者控制的站台。 賽門鐵克多層次防護機制讓 AveMaria RAT 落荒而逃AveMaria (也稱為 Warzone RAT) 是一種遠端存取木馬 (RAT)首次出現於 2018 年底前後,它具有從受害者那裡竊取資訊的能力,它通常透過包含惡意附件的垃圾郵件“網路釣魚”行動傳播。 即使採用混淆技術的的網路釣魚攻擊也不是賽門鐵克Stargate(*星際之門)安全引擎的對手網路釣魚是最常見的社交工程攻擊之一網路釣魚也是網路犯罪活動最常見的形式之一,特別是針對企業組織,網路釣魚攻擊在 2022 年顯著增加。 賽門鐵克的郵件安全服務,成功瓦解Lokibot竊密程式的詭計賽門鐵克持續導入各種先進防護技術來預防及攔阻 Lokibot 的入侵意圖。Lokibot 通常利用附加在電子郵件中的惡意 PDF、RFT 和 Office 檔案作為感染媒介,並使用常見的報價、航運、銀行、SWIFT 外匯轉帳、發票和支付相關的社交工程主旨。 惡馬惡人騎,胭脂馬遇到關老爺Formbook難逃賽門鐵克郵件安全服務(ESS)的手掌心2016年出現的 Formbook 原本是一隻鍵盤側錄木馬,但是後來被發現功能強大,被用於發動大規模垃圾郵件感染全球企業。這些垃圾郵件中的絕大多數是“malspam”,也就是包含或傳遞惡意軟體的垃圾郵件。 健全的底層邏輯,可以應對千變萬化的世局賽門鐵克無須更新也能防護最新的Emotet零時差攻擊安全研究人員早在 2014 年就首次發現 Emotet 銀行木馬,現已證明它是威脅領域中最受歡迎且最強悍的木馬之一。美國國土安全部甚至表示,Emotet 是他們見過的成本最高、破壞性最強的惡意軟體之一。 |
||||||||||||||||||||||||||||||||