Log for 網路攻防戰~資安閒聊群組

標題：無所不在的物聯網設備，你我都需要正視所帶來的資安問題

摘要：
物聯網涉及的領域相當廣泛，無論是金融、公共服務、製造業、零售業，乃至於與人身安全有關的醫療、國家安全有關的能源設施，都有相關的應用。還有，近年來常見的智慧家庭，也使用了大量的物聯網裝置。

基本上，許多人想到物聯網的資安問題，可能會以為主要是對於裝置加密，消除漏洞等防護措施。但事實上，我們手上的物聯網設備，只是傳感器（Sensors），背後擁有一個生態圈，還包含網路與應用程式等。但從駭客攻擊的面向來看，則略有不同：大致上可分成硬體設備、連接性（Connectivity），以及應用程式3塊。

1. 硬體指的不只是物聯網設備本身，還包含整個生態圈設施，像是閘道設備，或是執行應用程式的手機等，駭客可透過這些裝置發動攻擊。

2. 連接性指的是任何連接的階段、過程，包含網路流量、生態圈通訊，以及設備之間的連接，或是應用程式之間的API等。

3. 應用程式則包含物聯網裝置本身的軟體、雲端網頁介面或管理者介面等。

引用來源：
http://www.ithome.com.tw/news/112848

標題：HITCON 創辦人真心傳授企業資安設備採購心法

摘要：
即使國內外的產品趨勢有所差異，相同的是防線大幅退縮到端點電腦，因此徐千洋認為，當代的資安產品應該具備下列3種能力：

1. 機器學習：解決人力不足因應的問題。
2. 可視性：協助企業快速發現攻擊。
3. 高度整合：企業內的不同廠牌的產品，必須異質整合，才能描繪出潛在的威脅。

就挑選產品的方法論而言，購買也有3種策略：

1. 買最知名的：可減少購買後成為孤兒的機會。
2. 買最多功能的：這裡指的是符合自己需求的前題下，含有最多功能產品。
3. 買服務最好的。

買資安產品的心法：迫切需求、其他人員配合意願、減輕工作量。

引用來源：
http://www.ithome.com.tw/news/112849

標題：透過簡訊執行二次驗證不再安全，美國國家標準技術研究所建議別再使用

摘要：
在臺灣，隨著資安意識擡頭，透過手機簡訊執行進階身分認證，在金融產業中，算是相當普遍的做法。然而，根據美國國家標準技術研究所（National Institute of Standards and Technology，NIST）在2016年的數位身分認證指南（Digital Authentication Guideline）中提到，他們建議企業不要再透過電信系統，包含簡訊和電話語音的方式，執行二次驗證，甚至計畫即將把這種驗證方式，排除在未來的進階身分驗證標準之外。

最早出現的是Zeus-In-The-Mobile（ZitMo），這是可在Windows Mobile、Android、Symbian，以及BlackBerry平臺中執行，並攔截簡訊中OTP的行動裝置惡意軟體，感染途徑則是藉由已感染Zeus惡意程式的電腦，誘使用戶在行動裝置上安裝。

另一個同樣是針對手機簡訊而來，也相當有指標性的惡意軟體是SpyEye（另一種說法是SpyEye-In-The-Mobile，因此也有人寫成SPITMO），在2012年時，這個軟體大肆感染超過140萬臺的電腦與行動裝置。


原始資料：
Digital Identity Guidelines: Public Comment Period
https://pages.nist.gov/800-63-3/

引用來源：
http://www.ithome.com.tw/news/112845

標題：US-CERT警告：企業監聽HTTPS反而可能使自己落入中間人攻擊風險

摘要：
美國國土安全部旗下的電腦緊急應變小組（US-CERT）上周向全美企業提出警告 ，指稱那些可監聽HTTPS通訊的安全產品將會削弱TLS協定的安全性，危及位於相關產品之後的所有系統。

然而，US-CERT指出，此一架構的問題出在客戶端系統只能驗證自己與HTTPS監聽產品之間的通訊，必須仰賴監聽產品驗證伺服器的真偽，若這些監聽產品未能執行適當的驗證或正確傳達驗證狀態，就可能讓客戶端落入中間人攻擊的風險中。

原始資料：
HTTPS Interception Weakens TLS Security
https://www.us-cert.gov/ncas/alerts/TA17-075A

引用來源：
http://www.ithome.com.tw/news/112860

標題：為何駭客特別愛用IoT裝置當作攻擊跳板，裝置管理權責劃分不易是主因

摘要：
資安團隊經過研究分析後發現IoT裝置一般存在有5大安全弱點，因而容易遭駭客所利用，分別是（1）IoT裝置本身已存在潛在可利用的漏洞、（2）使用不安全的網路協定、雲端及行動App服務，或是提供不安全的軟體、韌體更新、（3）仍保留不安全的網路連接埠、（4）允許未授權的系統變更，以及（5）授權/認證強度不夠及缺乏足夠安全的加密機制。

為何駭客特別愛用IoT裝置當作攻擊跳板。許育誠解釋說，這有幾個主要原因，例如這些IoT裝置本身可以全天24小時連網、跟PC相比較無安全保護機制所以進入門檻低，或是任何人都可以黑市便宜價格取得IoT攻擊工具，更重要的是，他說，許多企業內部關於IoT裝置管理的權責往往劃分不易，難以認定該歸於IT人員管或是屬於維運人員負責，以致於造成自家後門大開，有了讓駭客趁機而入的機會。

引用來源：
http://www.ithome.com.tw/news/112861

大家誰熟悉powershell ？

標題：Mega木馬分析報告

摘要：
下一代威脅感知系統發現的本次攻擊為典型的魚叉攻擊，通過對目標用戶的郵箱發送惡意文件，在受害者打開惡意文件後，自動下載木馬以進一步進行控制。該木馬通過多種手段判斷沙箱、虛擬機和殺軟來對抗目標環境的安全機制，保證自身能在不在被發現的的情況下運行。我們將該木馬命名為Mega木馬。

其具有尋找防毒軟體，用以對抗防毒檢測。包含：AVG、Avast、360、Bitdefender、Norton、Trend Micro、Kaspersky、大蜘蛛 等。

並可對抗人工分析，分析是否在沙箱中運行，以達到反沙箱功能。查找的執行程序為 wireshark、taskmanager、regedit、msconfig 等。

與反虛擬機器。包含：VBox、VPC、VMware 等。

並且可 bypass 微軟的 UAC 的功能後植入開機啟動程序中，其木馬本體在確定感染環境安全之後，才會跟 C&C 進行連接，以進一步控制目標。


引用來源：
http://www.freebuf.com/articles/system/129387.html

易學易用的 Windows PowerShell
https://www.microsoft.com/taiwan/technet/columns/profwin/28-monad.mspx

使用 Windows PowerShell 撰寫指令碼
https://technet.microsoft.com/zh-tw/library/bb978526.aspx

標題：無檔案攻擊、DNS PowerShell攻擊疑是同一駭客組織所為

摘要：
安全公司研究駭客C&C伺服器上的腳本物件後，發現它與3月初思科偵測到的Talos部門發現的PowerShell無檔案攻擊所用的伺服器十分類似。而其他腳本語言及物件則可追溯到2月初卡巴斯基發現到攻陷大型銀行、電信及政府機構的Meterpreter無檔案攻擊惡意程式，以及近日FireEye發現專門竊取處理美國證管會文件的人員的惡意程式。FireEye認為這樁攻擊和Fin7組織有關。

研究人員並指出，這起攻擊行動手法相當高明，僅鎖定少數特定知名企業避免曝光，且透過WMI執行PowerShell指令，因此甚難被防毒軟體偵測到。

引用來源：
http://www.ithome.com.tw/news/112883