台灣二版(ESET亞太區總代理)高級產品經理盧惠光於10月24日Digitimes雲端資安論壇高雄場中提到，回顧近期資安事件，多數皆與行動應用息息相關，例如一個名為ZNIU的Android惡意程式，基於Linux作業系統的Dirty COW漏洞發展而來，可讓攻擊者取得管理員權限，在行動裝置植入後門並竊取資料；另有透過中間人攻擊手法散佈的間諜程式FinSpy，及私自訂閱付費服務的Lovely Wallpaper應用程式。

盧惠光強調，因智慧型手機上有聯絡人資訊、公司電子郵件、企業應用(客戶資料、ERP)、相片、信用卡資訊等機敏資訊，故需關注其安全防護，但儘管手機平台的惡意軟體倍數增加，現今防禦機制卻普遍不足，例如目前企業內部應用程式近半數部署不安全的接口(API)，便是最明顯例子。

他建議企業行動裝置，應安裝專業且品質有保障的防毒軟體(含主動防護、雲端防護及自動更新等必備功能)，部署行動裝置管理(MDM)，設計及開發安全的接口，並可考慮導入行動版資料防洩(DLP)方案，以降低人為因素造成金錢損失的風險，並獲知完整行為資料，保護公司最重要資料。

【活動照片】

我要下載議程資料 

ESET亞太區總代理  台灣二版（Version 2）
ESET官方網站：www.eset.tw
客服電話：02-7722-6899
技術支援信箱：support@version-2.tw

就在攻擊者們正尋找新的、日益複雜的攻擊手段，逃避防毒軟體檢測機制之時，他們也在不斷改進作案手法，更好地欺騙和蒙蔽用戶，或至少繞開標準IT安全培訓課上所傳授的主要安全技巧。儘管如此，我們不妨更新一步強化自身安全，歸納攻擊者們所採用的策略，這也正是下文將要探討的內容。

首先，攻擊者們通過使用令人信以為真的圖片或納入內嵌框架，將從真實網頁上提取的內容添加進去，大幅改進了釣魚郵件的設計。同時，由於現如今網上字典和翻譯器的方便，攻擊者們可以設法避免在電子郵件中出現語法和拼寫錯誤。

此外，單單查看電郵或短信寄件者的位址是不夠的，因為攻擊者可以借助身份偽裝技術，通過在資訊資料中弄虛作假，仿冒正規機構的身份。同時還有必要特別關注垃圾郵件所包含的連結，因為假冒網站常常隱藏在縮略或合成位址之後，以致於一眼看上去無法顯露其真實目的。即便如此，我們仍然建議並至今認為這一建議始終管用，那就是檢查網頁是否加密，是否使用HTTPS加密協議，以及最重要的，是否具備安全證書。

網路罪犯與加密網站

雖然多數假冒網站使用HTTPS協定，而真實網站（例如社交網站、網上銀行等）是要求通過HTTPS加密頁面輸入使用者密碼的，但這並不意味著攻擊者無法使用加密頁面。實際上他們可以很容易地將網站改造成HTTPS，獲取完全有效的SSL/TLS證書，無需支付任何費用。

要想以假亂真，攻擊者需要能夠註冊與真實網站看上去盡可能一樣的功能變數名稱，並為新網站獲取證書。其中一種途徑就是尋找拼寫方式一致的功能變數名稱，例如用twiitter.com來仿冒twitter.com ，或用rnercadolibre.com來仿冒 mercadolibre.com等。

還記得讓您填寫缺失字母或不完整語句的拼字遊戲嗎？當您快速閱讀的時候，看上去就像是語句完整無誤的一樣。對於很多人來說，在流覽網址的時候，道理是一樣的。

初看上去，如果快速閱讀的話，這裡的例子能夠矇騙不少人。但您只需要仔細觀察網址的寫法，便能洞察其中的奧妙。攻擊者需要做的是註冊不同位址的網站，使之在用戶看來與真實網站無異。這就是他們所採取的同形異義詞攻擊法。

我們看一個例子，你能判斷這個網站是真實還是假冒網站？

此例是研究人員鄭旭東概念證明的一部分，他註冊了網站 https://www.xn--80ak6aa92e.com/。您可以通過火狐流覽器訪問該連結，查看其原理。

實現假冒的方式是使用了非拉丁書寫系統中的通用字元碼，例如古斯拉夫字母或希臘字母。在這些字母中，我們可以找到與拉丁字母表或網址中類似甚至完全相同的字元。由於功能變數名稱編碼系統的存在，可通過將字元碼編譯為更有限字串，並相容網址的綜合編碼系統，可以使用此類字元註冊網址。

例如可以註冊“xn--pple-43d.com”的功能變數名稱，流覽器將其解析為“apple.com”,但實際上是使用了古斯拉夫字母“a”（U+0430）而非ASCII字元“a”（U+0041）。雖然對於流覽器和安全證書而言，兩個字元裸眼看上去一樣，但實際上是兩種不同的字元，因此代表不同的網站。

此類例子數不勝數，例如“tωitter.com”（功能變數名稱編碼系統中為xn--titter-i2e.com）以及“gmail.com”（功能變數名稱編碼系統中為xn--gmil-6q5a.com）等。您甚至可以使用通用字元碼和通過網址編碼系統轉換器，自行創建貌似一致的網址。

許多最新流覽器都有防範此類攻擊的防禦機制，例如，在火狐或Chrome 流覽器中，如功能變數名稱中含有不同編碼系統中的字元，則會顯示其所對應的通用網址編碼而非通用字元碼。

因此在上例中，位址欄會顯示“xn--pple-43d.com”（通用網址編碼格式）而非“apple.com”，同時“tωitter.com”會顯示為“xn--titter-i2e.com”。

儘管如此，為證明概念，鄭旭東設法只利用古斯拉夫中字母表中的字元，註冊了功能變數名稱“apple.com”，規避了流覽器的保護機制，從而使“xn--80ak6aa92e.com”顯示為“apple.com”。

該研究人員還進一步通過亞馬遜獲取該功能變數名稱的TLS證書，使之初看上去足以以假亂真。

但如果我們仔細觀察網址，便能看到它實際為“xn--80ak6aa92e.com”。

雖然在最新版Chrome和Internet Explorer流覽器中已經修復了這一漏洞，但諸如火狐等其他流覽器中仍存在該問題。火狐用戶可以選擇啟用network.IDN_show_punycode選項，以便始終以通用網址編碼格式顯示字串。

即便如此，上例中的gmail.com網站還設法繞過了Chrome的防護機制，通過只使用拉丁字元，但添加了一個特殊拉丁字元方式（ạ—注意a下方的圓點），使流覽器顯示假冒的功能變數名稱。

需要強化防護

每次發現新的釣魚網站或假冒網頁試圖矇騙使用者時，我們都會重複同一建議：核對發件位址、查看頁面連結、確保拼寫正確，最重要的是使用加密連結（即HTTPS）並具有安全證書。

然而隨著網路罪犯應用日益複雜的技術矇騙用戶，這些防範措施已無法提供充分保障。使用HTTPS和證書，對於攻擊者而言並不屬於其考慮範疇，他們的目的是竊取您的帳戶和密碼，又怎麼會在乎是否使用加密連結？

問題是此類技術的運用給了用戶一種虛假的安全感，使其在相信網站安全性的基礎上輸入帳戶密碼，遵循令人作嘔一般反復強調的安全建議，查看網址前是否有加密鎖圖示，是否為HTTPS連結。但現實中這些措施均無法提供充分的安全保障。

正是由於這一原因，除密切觀察電郵和網站地址之外，我們還建議您仔細查看安全證書，避免訪問電郵中所給出的網址連結（更好的方式是手工輸入網址或通過可信直接連結訪問），並通過使用雙重身份驗證機制(ESET雙重認證安全)，為您的帳戶密碼增添一道附加防護屏障。

ESET雙重認證安全(SECURE AUTHENTICATION)：

提供公司網路與資料安全、易用的遠端連線雙重認證功能，其採用一次性雙重密碼認證機制(2FA-OTP)，密碼隨機而成無法預測或重覆使用，可廣泛搭配各類VPN應用與商業工具，包含Microsoft Sharepoint與Microsoft Dynamics CRM等，透過登錄遠程桌面或VMware Horizon View，大幅提高外出辦公時遠端連線至公司設備瀏覽機密資料的安全性。

原文出處: https://www.welivesecurity.com/2017/07/27/homograph-attacks-see-to-believe/

最近發生的全球網路攻擊，ESET將其檢測為Win32/Diskcoder.C，而這再次凸顯出過時的系統和不足的安全解決方案仍然普遍存在。

此次攻擊所造成的損失方面存在著許多疑問，ESET資安專家在這裡為您解答。

該病毒的特點是什麼？

• 加密：只加密特定副檔名的檔，但也會嘗試加密MBR (Master Boot Record)。
• 傳播：像蠕蟲一樣，他可以透過網路傳播並感染其他台電腦。
• 利用漏洞：利用了尚未更新和安裝安全更新的電腦中所存在的漏洞。

是否與WannaCryptor具有同樣強的破壞力？

兩者感染後的後果相同，使用者無法讀取系統中存儲的資料。但Diskcoder.C不僅僅加密漏洞電腦上的檔案，更在系統重啟後，使作業系統無法載入，迫使受害者重新安裝系統。

與WannaCryptor傳播方式相同嗎？

部分相同，但不盡然。雖然兩者都利用了美國國家安全局的漏洞入侵工具-永恆之藍，但Win32/Diskcoder.C還利用了其他傳播技術，通過濫用Microsoft Windows所供Sysinternals工具包中的PsExec等合法工具，以及Windows Management Instrumentation Command-line （WMIC）進行傳播；後者是為運行Windows作業系統的本地或遠端電腦提供的一種資料和功能管理資源。

與Mischa和Petya有何類似之處？

將這三種惡意程式家族歸為一類的主要原因，是因為它們除了加密作業系統之中的檔案資料外，還會通過加密MBR的方式，使作業系統無法運行。除這共通性以外，它們之間再沒多少相同之處，所採用的技術和處理機制各有不同。

該病毒的具體工作原理是什麼？

惡意程式運行後，首先會建立在特定時間之後重啟電腦的排程任務，通常不超過60分鐘。

此外，該病毒還會查看是否存在可以複製自身到共用資料夾或隱藏磁碟區。如果存在，則會利用WMIC在遠端設備上運行惡意程式。

接著，該病毒開始加密含有特定副檔名的檔案。需要強調的是，Win32/Diskcoder.C與多數勒索病毒不同，不會在加密每個檔後修改或添加特定副檔名；後者是攻擊者廣泛運用、區別染毒檔的方式之一。

下圖中，可以看到病毒試圖加密的檔案的副檔名：

此外，該病毒還試圖刪除事件日誌、不留下任何線索，並隱藏其行為。使用上述技巧執行命令列的畫面，如下圖所示：

如何傳播？

如上所述，傳播技術是該病毒的主要特徵。一旦成功感染電腦後，病毒會嘗試提取使用者帳戶和密碼，並配合PsExec和WMIC搜索共用資料夾和隱藏磁碟區，然後在通過電腦網路傳播。借助這種方式，便可感染位於其他國家和海外地區的電腦。

多數情況下，跨國公司團隊在通過同一網路連接位於歐洲或亞洲的其他分公司時，便會受到病毒感染。病毒的傳播機制與蠕蟲相同。

如何防範這一病毒？請參考以下五個建議：

1.使用專業可值得信賴的防毒軟體 (ESET NOD32)

在家用和工作電腦上安裝防毒軟體，確保定期更新系統。需正確配置port，明確開放port及其開放原因 – 尤其是WMI和PsExec所使用的135、139、445和1025-1035 TCP port。

2.阻止EXE檔案

在資料夾%AppData%和%Temp%中阻止EXE執行，禁用預設ADMIN$帳戶與Admin$共用資料夾。可以的話禁用SMB v1。

3.監測網路狀態

確保網路配置正確、分級管理，時刻檢測網路流量並查找異常行為。

4.備份資料

找出電腦上的關鍵資料和資料，做好備份 – 將備份檔案離線儲存。一旦您的電腦不幸感染勒索病毒，可將資料資料回復到近期狀態。

5.密碼管理

必須認真管理密碼。如果不同管理中心統一使用同一密碼，一旦其中一台電腦染毒，便可洩露管理員帳戶和密碼，從而可導致整個網路染毒。作為防範措施，最好確保不同團隊和管理中心各自使用不同的密碼。

同時啟用【雙重身份驗證機制】(ESET雙重認證安全)也十分重要，因為它為驗證使用者身份的帳戶密碼提供了一道新增安全屏障。一旦某台設備不幸中毒，便能夠在病毒試圖獲取其他電腦管理許可權之時，阻止病毒在網路內部橫向傳播。

已染毒且無法訪問系統，怎麼辦？

可借助取證技術，嘗試在記憶體中運行另一作業系統，以讀取已加密檔。但除了恢復備份，可以避免重裝作業系統外，再沒有其他更好的解決途徑。

對於此病毒，繳交贖金是沒有任何意義的，ESET近期所作的TeleBots調查結果顯示，攻擊背後的疑似駭客團隊表示，Win32/Diskcoder.C並非常規意義上的勒索病毒。

雖然該病毒加密檔並索要300美元解密贖金，但攻擊者實際想要的效果 – 也正是他們的主要目標 – 就是造成損失。因此，他們竭盡全力，使資料幾乎不可能解密。

此外，該病毒還能夠運用自身惡意程式碼，修改MBR。但這種操作方式本身，使主引導記錄根本無法恢復。攻擊者根本無法提供解密金鑰，同時解密金鑰也無法輸入到勒索介面之中，因為所生成的密碼含有非法字元。

缺乏安全意識、公司教育訓練不足和相關網路安全技能缺乏，是造成檔案被勒索的主要原因之一。不幸的是，許多職員仍未意識到網路攻擊對公司經營帶來的潛在危害，直到淪為受害者、被勒索支付贖金，而此時也為時已晚。由於網路罪犯遇到的防禦水準較低，因此他們更有動力持續利用薄弱環節，開發出新的勒索病毒並成功執行攻擊，造成用戶損失。因此擁有資安危機意識是很重要的，預防措施永遠更勝於後續補救，ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體，抵禦網路攻擊或資安威脅，協助您打造良好的資安環境。

原文出處: https://www.welivesecurity.com/2017/07/06/everything-need-know-latest-variant-petya/

時至今日，穿著已是個人風格、品味、審美觀及時尚的表彰，任何人穿上適合自己風格的衣服，都會散發自信光彩及個人獨特魅力，足見服飾其深層價值之意涵。

Branded Lifestyle隸屬香港馮氏集團，是臺灣規模最大的零售服飾品牌集團，目前代理HANG TEN、Arnold Palmer、H:CONNECT、LEO與Roots等五大時尚品牌，擁有超過430家服飾品牌直營門市，藉由跨越不同價格與風格的服飾、配件，為顧客營造愉快購物體驗。例如為熱愛韓流的年輕人，提供H:CONNECT系列產品，針對講求純真簡樸的消費者，則可選擇Roots系列服飾，讓擁有不同喜好的所有顧客，皆能獲得滿足。

最佳防護系統 嚴防客戶資料外洩

Branded Lifestyle為人熟知的競爭優勢，便是擅長嚴選優質服飾品牌，該公司承襲關係企業活用IT的優良基因，懂得善用資訊科技帶動作業效能提升，並抱持精選服飾品牌的同樣精神，所以慎選最佳資訊安全系統，全力守護珍貴的營運數據與龐大客戶個資。

Branded Lifestyle資訊部副總裁趙粵斌指出，早期該公司曾在伺服器或用戶端，部署某知名廠牌端點防毒軟體，以保護大量POS設備；其POS系統架設於Windows伺服器，所有POS設備都與這臺中央伺服器即時連線，進行資料轉換。但這套防毒軟體佔用較大的系統資源，導致POS系統與設備的執行效能，皆受到影響，拖慢日常工作效率；趙副總裁意識到一旦任由此現象持續蔓延，唯恐對公司營運造成衝擊，於是決定壯士斷腕，汰換既有防毒軟體。

「有了先前經驗，我們對於新防毒軟體的首要評選重點，便是不佔用POS系統及設備效能，協助提升整體工作效率」，趙副總裁接著說，該公司據點眾多且分散，所以要求新的防毒軟體須具備中央管理功能，擁有友善的操作介面，提供各種類型資訊報表，方便MIS集中管控，甚至進一步做到跨國管理。再者，新的防毒軟體，必須有能力控管外接式裝置，並廣泛支援Windows(含Server與Client)、MAC OS、Linux與行動作業平臺，藉此交織成為綿密防護網絡，嚴防客戶資料外洩，提高機密資料安全性。在確立篩選標準後，資訊部同仁積極展開評估與測試，發現在多個受測的資安軟體中，唯有ESET NOD32防毒軟體能充分符合所有條件，因而雀屏中選。

選購前，資訊部透過國外第三方防毒測試機構報告已知ESET NOD32防毒軟體表現出色，但還是對多家軟體執行實際測試，結果顯示，ESET NOD32不論在效能或其他方面表現，果然較其他品牌技高一籌，因此最終選定ESET。

輕盈無負擔 跨國好管理

趙副總裁認為ESET 防毒軟體勝出的主因，在於體態輕盈無負擔，幾乎完全不折損系統與設備效能，符合Branded Lifestyle講求提高整體工作效率的初衷，確保即時連線的資料交換作業正常運作，不受任何干擾。產品除擁有輕盈、快速等優勢，還有一個重要特質，便是提供了可涵蓋跨國區域、全臺各縣市的中央管控機制，目前Branded Lifestyle將ESET中央總管理平臺設置在臺灣，監管範圍包括臺灣、香港、韓國與新加坡，藉此保護這個範圍內所有Windows Server/Client、MAC OS、Linux與Android等端點設備。使MIS輕鬆實現集中管理，將公司制定的安全政策，精準迅速地貫注到每個據點，其間完全無需借助任何第三方工具，降低了成本卻能發揮到最高成效。

作業環境好安全 時裝銷售更完美

採用ESET NOD32至今超過兩年光景，已經成為ESET忠實的企業用戶，在這段不算短的時間裡，它始終扮演稱職的守護者，在後臺默默運行，悉心呵護所有Branded Lifestyle員工的作業安全，毫不影響系統及設備效能，讓公司不必經常為了提振效率，斥資升級硬體設備；同時ESET防毒軟體能支援多平台集中控管的特性，同樣有助於公司節省人力管理成本，避免MIS在各據點奔波，此外無需額外增購授權，一體適用於保護多元化平臺系統設備。

隨著多項效益顯現，趙副總裁深覺當初換置防毒軟體的決定，果真恰到好處。依據他個人使用體驗，點出ESET值得推薦的功能：(1) 中央控管系統，可同時控管端點、虛擬系統、郵件伺服器及閘道伺服器等多種設備；(2) 裝置控制功能，能依據廠商、型號、序號及權限，配合中央控管，針對可移除式媒體執行防護，落實統一裝置管理、抵擋USB病毒，及防範未經允許的資料存取；(3) 垃圾郵件過濾及釣魚防護，可協助自動過濾端點垃圾郵件，減少用戶端點擊惡意附檔及釣魚網站，避免威脅入侵。

除了在端點架設防毒軟體及防火牆，Branded Lifestyle尚有多項嚴密措施，包括在郵件伺服器及閘道伺服器建立過濾機制，並與資安廠商保持聯繫，持續討論如何強化威脅預防與處理、及災後修補策略，種種努力，都是為了建構安全無虞的作業環境，選擇並使用專業的資安產品，才能讓同仁無後顧之憂全力打拼，將時裝銷售業務經營得更臻完美。