• [資安小常識] 淺談公有雲和私有雲的資安考量

    Posted 9 months ago
    by Henry Wu (Cho-Han)}

    編者:Cho-Han Wu

     

    01

    圖一、公有雲與私有雲之選擇  (圖片來源)

     

    近年來雲端運算已經相當成熟且蓬勃發展,在資源愈來愈充沛且資訊相對透明的情況下,無論各個產業的公司都想在雲端上尋找長遠的解決方案。然而雲端運算的種類眾多,企業需要好好地評估最適合的雲端服務種類才有辦法達到將成本效益最大化。本次資安小常識,將從公有雲和私有雲的資安考量做切入,提供您在選擇雲端服務上的指引。

     

    首先,先了解一下何謂公有雲以及私有雲:
    私有雲是企業自有或共有伺服器基礎架構,並利用虛擬化等方式來創造專屬企業本身的雲端服務。其資料僅能被企業本身管理,並能確保與其他企業區隔。

     

    公有雲是雲端服務提供商或第三方服務提供者所提出的雲端服務,公有並不一定代表免費,也不一定代表使用者的資料可供其他人任意取用。

     

    表一、公有雲與私有雲之優缺點比較  

     
    公有雲
    私有雲
    優點

    1.  可降低機房管理和硬體維護等成本。

    2.  享有任何時間隨付即用的功能。

     3.  服務選擇多樣,可快速取用資源。

    1.  企業可以自行客製化伺服器軟硬體。

    2.  可從底層自行設計防火牆以及機敏資料之存放機制。
    缺點

    1.  敏感性資料可能的隱私問題。

    2.  企業需承擔服務中斷的風險。

    1.  普遍來說維護成本較使用公有雲來得高。

     

    無論是使用哪一項服務,都必須注意資料的安全。將重要的資料自己保管的確會比較安心, 但是也需要考慮到本身是否有能力來架設全面的防護機制來阻擋可能的資安攻擊。而對於使用公有雲的企業來說,若是不清楚雲端服務供應商維護資料安全的能力,則發生問題時很有可能會得不到應有的保障造成損失。

     

    其實近年來公有雲也逐漸在加強認證以及加密服務,並強調資料的安全性。舉微軟推出的 Azure 公有雲服務為例,除了全天候管理以及監控異常的服務外,在防止 客戶資料外洩 的部份,也做了很好的控管。另外,Azure 也使用了相當好的 加密機制 來保障使用者金鑰的安全和資料的安全性。對於使用者帳戶管理的部份,Azure 也提供您 管理帳戶 的方法以增強您帳戶的安全性。

     

    02

    圖二、雲端服務的資安保障  (圖片來源)

     

    選擇雲端服務就像是選擇保險箱一樣:是要放在自己家裡保險箱安全呢? 還是放在銀行保險庫安全呢? 這些都是使用者要審慎考慮的問題,本篇資安小常識分析了公有雲和私有雲的優缺點,希望能夠幫助您選擇到最適合您的雲端服務。

     

     

    參考資料

     

     

  • [資安小常識] 密碼儲存要加”鹽”才夠安全

    Posted 10 months ago
    by Henry Wu (Cho-Han)}

    編者:Cho-Han Wu

     

    01

    圖一、 ”鹽”是一個特定的字串用以增加密碼複雜度  (圖片來源)

     

    今年一月SplashData 公司公布了2013年最不安全的密碼排行榜,由「123456」取代「password」奪下最不安全密碼排行榜冠軍。其他不安全的密碼還包含了「qwerty」,「abc123」及「123456789」等等。在眾多網路平台興盛的時代,使用者往往必須記憶一組或多組密碼組合,而密碼的強度也是決定帳戶安全性的因素之一。

     

    此外,對於平台提供者而言,提供安全的後台系統來儲存使用者的密碼也是相當重要的因素。然而隨著駭客破解密碼的技巧日益高明,使用傳統的加密方法已經不足以妥善保護了,所以利用一些加密的小技巧來提升密碼儲存的安全是很重要的。本次資安小常識將介紹一些密碼加密的種類以及方法。

     

    02

    圖二、 2013年最不安全密碼排行榜  (圖片來源)

     

    網路平台提供者常見的儲存密碼的方法可大致分為下列幾種:

    1. 明碼

    儲存是將使用者輸入的密碼直接儲存於資料庫欄位之中,不經過任何修飾。利用這種方法儲存密碼是最不安全的,因為只要資料庫遭到入侵,使用者的密碼資訊即會被洩漏。

     

    2. 簡易雜湊法 (Pure Hash)

    簡易雜湊法是單只用一種雜湊演算法來保護明碼。
    在傳統的情況下,當密碼經過雜湊演算法 (如 MD5) 加密後是很難透過特定演算法推回原始值的,但如果透過大型的對照表,即有可能對照出原始的明碼,所以安全性仍不夠高。

     

    3. 加料式雜湊法 (Salted Hash)

    加料式雜湊法是將欲加密之明碼加上固定的一段字串 (又稱為鹽) ,再經過簡易雜湊法而成。
    例如:

    明碼 1234 經過 MD5 雜湊後的結果是
    81dc9bdb52d04dc20036dbd8313ed055

    這段雜湊可能會經由大量的對照表而還原,但若是加鹽之後
    例如:

    明碼 1234 + 鹽saltsaltsalt
    經過 MD5 雜湊後的結果是
    e80bdfdab3f83500d6330c6068eeeef4

    隨者鹽的複雜度增加,即使加了鹽後的原始密碼被破解,要得到真實密碼所需要的時間仍會大幅增加。

     

    4. 複合式雜湊法

    複合式雜湊法是利用兩種方法來增加雜湊的複雜度,利用這種方法即可以大幅提升密碼儲存的安全性。

    例如:

      • 雜湊兩次

    雜湊方法2 ( 雜湊方法1 ( 明碼 + 鹽 ) )

      • 加兩次鹽

    鹽 + ( 雜湊方法1 ( 明碼 +鹽 )

     

    隨著網路平台日益發達,本次資安小常識提供您在建構平台時,可以使用的安全地密碼儲存方法,以保障平台使用者的個資安全。此外,使用者在設計密碼時,也可以參考此篇文章來確保密碼強度的安全。

     

    參考資料

     

     

  • [資安小常識] 透過 Azure Rights Management 服務在雲端上安全地管理文件

    Posted 11 months ago
    by Henry Wu (Cho-Han)}

    編者:Cho-Han Wu

     

    01

    圖一、 Windows Azure Rights Management 服務讓您更輕易地管理雲端文件  (圖片來源)

     

    Rights Management Services (RMS) 是一款提供企業在分享檔案和文件時,能夠同時保護機敏資訊安全的解決方案。最新的 RMS 讓企業組織能夠輕易的分享各種檔案類型的機敏性資料,同時也支援跨平台行動裝置的讀取。而新版 RMS 新增的 Azure RMS 功能,更簡化了舊版 RMS 繁瑣的分享步驟,讓使用者可以直接透過 Azure 雲端服務來進行權限的驗證,也讓 RMS 的建置成本大幅下降。本次的資安小常識,將提供您如何透過 Azure RMS 來管理雲端上的機敏文件。

     

    不管在資料庫管理和伺服器管理,撰寫系統記錄 (logging) 都是保護及監控系統安全最簡單的好方法。系統記錄會記錄下管理者的動作以及文件讀取的歷史紀錄。因此監控系統記錄可以達到以下三個目的:

    1. 監控資料是否被濫用

    建議的系統記錄時間應該小於15分鐘,這樣可以提供一個針對您的 RMS 資料的連續性監控。
    若某特定對象在非業務時間大量的存取機敏資料,或是在同一個時間區段內 (15分鐘) 從不同的 IP 登入,抑或是在沒有辦公據點的 IP 位置登入,那這些舉動即可能被視為資料的濫用。

    2. 分析資料讀取記錄,了解讀取背後的意義

    您可以藉由讀取記錄了解某特定使用者的資料讀取記錄,以及讀取的地點訊息等等,這些資源方便您了解使用者的行為。

    3. 當做事件發生的證物

    當資安事件發生時,管理者可以藉由系統記錄來查詢最後存取系統的使用者,並了解他所讀取的東西。這些訊息方便管理者對機敏資料流向得掌控。

     

     

    在開始設定之前

    在設定Azure RMS 的系統記錄之前,有三件事必須要先準備好:

    1. 您的企業必須是 Microsoft RMS 的訂戶
    使用免費的 RMS 個人帳戶將不提供系統記錄的功能。

    2. 您必須是 Windows Azure 的訂戶
    因為系統記錄必須存放在 Azure 之中,所以您必須是 Azure 的用戶,尚未擁有 Azure 帳戶的可在此申請, 目前 Azure 一個月免費試用

    3. 您的系統必須安裝 Windows PowerShell for right management
    因為在設定和管理的過程需要用到 PowerShell 來設定,所以您的系統必須安裝 PowerShell,下載網址

     

     

    設定 Azure 儲存空間

    開啟您的 Azure 入口網站,在左側的功能列表中點選 STORAGE -> NEW -> QUICK CREATE。

     

    02

    圖二、 在 Azure 中新增儲存空間  (圖片來源)

     

    創建完成後,選取剛新增的實例,並按下下方的 MANAGE ACCESS KEYS 按鈕,來管理您的儲存空間存取金鑰。

     

    03

    圖三、 選取新增的儲存空間實例  (圖片來源)

     

    04

    圖四、 複製存取金鑰  (圖片來源)

     

     

    設定儲存帳號和啟用系統記錄功能

    在安裝完 PowerShell 後,就要利用一些Command 來開啟系統記錄的功能。
    1. 匯入 Microsoft RMS 模組並連接至 Azure RMS

    PS C:\Windows\system32>Import-Module AADRM
    PS C:\Windows\system32>Connect-AadrmService -verbose

     

    2. 當系統跳出認證請求時,輸入管理者的帳號和密碼加以認證。

     

    3. 輸入 Command 告訴 Azure RMS 您的記錄在 Azure 上存放的位置,將剛剛的存取金鑰輸入在底下。

    PS C:\Windows\system32> $accesskey = ConvertTo-SecureString"wUjKVV14XXUCrdpuLsIa8yQ5IgUmLSOLmlgS/CcHNZXiurEORjTItdtPf4OpCaIwGNyijjMPxvDEOG21HRKR7A==" –asplaintext –force

    PS C:\Windows\System32>Set-AadrmUsageLogStorageAccount -StorageAccount RMSBILogs -AccessKey $accesskey

    RMSBILogs was set as the storage account for the usage log feature for the Rights management service.

    PS C:\Windows\system32>

     

    4. 開啟系統記錄的功能。

    PS C:\Windows\system32> Enable-AadrmUsageLogFeature

    The usage log feature is enabled for the Rights management service.

    PS C:\Windows\system32>

     

     

    如何使用和存取 RMS 系統記錄

    您可以用以下三種方法存取 RMS 的系統記錄

    1. 使用 Windows PowerShell Cmdlet
    使用Get-AadrmUsageLog cmdlet 能夠讓使用者下載每一筆區塊的資料到本機端。

    2. 使用 Windows Azure Storage SDK
    利用 Azure Storage SDK 讓您能夠更彈性地使用Get-AadrmUsageLog 所提供的功能,Windows Azure Storage SDK 的介紹如下

    3. 使用 Microsoft Power BI
    使用 Microsoft Power BI 讓您能夠將使用的記錄下載成 Excel 使用。

     

     

    如何解析 RMS 系統記錄

    RMS 的系統記錄範例如下:

    #Software: RMS
    #Version: 1.0
    #Fields: date time row-id request-type user-id result correlation-id content-id c-info c-ip

    2013-09-19 13:46:44 0d07036b-c66c-4e92-b887-f59ecd61dc96 AcquireLicense 'janet@corp-contoso.com' 'Success' ad18e935-bcf9-4b51-9d34-cf3391c451ef {9312A0DF-DA57-4854-9160- 603A1ED06CB3} 'MSIPC;version=1.0.622.36;AppName=WINWORD.EXE;AppVersion=15.0.4535.1000;AppArch=x86;OSName=Windows;OSVersion=6.2.9200;OSArch=x86' 94.245.87.113

     

    表一、RMS 系統記錄欄位對照表

    欄位名稱

    W3C 資料型態

    欄位描述

    範例

    Date

    Date

    UTC Date when the request was served. The source is the local clock on the server that served the request.

    2013-09-19

    Time

    Time

    UTC Time in 24H format when the request was served. The source is the local clock on the server that served the request.

    13:46:44

    row-id

    Text

    Unique GUID for this log record. This is useful for provenance when you aggregate logs or copy logs into another format.

    0d07036b-c66c-4e92-b887-f59ecd61dc96

    request-type

    Name

    Name of the RMS API that was requested

    AcquireLicense

    user-id

    String

    The user who made the request. The value is enclosed in single quotes. Some request types are anonymous, in which case this field is ‘’.

    'janet@corp-contoso.com'

    Result

    String

    ‘Success’ if the request was served successfully. The error type in single quotes if the request failed.

    ‘Success’

    correlation-id

    Text

    GUID that is common between RMS client log and server log for a given request. This helps in troubleshooting client issues.

    ad18e935-bcf9-4b51-9d34-cf3391c451ef

    content-id

    Text

    GUID, enclosed in curly braces, that identifies the protected content e.g. a document. This field has a value only if request-type is AcquireLicense, it is blank for all other request types.

    {9312A0DF-DA57-4854-9160-603A1ED06CB3}

    c-info

    String

    Information about the client platform making the request. The specific string varies depending on the application, OS, browser.

    'MSIPC;version=1.0.622.36;...OSArch=x86'

    c-ip

    Address

    IP address of the client making the request

    94.245.87.113

     

    表二、常見的請求對照表

    欄位名稱

    欄位描述

    AcquireLicense

    Client is requesting a license for a specific piece of content, from a Windows computer.

    FECreateEndUserLicenseV1

    This is similar to the AcquireLicence request. This endpoint is for mobile clients.

    Certify

    Client is requesting a certificate (which is later used to get a license) from a Windows computer.

    GetClientLicensorCert

    Client is requesting a publishing certificate (which is later used to protect content) from a Windows computer.

    FECreatePublishingLicenseV1

    This is the same as the previous two combined, from mobile clients.

    FindServiceLocationsForUser

    This is sometimes anonymous, and sometimes with authenticated. This is an innocuous request that queries for the URLs to certify and acquire license from.

    Decrypt

    You will see this only if you brought in your own key (BYOK, see whitepaper http://technet.microsoft.com/en-us/library/dn440580.aspx). The Microsoft Rights Management service logs this when your key is used for decrypt – typically once per AcquireLicense and Certify.

    Sign

    You will see this only if you brought in your own key (BYOK). RMS logs this when your key is used for signing – typically once per one time per AcquireLicence (or FECreateEndUserLicenseV1), Certify, and GetClientLicensorCert (or FECreatePublishingLicenseV1).

     

    透過 Azure RMS 的系統記錄功能,不但可以達到監控系統機敏文件存取記錄的功能,同時將記錄檔存放在雲端服務上,又可以減少企業維護系統的成本,可說是一舉數得。若您想要追蹤最新的RMS 技術,也歡迎到 RMS 的官方部落格 (英文) 來取得最新的資訊。

     

    參考資料

     

     

  • [資安小常識] 透過Windows Azure Pack 安全地管理您的網站

    Posted over 1 year ago
    by Henry Wu (Cho-Han)}

    編者:Cho-Han Wu

     

    01

    圖一、 Windows Azure Pack 讓您更輕易地管理網路服務  (圖片來源)

     

    Windows Azure Pack 是一套 System Center 2012 R2 上的套件,讓您的資料中心可以提供類似 Windows Azure 的簡易管理網站、部屬虛擬機器或是 Service Bus 等服務的自助入口網站,並且同時可以整合 Windows Server 2012 R2 Hyper-V 和 System Center 2012 R2 的功能,讓您的私有雲也可以享受 Windows Azure 的操作體驗。

     

    近幾年有許多網站接受到 阻斷攻擊 (Denial of Service, DoS),原因是因為主機的伺服器受到駭客大量且密集的封包請求而導致網站無法立即處理這些封包而被癱瘓,造成一定程度的損失。本次的資安小常識將會整理幾項設定方法讓您部屬於 Windows Azure Pack 的網站服務更加安全。

     

    本篇文章提供您三種設定方法來防範阻斷服務 (Dos) 的攻擊:

    1. 過濾來源IP (建立黑名單)

    2. 設定系統資源配額

    3. 設定不同的使用者角色

     

    02

    圖二、 Dos Attack  (圖片來源)

     

     

    過濾來源IP:

     

    管理者可以藉由篩選某些區段的 IP 來避免網路服務受到攻擊。常見的阻斷攻擊方法是從 Service 的內部下手,例如藉由網頁呼叫Web farm 裡的其他服務,而有機會造成一個阻斷攻擊。所以在這個例子中,管理者可以選擇將Web farm牽涉到的子網路IP位置設為黑名單,避免承租戶使用此區段的IP而造成風險。您可以用兩種方式來進行設定:

    1. 使用 Windows Azure Pack 管理入口網站

    • 在入口網站左側的功能列表中,選取Web Site Clouds

    • 選取您要設定的網站

    • 選擇 Block List

    • 在下方的指令列表中選取Add

    • 在文字方愧內輸入過濾IP區段的起點和終點

    • 點選確認即可完成

     

    2. 使用 PowerShell

    指令中的及請自行更換為欲過濾之IP

    Add-pssnapin WebHostingSnapin

    Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1

    Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange ,

     

    接著需要重啟 Dynamic WAS Service

    net stop dwassvc

    net start dwassvc

     

     

    設定系統資源配額:

     

    另外一種防範阻斷攻擊 (DoS) 的方法是設定系統資源的配額,管理者可以藉由設定CPU、記憶體、頻寬、硬碟等等的配額來限制攻擊者的行為。以致系統資源在接受到突如其來的大量請求時,會因為超過設定的配額而短暫關閉,進而可以達到保護系統資料的效果。有些攻擊者會利用重複嘗試的方法來破解密碼,如果遇到強度較高的密碼,則系統則有可能在攻擊者破解之前就關閉,讓攻擊者無法入侵。

     

     

    設定不同的使用者角色:

     

    在最安全的情況下是針對每個不同的開發者或使用者都給予不同的角色憑證,Windows Azure Pack 管理入口網站也可以讓您輕鬆地管理並編輯使用者的角色憑證。

    • 以管理者權限登入,並選擇要管理的 Web Site Clouds

    • 點選 Credentials,並選取要修改的使用者名稱

    • 在下方指令列表中點選Edit,並設定新的名稱和密碼

    • 重複步驟直到每一個角色憑證都是唯一的

     

    在設定的過程中需要注意的是千萬不能將每個角色都設定為管理者,否則會造成資安上的問題。另外,除了密碼之外,角色名稱也應該在固定的週期內更換。在更換的過程中也要注意必須在新的角色憑證都可以使用後才將舊的角色憑證刪除,以確保系統可以正常登入。

     

    Windows Azure Pack 除了提供一個良好的且便利的虛擬化平台外,也提供使用者一個可以安全地部屬網路服務的環境。本次資安小常識提供了三種在Windows Azure Pack 網站服務中避免遭受阻斷服務 (DoS) 的方法,希望您可以多加利用,讓您的網頁服務遠離可能遇到的資安風險,並可以永續不斷地提供優質的服務。

     

     

    參考資料

     

     

  • [資安小常識] Microsoft 資訊安全情報報告第 15 卷內容摘要

    Posted over 1 year ago
    by Henry Wu (Cho-Han)}

    作者:Cho-Han Wu

     

     

    微軟資訊安全情報報告書 (Microsoft® Security Intelligence Report)呈現的是每半年一次的產業資安觀察,提供企業資安負責人更深入的見解。本期的資訊安全情報報告書主要觀察的時間是在2013年上半年(一月至六月),並歸納了全球Windows 使用者以及網際網路上所提供的一些熱門線上服務所收集到的資料。針對軟體公開弱點、惡意程式分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本期資安小常識將針對第十五期的資訊安全情報報告書的內容做一個重點整理及報導。

     

    本報告主要以幾個主要分類進行探討:

    1. 資訊安全漏洞 (Vunerabilities)
    2. 入侵程式 (Exploit)
    3. 惡意程式 (Malware)
    4. 電子郵件威脅 (Email threats)
    5. 惡意網站 (Malicious websites)

     

    資訊安全漏洞 (Vunerabilities)

     

    資訊安全漏洞是指某些軟體內的弱點,讓攻擊者有機可趁並在使用者不知情的情況下,藉由在軟體內放置惡意的程式碼,得以竊取資料庫內機密資料或是讓軟體崩壞。

     

     

    上圖為2013年上半年度的資安漏洞外洩程度,根據共通弱點評估系統 (Common Vulnerability Scoring System, CVSS) 把嚴重的等級分為0~10 分作為評估的依據。可以看到有超過一半以上的比例(52.9%) 是屬於中等程度的外洩,並有 36.7% 的程度是屬於高嚴重程度的外洩。

     

     

    以上系列圖為2010年下半年度到2013年上半年度的,依順時鐘順序為資安外洩嚴重程度、資安外洩複雜程度、外洩的類別以及微軟產品及非微軟產品的比較。從上圖中可以看到的在複雜度部分,高複雜度的外洩在這段期間內維持約 5%以下的比率,低複雜度的外洩從2011年上半年度以來就是維持著最高的比率,大約維持在50%左右。而在外洩類型的部份,則是以應用程式的外洩為大宗,其次為作業系統以及瀏覽器的外洩。另外,對於微軟產品和非微軟產品的比較部分,可以看到非微軟的產品所受到的外洩比率較高,而微軟產品所佔的比率大約為10%以下。

     

     

    上圖為近兩年來全球受到資安攻擊的數目和感染率之比較,可以看到的是雖然每一季每一千台電腦大約有180台左右會受到資安攻擊事件,但是實際上真的受到感染的比例仍不高,大約為0.6%左右,顯示大部分的系統都有受到良好的保護。

     

    入侵程式 (Exploit)

     

    入侵程式是指一段惡意程式碼,在未經過使用者的同意下,擅自在軟體間尋找漏洞來感染、干擾和控制電腦。入侵的對象包含了作業系統、網頁瀏覽器、應用程式以及軟體套件等等。

     

     

    上圖中顯示了在2012年第三季到2013年第二季之間,微軟防毒軟體所偵測到的各種入侵,並以單一電腦計次計算。可以看到以網頁為基礎的 (HTML/JavaScript) 威脅從2013年開始就是最高的比率,隨後是Java以及作業系統。另外,在下圖中可看到 HTML/IframeRef 是2013年最高比例的惡意入侵來源,其主要原因是在HTML中的Iframe 標籤容易讓使用者被誤導入惡意的網站中,下載到入侵程式,而造成系統危害。

     

     

    惡意程式 (Malware)

     

    這部份的資料收集自許多不同來源的遙測資料,包含了十幾億台電腦以及許多繁忙的伺服器資料。本部分的內容以遭遇率來計算惡意程式的普及率,下面兩圖呈現2013年第二季全世界的感染率和遭遇率。

     

     

    上圖用每一千台被掃描的機器所發現的感染數來代表感染率,可以看到的是全世界感染最嚴重的地區包含了北非,中東以及南亞。而在下圖的遭遇率可以看到在整個亞洲遭遇到惡意程式的普遍程度是比北美洲和歐洲來得高。

     

     

    而在下圖也可以看到各個國家惡意程式的盛行率,就2013年第二季來看,前三名的國家分別是俄羅斯、印度以及墨西哥。

     

     

    如果根據作業系統來看,下圖顯示了2013年第二季 Windows 作業系統在不同版本或是 SP 下的感染率。此資料是經過正規化的,也就是雖然各版本的使用人數不同,但此圖表呈現的方式是以同樣的人數為基準 (皆以每一千人呈現的感染資料為主)。可以看到在各版本中,又以 Windows XP SP3的感染率最高,Windows Server 2012 RTM的感染率最低。

     

     

     

    再把遭遇率拿出來比較的話,可以看到的反而是Windows 7 所遭遇到的攻擊比率較高,Windows XP SP3只落到第三名,但它卻是感染率最高的作業系統,這種情形可能會在延伸支援到期時更加嚴重。

     

     

    若是分析了惡意程式的類別,可以看到前三名的惡意程式是 Win32/Obfuscator、 INF/Autorun、.JS/IframeRef,Autorun是最近一年來遭遇次數最多的惡意程式類別,雖然在Windows XP 和Windows Vista的改版已經使此項技術變得較無效率,但是攻擊者仍藉此當作攻擊的目標,並試圖逃避微軟防毒軟體的偵測和封鎖。第二項最常遭遇攻擊的類別是Obfuscator,Obfuscator 藉由一些加密、壓縮以及anti-debugging 和anti-emulation的技術,讓原始的程式的功能維持正常,但實際上卻是不同的編碼,實作惡意的行為。

     

    電子郵件威脅 (Email threats)

     

    本部分內容的資料來源是來自於微軟的Exchange Online Protection (EOP) 統計資料,EOP是一個雲端式的電子郵件篩選服務,它能協助組織抵禦垃圾郵件和惡意軟體,同時也包括預防組織發生訊息原則違規的功能。下圖一為2009年下半年到2013年上半年被EOP所阻擋的惡意訊息數目;下圖二則為阻擋訊息的類別,可以看到這些垃圾訊息又以藥物訊息為大宗,其次是圖片訊息,詐騙訊息為第三。

     

     

     

    下圖看到的是傳送垃圾郵件的IP位置來源國家統計,可以看到寄送最多垃圾郵件的IP是來自美國,其次是中國以及英國。

     

     

    針對如何防範email威脅的部分,本期的SIR也提出了相關的建議:例如除了使用郵件過濾服務如EOP等以外,自己也可以藉由實行email認證技術和觀察最好收發email的方式,想要更深入的了解如何防衛email威脅,可以詳閱本期SIR的Guarding Against Email Threat 章節。

     

    惡意網站 (Malicious websites)

     

    1. 釣魚網站
    釣魚網站是指內容常會誤導使用者進入非網頁主旨的網站,這些網站通常會放在免費的網頁伺服器空間,或是不安全的網域名稱下。下圖是2013年第二季全世界釣魚網站的分布圖,可以看到印尼、南非、及東歐部分地區為主要的釣魚網站來源地。

     

    2. 惡意主機服務提供者
    惡意主機服務時常藉由提供免費的空間,藉以詐取使用者放在上面的資訊或資料等等。在2013年第二季當中,最多的惡意主機服務提供者是來自於中國、俄羅斯、以及巴西。

     

    3. 偷渡式下載
    所謂的偷渡式下載主要是針對使用者的電腦未完整更新(包含作業系統或是電腦中的第三方軟體),來進行攻擊行為;通常攻擊者會先將惡意程式碼隱藏於網頁中,當使用者存取到該網頁時便會遭受惡意影響並轉址到真正含有惡意程式的網站,進行下一步的感染/植入或是相關的竊取個資等行為。在2013年第二季的分布圖中,可以看到外蒙古、加拿大、印度及歐洲等地是偷渡式下載的主要來源

     

     

    參考資料