GREYCORTEX BECAME A MEMBER OF EUCYBSEC

GREYCORTEX became a new member of the non-profit Association, EUCYBSEC (European Cyber Security Excellence Center). Interests of the Association are cybersecurity and protection of SCADA systems. EUCYBSEC is aiming to create a communication space, where commercial, state and academic specialists can freely interact and share their knowledge. Thanks to EUCYBSEC membership, GREYCORTEX gets an opportunity to participate in professional events organized by the Association.

 

About Version 2
Version 2 is one of the most dynamic IT companies in Asia. The company develops and distributes IT products for Internet and IP-based networks, including communication systems, Internet software, security, network, and media products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

About GREYCORTEX
GREYCORTEX uses advanced artificial intelligence, machine learning, and data mining methods to help organizations make their IT operations secure and reliable.

MENDEL, GREYCORTEX’s network traffic analysis solution, helps corporations, governments, and the critical infrastructure sector protect their futures by detecting cyber threats to sensitive data, networks, trade secrets, and reputations, which other network security products miss.

MENDEL is based on 10 years of extensive academic research and is designed using the same technology which was successful in four US-based NIST Challenges.

AV-Comparatives Names ESET Endpoint Security Solution as the Lightest on the Market

Today, global IT security vendor ESET has been awarded top marks by AV-ComparativesESET Endpoint Security has been named the lightest endpoint security solution on the market by the world’s leading security software testers AV-Comparatives. Following a series of performance tests on a number of endpoint security solutions, ESET Endpoint Security was commended for its low system impact.


Using one of the largest sample collections in the world, AV-Comparatives provides the most accurate test by creating a real-world environment and replicating the scenarios faced by everyday users.

ESET Endpoint Security provides businesses comprehensive IT security via multiple layers of protection including trademark NOD32® detection technology combined with machine learning. It protects networks from malware and phishing attacks and stops harmful malware from breaching your system. It provides complete data access protection and fully adjustable scanning, including cloud-powered scanning.


“ESET’s business solution made an impressive run in another of our Business performance tests, reaching the lowest impact score of all tested solutions,” commented Andreas Clementi, CEO at AV-Comparatives.


AV-Comparatives rated ESET’s product at an industry high, with a total score of 98.3 in the industry recognized PC Mark tests. The software was praised as ‘very fast’ for browsing websites, launching applications, installing and uninstalling applications, downloading files, as well as archiving and unarchiving files.


“We pride ourselves on developing products that give the most robust protection to enterprises without slowing down their systems,” said Michal Jankech, Business Product Manager. “AV-Comparatives is the most renowned testing organization out there so it’s great to see that ESET Endpoint Security software has scored as the lightest on the market. Business and consumers can rest assured their systems won’t be impacted and will continue to run at high speeds, all while maintaining the highest level of protection.”

You can read more about ESET Endpoint Security and request a free trial here.

Read the whole report by AV-Comparatives here.
 

About Version 2 Limited

Version 2 Limited is one of the most dynamic IT companies in Asia. The company develops and distributes IT products for Internet and IP-based networks, including communication systems, Internet software, security, network, and media products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 Limited offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

About ESET

Founded in 1992, ESET is a global provider of security software for enterprises and consumers. ESET’s award-winning, antivirus software system, NOD32, provides real-time protection from known and unknown viruses, spyware, rootkits and other malware. ESET NOD32 offers the smallest, fastest and most advanced protection available, with more Virus Bulletin 100 Awards than any other antivirus product. ESET was named to Deloitte’s Technology Fast 500 five years running, and has an extensive partner network, including corporations like Canon, Dell and Microsoft. ESET has offices in Bratislava, SK; Bristol, U.K.; Buenos Aires, AR; Prague, CZ; San Diego, USA; and is represented worldwide in more than 100 countries. 

Bad Rabbit:勒索病毒Not-Petya變種重現

最新資訊(中歐時間10月27日15:35時):一份新報告指出,美國國家安全局所洩露的駭客工具之一“EternalRomance”,已被利用來在網路上傳播Diskcoder.D。我們透過安裝微軟公司緊急漏洞修復MS17-010(用以彌補美國國家安全局洩露駭客工具所利用的系統漏洞)來確認此訊息,並從而阻止該惡意程式借助IPC$共用資料夾方式進一步散佈。

一款新的勒索病毒於10月24日爆發,已攻擊包括歐洲大部分地鐵系統,其中也包含烏克蘭部分重要基礎通訊設施。有關這一新變種的詳細介紹,請見下文。

藉助對知名網站進行Watering Hole(水坑)攻擊,使使用者在不察覺的情況下自動下載

Bad Rabbit的散佈途徑之一,就是在使用者毫無察覺的情況下自動下載。一些知名網站已被攻陷,HTML文本或某個.js檔之中被植入了Java腳本。

植入腳本後的樣本如下所示:

該腳本向185.149.120[.]3回饋資訊,目前該位址暫無回應。

  • 瀏覽器使用者代理
  • 引用頁
  • 已訪問網站的cookie
  • 已訪問網站的功能變數名稱

透過攻擊伺服器端邏輯運算,認定訪客是否具有攻擊價值,之後再把內容添加到頁面之中。此時可看到彈跳視窗,頁面中央顯示請使用者下載Flash播放機更新版的提示資訊。

點擊“安裝”按鈕後,便開始啟動來自1dnscontrol[.]com的可執行檔下載進程。可執行檔名為install_flash_player.exe,實際就是W32/Diskcoder.D下載器。

最終電腦會出現下列勒索資訊:

 

付款方式頁面如下:

藉助SMB散佈

Win32/Diskcoder.D能夠藉助SMB散佈。與一些公開說法不同的是,該勒索病毒並不像Win32/Diskcoder.C(Not-Petya)爆發時那樣,利用“EternalRomance”漏洞。它會首先掃描內網,查找開放的SMB共用記憶體。目標共用帳號如下:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spools
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

在已被攻陷的電腦上啟動Mimikatz,擷取用戶名和密碼。常見容易被攻擊帳號密碼組合如下。



當找到適當組合後,便會在Windows資料夾中釋放infpub.dat檔,通過SCManager和rundll.exe執行。

加密

Win32/Diskcoder.D是Win32/Diskcoder.C的變種,已修復了原有的檔加密缺點。現採用DiskCyptor加密,用於全硬碟加密的一種合法開源軟體。金鑰通過CryptGenRandom生成,並採用RSA 2048位公共金鑰保護。


如同前身一樣,使用了AES-128-CBC演算法加密。


散佈區域


據ESET資料中心統計,烏克蘭只受到攻擊佔總數的12.2%。具體統計資料如下:

  • 俄羅斯:65%
  • 烏克蘭:12.2%
  • 保加利亞:10.2%
  • 土耳其:6.4%
  • 日本:3.8%
  • 其他:2.4%

這與被植入惡意Java腳本的受害網站分佈情況大致吻合。那麼為何烏克蘭相比其他國家受害情況更嚴重呢?

值得一提的是,所有這些大公司都是同時遭受攻擊的。很可能駭客已滲透進公司網路,同時發起Watering Hole(水坑)攻擊以掩人耳目。再沒有什麼比“Flash更新”令其受害更具說服力。ESET目前仍在著手調查,我們將第一時間發佈相關資訊。

樣本

c&C伺服器


付款網站:http://caforssztxqzf2nm[.]onion

植入網址:http://185.149.120[.]3/scholargoogle/

散佈網址:hxxp://1dnscontrol[.]com/flash_install.php

被攻陷網站列表:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info hxxp://osvitaportal.com[.]ua hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體,抵禦網路攻擊或資安威脅,協助您打造良好的資安環境。

原文出處: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、台灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

何謂UEFI查毒,用戶為何需要此項功能?

Cameron Camp,ESET安全研究員

2017年10月26日

當ESET公司宣布,旗下最新版零售終端防護產品集成了UEFDI掃描功能時,用戶主要反映分為兩種。有些人稱:“太棒了!”;還有人說:“UEFI掃描功能是什麽?”本文就為您提供此問題的答案 – 我想,回答”太棒了!“的人往往是計算機安全領域最新技術的密切關註者,深知這所謂的UEFI往往蘊含著安全隱患。

從BIOS到UEFI

先從基礎知識講起。UEFI是通用可寬展固件接口的英文縮寫,是計算機系統的最基礎元素,在開機時啟動操作系統,即所謂的開機啟動程序。您或許聽說過,這一程序是由所謂的BIOS即基本輸入輸出系統控制的,實際上過去也的確是這樣。但現如今的計算機已采用UEFI取而代之,雖然偶爾出於習慣被一些人稱為BIOS。

與計算機系統的其他組件一樣,一旦UEFI被黑客攻擊後,便可獲取系統及其數據的非法訪問權限。UEFI查毒引擎的功能就是檢測和查殺,早於操作系統啟動之前便可執行的一類威脅。此類威脅包括rootkit和勒索病毒在內,針對UEFI之中的安全漏洞發起攻擊,具有很強的頑固性,即使重新安裝操作系統後仍可存活。簡單地說,ESET UEFI查殺引擎的作用就是防範此類攻擊。

UEFI的前身BIOS,早在1975年為八位計算機系統開發。可能沒有人會想,進入新世紀後仍會沿用。但有時舊技術有頑強的生命力,超出人們的預期(例如鼠標,有人能提出反對意見嗎?)。部分是因為沒人知道如何取代BIOS,但人們卻能夠明確,新技術應具備更強功能和更好的安全性,便於升級和擴展,無需編寫匯編語言代碼。

令BIOS壽終正寢更為實際的因素之一,就是需要支持大型硬盤。1975年那時,還沒人想到搭配2TB以上硬盤會有怎樣的後果,這一容量在當時看來是難以想象的。但現在情況已經變了!

不僅如此,如果其中能內置有連網功能,早在系統啟動之前便能夠下載更新,豈不是更好?更易理解、更便於擴展的易用操作界面,搭配某種存儲途徑,例如借助硬盤存儲更新文件、USB密鑰等一類數據,而不再依賴BIOS芯片本身,受其中相對極小的容量所制約,豈不快哉?

雖然這一切聽上去很好,但落實起來卻有相當難度。不僅需要有業界的廣泛支持,還必須有領頭羊率先引領這一變革。最終,英特爾公司首先涉足這一新技術領域,搭配自家不被看好的64位安騰處理器(現已停產)開創了EFI技術,因為BIOS不能支持64位運算。但為在業界推廣,英特爾公司設立了UEFI(通用可寬展固件接口)論壇並開放了EFI技術,面向所有廠商公布了適配規格。

自主適配問題

請註意,UEFI只是一種規格,並非實際執行標準,也就是說,只要在數字規格的框架內,廠商可以自主添加相關功能(C代碼形式,非常感謝)。業界也正是這樣操作的,各個廠商紛紛推出自己的版本。

青睞於各類新技術的微軟公司也采用了UEFI,從而大大促進了普及度。該公司宣布,從Windows 8起,UEFI成為新型64位計算機的貼標認證要求(原本不支持64位的舊計算機仍可以升級)。畢竟,UEFI提供了一些有趣的安全功能,這是已被淘汰的BIOS所無法實現的。

不幸的是,UEFI的自主適配性也引發了部分兼容性問題。如同每一項新技術一樣,尤其是對於功能強大、底層運行、廣受信賴、影響深遠,用以驅動紛紛上市的新型計算機的新技術而言,難以避免地會出現兼容性問題。檢測所有適配產品需要時間,測試範圍又無法保障全面性,因此一些基本問題便會出現(既是好事也是壞事)。

此外,隨BIOS成長起來的一代技術人員,也不具備修復UEFI的工具或知識,大都因為此類工具並不存在或不廣為人知,這一點目前仍是個問題。從頂層設計上,UEFI的運行流程也較為復雜。

UEFI平臺初始化啟動流程(Zimmer、Dasari及Brogan 2009年論文第16頁)

安全隱患

由於攻擊UEFI可以確保病毒效力的持續性,利用傳統檢測方式很難查殺,因此黑客們竭力尋找各種途徑獲取訪問權、升級用戶權限,並直接寫入UEFI串行外設接口或稱SPI,一塊儲存計算機啟動信息的受信閃存芯片。一旦成功後,黑客們便能夠在更多系統資源加載過程中獲取訪問權,因此能夠搞出一切可惡的低級把戲。

很明顯,保護SPI安全性是重中之重。從內部設計角度而言,這主要是通過SMM(系統管理模式)實現的。SMM就好像是SPI的安全哨所,旨在確保所加載的二進制數據不被篡改,並與證書相匹配,但SMM本身已被發現存在漏洞,使任意進制代碼可以執行,常規漏洞已被披露出來。在敦促廠商復核自身代碼之中的漏洞方面,已做出了大量努力,但廠商往往並不相信其中會存在漏洞。

記住UEFI只是一種規範,各大廠商紛紛發布了自認為對操作系統及其硬件最佳的版本。這就意味著不同廠商設備之間,有著很大的差異。此外,一些廠商還滿懷信心地發布了自己的固件代碼,對於消費者而言是否具有價值有待商榷,但普通(甚至有經驗的)消費者都極難移除。如同往常一樣,快速上市往往會給安全性造成隱患。

開啟UEFI查毒

對於安全軟件開發產業而言,UEFI所引發的潛在新型攻擊隱患意味著,針對UEFI內部結構實施掃描的迫切性,變得日益重要。因此,ESET公司率先啟動了相關潛在威脅的分析和查殺研究。起初,關於現實世界中傳播的UEFI類威脅鮮有人知,但由於ESET擁有遍布全球的廣泛疫情信息系統,借此成功開始了潛在威脅的樣本采集、驗證和分析工作,以便保護這一日益突出的薄弱環節。 

某種意義上來說,在能夠采集到現實世界中傳播的病毒樣本,並在日後公布分析結論之前,此類威脅仍停留在理論層面。對於任何一項新技術而言,最初的漏洞攻擊行為,尤其是成功的一類,通常都預示著同類攻擊的規模性爆發。一旦攻擊者找到針對UEFI漏洞發起攻擊的萬能法寶,我們便會看到更多同類威脅在現實世界中流行,直到軟硬件廠商共同協作,開發出補丁為止。 

鑒於黑客工具具備更強的靈活性以及針對UEFI的適用性,加上補丁部署的巨大差異性和長期參差不齊特性,UEFI將持續作為遭受攻擊的目標。UEFI有效查毒及威脅查殺技術的市場需求,也將隨之不斷增長。

如需閱讀We Live Security網站上有關UEFI安全性的更多文章,請訪問以下博客和論文:

·        固件之中植入惡意程序:利用安全假象的攻擊新招 (2017年10月19日)

·        Windows 10安全性及隱私權保護:深入調查和分析 (2016年6月15日)

·        Bookits、Windigo以及Virus Bulletin  (2014年9月30日) 

·        Bootkits:前生、今世和未來 (2014年9月) 

·        Windows 8發布後六個月觀感(白皮書) (2013年6月3日) 

·        白皮書:Windows 8的安全特性(2012年10月9日) 

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、台灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

威力導演 16 免費升級公告

服務對象:

凡於 2017-09-15 至 2017-11-10 期間購買「威力導演 15」系列 盒裝版或下載 版之用戶。
 

活動適用區域:香港
 

免費升級辦法:

凡於上述期間購買「威力導演 15」任一零售版本(含創意導演組合包/旗艦組合包/旗艦版/極致版/豪華版),可享免費升級至「威力導演 15」新版本服務(升級至對應版本)。

若經銷商/門市人員及消費者有升級需求及問題諮詢,請致電 Version 2 Ltd. 技術支援熱線(+852 2893 8186),本服務將由 Version 2 Ltd. 技術支援人員針

對符合升級資格並主動提出申請之消費者,進行個別免費升級服務。 

免費升級流程

1. 消費者主動洽詢訊連科技香港代理 – VERSION 2 LTD技術支援部((852) 2893 8186)提出升級服務,且透過e-mail收到申請單。

2. 消費者詳填申請單後e-mail至VERSION 2 LTD技術支援部 support@version-2.com.hk

3. 經審核通過後,Version 2 Ltd. 技術支援部將於 10 個工作天內透過 e-mail 提供 「威力導演 15」升級版下載連結。

關於Version 2
Version 2 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於CyberLink
訊連科技創立於1996年,擁有頂尖視訊與音訊技術的影音軟體公司,專精於數位影音軟體及多媒體串流應用解決方案產品研發,並以「抓準技術板塊,擴大全球行銷布局」的策略,深根台灣、佈局全球,展現亮麗的成績。訊連科技以先進的技術提供完美的高解析影音播放效果、以尖端的科技提供完整的高解析度擷取、編輯、製片及燒錄功能且完整支援各種高解析度影片及音訊格式。產品包括:「威力導演」、「PowerDVD」、「威力製片」、「威力酷燒」等。