Search Results: SentinelOne (6)

    Microsoft一批 Microsoft hardware developer 帳戶的驅動程式,被發現遭注入惡意編碼,由於驅動程式擁有最高 kernel 權限,因此有權停止電腦內的安全工具運行及刪除受保護檔案,部分攻擊更涉及 Cuba 及 Hive 勒索軟件。雖然 Microsoft 已刪除相關帳戶,但對於問題的根源,卻仍然保持沉默。 發現這波攻擊的網絡安全公司分別為 Mandiant、Sophos 及 SentinelOne,雖然三間公司捕獲的攻擊,都不是由同一黑客組織發動,但採用的開發者證書,卻屬於同一批,而且亦使用同一種取得 Microsoft 安全驗證的工具包。 這次攻擊的嚴重性在於,黑客使用了經驗證的帳戶證書。專家解釋,由…

    Microsoft Defender 網絡防禦工具,被發現存在安全漏洞,黑客只要取得企業其中一部網絡設備的使用權限,就可以將惡意軟件儲存於不受監管的位置並執行,過程中不會觸動任何警報。受影響的包括 Windows 10 21H1 及 Windows10 21H2 電腦,不過現時漏洞已被 Microsoft 堵塞,用家毋須慌張。 上個月,Microsoft 自家安全防護工具 Microsoft Defender 被發現存在安全漏洞,讓黑客可準確將惡意軟件儲存或安裝到不受防護工具監管的位置。專家解釋,鑑於 Microsoft Defender 可能會對部分企業使用的軟件或程式產生錯誤警報,因此系統允許管理員將指定軟件或執行位置加入豁免清單,即可以排除在日常安全掃描之外,以免經常觸發…

    Microsoft 表示,經常被用作散播勒索軟件、名為 Zloader 的惡意軟件,現時在 Google Ads 中傳播。這種散播勒索軟件的惡意軟件,使用以加密簽名偽造的 Java 應用程式來避過檢測,將網絡釣魚活動以新型隱密的攻擊方法傳開。該惡意軟件是網絡犯罪界的重要部分,並在最近突然引起 Microsoft 和美國網路安全與基礎安全署(CISA)的注意。 CISA 早前警告,ZLoader 被用作散播 Conti 勒索軟件服務,而 Conti 主要用於向勒索軟件散播者支付工資,而不是作出新感染。ZLoader 是一種銀行木馬,會被用作在網絡中竊取 cookie、密碼和其他敏感資料。但據安全公司…

    隨物聯網、雲端運算、新DevOps流程應運而生,既迎來新機遇,亦減低了可見度形成新漏洞,黑客不再只局限於惡意軟件、供應鏈威脅及內部攻擊。為更有效對抗日新月異的威脅,有行業分析師指出採用新興的網絡偵測與回應(Network Detection and Response,NDR),是企業保障資安的首要任務。 企業想從網絡流量發現異常及加以反應,以往可能需要多種系統,但現今只需採用NDR,即可在單一系統中綜覽網絡上的威脅態勢。所謂NDR,即利用即時側錄或截取的網絡流量,透過機器學習或人工智能機制,加以解析流量的中繼資料(Metadata),從而尋找異常行為。此類新興防護措施,與近年較多企業偏重的EDR(Endpoint Detection and Response)概念相同,同樣要達致「偵測」與「回應」,不過EDR是透過端點的層面下手,NDR則是透過網絡流量。 Arista與SiS攜手合作,為發展NDR 揭開新一頁 因應現代IT環境不斷演變,並非每個異常活動都是惡意,亦並非每個惡意活動都是異常,系統必須具備區分好壞的能力。以「工作如人腦」為賣點的Arista Awake Security與SiS攜手合作,為發展NDR 揭開新一頁,僅在幾秒內即能完成「偵測」及「回應」。Awake Security的NDR系統有如人類思維,利用感官及認知識別危機並做出反應,分析涵蓋「新網絡」,包括數據中心、校園、物聯網、IoT以及雲端工作負載網絡和SaaS應用,解析超過3000個網絡通訊協定(Protocols)並處理第2層到第7層數據。 系統由全球首創的私隱意識安全決策「Ava」支援,結合幾種不同人工智能技術,數據基礎設施比其他現代安全系統能截取、處理和儲存多100倍實時數據,在網絡安全、分散式運算等領域更擁有超過100項美國專利。 獨立機構Tolly Group早前曾測試5種攻擊場景,均是NDR需要應付的主要問題,包括偵測物聯網威脅、數據盜竊和外洩、內部威脅及認證竊取,結果Awake Security能識別所有攻擊場面,惟同類型產品不但只能識別2種,更產生逾50個無效警報,遠比Awake Security僅1個為多。對企業而言,產生過多警報百害而無一利,Awake…

    一個存在了近 16 年的打印機驅動程式漏洞,最近被網絡安全組織 SentinelOne 公諸於世,受影響的打印機品牌包括 HP、Samsung 及 Xerox,只要黑客取得本機帳戶登入資料,就可借漏洞提升至最高權限,過程中完全毋須電腦用家參與,而且防毒軟件亦無法阻止其他惡意軟件繼續進入,估計有數以百萬計用家有被入侵風險…… 由 SentinelOne 發現的有問題打印機驅動程式檔名為 SSPORT.SYS,專家發現只要它被安裝在 Windows 作業系統後,即使在未有接駁打印機的情況下,每次開機時都會首先被執行,因而成為絕佳的攻擊弱點。發動攻擊的必要條件是黑客必須首先取得本機的基本帳戶權限,然後就可利用漏洞引發緩衝記憶體溢滿 (buffer overflow),進而提升至最高帳戶權戶,於 Kernel mode 執行惡意編碼,從而繞過防毒軟件的攔截,繼續引入其他惡意軟件。 專家指出,當黑客提升帳戶權限後,就可安裝任何程式、編輯電腦內的檔案,甚至執行加密程序,後果可大可小。而又因為…

    做得黑客,好多時候都係為錢,整咗個勁嘢,當然唔會收埋自己用咁簡單,最好就係公諸同好,放上網公開發售,乘機收返少少開發成本,呢個市場長做長有,質素高功效好嘅病毒程式,仲長期大賣添! 寫得好,仲會吸引到國家級黑客!最近資安機構 SentinelOne 就出咗份報告,話發現北韓國營黑客集團 Lazarus Group,居然走去買 TrickBot 返去用。 嗱,其實我係無貶意嘅,TrickBot 話晒都係全球三大 botnets 病毒程式之一,實力有返咁上下,只係斷估唔到北韓會吼中佢,事關以佢哋嘅實力,實在唔需要外求,自家研發能力都有返咁上下,點解要買個現成程式返嚟呢? 報告就話件事唔係咁簡單,一來用 TrickBot 入侵,冇咁易估到係國家級黑客做,最多當係商業行為,容易掩人耳目,二來喺 TrickBot 下面可以加好多組件,今次北韓班黑客就加咗 Anchor,呢個組件出名用嚟搞銷售系統,而今年年初美國財務部就話發現至少有三個北韓黑客組織,入侵銀行系統嚟抬錢返國家,資助國家添置武器,唔排除今次 Lazarus Group 有同樣目的。 其實今次唔係單一事件,今年美國已經發現 GameOver Zeus 同埋 Dridex 呢兩個病毒程式,同俄羅斯國家黑客有連繫,呢個趨勢發展落去,私營同埋國營黑客條界線只會愈嚟愈模糊,日後兩者一齊夾份做世界都唔奇,歐美國家真係有排煩! 資料來源:https://zd.net/2RWGyXs