ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

Posted on 2017 年 07 月 21 日2017 年 07 月 21 日 by Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”，顧名思義它的確是盜版自其前輩，這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動，會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍，但在6月16日又透過Rig漏洞攻擊套件冒出來。不過，我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是，迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件，就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示，Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1：ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日，Sundown-Pirate會植入Trojan SmokeLoader（TROJ_SMOKELOAD.A），它會安裝資料竊取殭屍網路感染病毒Zyklon（TSPY_ZYKLON.C）。 Continue reading “ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒”

《資安新聞周報》GhostCtrl 病毒偽裝Pokemon GO 竊聽襲擊安卓用戶對話/鎖定SambaCry 漏洞新威脅現身/全球逾5萬台主機可被EternalBlue程式攻擊

Posted on 2017 年 07 月 21 日2017 年 07 月 21 日 by 趨勢科技TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

本周焦點新聞:

Android 後門程式 GhostCtrl ,可暗中錄音、錄影，還可隨心所欲操控受感染的裝置資安趨勢部落格

鎖定「SambaCry」漏洞的新威脅現身， Linux 使用者請盡速更新系統資安趨勢部落格

資安趨勢部落格一周重點文章:

其他媒體:

無現金的荒謬！瑞典最大保全公司CEO 被駭客搞到破產還不知道鉅亨網

勒索病毒再演變彩虹小馬裝萌勒索比特幣台灣蘋果日報網

研究：全球還有逾5萬台主機可被EternalBlue程式攻擊 iThome

FBI：小心連網玩具洩露你和孩子的親子隱私! iThome

CoinDash 眾籌被劫 770 萬美元，以太幣合夥人：ICO 就像定時炸彈科技新報網

「俄」意!？英國大選駭客入侵發電廠電腦中時電子報網

英國 Wi-Fi業者使壞，讓2.2萬名用戶無意中同意去掃流動廁所 IT Home

Google 增加新安全防護措施，以減少未經驗證應用程式帶來的風險電腦王阿達

兩步驟驗證真能保護我們的帳號不被盜嗎？科技新報網

Google 兩步驟驗證將以手機提示取代簡訊 iThome Continue reading “《資安新聞周報》GhostCtrl 病毒偽裝Pokemon GO 竊聽襲擊安卓用戶對話/鎖定SambaCry 漏洞新威脅現身/全球逾5萬台主機可被EternalBlue程式攻擊”

SCADA 人機介面 (HMI) 漏洞的現況

Posted on 2017 年 07 月 21 日2017 年 07 月 19 日 by Trend Labs 趨勢科技全球技術支援與研發中心

經由 HMI 攻擊 SCADA

SCADA 是所謂的「監控與資料擷取」(Supervisory Control and Data Acquisition) 系統的縮寫。普遍用於全球的各種關鍵基礎架構，因此天生就很容易吸引各種駭客的覬覦。駭客可能駭入 SCADA 系統來蒐集一些資訊，例如：廠房設施配置圖、關鍵門檻值、裝置設定等等，來協助他們從事後續攻擊。駭客攻擊可能帶來的最壞情況包括服務中斷，或是駭客利用易燃物質或重要物資來製造威脅生命安全的危險狀況。

Stuxnet 病毒及烏克蘭發電廠遭受攻擊的案例讓趨勢科技見識到，真正有心從事破壞的駭客不僅對企業是一大威脅，更可能危及社會大眾的安全。駭客有許多可入侵 SCADA 系統的管道，其中之一就是經由其人機介面 (HMI) 軟體普遍存在的漏洞。由於 SCADA 系統大多透過所謂的 HMI 軟體來管理，而這類軟體通常安裝在具有網路連線的電腦上。因此，HMI 是 SCADA 系統遭受攻擊最主要的目標之一，最好安裝在隔離或獨立安全的網路上。但根據經驗，實際情況通常並非如此。

何謂 HMI？

所謂的人機介面 (HMI) 就是顯示資料與接受操作人員指令的介面。操作人員可透過該介面監控系統狀況並做出適當的回應。今日的 HMI 大多具備先進、可自訂的資料顯示功能，讓操作人員很方便地掌握系統的狀況。

HMI 常見的漏洞類型

趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫團隊特別針對今日 SCADA HMI 的安全性做了一番深入研究，仔細分析了 2015 至 2016 年間所有已揭露並修復的 SCADA 軟體漏洞，其中也包括 ZDI 計畫所接獲通報的 250 個漏洞。

趨勢科技發現，這些漏洞主要分成幾類：記憶體損毀、登入憑證管理不良、缺乏認證/授權機制與不安全的預設值，以及程式碼注入漏洞，全都是可以藉由安全的程式撰寫習慣來預防的漏洞。

記憶體損毀：這類問題在所有已揭露的漏洞當中約占 20%，這類漏洞是很典型的程式碼不夠嚴謹的安全問題，例如：堆疊和記憶體緩衝區溢位，以及超出範圍的記憶體存取動作。 Continue reading “SCADA 人機介面 (HMI) 漏洞的現況”

《資安漫畫》網路攝影機也會成為攻擊他人的幫凶?

Posted on 2017 年 07 月 21 日2017 年 07 月 11 日 by Trend Labs 趨勢科技全球技術支援與研發中心

Continue reading “《資安漫畫》網路攝影機也會成為攻擊他人的幫凶?”

鎖定「SambaCry」漏洞的新威脅現身， Linux 使用者請盡速更新系統

Posted on 2017 年 07 月 20 日2017 年 07 月 21 日 by Trend Labs 趨勢科技全球技術支援與研發中心

Samba的資安弱點即便經過修補，新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點（CVE-2017-7494）進行攻擊，影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外，Linux作業系統只要啟用SMB服務，也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備（包含網路儲存設備 (NAS)、IoT設備），一旦成功後即植入惡意程式。

企業環境（政府、製造業、金融業）大量使用 Linux 作業系統伺服器，且大部分均為關鍵業務系統。而Linux常被認為系統安全性高，較不會被入侵，因此較易疏於管理、更新、防護。駭客可能利用此情形，結合目標式攻擊與內網擴散手法攻擊此弱點，入侵至伺服器後加密檔案，進行勒索。因此，趨勢科技建議您，除了Windows作業系統需安裝修補程式外， Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件，極可能代表攻擊已進入到內網擴散階段，可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復，但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出，此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾，並促使伺服器載入並執行該程式庫。駭客一旦得逞，就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」，因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示，SambaCry 只被用來攻擊伺服器，且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料，駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A，發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例，它同樣也會在受害系統上開啟指令列介面。不過，ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先，它會攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置。其次，ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統，如：MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多，隨便上 Shodan 搜尋一下就能找到：指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾，含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。 Continue reading “鎖定「SambaCry」漏洞的新威脅現身， Linux 使用者請盡速更新系統 “

什麼？又有新的高風險賣場入榜(7/10~7/16)

Posted on 2017 年 07 月 20 日 by 行動安全是趨勢

「刑事警察局」與「趨勢安全達人」共同合作，將定期公布近期網路上風險高的線上平台，提醒消費者若於下述平台交易或購買時，請務必提高警覺，以免受騙上當！
以下的高風險賣場，是上週經民眾通報的危險賣場，請大家多留意交易的過程，切記不要誤信歹徒的詐騙話術因而使自己權益受損了！

趨勢科技旗艦服務（一通電話解決你全家的3C產品大小煩惱事）

Posted on 2017 年 07 月 20 日2017 年 07 月 19 日 by 趨勢科技TrendMicro

科技日新月異的時代，許多3C產品都已經深入家庭，但是卻也多了很多3C產品故障的問題無法即刻解決，尤其是長輩們，對3C產品的問題，可能就會一個頭兩個大。例如：手機、平版還是電腦…etc。
愛伯特之前的工作因為有相關經驗，所以在家裡還可以幫上忙，幫家人或者親友解決軟硬體方面的使用問題，但有時候因為在外面工作，無法即時提供協助，只能等到假日回家時再協助處理，而且有些問題也不是我有辦法解決的。
趨勢科技有聽到大家的心聲，推出一套「趨勢科技旗艦服務」，可以幫助協助你與解決家人的相關3C問題。因為它有提供專人、專線服務，不管平日假日都可以，只要你的家人有相關3C產品使用上的問題，不管是手機（Android、iOS）、電腦（PC、MAC）、平版電腦等等操作問題，還是Facebook、LINE等等使用上的問題，只要拿起電話撥打客服專線，就會有專業的客服人員協助你解決相關3C各種疑難雜症。

趨勢科技－旗艦服務
電話諮詢專線：02/23783666轉7
官方網站、趨勢科技官方FB粉絲團

Continue reading “趨勢科技旗艦服務（一通電話解決你全家的3C產品大小煩惱事）”

Android 後門程式 GhostCtrl ,可暗中錄音、錄影，還可隨心所欲操控受感染的裝置

Posted on 2017 年 07 月 20 日2017 年 07 月 20 日 by Trend Labs 趨勢科技全球技術支援與研發中心

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料，能造成的威脅還不只這樣 (至少就衝擊面來看是如此)，它還會引來一個更危險的威脅，那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名，是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能，第二版會進一步操控更多功能，第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看，未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地，各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學，有些人甚至還幫它開發了一些修補程式。

事實上，有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖)，由於這是一個 RAT 服務，因此這一點其實可以在程式編譯的時候修改 (或移除)。

圖 1：從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsapp、Pokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式，名稱大多叫做 App、MMS、whatsapp，甚至是 Pokemon GO。當應用程式啟動時，它會從資源檔解開一個 base64 編碼的字串並寫入磁碟，這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它，然後要求使用者安裝它。這程式非常難纏，就算使用者在要求安裝的頁面上點選「取消」，訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後，外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行：

圖 2：外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能，而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來，惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令，透過「new Socket(“hef–klife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密，APK 在收到之後會自行解密。有趣的是，趨勢科技也發現此後門程式在連線時會使用網域名稱，而非 C&C 伺服器的 IP 位址，這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址：

hef–ddns.net
f–ddns.net
no-ip.biz
no-ip.biz

值得注意的是，指令中可包含動作代碼和物件資料，駭客可透過這方式來指定攻擊目標和攻擊內容，因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能，讓使用者毫不知情。

以下是一些動作代碼和其對應的動作：

動作代碼 = 10、11：操控 Wi-Fi 狀態。
動作代碼 = 34：監控手機各感應器的即時資料。
動作代碼 = 37：設定手機使用介面模式，如夜晚模式/車用模式。
動作代碼 = 41：操控震動功能，包括振動方式和時機。
動作代碼 = 46：下載圖片來當成桌布。
動作代碼 = 48：列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
動作代碼 = 49：刪除指定目錄中的檔案。
動作代碼 = 50：重新命名指定目錄中的檔案。
動作代碼 = 51：上傳某個想要的檔案至 C&C 伺服器。
動作代碼 = 52：建立一個指定的目錄。
動作代碼 = 60：使用文字轉語音功能 (將文字轉成音訊)。
動作代碼 = 62：傳送 SMS/MMS 簡訊至駭客指定的號碼；內容可自訂。
動作代碼 = 68：刪除瀏覽器歷史記錄。
動作代碼 = 70：刪除 SMS 簡訊。
動作代碼 = 74：下載檔案。
動作代碼 = 75：撥打駭客指定的電話號碼。
動作代碼 = 77：打開活動檢視應用程式，駭客可指定統一資源識別碼 (Uniform Resource Identifier，簡稱 URI)，如：開啟瀏覽器、地圖、撥號的檢視等等。
動作代碼 = 78：操控系統的紅外線發射器。
動作代碼 = 79：執行駭客指定的指令列命令，並上傳輸出結果。