iXintpwn/YJSNPI 濫用 iOS 組態設定檔,造成裝置毫無反應

儘管 iOS 對應用程式的嚴格審查機制讓該平台相對不太會安裝到危險的程式,但卻也無法完全杜絕網路上的各種威脅。2016 年,趨勢科技已見到好幾個惡意程式利用蘋果的企業憑證機制或其他漏洞來避開蘋果的嚴格審查

眼前的一個例子就是 iXintpwn/YJSNPI (趨勢科技命名為 TROJ_YJSNPI.A),這是一個惡意的組態設定檔,可造成 iOS 裝置變得毫無反應。這是日本一位初階駭客所留下的遺毒,此駭客已於今年六月初遭到逮捕

儘管 iXintpwn/YJSNPI 目前似乎集中在日本,但就其目前在社群媒體上的氾濫情況來看,就算哪天擴散至其他地區也不令人意外。

iXintpwn/YJSNPI 最早於 2016 年 11 月下旬在 Twitter 上出現,接著也開始出現在 YouTube 和社群網站上。它會偽裝成一個名為「iXintpwn」的 iOS 越獄程式,與專門散布此惡意組態設定檔的網站同名。它會在受害裝置畫面上塞滿名為「YJSNPI」的圖示,也就是網路上流傳的「野獣先輩」的圖片。

不論作者當初是為了捉弄他人,或者是為了成名,其攻擊手法都相當值得關注,因為其他駭客也可將 iXintpwn/YJSNPI 所濫用的 iOS 功能 (也就是 iOS 未經簽署的組態設定檔) 變成一種攻擊武器。

YJSNPI 可經由使用者瀏覽含有惡意組態設定檔的網站而散布,尤其是當使用者所用的是 Safari 瀏覽器。此惡意網站含有 JavaScript 腳本,會在使用者瀏覽時傳回一個 Blob 物件 (也就是惡意組態設定檔)。當 iOS 裝置上最新版的 Safari 瀏覽器收到該物件時,就會去下載該設定檔。

圖 1:從程式碼可看出 YJSNPI 是一個 Blob 物件 (上),以及此物件如何經由 Safari 瀏覽器下載 (下)。

iOS 組態設定檔案遭到濫用
iOS 組態設定檔案,可讓應用程式開發人員簡化設定大量裝置組態的程序,包括:電子郵件、Exchange、網路、憑證等等的設定。例如,企業可利用組態設定檔來簡化內部開發應用程式與企業裝置的管理作業。除此之外,組態設定檔也可用於自訂裝置的某些設定,如:存取權限、Wi-Fi、Virtual Private Network (VPN)、Lightweight Directory Access Protocol (LDAP) 目錄服務、Calendaring Extensions to WebDAV (CalDAV)、網站影片、登入憑證以及金鑰等等。

很顯然地,歹徒可利用惡意組態設定檔來竄改設定,例如將裝置的流量重新導向。過去曾經發生過的案例有專門竊取資訊的 Wirelurker 以及暗藏廣告程式Haima 重新包裝程式

以 iXintpwn/YJSNPI 為例,歹徒使用了一個未經簽署的組態設定檔,並且將它設定成「無法刪除」,因此更難將它移除 (如下圖所示)。為了長期潛伏,它會透過 JavaScript 隨機產生「PayloadIdentifier」字串的值。請注意,iOS 系統其實有對應的安全措施,也就是,當已簽署或未簽署的設定檔要安裝在系統上時,需使用者親自同意。兩者唯一的差別在於設定檔的顯示方式,例如,已簽署的設定檔會標示為「已經確認」。


圖 2:iXintpwn/YJSNPI 使用一個未經簽署的設定檔。


圖 3:惡意的組態設定檔被設定成不可移除 (左),其圖示填滿了整個手機螢幕 (右)。

Continue reading “iXintpwn/YJSNPI 濫用 iOS 組態設定檔,造成裝置毫無反應”

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:

  • 執行環境必須是真實的裝置 (而非模擬器)
  • 裝置所在位置不能在獨立國協 (CIS) 國家境內
  • 手機上原本就已安裝它所要假冒的應用程式

 將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。 Continue reading “BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證”

睡前滑手機,會影響睡眠嗎?

當我們生活中融入了智慧裝置,帶來了便利,也帶來了依賴,甚至產生特殊的「潔癖」,一定要將每一條訊息看完、時刻關注著他人的貼文、看完的文章一定要按個讚…,花了大量的時間在這些事物上,雖然美其名是「休閒」,但其實總是在睡前仍不知疲憊的持續著,即便我們都知道晚睡對健康有多大的傷害…

 

失眠!! 就是我們在睡前滑手機會造成身體疾病。

睡前滑手機,會影響睡眠嗎?

Continue reading “睡前滑手機,會影響睡眠嗎?”

Netgear 路由器的遠端存取漏洞遭攻擊, 財富500 強企業恐成目標

最近趨勢科技發現了一隻針對Netgear路由器的惡意軟體 – RouterX,它會利用遠端存取和命令執行漏洞(CVE-2016-10176)進行攻擊。RouteX會將受感染路由器轉變成SOCKS代理伺服器,限制只有攻擊能存取設備。RouteX還能夠讓攻擊者進行憑證填充(Credential Stuffing)攻擊,這是利用竊來的憑證對使用者帳號進行非法存取的網頁注入攻擊。據報導這些攻擊針對的是財富500強企業。

 

CVE-2016-10176是出現在特定Netgear路由器和數據機路由器的安全漏洞,一旦攻擊成功就可以攻擊者遠端存取設備。還可以讓駭客回復設備密碼並執行命令。這個漏洞的韌體/軟體修補程式早在2017年1月就已經釋出。

[相關資訊:Netgear漏洞提醒了企業跟家庭都需要注重路由器安全]

透過將受感染設備轉變為SOCKS代理伺服器,可以用來重導攻擊者和目標間的網路流量。這不僅替駭客提供了進一步攻擊的跳板,而且還可以混淆網路犯罪活動的真正來源讓駭客匿名化。

這手法並不新鮮。Android惡意軟體(如MilkyDoorDressCode)會利用SOCKS協定透過中毒手機連進企業內部網路。甚至是物聯網(IoT)惡意軟體如TheMoon會感染IP攝影機出現類似的行為。RouteX的不同處在於設置SOCKS代理程式後,它會加入Linux防火牆規則來防止其他惡意軟體利用同一個漏洞,並將可連上路由器的位置限制在可能受攻擊者控制的某些IP位址。 Continue reading “Netgear 路由器的遠端存取漏洞遭攻擊, 財富500 強企業恐成目標”

台灣受勒索病毒攻擊超過2千萬次 幾近台灣總人口數! 趨勢科技公佈六大病毒鬼,詐騙勒索錢財、竊取帳號個資為最駭

趨勢科技 PC-cillin 2018雲端版 智能防毒超進化 跨平台全面抵禦資安威脅

台灣受勒索病毒攻擊超過2千萬次 幾近台灣總人口數! 趨勢科技公佈六大病毒鬼,詐騙勒索錢財、竊取帳號個資為最駭

【2017年9月19日台北訊】數位科技進步使人類生活更加便利,每個人擁有至少一台以上的3C裝置已為常態,跨平台跨裝置的訊息溝通,或使用數位裝置進行線上購物或網銀交易已高度普及;隨著駭客持續以新舊攻擊手法如透過勒索病毒取財或釣魚信件竊取個資,消費者對於個人重要資料的保護更需隨之升級,以防遭受錢財損失或個資外洩的資安威脅衝擊。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今日(19)宣布全新版『PC-cillin 2018 雲端版』隆重上市,透過防禦力、效能與跨平台防護強化升級,智能防毒超進化,全方位守護消費者資訊安全Level Up!

 

台灣為駭客鎖定目標,勒索病毒攻擊總次數超過2千萬次

惡意程式變種快速,近年影響消費者甚鉅的勒索病毒更是惡名昭彰,例如今年五、六月影響全球的WannaCryPetya勒索蠕蟲,而針對Mac電腦或手機裝置的新型態勒索病毒也不斷產生。根據趨勢科技統計數據顯示,過去一年半台灣受勒索病毒攻擊的總數已超過2千萬次!受攻擊人口密度居全球前三,僅次於以色列與奧地利。趨勢科技台灣暨香港區總經理洪偉淦表示:「隨著數位科技的快速普及,消費者樂於擁抱不同介面或作業系統的多元平台,各種針對性以牟利為目標的新型態資安威脅亦應勢而生,此也意味著資訊安全的威脅如勒索病毒的狂潮將不會停歇。」

 

網路逛多了總會碰到虛擬鬼,趨勢科技公佈網友票選最怕六大病毒鬼

網路世界中的病毒就像虛擬好兄弟,雖然看不見但無所不在!趨勢科技針對1000名台灣網友票選出最可怕的六大病毒鬼排名及台灣消費者最容易被這些「病毒鬼」盯上的上網行為模式: Continue reading “台灣受勒索病毒攻擊超過2千萬次 幾近台灣總人口數! 趨勢科技公佈六大病毒鬼,詐騙勒索錢財、竊取帳號個資為最駭”

2017年上半年資安趨勢預測,哪些已經成真?

趨勢科技在去年12月對2017年的網路安全趨勢提出了八點預測。儘管我們發現出現了沒有預見到的新趨勢和攻擊,但是也看到了好幾項預測成真。

藉此機會來回顧這些預測:

  1. 勒索病毒將會在2017年的成長會達到平穩的高原期,但攻擊方法和目標將會多樣化

趨勢科技2016年底預測:“我們預測新勒索病毒家族數量將在2017年增加 25%,也就是說平均每個月會發現15個新勒索病毒家族。雖然大量爆發已經出現在2016年,但是這段穩定期會推動網路犯罪分子變得更加多樣化,攻擊更多潛在的受害者、平台和更大的目標。“

事實:趨勢科技的大部份預測都還算準確,但“高原期”比預期要更高,平均每月偵測到8,300萬筆勒索病毒,有28個新勒索病毒家族出現。跟2016年一月到九月勒索病毒家族出現驚人的400%成長比起來,我們認為這算是穩定的高原期。

而且正如預期,穩定期的網路犯罪分子會著眼於多樣化潛在受害者、平台和更大的目標。出現的新勒索戰術、技術和程序(TTP)包括:

  • Erebus勒索病毒攻擊Linux系統
  • UIWIX使用跟WannaCry相同的SMB漏洞,但使用無檔案感染(fileless)技術
  • SLocker行動勒索病毒具有檔案加密能力,並且複製了WannaCry介面。總體而言,行動勒索病毒在六個月內增加到了234,000個。

 

  1. 物聯網(IOT)設備會在DDoS攻擊中發揮更大作用;工業物聯網(IIoT)系統會遭受針對性的攻擊:

趨勢科技2016年底預測:“我們預測在2017年會有更多網路攻擊找上物聯網(IoT ,Internet of Thing)及其相關基礎設施的前端和中心,讓威脅者可以用開放的路由器進行大規模分散式阻斷服務攻擊 (DDoS)攻擊或連上單一車輛來進行極度針對性的攻擊。” Continue reading “2017年上半年資安趨勢預測,哪些已經成真?”

「噗通」手機濕身了!手機進水怎麼辦?

現在的我們和手機幾乎是密不可分,過馬路滑著手機、坐捷運滑著手機、吃飯滑著手機、就連上廁所也滑著手機。結果一個不小心地,手機「噗通」一聲掉到地上,最難過是掉到水裡面,整個濕身了!

OMG!!! 這時候絕對不能對手機見死不救!

請follow以下步驟來救活你最親愛的手機朋友!

「噗通」手機濕身了!手機進水怎麼辦?

Continue reading “「噗通」手機濕身了!手機進水怎麼辦?”

當發現資料外洩時,美國三大信貸機構 Equifax 怎麼做?

美國三大信貸機構之一 Equifax 坦承發生大規模資料外洩事件,至少有 1.43 億美國消費者受到波及,相當於美國 44% 的人口,這起資料外洩事件勢必將對很多人造成重大影響。

金融界對於網路安全一向非常重視,其中一個原因就是對今日威脅情勢有相當深刻的體認。

他們的資安團隊不僅非常賣力防範網路攻擊,而且平常就訓練有素並有周詳的計劃,所以才能在不幸事件當中迅速復原。

網路資安事件發生的原因,基本上都相當複雜,像 Equifax 這麼大的企業,本來就有許許多多可能出錯的環節,而且不同的團隊之間還必須彼此協調配合。

最重要的是,這一切都還必須盡可能在不影響公司日常營運的情況下達成。所以該如何拿捏,實在不是件簡單的事。

 

事件因應

根據該機構的聲明,以下是我們目前所掌握到的狀況:

  • 駭客竊取了 2017 年 5 月中至 7 月 29 日的資料。
  • 該公司一發現駭客入侵,便立刻阻止了駭客的行動。
  • 阻止之後,該公司立即聘請信譽優良的外部機構來協助他們進行鑑識分析。
  • 在評估過對消費者的影響之後,該公司已採取某些措施來防止使用者受到進一步損害。

聘請外部團隊進行內部鑑識分析

從外界看來,Equifax 的事件應變程序不僅相當完善而且流暢。或許有些人會質疑該公司為何聘請外部團隊來協助他們進行內部鑑識分析,但這麼做確實有些重要的優點。

首先,這麼做可以增加人手,因為真正的鑑識分析需要花費相當多的時間,並且耗費精神。所以,聘請一批訓練有素的專業人員來協助這項工作,核心團隊就能專心繼續維護網路的安全,並協助公司恢復正常營運。 Continue reading “當發現資料外洩時,美國三大信貸機構 Equifax 怎麼做?”

<資安新聞週報 >台灣企業僅13.3%有資安長/Android用戶當心 Toast 覆蓋攻擊/資安領導廠罕勝 趨勢獲專利賠償

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周摘要:

媒體資安新聞摘要:

 

美國地方法院判決敗訴的 Intellectual Ventures  應賠償趨勢科技部分專利訴訟費用  C4IT News Channel

資安領導廠罕勝 趨勢獲專利賠償      101傳媒

趨勢科技:企業面臨3大資安威脅 勒索病毒 變臉詐騙 IoT攻擊        聯合晚報(臺灣)

資安大挑戰 趨勢科技:上半年偵測到8300萬個勒索病毒    自由時報電子報

趨勢科技2017年上半年資安總評報告出爐 勒索病毒、變臉詐騙猖獗 IoT攻擊數量不斷攀升        C4IT News Channel Continue reading “< 資安新聞週報 >台灣企業僅13.3%有資安長/Android用戶當心 Toast 覆蓋攻擊/資安領導廠罕勝 趨勢獲專利賠償”

Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!

Android的Toast漏洞覆蓋(Overlay)攻擊, 將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

「Android 趨勢科技」的圖片搜尋結果

 安全研究人員警告使用者關於可能導致Toast覆蓋(overlay)攻擊的Android漏洞。這種攻擊可能會誘騙使用者安裝惡意軟體,將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

隱藏按鈕可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒 

覆蓋攻擊是指惡意應用程式會在其他執行中的視窗或應用程式上再繪製一個視窗。漏洞攻擊成功可以讓攻擊者欺騙使用者去點擊惡意視窗。

這是什麼意思?比方說看似正常的“確定”或“繼續安裝”圖示可以顯示在偷偷取得權限的隱藏按鈕上。它也可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒。

[延伸閱讀:CVE-2017-0780:阻斷服務漏洞可能導致Android訊息應用程式崩潰]

 

這個覆蓋攻擊做了什麼?

覆蓋攻擊本身並不新,而且Android作業系統內的解決方案讓它難以進行。要加以利用的惡意應用程式必須先取得使用者許可,並且必須從Google Play安裝。

但最近的漏洞提供了能成功執行覆蓋攻擊的方法。它利用的是Toast的漏洞,Toast是Android用來在其他應用程式顯示通知和訊息的功能。該分析還借鑒了電機電子工程師協會(IEEE)在最近的黑帽(Black Hat)安全大會所發表的“Cloak and Dagger”研究報告。該研究展示如何利用Android輔助功能服務的警告和通知功能來進行覆蓋攻擊。

 

[延伸閱讀:Android 手機勒索病毒再進化-更大、更壞、更強!]

所有版本的Android都有此漏洞,Toast甚至可以覆蓋整個螢幕

所有版本的Android都有此漏洞,除了最新的Oreo。Android Nougat有個預防措施,就是Toast通知只能顯示3.5秒。但是這可以透過將通知循環顯示來繞過。這代表攻擊者可以想蓋住惡意內容多久都可以。此外,Toast不需要與Android其他視窗有相同的權限,甚至可以利用Toast來覆蓋整個螢幕。

[延伸閱讀:GhostClicker廣告軟體是一個幽靈般的Android點擊詐騙]

 

你能做什麼?保持作業系統和應用程式更新,只從官方Google Play或可信賴的來源下載

此漏洞(CVE-2017-0752)的修補程式在最近以2017年9月Android安全通告的一部分發布。研究人員指出他們尚未看到真實的攻擊出現,但這並不代表你不需要更新你的行動裝置。使用此方法的惡意應用程式,所需要的只是安裝在你的行動設備上,並取得輔助功能權限。 Continue reading “Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!”