設定不當的容器被用來散播挖礦病毒

趨勢科技最近發現有設定不當導致API端口暴露的Docker遭到惡意利用的案例。有惡意活動會掃描開放端口2375/TCP和2376/TCP,這些是Docker引擎服務(dockerd)所使用的端口。攻擊者接著將虛擬貨幣挖礦病毒(趨勢科技偵測為Coinminer.SH.MALXMR.ATNE)散布到這些設定不當的系統。

Docker會在作業系統層級實現虛擬化 – 也稱為容器化(containerization)。Docker API能夠讓遠端使用者像本地端用戶那樣地控制Docker映像。建議不要開放能夠讓外部存取的API端口,因為這會讓駭客有機會利用此不當設定進行惡意活動。

Docker引擎本身並沒有遭到攻擊,Docker企業版本也沒有受到影響。我們是在Docker社群版本看到這些少見的惡意行為。事實上,Docker技術提供讓使用者可以啟用及設定的安全功能來保護容器和工作負載。Docker也提供了防護Docker社群企業版本的工具、文件和指南。當然,兩者的安全最佳實作都會要求不要開放這些端口。比方說建議運行商業應用程式的企業使用商業用的Docker企業版,能夠提供精確、基於角色的存取控制設定,必須經過身份認證才能使用API。

在我們的研究中,Docker API端口暴露是使用者設定不當的結果,因為我們發現這不當設定是在管理員層級手動設定的。實際上,因為設定不當而讓自身暴露於威脅中並非新鮮事,而這對企業來說也可能是得長期面對的挑戰。事實上,我們透過Shodan搜尋發現有許多人的Docker主機設定不當,特別是在中國。而同時還有美國、法國、德國、新加坡、荷蘭、英國、日本、印度和愛爾蘭也出現設定不當的Docker主機。大多數暴露的系統都是運行Linux作業系統。有意思的是Linux上的服務需要手動設定,而在Windows上直到17.0.5-win8都不是如此,出於安全理由而禁止服務暴露。雖然不當設定廣泛地在各版本都有發生,但根據Shodan的搜尋結果顯示超過一半有此問題的主機運行的是18.06.1-ce版本,這是相對較新的Docker版本。

 

圖1:在端口2375和2376觀察到的惡意活動或因不當設定遭濫用的時間軸(上)和國家/地區分佈(下)

圖2:攻擊不當設定Docker引擎的感染鏈

繼續閱讀

2018年上半年影響企業的最大四種威脅

讓企業能夠更有效地做好資料安全保護以及主動防禦的最佳方法就是了解威脅環境趨勢。

檢視駭客現在所使用的攻擊、入侵和病毒散播策略,就能夠了解在未來會繼續出現的安全問題,讓企業可以準備好正確的資料和資產保護措施。

每一年都有著過去延續下來及新出現的威脅,這些威脅讓安全防護變得更加複雜。所以了解影響最大的威脅(包括過去就盛行的舊威脅以及網路犯罪分子間新出現的攻擊手法)在資料安全領域是相當重要的。

趨勢科技的研究人員檢視了2018年上半年常見的資料保護和網路威脅問題,整理出了2018年年中資安綜合報告:看不見的威脅帶來迫在眉睫的損失

讓我們仔細探討一下這份研究以及今年上半年影響企業最主要的四個威脅。

  1. 影響大量設備的漏洞

Heartbleed早在2014年就已經出現。它是當時最嚴重也影響最廣泛的漏洞之一,大量使用OpenSSL加密程式庫的平台和網站都受到了影響。因為受影響網站的數量龐大,加上它讓駭客有機會讀取到儲存在系統記憶體內的資料,讓此漏洞在當時成為全球的新聞頭條。

而之後還有許多漏洞被找出,包括2018年初的兩個重大漏洞。研究人員發現了CPU的設計缺陷 – 被稱為Meltdown和Spectre。不幸的是,這些還不是今年唯一的知名漏洞。

正如趨勢科技在5月份所報告,在Meltdown和Spectre之後又發現了8個也會影響英特爾處理器的漏洞,其中有4個被認為屬於「高」嚴重性威脅。因為這些處理器被全球企業及消費者所大量使用,因此新出現的漏洞對安全管理員和個人用戶來說都相當值得擔心。 繼續閱讀

Google Play出現假銀行應用程式,進行簡訊釣魚(SMiShing)詐騙

偽裝成行動認證服務的假銀行應用程式 Movil Secure, 會收集簡訊和電話號碼。當安裝者手機收到新簡訊時– 包含行動銀行應用程式用來確認或授權銀行交易的簡訊,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。趨勢科技懷疑取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從銀行客戶身上收集銀行帳密。

有許多銀行都在為自家的行動應用程式提供更多功能及升級,而且也因為銀行應用程式所帶來的便利性,讓全世界有越來越多用戶使用行動銀行服務。不過隨著新金融技術的大量使用以及使用者會尋找自己銀行的應用程式和服務,也為詐騙份子帶來了更多機會。最新的一個例子是應用程式Movil Secure。我們在10月22日在Google Play上發現這個惡意應用程式,是針對西班牙語系用戶的簡訊釣魚(SMiShing)詐騙的一部分。

Movil Secure是個假銀行應用程式,會偽裝成行動認證服務。開發者下了很大的功夫來讓使用者認為這是個合法軟體,包括具備專業外觀的品牌及精細的使用者介面。我們還發現此一個開發者名下有其他三個類似的假應用程式。Google確認了這些應用程式已經從Google Play移除。

Movil Secure在10月19日上架,六天內被下載了超過100次。這可能是因為它聲稱跟跨國的知名西班牙銀行集團Banco Bilbao Vizcaya Argentaria(BBVA)有關,該銀行以專業技術聞名,正版的行動銀行應用程式被認為是業界最好的之一

假應用程式(見下圖1)充分利用了BVVA的知名度,偽裝成該銀行服務用於身份管理和交易授權的行動認證服務。但仔細檢查後發現它並不具備這些功能。

Figure 1

圖1、該應用程式聲稱它是行動認證應用程式

繼續閱讀

手機費用暴增的一大原因,來自詐騙攻擊! 電信詐騙成為價值數十億歐元的犯罪產業

話費詐騙,國際通話費拆帳詐騙及其他詐騙手法:駭客如何透過被駭手機和物聯網(IoT ,Internet of Thing設備來進行電信詐騙

 

手機費用暴增的一大原因是詐騙攻擊。最近的犯罪用電信設備成本降低到連個人都可以用來發動攻擊的程度。請參閱趨勢科技與歐洲刑警組織所合作的報告。

電信詐騙並不是新的犯罪手法。它有各種犯罪手法,每種手法也有不同的變形,有許多手法已經存在十多年了。這類犯罪大多並沒有引起執法單位的重視,一直到了最近,因為科技、產業和犯罪能力的發展,使得電信詐騙成為價值數十億歐元的犯罪產業。

Toll Fraud, International Revenue Share Fraud and More
下載「話費詐騙,國際通話費拆帳詐騙及其他詐騙手法:駭客如何透過被駭手機和物聯網設備來進行電信詐騙」

兩種主要電信詐騙:訂閱詐騙(subscription fraud)和話費詐騙(toll fraud

 

這裡列出兩種主要的電信詐騙:訂閱詐騙(subscription fraud)和話費詐騙(toll fraud)。訂閱詐騙會對電信業者進行商業流程入侵(BPC),攻擊者偽裝成一般客戶並利用一個或多個客戶帳號來進行。話費詐騙更具破壞性,攻擊全球電信網路漏洞。每次事件所竊的金額通常超過100萬歐元。由於這類犯罪通常是跨境進行,所以也使得起訴更加困難。

在這類犯罪事件中,犯罪分子會偽裝成用戶和電信商, 因為無法說服相關電信商自己也是受害者而非肇事者,受害者在某些情況下可能會遭遇長時間的斷線,甚至收到巨額帳單。

 

電信業者間的信賴關係及其如何引來詐騙?

國際通話費拆帳詐騙(IRSF)是一種依賴於電信業者間“紳士協議”的犯罪,這是一種認為不會被入侵或攻擊的微妙默契。這種全球協議稱為電信業者間的信賴關係,與銀行間的關係相似。當有人惡意利用這信賴關係時,就可以操控流量(對銀行來說是錢,對電信業者來說是高話費電話) 來進行如詐騙和洗錢等活動。加入電信業者間信賴社群的不法業者可以惡意地進行流量重新導向,包括竊聽(可以記錄對話和尋找信用卡號和密碼)和注入惡意軟體。這些通常都包括IRSF方法

IRSF很吸引犯罪分子,因為它的攻擊風險很低:可以從遠處執行,所賺金錢來自重新導向電信業者間的高話費流量帳單。被重新導向的金錢從受害者的電信業者轉到攻擊者的電信業者,再被迅速取走。

 

因為這類詐騙可以對物聯網(IoT)進行,因此必須思考到可能涉及的大量設備(像是冰箱或交通號誌),許多詐騙可能會變得更加有利可圖也更難以偵測。如果詐騙來自物聯網關鍵基礎設施(如智慧城市)並因被認為詐騙而封鎖,物聯網所支援的功能就會斷線。因此在運作中使用電信網路的城市和企業要加強安全防護和防詐騙能力,確保服務不會斷線。

IRSF和電信詐騙一直在成長。根據通信詐騙管理協會(CFCA)指出,有些電信業者認為自己收入的18%可能是由組織型犯罪所產生流量組成。CFCA還量化了電信詐騙目前的影響(包括加值服務和竊盜),已經達到了近270億美元。不過有許多電信商因擔心受到監管而沒有回報詐騙損失,後續產生的不便和成本通常就轉嫁給了客戶。因為有許多電信商都相對沉默,使得此類犯罪所造成的實際影響可能遠高於上面所引用的數字。

雖然詐騙主要造成的是財務損失,但利用犯罪所得來支持恐怖主義等活動所帶來的二次影響也不容忽視。

使用國際高費率號碼(IPRNs)產生比一般通話更高的費用 繼續閱讀

SettingContent-ms 可被用於執行複雜的 DeepLink 以及Icon-based 的惡意程式碼

微軟SettingContent-ms最近成為備受關注的話題。趨勢科技在七月看到一個垃圾郵件活動利用惡意的SettingContent-ms檔案嵌入PDF檔中,目的是為了執行遠端存取的木馬程式FlawedAmmyy, 這個遠端存取木馬(RAT) 也被使用在Necurs殭屍網路上. 而攻擊行動主要鎖定的目標是歐洲和亞洲的銀行。

SettingContent-ms最近才加入微軟軟體中,最早是在Windows 10中引入。以XML格式/語言寫入此類型檔案中,通常這類型檔案會包含Windows功能的設定內容,例如更新流程以及開啟某些特定類型檔案的應用程式等。這些檔案最常被用來當成開啟舊版Winodws控制台的捷徑。

Figure 1

圖1.SettingContent-ms的副檔名以及icon

 

Figure 2

圖2.Figure 2. 正常 SettingContent檔案中的 DeepLink tag

除了垃圾郵件活動之外,還有一些關於微軟SettingContent-ms的概念驗證(POC)研究,在七月份由Specter Ops所發佈。由此份研究報告以及實際出現的攻擊行動顯示出只要將DeepLink tag下的指令替換成惡意指令碼,便可利用SettingContent-ms執行惡意程式。一開始當微軟從研究人員聽到這個問題時,他們並不認為這是作業系統的弱點。但是在2018年8月,他們公布了修正程式以修補這個問題: CVE-2018-8414

Figure 3

圖 3.  DeepLink tag 下的惡意指令碼

如圖3所示,是一個SettingContent-ms被濫用的範例,在DeepLink tag下的惡意指令碼可以執行PowerShell script並從惡意網站下載並執行惡意程式。

在進一步研究這些方法時,我們開始看到該技術的局限性。 單獨使用DeepLink似乎有一些缺點:

優點 

  • 檔案size較小 – 乍看之下不容易看出可疑性 

缺點

  •  容易佈署 
  • 最多只接受517個字元 
  • 侷限在一些命令執行技術,例如: Command Prompt,PowerShell,MSHTA,Certutil,Bitsadmin, WMI 

藉由這些觀察,進一步的研究發現可以利用SettingContent-ms發展其他技術。稍早之前,研究人員已經研究如何利用Icon Tag應用在惡意的攻擊活動。為了驗證這個技術是否可行,我們建立了一個SettingContent PoC,這包含了DeepLink以及Icon tag,用來裝載惡意程式碼。

DeepLink + Icon-based的惡意程式碼—如何運作?

在這個情境中,DeepLink tag只能包含一個指令,並且可以呼叫寫在Icon tag下的惡意程式碼。在我們的PoC研究中,我們將Icon tag下的Script做了非常深度的程式碼混淆,如同圖4所示。

Figure 4

圖 4. DeepLink 呼叫了 Icon tag

Figure 5

圖 5. 寫在Icon tag下的惡意PowerShell script (移除程式碼混淆)

我們做了這個測試目的是為了確認Icon-based這類較長以及複雜的惡意程式碼是否會執行,結果這類惡意程式碼的確可以被執行。在這個Poc中寫入在Icon tag下的PowerShell script是來自於TROJ_PSINJECT.A,這個惡意程式會下載ANDROM/GAMARUE。

即便做了這樣的操作,無論在Icon tag下被寫入什麼,Icon顯示仍為空白(如圖 1所示)。

假設這樣的技術可能成為未來潛在的威脅,仍有其優缺點:

優點

  • 容易佈署
  • Icon tag可以寫入的字元數不受限制
  • 不限於簡單的命令執行;可以佈署各種個Script例如ReflectivePEInjection, backdoors,等等。

缺點

  • 檔案size較大- 容易被標註為可疑程式

 

解決方案以及緩解方式

這個技術顯示出網路犯罪可能擁有很多的工具,用來協助他們佈署複雜又有效的惡意程式碼。上述的情境,由一個SettingContent-ms中DeepLink tag下的惡意指令開始,進而我們發現了可以透過Icon tag佈署更複雜以及更長的惡意程式碼。

除了SettingContent-ms之外,可能還有其他更多的正常檔案被濫用。因此我們必須持續針對不同的應用程式進行研究,比惡意程式作者以及新的威脅更早一步發現可能的風險。

為了防護濫用SettingContent-ms的類似威脅,可以利用具備行為分析能力的解決方案,透過行為監控可以發掘並阻擋惡意的指令,以避免惡意程式在受害者的電腦上被執行。

趨勢科技趨勢科技OfficeScan  XGen™ 防護 端點防護使用高準度機器學習(Machine learning,ML)以及其他的偵測技術搭配全球威脅情資可以提供全面的安全防護,對抗進階的惡意程式。我們也持續監控SettingContent-ms類型檔案是否出現新的惡意指令。

◎原文來源: SettingContent-ms can be Abused to Drop Complex DeepLink and Icon-based Payload  作者:Michael Villanueva