趨勢科技 TrendMicro | 資安趨勢部落格

Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!

2015 年 07 月 09 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件與資料被公開。趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具，目前發現的3款攻擊程式中，有兩款鎖定Flash Player的安全漏洞，一款鎖定Windows核心漏洞。(詳情)

從趨勢科技主動式雲端截毒服務 Smart Protection Network回報的資料中發現，Angler 和 Nuclear 兩個漏洞攻擊套件已經收錄了最近 Hacking Team 資料外洩當中的 Flash 零時差漏洞攻擊。不僅如此，Kafeine 網站也指出，這項零時差攻擊也已收錄到 Neutrino 漏洞攻擊套件當中。

此漏洞的存在因為 Hacking Team 的資料外洩而曝光，而 Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中，編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。

所有 Flash Player 使用者皆應立即下載最新修正程式，否則將有危險。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高，而這樣的趨勢似乎沒有轉變的跡象。

圖 1：Angler 漏洞攻擊套件的 HTTP GET 標頭

繼續閱讀

備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式

2015 年 07 月 09 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件與資料被公開。曾表示不跟極權國家做生意,以販售號稱合法攔截通訊工具給政府和執法機構的義大利公司Hacking Team, 始終沒有正式公布與他們合作單位的名單，在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件，根據International Business Time報導，使用其提供的程式的國家包含：
埃及、依索比亞、摩洛哥、奈及利亞、蘇丹、智利、哥倫比亞、厄瓜多、洪都拉斯、墨西哥、巴拿馬、美國、亞塞拜然、哈薩克斯坦、馬來西亞、蒙古、新加坡、韓國、泰國、烏茲別克斯坦、越南、澳大利亞、賽普勒斯、捷克、德國、匈牙利、義大利、盧森堡、波蘭、俄羅斯、西班牙、瑞士、巴林、阿曼、沙烏地阿拉伯、阿拉伯聯合大公國。

趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具，目前發現的3款攻擊程式中，有兩款鎖定Flash Player的安全漏洞，一款鎖定Windows核心漏洞，且當中只有一個Flash漏洞曾被揭露。

另一款Flash零時差漏洞被Hacking Team描述為「最近4年來最完美的Flash漏洞」。在文件中發現了針對此一漏洞概念性驗證攻擊程式，它會影響各大瀏覽器及Flash Player 9以後的版本，包含最新的Adobe Flash 18.0.0.194在內。

事實上這個Flash漏洞,先前已經有幾個漏洞使用這種 valueOf 伎倆，包括被用在 Pwn2Own 2015的 CVE-2015-0349。

圖1、Hacking Team對漏洞的描述

Adobe Flash Player漏洞資訊

外洩的資料中包含一個可以啟動Windows計算機的Flash零時差概念證明碼（POC）以及一個帶有真正攻擊shellcode的正式版本。

在POC中有一個說明文件詳述了這個零時差漏洞（如下圖所示）。它指出該漏洞可以影響Adobe Flash Player 9及更新的版本，而且桌面/Metro版本的IE、Chrome、Firefox和Safari都會受到影響。外部報告指出最新版本的Adobe Flash（版本18.0.0.194）也受到影響。

圖2、Hacking Team對漏洞的描述

Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中，編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。

所有 Flash Player 使用者皆應立即下載最新修正程式，否則將有危險。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高，而這樣的趨勢似乎沒有轉變的跡象。

根本原因分析

說明文件還介紹了該漏洞的根本原因。這是一個ByteArray類別的Use-After-Free（UAF）漏洞:

當你有一個ByteArray物件ba，並將其給值ba[0]=Object，它會呼叫此物件的valueOf函數
這valueOf函數可以被覆寫，所以能夠變更物件valueOf函數中的ba值
如果你重新分配valueOf函數內的ba記憶體，就會導致UAF，因為ba[0]=Object會儲存原本的記憶體，並且在valueOf函數被呼叫後使用。

繼續閱讀

< APT 攻擊 >駭客比你同事還了解你?!社交工程信件主旨總整理

2015 年 07 月 09 日2024 年 09 月 23 日趨勢科技 TrendMicro

APT攻擊鎖定目標對象會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

APT攻擊是今日企業所面臨的最大威脅之一。進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力；加上傳統的安全防禦並無法偵測未曾見過的威脅，都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件，像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

攻擊者:電子郵件是阻力最小的攻擊路徑

根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。
【延伸閱讀】69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞

有案例顯示歹徒攔截中小企業和客戶之間的通訊，並捏造付款帳號資訊。再從受駭企業的公司信箱發電子郵件給客戶，告知客戶其接受付款的帳戶已經換成歹徒所持有的帳戶。過去即曾有歹徒利用Predator Pain 和 Limitless 這兩個鍵盤側錄程式，來從事「供應商資訊變更」詐騙，獲利高達約22億新台幣！(請參考)

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊,根據趨勢科技統計，一般員工平均每個工作日會收到100封電子郵件，等於我們每天有100次掉進駭客陷阱的風險。先做個測試,以下這些信件主旨,有幾個你會不疑有他的打開?

駭客跟你一起關心熱門新聞?!熱門新聞被駭主旨一覽:

駭客比你同事還了解你?!鎖定個人被駭主旨一覽:

更改銀行收款帳戶(寄件人:廠商)
員工滿意度調查(寄件人:高階主管)
○○會議名單更新(寄件人:政府部會)
我的履歷表(收件者:人事部門經理)
關於104年中央政府總預算 (寄件者:業務相關部會)
實驗室電話表(寄件者:業務相關部會)
陳情書(寄件者:業務相關部會)
你的帳號將被暫停(寄件人:email系統管理員)
請儘速到我辦公室(寄件人:老闆)
電信帳單(寄件人:知名電信公司)
銀行交易明細(寄件人:某銀行)
*以上寄件人皆為假冒身分

延伸閱讀:針對台灣政府單位的 RTLO技術目標攻擊)

公司如果不能真正解決 APT攻擊電子郵件攻擊的問題，付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響，包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。根據Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了，光是從 EMC和 Target事件所看到的成本就是10倍以上了。

原因是，APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說，關鍵是讓攻擊者無法輕易地去侵入公司網路，不要讓電子郵件被當作切入點。繼續閱讀

七個預防網路犯罪集團破壞你玩電玩興致的良好習慣

2015 年 07 月 08 日2015 年 07 月 08 日趨勢科技 TrendMicro

7 月 8 日是電玩日(‘Video Games Day’)，近年來，遊戲已從早期 PC 上的文字模式遊戲進化到家用電玩主機，再進化到今日的行動裝置遊戲。這些高科技的平台，已徹底改變人們遊戲的方式以及全球玩家之間的互動，然而這樣的互動卻也引來了身分竊盜的危機。

圖片說明:

產業		威脅
12 億全球遊戲玩家		2015 上半年媒體報導的遊戲相關資料外洩事件	8
61 億2016 年預估遊戲市場規模		2015 上半年利用熱門遊戲為誘餌的惡意網址數量	20,630
數據會說話玩家面臨的危險全球電玩市場正不斷成長，而遊戲相關的威脅也隨之增加。
平台		五大危險遊戲
43%	家用主機占遊戲市場的比例，其次是大型多人線上遊戲 (MMO)，占21%。	玩家在搜尋時最常遇到惡意網址的熱門遊戲
18%	2015 年行動遊戲占整體市場的比例。	Skyrim Minecraft Call of Duty The SimsGrand Theft Auto
根據 newzoo.com、hackmageddon.com 的產業數據 \| 惡意網址與搜尋統計數據根據趨勢科技 Smart Protection Network 的研究資料

想像一下，到了 2016 年，全球將有 12 億玩家連上網路。這樣一個龐大的網路，對於網路犯罪集團來說，簡直就是一座金礦。為了能夠方便連結家用主機和其他裝置，玩家資料通常都儲存在雲端，因此遊戲玩家已成為歹徒竊取寶貴資訊然後在地下市場販賣的主要目標。

此外，遊戲虛擬寶物相關的網路釣魚（Phishing）案件也應運而生。這些虛擬寶物一旦被偷，立刻就會被轉賣換成現金。不但如此，網路犯罪集團還經常會散布惡意程式至玩家的電玩主機，來蒐集敏感資訊或滲透到玩家的個人社交圈。繼續閱讀

20 歲男大生利用上百個銀行木馬賺黑心錢,還在FB 貼炫耀文

2015 年 07 月 06 日2015 年 07 月 06 日趨勢科技 TrendMicro

一旦發現鎖定的銀行，木馬程式就會關閉當前的瀏覽器視窗，然後顯示一個錯誤訊息，接著再開啟一個新的假 Google Chrome 視窗。由於瀏覽器視窗的切換非常順暢，因此整個過程使用者幾乎無法察覺。若瀏覽器是 Internet Explorer 或 Firefox，則原始視窗會留著，但還是會顯示錯誤訊息，然後再顯示假瀏覽器視窗。

一位在地下市場上化名為 Lordfenix 的 20 歲巴西大專青年，現已成為巴西名列前茅的銀行惡意程式作者。Lordfenix 在地下市場上的名聲，來自於他開發了上百個網路銀行木馬程式，每一個價值皆在 300 美元以上。Lordfenix 是今日如雨後春筍般不斷冒出的年輕知名網路犯罪個體戶的最新案例。