趨勢科技產品 - 資安趨勢部落格

如果一定要使用Java,該怎麼辦?

2013 年 01 月 17 日2013 年 01 月 17 日趨勢科技 TrendMicro

當Java 最近又出現另一次零時差漏洞，要使用者「移除Java」的聲音已經成為一種普遍的意見。請參考:Java更新補救安全漏洞美國安部仍籲「停用」

已經有許多關於甲骨文針對最近CVE-2013-0422的Java零時差漏洞修補程式不完全的討論。在這篇文章中，我們想藉此機會來釐清幾個相關問題。

Java仍有很大的風險

根據趨勢科技的分析，我們已經證實CVE-2013-0422的修補程式並不完整。這CVE包含兩個問題。一個來自com.sun.jmx.mbeanserver.MBeanInstantiator class的FindClass method。另一個來自java.lang.invoke.MethodHandle class的invokeWithArguments() method。甲骨文已經修補了後者，但是findclass method仍然可以被用來獲取被限制class的reference。簡單來說，findclass method的問題仍然留下可供利用的後門，可能被另一個新的漏洞所用。

趨勢科技也想澄清另外一點，這次是針對CVE-2012-3174。和某些報導的觀點不同，這並不是Reflection APT的問題。Reflection API的問題已經在CVE-2013-0422裡被修補了。引用美國國家漏洞資料庫（NVD）的話「註：有些團體將CVE-2012-3174和遞迴使用Reflection API的問題關連在一起，但是這問題已經被CVE-2013-0422所包含。」

在這起事件裡，每個人心裡最大的問題是「使用者安裝這修補程式之後安全嗎？」或是「這修補程式可以防護最近利用CVE-2013-0422的攻擊嗎？」是的，直到有人找到新臭蟲跟第一個問題結合為止。Findclass method仍然是個懸而未決的問題，但它本身不能做為漏洞攻擊。不過訊息很清楚：Java仍然是很大的風險。

不過，想辦法去將Java的風險降到最低還是該做的事情。最理想的狀況是你可以移除Java以完全避免風險。但如果因為某些原因而不可行，那這些技巧可以幫你盡可能地減少風險。

在一般情況下，這是個明智的建議。如果可以的話，使用者應該移除Java，如果並不會用到。不幸的是，對於很多使用者來說，這並不是個選項。很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

所以，要如何安全的使用Java？首先，Java威脅主要來自惡意網站的惡意Java程式。如果你是因為應用程式需要而安裝Java，那你可以在瀏覽器禁用Java而不會受到影響。

過去你如果需要這樣做的話，需要一個一個瀏覽器分別設定，但現在不同了。目前的Java版本可以透過Java控制面板來做到這一點。可以在這裡找到如何進行的說明。網頁上的Java程式將無法執行，但Java應用程式可以繼續使用，沒有問題。

基於這個問題，使用者必須考慮自己是否真的需要Java。如果不的話，就應該將其移除。對於無法避免使用Java的使用者而言，還有其他的方法來降低風險：

如果一定要使用Java的該怎麼辦?

很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

如果你因為應用程式需要而安裝Java，就在瀏覽器內選擇停用

如果公司內部網站或銀行網站需要Java,請個別停用瀏覽器內的Java,選擇一個「次要」瀏覽器來上使用Java的網站，然後在主要瀏覽器中停用它

在這種情況下，你需要在瀏覽器內停用Java。選擇「次要」瀏覽器專門用來瀏覽使用Java的網站，然後在主要瀏覽器中停用它。例如，如果你是Chrome使用者，你可以用Firefox或Internet Explorer來瀏覽Java網站。趨勢科技資深安全顧問Rik Ferguson已經發表過一篇文章提供針對瀏覽器來停用Java的詳細步驟:

在Internet Explorer裡停用Java:的Internet Explorer的「工具」選單內選取「管理附加元件」，停用Java™ Plug-in SSV Helper和Java 2™ Plug-in 2 SSV Helper

在Firefox裡停用Java（MacOS和Windows）：在「工具」選單裡選取「附加元件」，停用Java Deployment Toolkit、Java™ Platform和/或Java Applet Plug-in

在Google Chrome裡停用Java：按入Chrome瀏覽器窗口右上角的「扳手」圖示，選取「選項」，進入「進階選項」然後選取「隱私權說明」中的「內容設定」。進入「內容設定」面板後，在「外掛程式」區段中選取「停用個別外掛程式」，找到Java並且點擊「停用」連結就可以了！

在MacOS的Safari裡停用Java：在Safari選單內選取「偏好設定」，按一下「安全性」標籤。取消勾選「啟用Java」
在Windows的Safari裡停用Java：在瀏覽器右上角點選「齒輪」圖示，然後選取「偏好設定」，選取「安全性」，取消勾選「啟用Java」。

基本上Internet Explorer和Firefox都可以輕易的在選單內停用外掛程式。Chrome則比較隱密，最快的做法是在地址列上輸入chrome://plugins。一旦你進入設定頁面，停用Java外掛程式來禁止瀏覽器執行任何Java程式。

此外，Chrome使用者的另一種選擇是控制要不要執行Java程式。Chrome會在執行Java程式前出現提示，讓你選擇只執行這一次或在這網站上永久可以執行。使用者應該要選擇只執行一次，如果他們知道這個網站真的需要Java。繼續閱讀

認識電腦病毒:什麼是木馬（Trojan）?遠端存取木馬（RAT）?

2012 年 12 月 05 日2020 年 05 月 21 日趨勢科技 TrendMicro

為什麼到處都是木馬，我要如何阻止他們？

想要在網路上保持安全、不受傷害可能是個艱難的任務。網絡上有許多很棒的東西，不過同樣地，對初學者來說也可能是個地雷區，充斥著網路釣魚（Phishing）詐騙、垃圾郵件(SPAM)和惡意軟體。

在資訊安全產業中，我們可能難以避免地去使用一些難懂的術語。你可能已經在一些新聞報導裡聽過木馬程式，如果他們詳細的介紹網路攻擊。因此，讓我們用白話來介紹，來看看最常見的威脅之一：木馬（Trojan）。

所以它跟蠕蟲（Worm）一樣嗎？或病毒（Virus）？嗯，不完全是

他們都是惡意軟體的一種，或說是惡意程式。但是和病毒或蠕蟲不同，木馬並不進行自我複製。簡單的說，它們是偽裝成無害軟體的惡意程式，這個詞源自於經典的特洛伊戰爭故事，一群希臘士兵藏在一個巨大的木馬以進入特洛伊城，然後跳出來大肆攻擊敵人。

而在電腦世界裡，木馬是種惡意軟體，透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後，惡意軟體就可以做各種壞事了。

什麼是遠端存取木馬（RAT）？

有些木馬程式被稱為遠端存取木馬（RAT），設計用來遠端操縱使用者的電腦，讓駭客可以完全控制。有些則可能有不同的目的，像是竊取個人資料，側錄鍵盤，甚至將受害者電腦作為殭屍網路/傀儡網路 Botnet的一部分。

P2P和社群媒體攻擊

不幸的是，木馬攻擊已經變得越來越普遍。在網路上就可以買到工具包，像是黑洞漏洞攻擊包（Blackhole Exploit Kit），讓壞蛋們只需要具備有限的技術能力，就可以幫他們把製造和發動惡意軟體最難的部份做掉。通常木馬會偽裝成看似正常的檔案夾帶在不請自來的電子郵件中，不然就是被隱藏在被入侵的一般網站上，或偽裝成一般檔案放在P2P網站，甚至潛伏在社群網站上的連結裡。

繼續閱讀

趨勢科技SafeSyncfor Enterprise企業私有雲便利安全雙把罩受核研所青睞採用

2012 年 11 月 21 日2012 年 11 月 08 日趨勢科技 TrendMicro

趨勢科技SafeSync for Enterprise企業私有雲 便利安全雙把罩 受核研所青睞採用

隸屬於行政院原子能委員會的核能研究所(以下簡稱核研所)是政府針對原子能研究與應用設立的國家級研究機構，隨著近年來各種新興再生能源技術的發展，也不斷擴張研究領域。核研所的國家級研究資料，是眾多專家學者累積的心血結晶，更是國家未來能源發展之方向，而如何安全地保存這些資料，同時還要能夠確保資料安全且快速的在研究計畫的專家學者間分享與流通，成為核研所資訊人員的重大挑戰。

核研所綜計組副組長王培智博士表示，核研所過去檔案分享的主要管道為檔案伺服器、FTP，以及個別電子郵件。但運用這類管道會遇到的效能瓶頸為檔案過大不易傳輸與管理不易等問題。經由email附加檔案寄送電子郵件，是研究員每天再熟悉不過的流程，但卻對核研所的儲存系統帶來很大的負擔。王培智表示：「所內1,000多名使用者在一天之內會產生高達5萬封電子郵件，其中許多郵件均夾帶大型檔案。經年累月產生的資料量便得耗費不少儲存空間，每天傳輸這些夾檔郵件佔用的網路頻寬，還會排擠其他需使用網路的應用效能。所以一直希望能夠有一套安全、方便管理的檔案分享機制。」

趨勢科技SafeSync for Enterprise 企業私有雲 促進企業團隊協同合作能力 受核研所青睞

「研究了市面上相關產品，最後選擇最符合本所需求的趨勢科技SafeSync for Enterprise企業私有雲。」

王培智表示，市面上許多雲端儲存或群組儲存軟體，多半僅能提供資料的共享備份、跨裝置資料同步等功能。趨勢科技SafeSync除了這些功能之外，更俱備資料同步功能，增進核研所內協同合作的能力。

所內研究計畫主持人可以依需求自行開設專屬虛擬資料夾，並設定資料夾共享與存取權限群組，毋須資訊人員代為設定，減輕IT部門負擔。SafeSync的同步更新特質增快所內研究計畫成員間的溝通效能。資料上傳與下載都經由SafeSync自動執行，完全不影響使用者的工作流程，並解除伺服器傳送大量檔案複本造成的負擔。更重要的是，專案負責人能夠自行設定可存取資料的成員，

繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

2012 年 11 月 20 日2012 年 11 月 15 日趨勢科技 TrendMicro

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線，就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取，那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站如 Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣，網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具，內含了一個密碼還原程式，可有效蒐集使用者的登入帳號密碼，即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料，此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼，使用的是類似「PasswordFox」的工具。

過去，趨勢科技已發現多個專門竊取資料的惡意程式，包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似，但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊，然後儲存在一個名為 {電腦名稱}.txt 的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式，PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料，這是一個專為 FireFox 瀏覽器設計的程式，叫做「PasswordFox」。

PASSTEAL 一旦蒐集到資料，就會執行命令列指令程式的「/sxml」選項，將竊取到的帳號密碼儲存成 .XML 檔案，然後再將它轉成 .TXT 檔案。接著，PASSTEAL 會連線至遠端 FTP 伺服器，將蒐集到的資訊上傳。

事實上，此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括：Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行。繼續閱讀

密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案

2012 年 11 月 15 日2021 年 05 月 19 日趨勢科技 TrendMicro

前言: 根據2012 年駭客公布重大帳密被盜事件分析出的全球最駭密碼,「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。在大陸駭客的密碼破解字典中,還列入以下幾個必備弱密碼,中國人最愛的「666666」和「888888」，還有那甜滋滋的「5201314」（我愛你一生一世）,根據大陸某IT社區網站洩露的600多萬個帳號密碼為例，使用中文拼音、手機號碼，甚至經典詩句縮寫作為密碼的中國用戶不在少數。

趨勢科技曾多次提到密碼管理的文章,還記的下圖提到2012年【LinkedIn被盜帳號的前30大常用密碼】與 2011 年的最駭密碼排行嗎?根據最新的統計 2012 年最駭密碼, 「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。現在PE_MUSTAN.A病毒會鎖定這些強度不足密碼的電腦,進行刪除檔案的破壞。

2012年【LinkedIn被盜帳號的前30大常用密碼】 (F 開頭髒話和 ILOVEOU 都不是好主意) 646 萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上,許多人都直接用單字當密碼，而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了

小編提醒:1.跟傻瓜密碼拒絕往來 2.不同網站用不同密碼

如果帳號符合特定些使用者名稱(administrator/admin/user/test)和 246 組密碼的組合 (完整清單請參閱威脅百科內容)，該惡意程式就會取得存取權限並感染電腦上的檔案。這些密碼包含以下各類(以下僅列舉部分)

鍵盤方向順位組合:

!@#$

!@#$%

!@#$%^

!@#$%^&*

!@#$%^&*()

!@#123

!@#123456

123!@#

123456!@#

數字組合

00000000

007

100200

110

111

11111111

111222

112233

11223344

1234567890

2012

數字和鍵盤順位

1234qwer

123asd

123qaz456wsx

123qwe

abc 系列

abc

abc123

abcd

abcd1234

admin 系列

adm1n

Admin

admin!@#

admin!@#123

admin123

adminadmin

admini

administrator

alpha

asdf

單字系列

baseball

batman

computer

database

dragon

foobar

football

home

hunter

上帝系列

god

godblessyou

英文名字系列

jennifer

jordan

patrick

password 系列

ihavenopass

mypass

mypass123

mypassword

oapassword

P@ssW0rd

pa$$0rd

pass

pass0rd

pass123

pass123456

pass123word456

passpass

passwd

password

password1

pw123

pwd

Windows 系列

win

windows

windows2000

windows2003

windowsxp

我愛你系列

Love

iloveyou

iwantu

xx系列

xxx

xxxx

xxxxx

xxxxxx

xxxxxxxx

2012 年 7 月現身的 PE_MUSTAN.A 會在安全性較弱的網路上散播，而且已知會攻擊密碼強度不足的目標系統。它的源頭可追溯至 WORM_MORTO.SM，後者在一年前非常流行。儘管這種透過暴力破解方式橫行網路的手法已不算新穎，但 PE_MUSTAN 的出現證明了一些應該安全的網路依然存在著重大弱點。

如同所有的檔案感染程式一樣，這個新的變種同樣也會快速感染同一台機器上的眾多檔案。它會感染所有的 .EXE 檔案，除了下列資料夾內的檔案之外：