一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門,讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難,尤其是對使用白名單的解決方案來說。
趨勢科技在一個月內已經觀察到至少五波攻擊,每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構(包括銀行)和礦業公司。值得注意的是,攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。
這起攻擊的相關惡意動態連結函式庫(DLL)樣本最早在2017年6月6日被上傳到VirusTotal,這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。
推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊(SPEAR PHISHING)攻擊活動。
圖1、惡意電子郵件活動的攻擊鏈
圖2、送給一個目標的不同惡意電子郵件(時間順序為自左向右,順時針方向)
安全研究人員在美國與南韓公司 NetSarang 的伺服器管理產品內發現強大的後門程式:ShadowPad(趨勢科技偵測為BKDR_SHADOWPAD.A),它能夠下載並執行其他惡意軟體及竊取資料。
受影響的組織包括金融機構、能源和製藥等產業
NetSarang產品包括管理網路、伺服器和系統管理工作站的軟體。受影響的組織包括了金融機構(如銀行)、能源和製藥等產業。
根據研究人員的分析,ShadowPad每隔8小時連到攻擊者所控制的特定網域來傳送中毒系統上的資料。它也被設計成會每月連到不同的網域。如果傳送給攻擊者的資料引起興趣,則命令與控制(C&C)伺服器會去觸發後門程式來送入更多的惡意程式。
ShadowPad的惡意程式碼被注入到一個動態連結函式庫(DLL)檔案nssock2.dll,在7月17日出現在NetSarang網站上,至今仍未被發現。另外值得注意的是ShadowPad的隱蔽程度,包括了加密層數,並且具備分級機制來阻止後門程式啟動,除非C&C伺服器發送特定封包到中毒系統。
NetSarang已經承認了此一事件,並且開始實施對策,他們告訴Ars Technica:“我們建立了一個全新且獨立的基礎設施網路,所有要被放入此新基礎設施網路的設備都會先重新格式化。接著接受檢查,加入白名單,再逐次加入新的基礎設施網路。這過程將需要經歷幾個星期的時間,但我們需要確保這樣的入侵事件不會再在NetSarang發生。“
合法軟體被惡意濫用不止一樁:
會計軟體被利用散佈Petya勒索病毒,Mac勒索病毒內嵌到BitTorrent客戶端 繼續閱讀
太多人太熱衷於分享過多但不必要的敏感資訊,而這些敏感資訊就像是給攻擊者的寶藏
從線上交友網站個人檔案收集到的企業資訊數量,高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用,有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例,它會在未經使用者認可的情況下,擷取使用者在 Facebook 上的資訊,然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料,卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。
現在有越來越多的人使用線上交友尋找對象,但線上交友會對企業造成威脅嗎?使用者本身透露的資訊種類及資訊量,例如個人資料、工作場所、經常前往與居住的地點等,對於尋找對象的人而言是很有用的資訊,但同時攻擊者也會利用這些資訊,做為入侵組織的起點。
為了證實這項風險,趨勢科技研究了多個線上交友網站,初步包括 先請回答以下問題:
不幸的是,以上答案皆為「是」。
| Honeyprofile | 誘騙用個人檔案 |
| Profile matching
(physical attributes, job information, tec.) |
個人檔案匹配
(外表特徵、工作資訊等) |
| Location profiling | 地點分析 |
| Target’s real-word social media profile | 目標現實生活的社群媒體個人檔案 |
| Open Source Intelligence profiling | 公開來源情報分析 |
| Target’s only dating network profile | 目標的線上交友網站個人檔案 |
圖 1 我們如何追蹤可能目標的線上交友及現實生活/社群媒體個人檔案
在幾乎所有的線上交友網站上,我們發現如果要尋找一個已知在該網站註冊的目標,是非常容易的事。這並沒有什麼好奇怪的,因為線上交友網站可讓使用者運用各種條件來過濾對象,例如年齡、地點、教育程度、職業、薪資,當然還有外表特徵,例如身高與髮色,除了 Grindr 之外,因為此網站要求提供的個人資訊較少。
地點是非常有用的資訊,因為利用 Android 模擬器,可將 GPS 位置設定在地球上的任何地方,將所在地點設定在目標企業的地址,然後將匹配對象的半徑範圍盡可能縮小。
相反的,我們可以透過典型的公開來源情報 (OSINT) 分析,找到特定個人檔案在線上交友網站之外的相應身分。同樣的,這一點也不讓人感到驚訝,許多人太熱衷於分享過多但不必要的敏感資訊,而這些敏感資訊就像是給攻擊者的寶藏。其實有份研究指出,運用手機上的交友應用程式進行三角測量,就能找到持有人的實際所在位置。
在找到目標的位置並連結目標的真實身分後,攻擊者要做的只剩下利用這些管道。我們對此進行測試,在我們的測試帳戶之間傳送內含已知惡意網站連結的訊息,而這些訊息都正常地發送出去,未被標記為惡意訊息。
只要利用一點社交工程,很容易就能欺騙使用者點擊連結。攻擊者發送的連結可能是常見的網路釣魚網站,例如偽裝的交友應用程式或網站,如果受害者的密碼在多處重複使用,攻擊者就能侵入個人的生活圈。攻擊者也可能使用攻擊套件,但大多數人是在手機上使用交友應用程式,因此入侵難度較高。一旦成功入侵目標,攻擊者可嘗試劫持更多電腦,最終入侵受害者的工作及其企業網路。
這種攻擊理論上可行,但實際上真的有發生過嗎?是的,真的有。今年初發生在以色列軍隊的鎖定攻擊,就是利用社群網站的個人檔案做為攻擊進入點。網路愛情詐騙不是什麼新鮮事,但線上交友網站上究竟發生過多少類似事件?
我們用假帳戶設立「誘騙用個人檔案」以進一步探索。將研究範圍縮小至 Tinder、Plenty of Fish、OKCupid 以及 Jdate,選擇這些網站的理由,是根據顯示的個人資訊量、互動的方式,以及無需支付初始費用。
然後,我們建立涵蓋不同地區及產業領域的個人檔案。大多數交友應用程式會限制搜尋區域,而且對象必須也接受你或給你按「讚」才能進行匹配,這表示我們也必須給真人持有的個人檔案按「讚」。於是就出現了一些有趣的情況:我們晚上在家陪伴家人時,得給搜尋範圍內每個新出現的個人檔案按「讚」(是的,我們的配偶都能諒解)。
我們也為研究訂定了幾項規則,就是不輕易答應交往,但保持開放交友心態:
以下是我們收到的訊息範例: 繼續閱讀
CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞,讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入(OLE)介面以散播惡意軟體。它通常利用的是惡意RTF文件,也就是今年初被DRIDEX銀行木馬所利用的方式。
趨勢科技最近看到了新樣本(趨勢科技偵測為TROJ_CVE20170199.JVU)會用新的方法(利用PowerPoint播放模式)來利用CVE-2017-0199漏洞,這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用,本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解,藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。
技術分析
圖1:TROJ_CVE20170199.JVU感染流程
偽裝生意夥伴的發送網路釣魚電子郵件
漏洞攻擊碼是以魚叉式釣魚攻擊(SPEAR PHISHING)附件的方式抵達,偽稱來自電線廠商,實際上則是會植入一個遠端存取工具。這個偽裝是有原因的,因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。
郵件樣本內容如下:
圖2:魚叉式釣魚郵件樣本
雖然電子郵件本身有提到訂單請求,但收到郵件的使用者看不到商業文件,而是會看到一個PPSX檔案,點擊後會顯示如下: 繼續閱讀
由於全球手機作業系統主要分成 Android 和 iOS 兩大陣營,因此不論新聞上出現哪一陣營的威脅,都會引起廣大注意。根據最近一份統計,截至 2017 年 5 月為止,Android 全球活躍用戶大約超過 20 億以上,而且許多用戶都會在工作上使用到行動裝置。在這樣的情況下,不論企業或一般使用者,都應隨時掌握最新的威脅情勢,並且養成良好的使用習慣與採取最佳實務原則來保障 Android 裝置安全。
雖然 Android 發布資安公告早已不是新聞,但所有 Android 用戶,尤其是利用行動裝置來存取企業敏感資料的使用者,千萬不能掉以輕心。
「Android 用戶對於資安公告千萬不能掉以輕心。」
七月初左右,Google 發布了當月份的資安公告,裡面包含兩項修補,解決了幾個月前所發現一些存在已久的漏洞。趨勢科技技術通訊研究員 Giannina Escueta 表示,這次的資安公告主要是針對今年三月以來一直困擾 Android 用戶的 Mediaserver 問題,包括記憶體損毀漏洞,以及遠端執行程式碼漏洞。
此外,這份資安公告也希望針對其系統多媒體架構以及 Broadcom 和 Qualcomm 相關元件的問題加以解決,還有其他 55 項 Qualcomm 非開放程式碼元件的優先問題。儘管這些問題對 Android 用戶來說是相當大的威脅,例如根據 Android Open Source Project 指出,可能讓駭客利用具備管理權限的執行程序來執行任意程式碼,但看來這次 Google 倒是及時在漏洞還未出現攻擊案例之前釋出了修補更新。
Android Open Source Project 指出:「我們未曾接到任何客戶因這些漏洞而遭到攻擊的通報,或是這些新通報問題遭到濫用的情況。」
然而前述漏洞還未遭到攻擊就已被修補的狀況,對行動惡意程式來說並不常見。今年稍早,有大批 Android 用戶遭到一個名為「Judy」的手機惡意程式攻擊,根據 BGR 特約作者 Yoni Heisler 指出,前後約有 3650 萬名受害者。 繼續閱讀