企業資安 - 資安趨勢部落格

鎖定「SambaCry」漏洞的新威脅現身， Linux 使用者請盡速更新系統

2017 年 07 月 20 日2017 年 07 月 21 日趨勢科技 TrendMicro

Samba的資安弱點即便經過修補，新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點（CVE-2017-7494）進行攻擊，影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外，Linux作業系統只要啟用SMB服務，也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備（包含網路儲存設備 (NAS)、IoT設備），一旦成功後即植入惡意程式。

企業環境（政府、製造業、金融業）大量使用 Linux 作業系統伺服器，且大部分均為關鍵業務系統。而Linux常被認為系統安全性高，較不會被入侵，因此較易疏於管理、更新、防護。駭客可能利用此情形，結合目標式攻擊與內網擴散手法攻擊此弱點，入侵至伺服器後加密檔案，進行勒索。因此，趨勢科技建議您，除了Windows作業系統需安裝修補程式外， Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件，極可能代表攻擊已進入到內網擴散階段，可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復，但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出，此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾，並促使伺服器載入並執行該程式庫。駭客一旦得逞，就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」，因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示，SambaCry 只被用來攻擊伺服器，且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料，駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A，發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例，它同樣也會在受害系統上開啟指令列介面。不過，ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先，它會攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置。其次，ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統，如：MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多，隨便上 Shodan 搜尋一下就能找到：指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾，含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。繼續閱讀

Android 後門程式 GhostCtrl ,可暗中錄音、錄影，還可隨心所欲操控受感染的裝置

2017 年 07 月 20 日2017 年 07 月 26 日趨勢科技 TrendMicro

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後，沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際，趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App，被駭客鎖定放置惡意後門程式，以竊取裝置的帳號資料還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式，主要是針對安卓 (Android )用戶，會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲，誘騙使用者上鉤。

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料，能造成的威脅還不只這樣 (至少就衝擊面來看是如此)，它還會引來一個更危險的威脅，那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名，是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能，第二版會進一步操控更多功能，第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看，未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地，各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學，有些人甚至還幫它開發了一些修補程式。

事實上，有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖)，由於這是一個 RAT 服務，因此這一點其實可以在程式編譯的時候修改 (或移除)。

圖 1：從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsapp、Pokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式，名稱大多叫做 App、MMS、whatsapp，甚至是 Pokemon GO。當應用程式啟動時，它會從資源檔解開一個 base64 編碼的字串並寫入磁碟，這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它，然後要求使用者安裝它。這程式非常難纏，就算使用者在要求安裝的頁面上點選「取消」，訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後，外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行：

圖 2：外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能，而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來，惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令，透過「new Socket(“hef–klife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密，APK 在收到之後會自行解密。有趣的是，趨勢科技也發現此後門程式在連線時會使用網域名稱，而非 C&C 伺服器的 IP 位址，這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址：

hef–ddns.net
f–ddns.net
no-ip.biz
no-ip.biz

值得注意的是，指令中可包含動作代碼和物件資料，駭客可透過這方式來指定攻擊目標和攻擊內容，因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能，讓使用者毫不知情。

以下是一些動作代碼和其對應的動作：

動作代碼 = 10、11：操控 Wi-Fi 狀態。
動作代碼 = 34：監控手機各感應器的即時資料。
動作代碼 = 37：設定手機使用介面模式，如夜晚模式/車用模式。
動作代碼 = 41：操控震動功能，包括振動方式和時機。
動作代碼 = 46：下載圖片來當成桌布。
動作代碼 = 48：列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
動作代碼 = 49：刪除指定目錄中的檔案。
動作代碼 = 50：重新命名指定目錄中的檔案。
動作代碼 = 51：上傳某個想要的檔案至 C&C 伺服器。
動作代碼 = 52：建立一個指定的目錄。
動作代碼 = 60：使用文字轉語音功能 (將文字轉成音訊)。
動作代碼 = 62：傳送 SMS/MMS 簡訊至駭客指定的號碼；內容可自訂。
動作代碼 = 68：刪除瀏覽器歷史記錄。
動作代碼 = 70：刪除 SMS 簡訊。
動作代碼 = 74：下載檔案。
動作代碼 = 75：撥打駭客指定的電話號碼。
動作代碼 = 77：打開活動檢視應用程式，駭客可指定統一資源識別碼 (Uniform Resource Identifier，簡稱 URI)，如：開啟瀏覽器、地圖、撥號的檢視等等。
動作代碼 = 78：操控系統的紅外線發射器。
動作代碼 = 79：執行駭客指定的指令列命令，並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令，用於竊取裝置的資料，包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊，如：通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

PC-cillin 跨平台防護 Windows、Mac、Android、iOS跨平台全面防毒》即刻免費下載試用

繼續閱讀

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

2017 年 07 月 17 日2017 年 07 月 19 日趨勢科技 TrendMicro

強烈建議使用者不要使用Classic Ether Wallet的服務，因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣（古典以太坊，ETC），在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意，古典以太坊與 Ethereum（以太坊，ETH）是不同的，這是因為一次駭客事件讓以太坊社群分裂所造成。

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商，進而劫持了該網站

根據 Ethereum Classic的開發者，駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商，進而劫持了該網站（偽裝成高階主管或上級主管是常見的社交工程詐騙手法，常被用來取得寶貴資料）。經由此作法，駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來，讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件，並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告，不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導，數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者，讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限，詐騙者會鎖定受害者，從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難，因為交易在本質上是不可逆轉的。

除了社交工程外，還有其他更加複雜的威脅，尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上，而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年，我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進，有漏洞的物聯網（IoT ,Internet of Thing）設備成為首要目標。從數位錄影機到路由器和連網監控攝影機，惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年，我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統，可能會影響生產力和運作能力，進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統，需要小心警慎和積極作為：繼續閱讀

主要鎖定台灣,專偷機密技術的 BlackTech 網路間諜集團

2017 年 07 月 07 日2017 年 07 月 03 日趨勢科技 TrendMicro

2014 年趨勢科技目前發現一起專門針對台灣政府和行政單位的 APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 活動。這起特定攻擊活動命名為 PLEAD，據趨勢科技分析發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後很有可能都同屬一個駭客團體 BlackTech 網路間諜集團。

BlackTech 是一個在東南亞地區相當活躍的網路間諜集團，尤其是在台灣，偶爾也在日本和香港地區活動。根據其幕後操縱 (C&C) 伺服器的 mutex 和網域名稱來看，BlackTech 的行動主要是竊取攻擊目標的機密技術。

據趨勢科技對其活動以及不斷變換的手法與技巧所做的分析，我們發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後有所關聯。

我們分析了他們的犯案手法並剖析了他們所用的工具之後發現，PLEAD、Shrouded Crossbow 和 Waterbear 很有可能都同屬一個駭客團體。

PLEAD: 曾經攻擊台灣的政府機關和民間機構

PLEAD 是一個資料竊取行動，尤其專門竊取機密文件。該項行動從 2012 年活躍至今，曾經攻擊台灣的政府機關和民間機構。PLEAD 所使用的工具包括同名的 PLEAD 後門程式以及 DRIGO 資料搜刮外傳工具。PLEAD 會利用魚叉式網路釣魚郵件來夾帶惡意的附件檔案或雲端儲存空間連結，以散布並安裝其木馬程式。歹徒使用了一些雲端儲存空間帳號來提供 PLEAD 木馬程式，並且接收 DRIGO 所搜刮外傳的文件。

PLEAD 的安裝程式經常使用從右至左書寫 (RTLO) 的技巧來讓惡意程式的檔名看起來像文件檔，且大多會搭配一個誘餌文件來轉移使用者的注意力。此外，我們也看過 PLEAD 使用以下漏洞來攻擊：

CVE-2015-5119 (Adobe 已在 2015 年 7 月修補)。
CVE-2012-0158 (Microsoft 已在 2012 年 4 月修補)。
CVE-2014-6352 (Microsoft 已在 2014 年 10 月修補)。
CVE-2017-0199 (Microsoft 已在 2017 年 4 月修補)。

趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出，在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。

趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD，來自於其相關惡意軟體所發出後門指令的字母。

此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡，攻擊者利用RTLO（從右至左覆蓋）技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr 顯示成xxx.rcs.pdf）

在某些 PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術，如同一起針對台灣某部會的案例，聲稱是關於技術顧問會議的參考資料：

一旦.7z 附加檔案被解開，收件者會看到兩個檔案，看來像一個 PowerPoint文件和一個 Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元，可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。

針對台灣政府單位的APT 攻擊：解開的附件檔顯示RTLO 伎倆,副檔名看似PPT,其實是.SCR 螢幕保護程式上

為了進一步讓受害者相信.SCR檔案是PPT文件，這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。

針對台灣政府單位的APT 攻擊.SCR 檔案刻意以假亂真產生一個 PPT檔案作為誘餌

《延伸閱讀》< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)

PLEAD 還曾經短暫使用過一個無檔案式惡意程式版本來攻擊 Flash 的漏洞 (CVE-2015-5119)，也就是當年 Hacking Team 所外流的漏洞。

繼續閱讀

熱門的辦公室通訊平台,如何被網路犯罪分子濫用?

2017 年 07 月 06 日2017 年 06 月 30 日趨勢科技 TrendMicro

網路犯罪分子利用聊天平台API作為 C&C 基礎設施

聊天平台如 Discord、Slack和Telegram已經成為相當熱門的辦公室通訊工具，這三個例子都深受世界各地企業和組織的青睞。一個重要的原因是這些聊天平台可以讓使用者透過API將他們的應用程式與自己的平台整合。這種作法在工作環境內可以減少應用程式切換的時間，進而簡化工作流程並提高效率。但有一點必須提出來，這樣的功能是否會被網路犯罪分子濫用？畢竟，我們已經看過許多將合法服務和應用程式用在惡意網路犯罪行為的例子，像是IRC就是個知名的例子，曾在過去被許多網路犯罪分子作為「Botnet傀儡殭屍網路」的命令與控制（C&C）基礎設施。

將聊天平台API轉換為命令與控制基礎設施

趨勢科技的研究重點是分析這些聊天平台API是否可作為C&C之用，並且看看是否有現行惡意軟體在利用此漏洞。通過大量的監視、研究和製作概念證明程式碼，我們已經可以證明每個聊天平台的 API功能都可能被濫用 – 將聊天平台轉變成C&C伺服器，網路犯罪分子可藉此與中毒或被駭系統進行通訊。

發現濫用API的惡意軟體樣本

我們對聊天平台的大量監視也顯示出網路犯罪分子已經在利用這些聊天平台進行惡意攻擊。在Discord，發現許多惡意軟體，包括檔案注入程式，甚至是比特幣Bitcoin) 採礦程式。同時，Telegram也被發現遭到某些KillDisk變種及TeleCrypt（一種勒索病毒 Ransomware (勒索軟體/綁繼續閱讀