IOT 物聯網 - 資安趨勢部落格

IT 安全團隊在連網醫院的角色

2018 年 06 月 07 日2018 年 06 月 07 日趨勢科技 TrendMicro

根據報導，WannaCry(想哭)病毒造成了10億美元財務損失，迫使醫生取消看診預約等。勒索病毒的頻繁攻擊也讓醫療網路常被忽視的地方引起關注 – 暴露在網路上的醫療網路設備及第三方合作夥伴。

眾所周知，醫療技術和資訊系統的進步是全球預期壽命延長的主因之一。現代化診斷、監測和治療系統的整合讓資訊更加快速有效的流通，讓病患治療更容易協同合作。但有些人可能不知道，醫院資訊系統是這資料流的主幹。不僅僅是醫療服務，還包括了醫院營運 – 行政、財務、病歷甚至是法律程序。而正如我們一再學習到的，結合/整合單一系統的複雜系統必然會出現漏洞，並且會擴大受攻擊面。

我們與HITRUST的最新聯合研究 – 「防護聯網醫院」強調了醫療IT團隊的整體安全策略所需要考慮的兩個關鍵 – 暴露在網路上的設備和第三方合作夥伴。

大家可能會認為醫院對暴露在網路上的設備相當敏感，因為健康保險可攜與責任法（HIPAA）及類似法規對資料外洩都處以高額的罰款。但當我們使用Shodan搜尋醫療相關網路設備時，卻驚訝地發現有大量暴露在網路上的醫院系統。

[延伸閱讀：更多關於暴露在網路上醫療設備和系統的詳細資料]

除了未受防護的線上醫療設備及系統所造成的風險外，醫療組織還面臨了供應鏈脆弱環節遭受入侵的問題。供應鏈的安全間隙可能讓連網醫院面臨到設備韌體攻擊、行動醫療應用程式被駭及開發期間原始碼外洩等等威脅。繼續閱讀

區塊鏈：安全與 IOT(物聯網)之間的必要環節？

2018 年 06 月 01 日2018 年 05 月 23 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Thing ）已與主要網路攻擊產生關聯，通常涉及濫用易受攻擊的連網裝置 (例如監視攝影機)，以協助進行惡意活動。當然，各界已對物聯網是否能確保連線至龐大網際網路的數十億部裝置的安全感到疑慮，並要求提供可行的解決方案以填補此安全缺口。此時登場的是區塊鏈，它是相對較新的技術，可望降低透過中央機構入侵物聯網裝置的風險，同時提升物聯網實作的擴充性。原則上，它可透過多種方式保護物聯網網路，例如針對異常網路行為形成群體共識，以及隔離未依規定運作的任何節點。

兩個關鍵促成要素合二為一：當物聯網遇上區塊鏈

在數十年之間，物聯網已大幅擴展並連接各種裝置與網路，包括住家、工作場所、運輸系統，甚至整座城市。另一方面，已問世十年的區塊鏈將透過其加密及分散式分類帳 (以建立可防止竄改的即時記錄)，為商業模式帶來革命。透過物聯網與區塊鏈的協同運作，預期後者可為前者的裝置與程序提供可驗證且安全的記錄方式。

區塊鏈以分散式分類帳運作，將會記錄資料的每個刪除或修改動作，隨著更多資料 (區塊) 的加入，將建立更長的事件鏈。進行的每筆交易皆附帶數位簽章，而且永遠無法變更或刪除。由於區塊鏈去中心化的特性，理論上可防止易受攻擊的裝置推送假資訊及破壞網路環境，無論是智慧家庭或智慧工廠。

在一件最近發生且值得注意的物聯網安全事件中，區塊鏈可降低分散式阻斷服務 (DDoS) 攻擊的風險，這些攻擊會同時影響多台裝置：一台裝置中斷不應影響其他裝置。我們在保護智慧城市安全中注意到這個問題，此種權宜措施對於維持服務中的連線與功能而言非常重要，特別是關鍵系統。

使用區塊鏈，每個裝置都將具備強大的加密功能，進一步確保與其他裝置通訊的安全，並可在最重視隱私的物聯網使用案例中提供匿名性。採用者將可更妥善地追蹤裝置及發佈安全更新，協助強化潛在易受攻擊的裝置。繼續閱讀

重新啟動你的路由器：VPNFilter感染全球超過50萬台的路由器

2018 年 05 月 31 日2018 年 05 月 30 日趨勢科技 TrendMicro

資安研究人員發表了一份報告,指出駭客利用惡意軟體 VPNFilter 感染至少54個國家，超過50萬台家用和小型企業路由器。這惡意軟體可以操縱受感染路由器進行攻擊、收集資料和進行通訊、竊取重要憑證、監視資料採集與監控系統（SCADA）協定，並且會安裝自殺指令來讓受感染設備無法使用。這些動作可以被單獨觸發或集中觸發。這波攻擊從2016年就已經開始，但在最近幾週突然大量增加，尤其是在烏克蘭。

根據研究人員對VPNFilter的觀察，這是種很複雜的模組化、多階段惡意軟體，會影響到商用路由器和NAS設備，並且分成三個階段進行散播和感染。

第一階段進行散播，目標設備是使用Busybox和Linux韌體的多種CPU架構。接著到Photobucket.com下載圖檔來取得IP地址以找到第二階段的伺服器。它的命令和控制（C&C）還有備用機制，像是如果Photobucket無法連上就會從ToKnowAll.com下載。它還會接收來自攻擊者的指令，從api.ipify.org檢查IP並儲存下來備用。在此階段就算是重新啟動設備，核心惡意程式碼也仍然存在於受感染系統中。

第二階段進行情報收集，如收集檔案、執行命令、管理設備和資料取出。它還部署了自毀能力。它能夠評估受感染設備的網路價值，特別是關於駭客感興趣的系統。駭客接著可以決定是否要利用此網路繼續收集資料，或利用系統的網路連線來進行散播。此階段的自毀功能會覆寫設備的重要部分再進行重啟，一旦攻擊者觸發內建的自殺指令就會破壞韌體，讓設備無法回復。繼續閱讀

《IOT 物聯網-智慧家庭》連網家庭裝置的遠端執行代碼等弱點

2018 年 05 月 25 日2018 年 05 月 15 日趨勢科技 TrendMicro

如果能從連網裝置上發現的大規模攻擊中學到什麼，那就是物聯網（IoT ,Internet of Thing ）充滿了弱點。我們多次看到殭屍網路（botnet）是如何因系統弱點而崛起，並且利用糟糕的基本安全性來破壞許多裝置及服務。

過去一年來，趨勢科技開始仔細研究全球物聯網裝置的安全性。我們選擇了在 Amazon 各區域可取得，並在日本市場廣泛使用的裝置，探究遠端執行代碼 (RCE) 是否可行。我們最終發現的，不僅只有如此。

在發現錯誤、報告問題並等待製造商回應的數個月後，我們發現了不同裝置製造商的弱點。其中一些弱點易於利用，而其他弱點風險較小。然而，結果是攻擊者終究能夠取得受影響裝置的未授權遠端控制權，可能造成裝置完全無法運作，甚至損壞。

製造商	型號	裝置類型	弱點	RCE	狀態
Belkin	NetCam HD+ WiFi Camera	IP 攝影機	SSRF + LCE	是	已修補
Belkin	WeMo® LED Lighting Starter Set	智慧燈泡	未授權的 SYSEVENT 服務	是	已修補
Belkin	WeMo®	多種裝置	阻斷服務 (DoS)	否	已修補
Buffalo	WSR-300HP	路由器	命令注入 (Command Injection)	是	已修補
D-Link	DCS825L 媽咪愛高畫質寶寶用無線網路攝影機	嬰兒監視器	命令注入 (Command Injection)	是	已修補
D-Link	DCS825L 媽咪愛高畫質寶寶用無線網路攝影機	嬰兒監視器	堆疊溢位 (Stack Overflow)	是	已修補
大華	IP 攝影機及 PTZ 攝影機	IP 攝影機	容易猜測的回復出廠設定密碼	否	已修補

表 1：發現存在弱點的物聯網裝置
注意：我們已經聯絡受影響的製造商，而尚未收到 Buffalo 的回應。WeMo 的阻斷服務弱點影響所有 WeMo 裝置。D-Link 表示可提供測試版韌體，撥打 1-877-453-5465 聯絡其美國地區的技術支援。大華的弱點也影響到其 OEM 產品，雖然該弱點無法直接進行 RCE 攻擊，但可以利用 Telnet 來達成。

我們在 Buffalo 發現了一個存在三年的弱點，與 2016 年發生在 TR-69 SOAP RCE 攻擊中的弱點相似，攻擊者可能輕易利用此弱點，建立殭屍網路。我們也在 Belkin 裝置中發現安全漏洞。例如，Belkin WeMo® 裝置可能因一個 POST HTTP 請求造成關鍵服務的堆疊溢位而停止運作並難以恢復。繼續閱讀

《虛擬貨幣》物聯網成為挖礦惡意程式的目標

2018 年 05 月 24 日2018 年 05 月 24 日趨勢科技 TrendMicro

加密虛擬貨幣近來持續引起許多騷動。雖然部分政府致力於管理相關交易，但也有一些政府希望完全停止相關挖礦活動。趨勢科技注意到網路犯罪者持續積極參與加密貨幣挖礦惡意程式活動，包括入侵消費者的硬體圖形處理器 (GPU)，以及利用使用者的行動裝置。

俗話說，犯罪總是離不開錢財，網路犯罪者的行為再次印證了這個說法。地下世界充滿了許多加密虛擬貨幣惡意程式，犯罪者肯定很難判斷哪個最有利可圖。此類惡意程式亦稱為挖礦惡意程式 (cryptomalware)，其目標明確，就是要從加密虛擬貨幣交易中獲利。這可以透過兩種方式達成：竊取加密貨幣，以及偷偷地在受害者的裝置上進行加密虛擬貨幣挖礦，此程序亦稱為挖礦綁架。在本文中，我們將討論這兩種方式如何運作，以及研究連接至物聯網（IoT ,Internet of Thing ）的裝置 (運算能力相對較低) 是否會成為目標。

「虛擬貨幣挖礦惡意程式」與「虛擬貨幣竊取惡意程式」的運作方式

如同一般惡意程式，挖礦惡意程式也可能採取不同的形式，包括用戶端網頁指令碼以及行動應用程式等。隨著線上服務的普及，挖礦過程變得更加容易，值得注意的是，我們發現以 JavaScript 撰寫的網頁型用戶端加密貨幣挖礦惡意程式有所增加。

不過，這項威脅並不限於電腦。幾乎任何連接網際網路的裝置都可能成為挖礦殭屍網路的一部分。犯罪者只需要能夠實現此目標的程式碼，而且他們早已進行開發，本文稍後就會說明。

一般加密虛擬貨幣挖礦惡意程式的手法如下：

Dropper 程式碼透過指令碼或適當的可執行檔，未經受害者同意而執行於受害者的裝置上 (如同任何其他惡意程式)。為達到此目的，網路犯罪者會攻擊防備不足的電腦基礎設施、進行網路釣魚詐騙，或惡意利用瀏覽器擴充功能、行動應用程式及即時傳訊等工具。
挖礦程式碼執行於受害者的裝置，並開始利用其運算能力來計算雜湊。此時，受害者可能會注意到裝置效能降低，如果是電腦，風扇會為了降溫而發出較大的噪音。
挖礦程式碼執行於受害者的電腦,風扇會為了降溫而發出較大的噪音。
計算結果送回攻擊者或直接送至線上採礦池，無論是否惡意 (專門設置用於支持網路犯罪)。接下來，攻擊者將結果轉換為加密貨幣。

繼續閱讀