IOT 物聯網 - 資安趨勢部落格

工業4.0智慧工廠浪潮正夯小心工業機器人恐成駭客箭靶

2017 年 05 月 10 日2017 年 05 月 10 日趨勢科技 TrendMicro

趨勢科技資安威脅研究報告協助揭露多種駭客入侵情境

根據估計，全球工廠至 2018 年將有大約 130 萬套工業機器人分布各種產業，預估全球市場價值可達320億美元(約9.6兆新台幣)[1]，這些系統是今日製造業的重要推手，也象徵著「工業 4.0」這波新的自動化智慧工廠革命浪潮的興起，徹底改變人類的歷史；然而隨著這些智慧連線工業機器人數量的大規模成長，它們遭到網路駭客攻擊的機率也隨之擴大。

趨勢科技與米蘭理工大學（Politecnico di Milano）合作，於日前發布資安威脅研究報告「駭客如何入侵今日智慧工廠工業機器人」，首次深度披露駭客入侵工業機器人的手法，並提出安全邁向未來「第四次工業革命」的建議。報告指出目前仍有許多工業機器人還在使用充滿諸多漏洞的老舊作業系統和程式庫，如Linux 2.6 這類軟體；而另一方面，趨勢科技研究團隊也發現全球有超過8萬台工業機器人缺乏完善的網路防護，其中有5千台沒有安全驗證機制，等於是直接向駭客敞開自家大門，外部軟體或裝置可經由網站服務(Web Services) 發出HTTP 請求與工業機器人溝通，而某些工業機器人甚至能夠經由網際網路直接連線，並可以透過匿名方式登入以自由操控；隨著機器人系統在設計上逐漸偏向與人類密切互動，網路上也開始出現專門的機器人應用程式商店，可透過智慧型手機來控制機器人。

就連工業機器人也會遭駭：這問題該如何解決？

談到網路駭客可能入侵機器人，這或許會讓很多人聯想好萊塢的最新熱門電影。但這已經是事實，工業機器人是今日製造業非常重要的推手，從晶片、汽車，甚至到玻璃製品的生產皆然。

趨勢科技最新研究報告：「駭客如何入侵今日智慧工廠工業機器人」(Rogue Robots: Testing the Limits of an Industrial Robot’s Security)首次披露了駭客入侵工業機器人的手法，同時提出了一套安全邁向未來「第四次工業革命」的建議。繼續閱讀

為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

2017 年 05 月 10 日2017 年 05 月 02 日趨勢科技 TrendMicro

儘管屬於最古老端點銷售（PoS）記憶體擷取惡意軟體家族之一，RawPOS（趨勢科技偵測為TSPY_RAWPOS）在今天仍然相當活躍，幕後黑手的主要目標是有高達數十億美元豐厚利潤的飯店業。雖然惡意分子用來進行橫向移動的工具以及RawPOS元件還是跟以前一樣，但這惡意軟體加進了身分竊盜的新行為，讓受害者面臨更大的風險。具體地說，這新行為是關於RawPOS會竊取使用者的駕照資訊，可以用在駭客集團的其他惡意活動。

圖1：從2009至2014年的PoS記憶體擷取程式家族

RawPOS如何在記憶體內找到信用卡磁條資料 ?

傳統上，PoS威脅的目標是信用卡的磁條資料，並且使用其他元件（如鍵盤側錄程式和後門程式）來取得其他有價值的資料。RawPOS企圖兩者通知，巧妙地修改搜尋條件來取得所需要的資料。

正規表達式是進行模式比對的最古老方法之一，RawPOS會掃描程序內的字串來找出像是磁條內的資料。底下是舊的範例: 繼續閱讀

比 Mirai 更狠, BrickerBot 要讓智慧型家電,監控攝影機… 等 IoT 裝置,永遠變磚塊!

2017 年 05 月 03 日2017 年 05 月 03 日趨勢科技 TrendMicro

一種針對物聯網（IoT ,Internet of Thing）設備的新惡意軟體 BrickerBot 近日登上媒體,雖然據稱它的攻擊媒介跟 Mirai 類似，但是不同於 Mirai 會將受感染設備變成「Botnet傀儡殭屍網路」電腦，BrickerBot 是所謂「phlashing」(網路刷機) 攻擊的真實案例，這是一種永久阻斷服務攻擊 (簡稱 PDoS)，利用硬體裝置的安全漏洞，直接破壞裝置的韌體。

BrickerBot 和 Mirai 及 LuaBot (ELF_LUABOT) 這類專門攻擊 IoT 裝置的惡意程式一樣，會藉由裝置預設的帳號密碼來登入裝置。不過，BrickerBot 卻不像其他攻擊 IoT 裝置的病毒將感染的裝置變成殭屍以建立龐大的殭屍網路，進而發動分散式阻斷服務 (DDos) 攻擊。BrickerBot 會在感染裝置上執行一連串的 Linux 指令，導致感染裝置永久損壞。其中某些指令會毀損或惡意修改裝置儲存容量設定及核心參數、阻礙網際網路連線、影響裝置效能，以及清除裝置上所有檔案。

[延伸閱讀：如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?]

目前已知 BrickerBot 有兩種版本:

BrickerBot.1 版本專門攻擊使用 BusyBox 軟體的 IoT 裝置 (這是一套類似 Unix 工具包的軟體，適用 Linux 和 Android 系統)，裝置若開放了 Telnet 或 Secure Shell (SSH) 連線就可能遭到攻擊，後者之所以遭到攻擊是因為採用了舊版的 SSH 伺服器。一些仍在使用舊版韌體的網路裝置最可能遭到此版本的攻擊。

BrickerBot.2 版本專門攻擊開放 Telnet 服務並使用預設 (或寫死) 帳號密碼的 Linux 裝置。第二個版本會利用 TOR 出口節點 (exit node) 來隱藏其行蹤。

根據趨勢科技對 BrickerBot 的長期觀察，該程式還會利用路由器中的遠端程式碼執行漏洞。而初步分析也證實 BrickerBot 的確會使用預設的帳號/密碼組合 (如：「root/root」和「root/vizxv」) 來試圖登入裝置，此外還會隨機寫入裝置的儲存裝置。

[延伸閱讀： 如何保護路由器以防範家用網路攻擊]

去年，由於 Mirai 殭屍病毒的出現，以及它對企業和個人所造成的嚴重災情， IoT 裝置安全成了最迫切的議題。此次 BrickerBot 的現身，反映出 IoT 裝置在網路攻擊當中正逐漸扮演重要角色，因為某些產業的企業已開始慢慢導入這些裝置，例如：製造業和能源產業。就連像一般家用路由器這樣平凡的裝置，一旦被變成殭屍，就會完全聽從駭客的指示攻擊企業、竊取企業資產，或竊取感染裝置上的資料。

繼續閱讀

後門敞開：物聯網的另一項挑戰

2017 年 04 月 28 日2017 年 04 月 18 日趨勢科技 TrendMicro

廠商將帳號密碼寫死在裝置裡面，是消費型物聯網 (IoT) 裝置、工業用監控與資料擷取 (SCADA) 裝置、甚至關鍵基礎建設目前所面臨的嚴重問題之一。儘管目前已出現要求廠商嚴格審查原始程式碼與韌體的呼聲，但這類漏洞仍屢見不鮮，對使用者的隱私和資料安全造成危害。

資安研究員 Elliot Williams 在 Hackaday 網站上撰文指出，絕大多數 DBLTek 公司生產的 GSM 轉 IP 裝置內部都有一組寫死的帳號密碼可用來執行管理員權限的指令。此問題已通報給廠商，但廠商似乎並對該漏洞進行修補，反而是採用了迂迴的作法，多加了一道自製的驗證程序，但其演算法卻是可經由反向工程得知。Trustwave 部落格上的一篇文章對整起事件有完整的說明，而且目前 Github 上也已經可以找到專門攻擊該漏洞的工具。繼續閱讀

MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)

2017 年 04 月 11 日2017 年 04 月 03 日趨勢科技 TrendMicro

趨勢科技發現了一個新的銷售櫃台系統 (PoS) 惡意程式品種：MajikPOS (趨勢科技命名為：TSPY_MAJIKPOS.A)，和許多其他 PoS 惡意程式一樣是專為竊取資訊而設計，但其模組化的執行方式卻相當獨特。我們估計 MajikPOS 的第一個感染案例應該出現在 2017 年 1 月 28 日左右。

雖然其他的 PoS 惡意程式，如：FastPOS (新版)、Gorynych 及 ModPOS 也採用了元件化的設計來分擔各種不同功能 (如鍵盤側錄)，但 MajikPOS 的模組化方式稍有不同。MajikPOS 只需再從伺服器下載另一個元件就有能力擷取系統記憶體 (RAM) 內的資料。

MajikPOS 是根據歹徒所使用的幕後操縱 (C&C) 面板而命名，該面板是用來發送指令並傳送竊取到的資料。MajikPOS 幕後的駭客在攻擊時結合了 PoS 惡意程式和遠端遙控木馬程式 (RAT)，可造成嚴重的傷害。從 MajikPOS 可看出歹徒的手法越來越複雜，讓傳統的防禦顯得毫無招架之力。

入侵點與攻擊過程

趨勢科技從 Smart Protection Network™ 所得到的資料可以判斷出歹徒使用什麼方法從遠端存取受害者的端點，那就是：Virtual Network Computing (VNC) 和 Remote Desktop Protocol (RDP) 兩種遠端支援工具，不過歹徒還必須猜出受害者的遠端帳號密碼，然後再搭配先前安裝在系統上的 RAT 工具。繼續閱讀