四個行動裝置可能威脅企業的情況

多年前,行動電話、筆記型電腦、個人數位助理 (PDA) 等行動裝置在企業環境當中盛行了數十年。然而,隨著 Apple 的智慧型手機的推出,沒多久,企業員工就人手一台自己購買或公司配發的智慧型手機,而企業行動化的樣貌也徹底改觀。

儘管行動裝置管理領域多年來已有長足的進展,但仍有一些尚待解決的問題。例如,許多企業的資安措施多年來未曾更新,但駭客的技巧和手法卻不斷日新月異。

根據 2016 年 Ponemon Institute 針對企業資安人員所做的一份調查,67% 的受訪者表示其企業肯定或很可能已經發生資料外洩。此外,有 64% 的受訪者承認其企業在敏感資訊的防護方面缺乏戒心,有 63% 對於哪些公司資料可以儲存在員工行動裝置缺乏明確規範。

有四種情況,行動裝置很可能威脅企業並洩漏敏感資料:

1.使用者未能落實企業政策

員工是網路攻擊最大的外洩管道之一。儘管員工並非心懷惡意,但員工若未確實遵守公司或產業規範,就很可能讓公司大門敞開並引來駭客。根據 2016 年 Ponemon Institute 針對「全球 2000 大」(Global 2000) 企業所做的一份調查,67% 的受訪者表示其公司肯定或很可能已經因為使用行動裝置而發生資料外洩。此外,有 64% 的受訪者承認其企業在敏感資訊的防護方面缺乏戒心,有 63% 對於哪些公司資料可以儲存在員工行動裝置缺乏明確規範。

某些智慧型手機用戶並未使用鎖定畫面或者使用者驗證。

即使企業已經制定了良好的規範,但使用者若未能落實,還是會讓企業陷於資料外洩的風險當中。根據 2017 年 Pew Research Center 的一份報告指出,有些智慧型手機用戶並未養成一些簡單的良好習慣,例如隨時保持裝置更新,或是啟用裝置的使用者驗證功能。事實上,28% 的智慧型手機用戶未使用鎖定螢幕,40% 的用戶只有在覺得方便的時候才會更新裝置。這些懶惰的習慣,會讓不肖人士很容易掌握裝置並取得敏感資訊。

2.應用程式與裝置漏洞

Continue reading “四個行動裝置可能威脅企業的情況”

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

 

行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。

MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。

雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。

趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。

 

對企業的影響

MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。

結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。

圖1:Google Play上帶有MilkyDoor應用程式的例子 Continue reading “200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式”

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

 

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」,會跳出貌似 Google Play 的輸入對話框,要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡,它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝,「Fobus」就會從收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制(C&C)伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料

繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》,藉機竊取用戶的信用卡資訊。

手機遊戲一向是網路犯罪分子愛用的誘餌,這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增

根據趨勢科技Smart Protection Network的反饋資料,在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。

趨勢科技發現最新的變種:「Fobus」(偵測為ANDROIDOS_FOBUS.OPSF),透過第三方應用程式商店散佈。一如往常,它會要求各種權限:

圖1、山寨版軟體要求權限

Continue reading “Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料”

行動電話如何變成企業威脅?

在去年,手機的數目已經超過了全世界的總人口數。在美國手機用戶的數量超過了傳統室內電話用戶,而且有一半的人只用手機通訊。在現代的智慧化城市裡,無線建築正逐漸成為一般家庭、工廠和公司的新建設標準。有線電話遲早有一天會消失。

儘管電話詐騙聽似古老的駭客技術,電話(特別是手機)對使用者和企業來說仍然很重要。就像企業電子郵件帳號會成為魚叉式釣魚攻擊(SPEAR PHISHING)的目標一樣,公司電話現在也會成為網路犯罪分子社交工程(social engineering )攻擊的目標。

比方說,使用者在不知不覺中給出自己的公司電話號碼(如在社群網站上),讓詐騙分子可以輕易地這些地方入手來收集所需的電話號碼。這些人接著用社交工程攻擊來躲過一般網路和電子郵件所具備的保護機制。

雖然電話阻斷服務攻擊及自動撥號攻擊是已知且被認為只是擾人的事情,行動電話出現更加複雜的攻擊,主要是在手動及社交工程電話的方式。趨勢科技前瞻性威脅研究(FTR)團隊(與紐約大學、新加坡管理大學和喬治亞理工學院合作)最近部署了一套行動電話蜜罐系統(mobipot)來研究行動電話威脅和網路犯罪生態系統。我們不僅想知道這些攻擊怎麼進行,還有網路犯罪組織的方式。

Mobipot用honeycard(由研究人員管控的SIM卡,會記錄電話和訊息形式的攻擊)配置。這些honeycard的號碼透過多種方式來送給可能的攻擊者,包括執行手機病毒來洩露儲存在測試手機上聯絡人的號碼。

 

圖一介紹了Mobipot的架構,圖二則秀出其硬體。

圖1、Mobipot架構

圖2、Mobipot硬體

詐騙來電和簡訊大多數都出現在上班時間,可以看出網路犯罪分子想將其混入正常流量加以掩護

經過超過七個月的時間,研究人員收集了來自215發送者的1,021則訊息及來自413組號碼的634通語音電話。有超過80%都屬於不正常的來電或訊息,包括垃圾訊息、語音釣魚和針對性攻擊等威脅。

這些來電和簡訊大多數都出現在上班時間。可以看出網路犯罪分子想將其混入正常流量好看起來合法。詐騙分子還利用GSM代理系統和VoIP技術來掩飾偽造自己的發話號碼,讓傳統的黑名單偵測技術無法發揮效用,必須具備能考量脈絡資訊的新技術。

 

詐騙和垃圾訊息佔這些不正常通訊的 65%

用自動撥號和簡訊的方式出現,詐騙和垃圾訊息佔這些不正常通訊的65%。Mobipot收到的訊息包括提供鈴聲、行動資費方案、網路服務和遊戲及其他種類的廣告。下面是一些有趣的例子:

  • 私家偵探提供盯哨和監視服務
  • 駭客服務,如進入個人電子郵件和監聽使用者。
  • 交易非法商品,如偷來的信用卡、被入侵的支付帳戶、Paypal與驗證的餘額以及不同金額和形式的發票。
  • 政治宣傳(在中國收到):「祝你新年平安。這通電話是想告訴你中國的苦難仍在繼續。我們要如何可以不浪費錢?[…]忠於中國共產黨。在我們的計畫中要改革土地[…]」

Continue reading “行動電話如何變成企業威脅?”

出現在 iOS App Store上不尋常的記帳軟體

 

 

第三方應用程式商店竟可以藏身在 iOS App Store?!

iOS生態系通常被描述為封閉性的生態系統,處在 Apple的嚴格控制之下。但有心人士還是有辦法跳脫這嚴格的控制。還記得 Haima 應用程式嗎?它利用Apple所發放的企業憑證 – 這成本很高,因為所需的憑證要頻繁地改變。

趨勢科技最近發現一個可以從官方 iOS App Store下載的記帳應用程式,該應用程式帶有日文字,但應用程式商店本身是用中文。此外,它也出現在多個國家的App Store內。這個軟體名稱為為「こつこつ家計簿 – 無料のカレンダー家計簿」,也就是家庭記帳軟體。看起來是個家庭財務助手軟體,但實際上是一個第三方應用程式商店。透過這個第三方商店,可以下載被蘋果禁止的越獄應用程式,Apple已經將它從App Store中刪除。

 

圖1、iOS App Store內的家庭記帳軟體

 

 

圖2-4、應用程式啟動的各階段

 

程式碼(如下圖5)顯示當它首次啟動時會檢查系統使用者設定 plist 內的 PPAASSWOpenKey 鍵值。該應用程式利用這鍵值確認之前是否執行過:如果沒有,就不會有鍵值存在。該應用程式會轉去執行其他動作,要求資料使用權限來存取第三方商店。因為 iOS的權限機制,這請求需要由使用者(圖2)同意。第一次請求失敗讓應用程式轉成記帳本畫面,偽裝成合法應用程式(圖3)。圖3的文字聲稱資料存取權限是從應用程式匯出資料所必須。 Continue reading “出現在 iOS App Store上不尋常的記帳軟體”

讓人中毒很深的熱門手機遊戲,本尊,山寨傻傻分不清楚?!

手機遊戲出現惡意軟體並非新現象。行動惡意軟體對企業和消費者來說都仍然是個問題,因為惡意程式數量一直地在攀新高。根據趨勢科技在2016年所得出的數據,光在2016年就封鎖了6,500萬次行動威脅,出現1,920萬個不重複的惡意Android應用程式。而在2015年總共只收集到1,070萬個樣本,這巨大的差距讓不少安全專家感到擔心。

根據Dark Reading上的一份Ponemon Institute研究報告顯示,有84%的IT安全人員對行動惡意軟體會相當擔心,相對起來擔心物聯網(IoT ,Internet of Thing)應用程式的比例只有66%。

有超過50萬人下載的「Pokemon Go指南」,竟夾帶惡意軟體

假應用程式和行動惡意軟體的例子隨處可見,特別是在遊戲市場。例如曾經風靡一時的手機遊戲Pokemon Go在2016年成為駭客和惡意分子的目標。當Pokemon Go在2016年中進入應用程式商店時,駭客們抓住這機會來誘騙使用者下載偽裝成「搶鮮版」的軟體。其他冒稱能夠協助遊戲進行的應用程式也出現問題。根據Digital Trend,有超過50萬人下載了一個「Pokemon Go指南」,那其實是被巧妙掩飾過的破解惡意軟體,讓駭客能夠去控制有安裝的手機。

即便是在遊戲發表以後,人們仍然會在第三方應用程式商店下載到山寨應用程式。趨勢科技在去年發現(在九月中旬回報)駭客仍在製造假應用程式並推銷給不知情的寶可夢愛好者,這都得歸咎於第三方應用程式商店Haima。第三方應用程式商店會透過企業部署作法繞過Apple的嚴格認證標準來派送應用程式 – 這替行動惡意軟體打開了後門。在越南的應用程式商店HiStore也有個山寨版本的遊戲,被下載的次數之多讓人不安 – 1,000萬次。這一切都顯示出Pokemon Go在推出之時就伴隨了許多問題,而且它會跟其他遊戲一樣繼續出現類似的問題。

遊戲惡意軟體網路犯罪史

這也並非是遊戲惡意軟體首次引發注意。在2013年,Security Week作者Fahmida Y. Rashid報導有研究顯示90%的熱門電腦遊戲(如魔獸世界、Minecraft、RuneScape和英雄聯盟)會被針對而出現惡意軟體。此問題是從少部分的玩家開始,積極地進入遊戲和入侵其他用戶帳號來試圖竊取個人資訊和付款資料。

這類型的惡意攻擊還可以回溯至更早的時期。早在2009年,PCWorld作者Patrick Shaw報導說惡意軟體開始染指網路遊戲。在訪談Lavasoft的行銷副總Michael Helander時,Shaw探索網路遊戲的概念並試圖理解駭客是如何看到將惡意軟體加到這些遊戲的價值。

「虛擬角色和虛擬物品可在真實世界買賣獲利」Helander這樣告訴Shaw。「猖獗的地下黑市證明了有為數不少的人準備好為此付錢。惡意軟體作者只是意識到有賺錢的機會,並且著手去攻擊利用網路遊戲。」

 

9,000個使用Mario名稱的應用程式,哪一個才是貨真價實的瑪利歐?

Continue reading “讓人中毒很深的熱門手機遊戲,本尊,山寨傻傻分不清楚?!”

Android 行動裝置威脅:Root 改機惡意程式和漏洞攻擊,隨著漏洞數量增加而趁勢崛起

趨勢科技 2016 年所攔截到6,500 萬行動裝置威脅,截至 2016 年 12 月為止,我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬,較 2015 年的 1,070 萬有著飛躍性成長。

就全球來看,目前最普遍的是漏洞攻擊和惡意的 Root 改機程式 。 

根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務,以及 Smart Protection Network™ 全球威脅情報網的統計,2016 年,我們發現了超過 30 個 Android 系統漏洞並通報給 Google 和 Qualcomm。這些資安漏洞分散在 Android 的系統架構、裝置驅動程式以及 Linux 核心。其中有五項是重大漏洞,可能讓駭客取得本地端系統權限 (root) 或者從遠端執行程式碼。在我們所發現的漏洞當中,有 10 個以上可用來駭入系統執行程序,或者用於駭入系統核心。例如,核心加密引擎重大漏洞 (CVE-2016-8418) 可能讓駭客從遠端執行程式碼 (遠端 root 權限)。此外我們也通報了一系列有關 Android 效能系統模組的重大漏洞,可能讓駭客入侵系統核心。而 Android 系統也因為我們和 Google 的合作而增加了一些額外的安全機制

其他 2016 年揭露較大的 Android 漏洞與漏洞攻擊還有  Dirty COW  (CVE-2016-5195)、Rowhammer (CVE-2016-6728)、Drammer 以及 Quadrooter,全都可能讓駭客取得裝置的系統管理 (root) 權限。

隨著更多資安漏洞被發現,Root 改機惡意程式與漏洞攻擊也因此擁有更多的攻擊管道。CVE-2015-1805 就是一個被收錄到 Kingroot 改機程式當中的漏洞,該程式的下載量已高達 2.9 億次。當該程式的原始碼在網路上公開之後,該程式即不斷出現在各種攻擊當中。至於 Godless (ANDROIDOS_GODLESS.HRX) 則是 使用一個開放原始碼 Root 改機套件,該套件收錄了多種漏洞攻擊程式碼。截至六月為止,已有超過 850,000 台 Android 裝置受害,目前已有超過 79,780 個變種在網路上流傳。

另外還有 Ghost Push,其漏洞攻擊程式碼經常暗藏在 Google Play 商店的一些應用程式當中,目前已有 4,383 個變種在網路上流傳。LibSkin (ANDROIDOS_LIBSKIN.A) 首次出現是在 2016 年 2 月,目前已有 1,163 個變種,它會對受害的裝置進行改機 (Root),並偷偷下載及安裝其他應用程式,同時竊取使用者的資料。

有關 2016 年最猖獗的 Android 行動惡意程式 (根據趨勢科技偵測數據) 以及趨勢科技 2016 年所揭露的完整 Android 和 iOS/macOS 漏洞清單,請參考這份文件的「附錄」一節。

 

原文出處:In Review: 2016’s Mobile Threat Landscape Brings Diversity, Scale, and Scope

 

iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗

儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。

2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。

根據感染裝置的所在地點而調整其行為模式

2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能利用軟體漏洞來避開 iOS 的隱私權保護機制。 Continue reading “iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗”

用 KGDB 來替 Android 除錯的實用技巧

內核(Kernel)除錯功能讓資安研究人員在進行分析時能夠監視和控制設備。在Windows、macOS和Linux等桌面平台上,這很容易進行。但要在Android設備(如Google Nexus 6P)上進行內核除錯則困難得多。在本文中,將介紹一種在Nexus 6P和Google Pixel上進行內核除錯的方法而無須特製的硬體。

Joshua J. Drake和Ryan Smith為此目的打造了一條UART除錯線,效果很好。然而對於不擅長製作硬體的人(像是筆者這樣的軟體工程師)來說,這可能很困難。而替代方案是透過serial-over-usb通道來進行內核(Kernel)除錯 也是可行的。

這個方法可以追溯到2010年,這表示部分介紹已經過時。但我發現的作法可以利用其關鍵要點,然後用在今日的Android設備上。讓研究人員可以使用除錯功能來確認CPU執行的當前狀態,讓分析更加快速。那該如何進行?

Android是用Linux內核打造的,其中包含了內建的內核除錯程式KGDB。KGDB依靠串列埠來連接除錯設備和目標設備。正常情況如下:

圖1、KGDB工作模式

 

目標和除錯設備透過串列線連接。使用者在除錯機上用GDB來附加串列設備檔案(如/dev/ttyS1),指令是target remote /dev/ttyS1。之後,GDB可以通過串列線和目標設備上的KGDB進行溝通。

KGDB核心元件處理實際的除錯工作,像是設置中斷點和取得記憶體內的資料。KGDB I/O元件可以連接KGDB核心元件和低階串列驅動程式以處理除錯資訊傳輸。 Continue reading “用 KGDB 來替 Android 除錯的實用技巧”