漏洞攻擊 - 資安趨勢部落格

即使漏洞修補了兩年, WannaCry 仍是使用EternalBlue 漏洞攻擊手法中,偵測到最多的勒索病毒

2019 年 10 月 23 日2022 年 05 月 30 日趨勢科技 TrendMicro

即使在 EternalBlue(永恆之藍)漏洞已經修補了兩年多後，EternalBlue 仍舊非常活躍。即使到了 2019 年，WannaCry 還是所有使用 EternalBlue 攻擊手法的惡意程式當中偵測數量最多的。它的偵測數量幾乎是所有其他勒索病毒數量加總的四倍。

勒索病毒和挖礦程式的最愛: EternalBlue

2017 年，全球有史以來最嚴重的 WannaCry(想哭)勒索病毒勒索病毒爆發事件，其背後的動力就是 EternalBlue(永恆之藍) 漏洞攻擊手法。直到今天，儘管該手法所利用的漏洞早已修正，還是有很多惡意程式 (從勒索病毒HYPERLINK “https://blog.trendmicro.com.tw/?p=12412” Ransomware到常見的虛擬貨幣貨幣挖礦程式) 還在利用這項漏洞攻擊手法。

「WannaCry」對資安研究人員、企業、甚至是一般網路使用者都是一個耳熟能詳的名字，2017年該勒索病毒爆發的疫情在當時幾乎佔據了全球媒體版面，造成許多跨國企業花費數百萬、數千萬甚至上億美元的成本來進行修復和復原。兩年後的今天，企業依然經常遭到 WannaCry 襲擊。根據趨勢科技 Smart Protection Network™ 的資料，WannaCry 仍是 2019 年偵測數量最多的勒索病毒。事實上，WannaCry 的偵測數量甚至超越所有其他勒索病毒家族偵測數量的總合。

WannaCry 依然占了絕大部分的勒索病毒偵測數量：WannaCry 與所有其他勒索病毒家族偵測數量逐月比較 (2019 上半年)。

WannaCry 之所以能造成大量感染，其背後的動力就是 EternalBlue 漏洞攻擊手法 (Microsoft 早在 MS17-010 資安公告當中即修補了該漏洞)，該手法是由 ShadowBrokers 網路犯罪集團流傳到網路上，但根據許多報導指出，該手法是竊取自美國國安全局 (NSA)。EternalBlue 實際上利用了 CVE-2017-0143 至 CVE-2017-0148 等多項漏洞，這些都是 Microsoft 某些 Windows 版本所使用的 SMBv1 伺服器通訊協定的漏洞。這些漏洞可讓駭客經由發送特製的訊息給受害系統上的 SMBv1 伺服器來觸發，並且可執行任意程式碼。由於 Microsoft SMB 漏洞所影響的產業極廣，從醫療設備到辦公室印表機、儲存裝置等等，因此網路犯罪集團很快就看上 EternalBlue 的價值。再加上許多企業在修補管理方面皆力有未逮，因此還有很多存在著漏洞的系統，所以 EternalBlue 才會至今仍受到歹徒喜愛。

繼續閱讀

呼叫器竟洩漏病患敏感資料!這對企業的意義為何？

2019 年 10 月 08 日2019 年 10 月 15 日趨勢科技 TrendMicro

呼叫器是醫療機構維持院內通訊的一項重要工具，如此可以避免使用一些可能干擾重要儀器運作的技術，例如手機。但一起加拿大呼叫器系統洩漏病患個資事件告訴我們，呼叫器顯然並不安全。

非營利組織「開放隱私研究學會」(Open Privacy Research Society) 最近發布一份新聞稿指出，加拿大溫格華地區發生醫院呼叫器系統洩漏病患私密醫療資訊與個人身分識別資訊 (PII) 的情況。該學會表示，這些資料在傳輸時並未加密，因此很可能被歹徒所攔截。這引起了加拿大隱私專員公署 (Office of the Privacy Commissioner) 的注意並著手進行調查。

這起事件所外洩的病患資料包括：姓名、年齡、性別、診斷記錄、主治醫師以及病房號碼。開放隱私研究學會已將這些外洩的資訊與可公開取得的訃聞進行交叉比對，試圖了解這些外洩資訊是否為病患的真實資訊。

繼續閱讀

Windows Server 2008 即將終止支援：您準備好了嗎？

2019 年 10 月 01 日2019 年 09 月 27 日趨勢科技 TrendMicro

2015 年 7 月 14 日，全球企業普遍採用的 Microsoft Windows Server 2003 在服役了將近 12 年之後，終於功成身退。對於數以百萬計的企業伺服器來說，這表示未來將不再有安全更新可用，進而陷入嚴重的資安風險當中。現在，我們又快要面臨另一個伺服器作業系統即將功成身退的局面，那就是：Windows Server 2008 與 Server 2008 R2，這兩個版本很快就會在 2020 年 1 月 14 日終止支援。

儘管如此，許多企業的日常營運仍非常仰賴 Windows Server 2008 來運作，例如：目錄伺服器、檔案伺服器、DNS 伺服器，以及電子郵件伺服器，這些都是企業關鍵應用程式所可能用到的內部服務，包括：Active Directory、檔案分享、內部網站等等。

對您有何影響？

繼續閱讀

Checkm8 利用無法修補的漏洞,讓 iPhone永久越獄可能性大增

2019 年 09 月 30 日2019 年 10 月 14 日趨勢科技 TrendMicro

安全研究人員axi0mX發現了 checkm8可以利用漏洞讓數百萬支iOS裝置進行越獄。所利用的漏洞位在開機記憶體（bootrom），一個唯獨記憶體晶片。這使得漏洞無法被修補，讓手機可永久越獄。

利用此漏洞能夠讓程式碼在受影響iPhone和iPad上以bootrom層級執行。Bootrom越獄手法在iPhone 3G和iPhone 4時很常見，但最近的越獄作法都是在作業系統層級進行。利用bootrom層級的漏洞很獨特，因為它位在手機內的晶片裡，無法被更改或更新。基本上，此漏洞會永遠存在。

這次越獄適用於11個世代的iPhone，從4S到iPhone X。這代表了數以億計的裝置，不管其iOS版本為何，不過最新的iPhone並不受影響。根據報導，Axi0mX可以用此方法成功越獄安裝最新iOS 13.1.1版本的iPhoneX。

繼續閱讀

垃圾信夾帶山寨新聞網站連結,引導至虛擬貨幣交易詐騙網站

2019 年 09 月 25 日2019 年 09 月 24 日趨勢科技 TrendMicro

點擊偽裝成合法新聞網站和虛擬貨幣交易網頁的詐騙網站內的任何連結,都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費，但要求使用者在帳戶內加值250美元作為“種子資金”。

假新聞網站 — 垃圾郵件連結會將受害者導到偽裝的新聞網站點擊詐騙新聞網站內的任何連結都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費，但要求使用者在帳戶內加值250美元作為“種子資金”。

垃圾郵件使用PHP函式作為持續性機制，利用受感染裝置發送惡意連結

趨勢科技的蜜罐系統偵測到一波垃圾郵件，會利用受感染裝置來攻擊有漏洞的網頁伺服器。利用暴力破解攻擊弱帳密的裝置後，攻擊者將它們當作代理程式來將base64編碼的PHP腳本轉發到網頁伺服器。該腳本會將內嵌詐騙網站連結的電子郵件寄送給特定目標。

雖然我們發現的部分樣本是垃圾郵件或是將使用者重新導到虛擬貨幣詐騙網站，但垃圾郵件殭屍網路（botnet）可能會被用來將散播惡意軟體到更多系統或有漏洞的伺服器。因為是透過受感染裝置來發送惡意連結，如果出現更大規模的攻擊會很難找出幕後組織或攻擊者。此外，使用PHP web shell和函式不僅可以進行入侵和感染 – 還可以讓攻擊者在漏洞被修補後還能再次存取伺服器。

A close up of a device

Description automatically generated

圖1. 垃圾郵件活動攻擊鏈

攻擊者透過暴力破解取得裝置的SSH存取權限，接著利用端口轉發來將惡意PHP腳本發送到網頁伺服器。

繼續閱讀