趨勢科技發現了一隻使用了13種不同漏洞的新Mirai變種(偵測為Backdoor.Linux.MIRAI.VWIPT),這些漏洞幾乎都在之前的Mirai攻擊出現過。這是隻典型的Mirai變種,具有後門及分散式阻斷服務(DDoS)功能。但這是第一次使用所有13個漏洞的案例。
這起攻擊發生在我們上次報導Mirai攻擊活動後幾週,針對了各種路由器。上次報導中所提到的一些漏洞也被用於此變種。
趨勢科技一開始發現此新變種是來自於我們一個收集物聯網(IoT ,Internet of Thing)相關攻擊的蜜罐系統。可以看出此惡意軟體使用了各種不同的散播方式,還發現它會用三個XOR密鑰來加密資料。用XOR解密惡意軟體字串後發現了Mirai變種的指標。可以從圖1中看到解密字串。
繼續閱讀
資安研究員John Page最近披露了一個微軟IE瀏覽器的XXE(XML外部實體)零時差注入漏洞。根據報導,駭客可以利用此漏洞來竊取機密資訊或從受害者電腦取得檔案。Page使用Windows 7/10及Windows Server 2012 R2更新版的最新版IE (11)瀏覽器來測試此漏洞。我們檢視了它的攻擊鏈來了解安全漏洞的運作原理以及該如何解決。
XXE注入攻擊會利用帶有不正常設定XML外部實體參照(CWE-611)的XML解析器來存取未經授權內容。XXE注入還會利用配置不當的文件類型定義(CWE-827) – 被用來定義標記語言(如XML)的文件類型。例如駭客可以用惡意XML檔加上外部實體參照來利用“file://”協定存取本地端檔案,或用“https://”來存取網頁伺服器上的檔案。
繼續閱讀趨勢科技偵測到一個惡意軟體: Trojan.PS1.LUDICROUZ.A用多種感染方式,擴散門羅幣挖礦程式到更多的系統和伺服器。該挖礦病毒在今年初現身中國,原先的感染方式是用弱密碼及pass-the-hash(傳遞雜湊)技術,還有經由Windows管理工具與公開原始碼進行暴力破解攻擊, 。在日本發現的這起新案例會用EternalBlue(永恆之藍) 漏洞攻擊及PowerShell來入侵系統並躲避偵測。
看起來攻擊者正在將此殭屍網路擴展到其他國家;趨勢科技發現在台灣、日本、香港、越南、印度及澳洲都發現了此威脅。
趨勢科技發現這個惡意軟體非常複雜,專門設計成感染更多的電腦,而且可以不會馬上被偵測到。它會利用電腦系統和資料庫的弱密碼,針對企業可能仍在使用的老舊軟體,使用會在記憶體內下載和執行組件的PowerShell腳本,攻擊未修補的漏洞以及使用Windows的啟動資料夾和任務排程進行安裝。
鑑於PowerShell的日漸普及加上有越來越多公開可用的開放程式碼,可以預期會看到更加複雜的惡意軟體。雖然收集系統資訊並送回C&C與直接竊取個人身份資料相比可能顯得微不足道,但系統資訊對機器來說是獨一無二的,可以用來追蹤識別使用者及其活動。
呼籲企業儘早更新系統, 使用複雜密碼, 並應用可以從閘道到端點主動封鎖這些威脅和惡意網址的多層次保護系統。
這個惡意軟體(趨勢科技偵測為Trojan.PS1.LUDICROUZ.A)的主要散播方式是利用弱密碼登入連接網路的其他電腦。它不會直接將自己複製到連接的系統,而是透過遠端命令來變更中毒電腦的防火牆和端口轉發設定,建立排程來下載並執行更新的惡意軟體。下載的PowerShell腳本會執行:
繼續閱讀趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性,將這些預測分成幾大領域。我們將分期刊出。
為了因應資安廠商推出的新技術,尤其是機器學習在網路資安領域重新獲得青睞,網路犯罪集團將運用更高的技巧來「魚目混珠」。歹徒將不斷開發出所謂「就地取材」的技巧,也就是將一些日常運算裝置用於原本設計之外的用途,並且在網路上分享。我們已經看到幾個這樣的例子。
當網路犯罪集團採用上述技巧來感染系統時,單靠機器學習技術來防禦資安威脅的企業將面臨嚴重考驗。我們預料這些網路犯罪技巧在 2019 年將越來越盛行。
零時差漏洞攻擊 一直是資安界的注目焦點之一,因為:
網路犯罪集團發動攻擊的最佳時機,其實是廠商釋出修補更新到企業系統真正套用這些更新之間的空窗期。
2019 年,漏洞攻擊的成功方程式是:利用一些已經釋出修補更新、但企業卻尚未套用更新的漏洞。這些漏洞可能有數週、甚至數個月的時間可以讓歹徒利用。未來,這類利用修補空窗期的漏洞攻擊,將是網路資安的一大禍源。
不論是 Docker 這套容器化軟體或 Kubernetes 這套容器協調系統,目前在雲端部署環境的使用率皆相當普遍。近年來 Kubernetes 已被發現數個漏洞 ,其中一個 「重大」等級的漏洞 就在今年即將結束之前被發現。根據一位專門研究雲端基礎架構漏洞的專家「Kromtech」發現,有十幾個惡意的 Docker 映像 在上架的一年內至少被不知情的開發人員下載了五百萬次。
隨著越來越多企業移轉至雲端,針對雲端基礎架構漏洞的研究將開始獲得進展,尤其,開放原始碼社群對於雲端相關軟體的使用率及研究正在日益成長。
原文出處:Mapping the Future:Dealing With Pervasive and Persistent Threats
延伸閱讀:
【2019 年資安預測 】在家上班員工,將為企業帶來那些資安風險?
【2019 年資安預測】被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票…
本報告為英文版,若要索取中文版,請至趨勢科技粉絲頁,私訊小編:「我要索取2019資安報告中文版」
