在今日的世界,資安團隊隨時會面臨各種資安事件,隨時會收到各種來源的威脅訊息,因此,不可能每次的威脅都等同看待,必須要能分辨輕重緩急。那麼,該從何著手?當然,只要有威脅出現,資安人員就必須處理,但每次的威脅卻不盡相同,我們該如何判斷哪些有急迫性、哪些沒有呢?
從最初的偵測到強制規範與矯正等一連串的動作,都需要率先掌握明確的威脅資訊與其嚴重性,才能採取有效行動來保護您最珍貴的資產,否則就算並非完全不可能,但實行起來也將困難重重。
以 XGen 防護為基礎的趨勢科技 TippingPoint Security Management System (SMS) Threat Insights 有效整合了多方來源的威脅資訊,讓您在資安應變的當下能夠輕易判斷威脅的輕重緩急,並且深入掌握當前及未來您網路可能遭遇的威脅,以及目前已經採取的防範措施狀況。 繼續閱讀
趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。
ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。
值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。
我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。
殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒
ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 繼續閱讀
經由 HMI 攻擊 SCADA
SCADA 是所謂的「監控與資料擷取」(Supervisory Control and Data Acquisition) 系統的縮寫。普遍用於全球的各種關鍵基礎架構,因此天生就很容易吸引各種駭客的覬覦。駭客可能駭入 SCADA 系統來蒐集一些資訊,例如:廠房設施配置圖、關鍵門檻值、裝置設定等等,來協助他們從事後續攻擊。駭客攻擊可能帶來的最壞情況包括服務中斷,或是駭客利用易燃物質或重要物資來製造威脅生命安全的危險狀況。
Stuxnet 病毒及烏克蘭發電廠遭受攻擊的案例讓趨勢科技見識到,真正有心從事破壞的駭客不僅對企業是一大威脅,更可能危及社會大眾的安全。駭客有許多可入侵 SCADA 系統的管道,其中之一就是經由其人機介面 (HMI) 軟體普遍存在的漏洞。由於 SCADA 系統大多透過所謂的 HMI 軟體來管理,而這類軟體通常安裝在具有網路連線的電腦上。因此,HMI 是 SCADA 系統遭受攻擊最主要的目標之一,最好安裝在隔離或獨立安全的網路上。但根據經驗,實際情況通常並非如此。
何謂 HMI?
所謂的人機介面 (HMI) 就是顯示資料與接受操作人員指令的介面。操作人員可透過該介面監控系統狀況並做出適當的回應。今日的 HMI 大多具備先進、可自訂的資料顯示功能,讓操作人員很方便地掌握系統的狀況。
HMI 常見的漏洞類型
趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫團隊特別針對今日 SCADA HMI 的安全性做了一番深入研究,仔細分析了 2015 至 2016 年間所有已揭露並修復的 SCADA 軟體漏洞,其中也包括 ZDI 計畫所接獲通報的 250 個漏洞。
趨勢科技發現,這些漏洞主要分成幾類:記憶體損毀、登入憑證管理不良、缺乏認證/授權機制與不安全的預設值,以及程式碼注入漏洞,全都是可以藉由安全的程式撰寫習慣來預防的漏洞。
記憶體損毀:這類問題在所有已揭露的漏洞當中約占 20%,這類漏洞是很典型的程式碼不夠嚴謹的安全問題,例如:堆疊和記憶體緩衝區溢位,以及超出範圍的記憶體存取動作。 繼續閱讀
Samba的資安弱點即便經過修補,新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點(CVE-2017-7494)進行攻擊, 影響範圍為Samba 3.5.0開始的所有版本。
除了Windows作業系統主機以外,Linux作業系統只要啟用SMB服務,也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備(包含網路儲存設備 (NAS)、IoT設備),一旦成功後即植入惡意程式。
企業環境(政府、製造業、金融業)大量使用 Linux 作業系統伺服器,且大部分均為關鍵業務系統。而Linux常被認為系統安全性高,較不會被入侵,因此較易疏於管理、更新、防護。駭客可能利用此情形,結合目標式攻擊與內網擴散手法攻擊此弱點,入侵至伺服器後加密檔案,進行勒索。因此,趨勢科技建議您,除了Windows作業系統需安裝修補程式外, Linux 作業系統也應時時保持更新。
若客戶在內部網路發現此弱點攻擊事件,極可能代表攻擊已進入到內網擴散階段,可搭配DDI偵測內網擴散攻擊來源。
Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復,但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出,此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾,並促使伺服器載入並執行該程式庫。駭客一旦得逞,就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。
此漏洞 (CVE-2017-7494) 命名為「SambaCry」,因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示,SambaCry 只被用來攻擊伺服器,且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料,駭客已經會利用 SambaCry 來從事其他用途。
攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置
這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A,發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例,它同樣也會在受害系統上開啟指令列介面。不過,ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先,它會攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置。其次,ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統,如:MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。
惡意程式分析
內建 Samba 軟體的裝置很多,隨便上 Shodan 搜尋一下就能找到:指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾,含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。 繼續閱讀
零時差漏洞 (也就是從未被發現的新漏洞) 最近出現的頻率越來越高,更糟的是,這些危險的漏洞經常都是在駭客攻擊事件發生之後,人們才知道漏洞的存在。
根據網路資安研究機構 Cybersecurity Ventures 創辦人暨總編輯 Steven Morgan 指出,零時差漏洞的出現頻率在未來四年之內很可能提高到每天一次 (在 2015 年時大約每週一次)。
網路攻擊數量日益增加早已不是新聞,多年來,科技產業的現況就是如此。但這並不表示研究人員和開發人員就不須設法減少一些關鍵軟體和 IT 系統可能被攻擊的漏洞。
這時候,漏洞研究就能派上用場,同時也是網路資安產業正興起的一股潮流。一般來說,漏洞研究通常由研發團隊負責,他們會運用一些高階技巧來試圖尋找駭客發動攻擊、製造資料外洩或其他資安事件時可能利用的軟體漏洞或缺失。
這類研究的目的,是希望及早發現一些零時差威脅以及軟體的其他問題,當然最好是在網路犯罪集團攻擊這些漏洞之前。如此就能減少駭客的攻擊管道,降低因零時差漏洞而遭感染的情況。
「未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次。」
然而,正如 Dark Reading 特約作家 Rutrell Yasin 指出,沒有人是一夕間突然開始從事這類研究的。漏洞與資安研究需要特定的技術和能力,尤其在威脅情勢瞬息萬變的今日。 繼續閱讀