趨勢科技在幾個月前討論過Android同源政策(Same Origin Policy)漏洞,我們後來發現它比預想中還要更廣泛地出現。現在,在趨勢科技和Facebook合作下,發現有攻擊在積極地利用此一漏洞,我們相信其所使用的程式碼是基於公開的Metasploit程式碼。
此次攻擊針對Facebook使用者,透過一特定Facebook網頁上的連結來導到惡意網站。此網頁包含混淆處理過的JavaScript程式碼(見圖1),試圖在內部框架中載入一個Facebook網址(如圖2)。使用者只會看到空白頁面,因為網頁語法已經透過div標籤來設成不顯示任何東西(圖3),而內部框架的大小僅有一個像素(圖4)。
圖1、打開Facebook網頁內的惡意軟體程式碼片段
圖2、Facebook網頁的相應內容
趨勢科技最近發現一個新的銀行木馬針對了數家韓國銀行。這並非首例:在2013年六月,我們就看到數個網路銀行威脅擴大其活動範圍,並且利用各種技術鎖定韓國銀行。
在監控類似威脅的過程中,我們注意到一波針對韓國銀行的新銀行木馬攻擊,包括會利用Pinterest作為指揮與控制(C&C)頻道。
透過惡意iframe注入來加以感染
此威脅目前的影響範圍是韓國使用者,會利用淪陷網站來導致漏洞攻擊包。在11月中,我們發現一次感染的感染鏈會牽涉到多個惡意網站。
為了將攻擊到使用者,惡意份子首先會淪陷正常網站並注入iframe。它會將使用者導到放置漏洞攻擊包的第二個淪陷網站,其會植入銀行木馬到使用者系統內。趨勢科技將其偵測為TSPY_BANKER.YYSI。
一旦這惡意軟體出現在受影響系統上,使用IE瀏覽器連上特定銀行網站的使用者會被自動導到惡意網站。該網站包含了要求使用者輸入銀行認證資訊的網路釣魚(Phishing)網頁。使用其他瀏覽器連到網站的使用者則不受影響。(因為韓國法規要求,韓國使用者一般都會用IE瀏覽器來訪問本地銀行網站。)
圖一、比較真正的銀行網站與假冒的銀行網站 繼續閱讀
最近一起新發現的網路間諜活動被大肆的報導著,由被稱為「Sandworm Team」的團體所發動。這起攻擊的核心是能夠影響所有現行支援中的微軟Windows版本和Windows Server 2008及2012的零時差漏洞。
根據趨勢科技的分析,該漏洞讓攻擊者能夠透過微軟Windows和Server上的OLE封裝管理程式漏洞來執行另一個惡意軟體。之前的報告說明該漏洞被用在針對幾個組織和產業的針對性攻擊中。趨勢科技研究人員的分析顯示,這攻擊和資料蒐集與監控系統(SCADA)有關目標有著密切關連。此外,這個漏洞很快就被用在另一起採用新規避技術(將惡意檔案嵌入PPSX檔案)的攻擊。
有時舊,有時新
並不是只有零時差漏洞會被用在針對性攻擊上。在2014年上半年,趨勢科技看到攻擊者仍然重度的使用較舊的漏洞。最好的例子莫過於CVE-2012-0158,這是跟Windows公共控制項有關的漏洞。儘管自2012年初就有了修補程式,但這漏洞已被證明是APT攻擊 /目標攻擊中不可或缺的工具,包括了PLEAD攻擊活動。
當然,這並不代表零時差漏洞沒有在2014年造成威脅。一個針對好幾個大使館的APT攻擊 /目標攻擊被發現會利用一個Windows零時差漏洞。這個漏洞在幾天後被修補 –值得注意的是這發生在Windows XP停止支援前,而Windows XP也是受影響的平臺。另一個零時差漏洞也被Taidoor攻擊活動的幕後黑手重度的使用在攻擊中。這個零時差漏洞在三月後期被發現,修補程式在四月的禮拜二更新推出。
各擅勝場
漏洞幾乎都會被廠商加以修補,尤其是被認為是關鍵性的漏洞。但儘管有修補程式存在,也不是所有的使用者和組織都會加以更新或立即更新。原因之一是更新修補程式可能會中斷營運。或者是會經過較長的延遲時間才更新修補程式,因為在企業環境中更新修補程式需要先經過測試。
從這角度上,攻擊者會因為「可靠性」而使用舊漏洞。有些已經充分測試過的漏洞可以在目標網路和組織中發現。並且因為這些漏洞已經存在多年,讓攻擊者更能夠去產生完美的惡意軟體或威脅來利用此漏洞。
在另一方面,新的漏洞可以讓攻擊者取得上風。零時差漏洞可以讓所有人都措手不及,包括了安全廠商。供應商要不斷地去建立必要的安全措施和對應的修補程式,零時差漏洞可以利用「安全空窗期」來攻擊,甚至能夠影響最安全的環境。在這個意義上,零時差漏洞可以被認為更有效也更具危險性。
如果受影響平臺或應用程式已經過時或超過支援期限,那麼零時差漏洞會更加有效。因為沒有修補程式可用,可以進行零時差漏洞攻擊的安全空窗期就會變成無限長。
一個很好的例子是一個 目標攻擊利用了IE瀏覽器漏洞。這個漏洞(CVE-2014-1776)受到大量的關注,因為最初報導指出微軟不會發表Windows XP上的修補程式。不過很快就有修補程式釋出在該平臺上。
隨著潛藏在 Microsoft Windows 超過十年的 Secure Channel( SChannel )安全通道漏洞公開披露,趨勢科技建議 Windows使用者立即修補自己的系統以防範攻擊。Windows SChannel是Microsoft 的資料安全傳輸平台,此漏洞將造成一個可能遭蠕蟲入侵的情況,讓駭客不需借助使用者的操作就能取得系統控制權。
這個被戲稱為「 Winshock」( Windows 震撼)的漏洞,其嚴重性被 Common Vulnerability Scoring System ( CVSS) 通用漏洞評分系統評定為 9.3分 (總分10)。如此高的嚴重性,再加上駭客向來喜歡在漏洞披露之後迅速發動一波攻擊,趨勢科技 Deep Security立即提供了解決方案來對抗這個漏洞。此外,Microsoft也在本月的定期安全更新當中釋出了修補程式。
趨勢科技資深技術顧問簡勝財指出:「這又是一個像Heartbleed(心淌血)漏洞那樣潛在已久而且可能影響深遠的漏洞。當爆出這類新聞時,網路犯罪者通常會立刻卯足全力開發出專門利用新漏洞的攻擊。因此,大眾最重要的是迅速採取應變措施以防範系統遭到入侵或破壞。趨勢科技呼籲客戶將解決此漏洞列為第一要務,而我們也提供了Microsoft修補程式之外的補強措施。」
趨勢科技專家建議客戶採取下列行動:
立即安裝Microsoft修補程式。
改用Internet Explorer以外的瀏覽器來降低風險。
使用Microsoft支援中的新版Windows平台。
=========================================================
Schannel 漏洞=Windows 版的 Heartbleed漏洞?在進行永不停歇的漏洞管理上,虛擬修補程式可能不是萬靈丹
有線電視
和衛星電視都製作了許多精彩的內容,但也有很多是垃圾節目,身為消費者的我們會試著去進行篩選。但就如我們都會發現的,要找到對我們來說重要而有意義的內容是件困難的工作。你需要依賴別人的意見,而不是靠自己痛苦的坐在電視前研究哪些會有意義。沒人想要在沒有好處的事情上浪費時間。
如果我們覺得當個沙發馬鈴薯都是件困難的工作,資訊人員和安全專家所面對的就是極其困難的任務,必須去觀看和過濾他們基礎設施內的各個頻道。被迫無時無刻在他們環境裡各種持續不斷出現的噪音中判斷出哪些跡象需要加以注意。微軟在這個禮拜所推出的最新週期性修補程式是安全專家和資訊工程師另一項重擔的例子,必需去處理層出不窮的漏洞。Schannel漏洞攻擊絕對是必看的頻道,必須叫第四台來馬上修復。
橫跨全球的變更管理會議已經舉行以確認最新公布漏洞的營運嚴重性和風險,以及補救程序和時刻表。讓我們面對現實,這對任何人來說都不是簡單的程序。有些組織具備相當成熟的方法和程序來在自己環境內進行關鍵修補程式及週期性修補程式的更新。但絕大多數組織都沒有辦法做到如此成熟的境界,更別說工作人員需要不停的面對持續出爐的關鍵修補程式。這是個以指數成長的問題,沒辦法用傳統方法解決。
社群內有許多關於這項漏洞的出現和嚴重程度。意見從「它是Windows版本的Heartbleed心淌血漏洞」必須立即加以注意,到「還沒有任何漏洞攻擊碼或案例出現」所以讓我們謹慎點,在正常的修補週期進行更新。兩邊的說法都沒有錯,該怎麼做則取決於組織,可以有各種不同的做法。許多系統永遠無法及時得到修補,直到為時已晚。 繼續閱讀
2014年10月的週二修補程式日的其中一項是MS14-063,用來解決FAT32磁碟分割區驅動程式中的漏洞,此漏洞讓攻擊者可以取得受影響系統上的管理者權限,只需要一個具備特製檔案系統的USB磁碟。這個漏洞也被編號為CVE-2014-4115。
為什麼此漏洞並不尋常?
我們特別注意檔案系統驅動程式,因為它們可以被用來透過USB磁碟機來攻擊系統。想想看之前的Stuxnet漏洞:它透過Windows捷徑漏洞來散播,能夠輕易地執行Windows shell程式碼;再利用第二個漏洞來取得管理者權限。檔案系統驅動程式漏洞可以一次就達到原本需要兩步驟的效果。
CVE-2014-4115存在於Windows Vista、Server 2003、Server 2008的檔案系統驅動程式(FASTFAT.SYS)。此驅動程式負責處理Fast FAT檔案系統(如 FAT32)。當處理FAT32格式磁碟中帶有特殊BIOS參數區塊(BPB)的開機磁區時,就可能觸發此漏洞。
FAT32今日仍被普遍地用在USB隨身碟上。正因如此,針對性攻擊可以利用此漏洞。假設一個特製的USB隨身碟以某種方式插入高階主管的筆記型電腦或公司內部網路的電腦。這些系統就會被外部惡意份子所控制,就有可能被用來進行針對性攻擊。 系統管媒體的政策。
系統管理員及時進行修補可以減少成為攻擊受害者的風險。企業系統管理員也該重新考慮在公司內部網路使用USB媒體的政策。
這個漏洞是什麼,出現在哪裡?
如前所述,此漏洞出現在FASTFAT.SYS。比較過有漏洞的版本和修補過的版本,唯一區別在於:函數 FatCommonWrite()。
