藏有漏洞攻擊包的網站是資安廠商和研究人員經常研究的目標,所以攻擊者會想去閃躲正義的一方也並不令人驚訝。他們怎麼做呢?
攻擊者所用的最基本方法是IP黑名單。就像資安廠商會有IP用來發送垃圾郵件、代管惡意網站和接收被竊資料的大量黑名單一樣,攻擊者也掌握了他們認為安全廠商所使用的IP列表,並封鎖來自這些地址的存取。
更複雜一點的方式是只感染特定IP地址一次。這要如何做?
假設安全廠商有和特定攻擊相關的網站列表。他們會連上一個網站(手動或使用自動化工具),但攻擊者會在自己的後端資料庫記錄此特定IP地址已經連過與此攻擊相關的網站,如果安全廠商想要連到資料庫內的其他網站,那將無法成功存取惡意內容。
圖一、閃避爬網技術
這樣的後端資料庫可以和動態DNS服務一起使用。攻擊者可以動態地建立多個服務用隨機網址,所以他們可以在有人存取過後幾分鐘內就將該網址停用。 繼續閱讀
這一波垃圾郵件所偵測到的確切變種名稱為 TSPY_FAREIT.AFM,它不僅會在感染的系統上竊取 FTP 用戶端程式帳號資訊,還會竊取電子郵件帳號密碼、瀏覽器儲存的登入資訊,「而且」還會利用一份預先準備的密碼清單,試圖以暴力方式破解 Windows 登入密碼。基本上,它會盜取感染電腦上的個人資訊,然後駭入使用者的金融帳戶,竊取個人資料,甚至破解系統的安全機制。
Blackhole 漏洞攻擊套件是今日地下網路上流通的漏洞攻擊套件當中最惡名昭彰的之一。因此,趨勢科技一直在密切觀察與該套件相關的事件及攻擊行動。
上星期,趨勢科技揭露了一項利用英國威廉王子與凱特王妃生子消息的垃圾郵件攻擊。我們的分析顯示該行動與其他一些專門利用時事的持續攻擊行動有所關聯,例如利用即將上映的《戰爭遊戲》(Ender’s Game) 電影所引發的爭議話題。
一些其他相關的行動也利用了 Facebook 和 eBay 為誘餌來吸引使用點選惡意連結。
這波垃圾郵件(SPAM)郵件行動的垃圾訊息數量高達同時期所有垃圾郵件數量的 0.8% 左右,相較於其他行動,此比例偏高。此外,我們也找出其大部分垃圾郵件的來源國家名單,其中中國大陸佔第九名。
假CNN新聞報導歐巴馬贈送新生禮 針對JAVA漏洞進行攻擊
趨勢科技發現王室寶寶相關的垃圾郵件攻擊,其中有假藉美國新聞網CNN名義,報導美國總統歐巴馬贈送英國王室新生兒禮物的假新聞,此漏洞攻擊碼為JS_OBFUSC.BEB,JAVA漏洞為JAVA_EXPLOYT.RO。此漏洞特別針對JAVA的兩處弱點:CVE-2013-1493、CVE-2013-2423,駭客恐利用這兩處漏洞植入木馬程式TROJ_MEDFOS.JET,一旦成功入侵後,將與可疑網站連結,可能下載更多惡意程式或是遊走在灰色地帶的廣告程式。趨勢科技呼籲莫因好奇心驅使而點選來路不明的連結。此類攻擊防不勝防,建議透過有網頁信譽評等的資訊安全防護軟體,方能協助封鎖惡意連結。
自從去年十二月初首次正式宣布以來,全世界就在引頸期盼著威廉王子和凱特王妃的頭胎寶寶誕生。經過了數月的等待,劍橋公爵夫人就在幾天前產下了一名男嬰,成為新的劍橋王子。
趨勢科技發現一則假冒CNN 新聞討論美國總統將會給喬治王子的新生賀禮影片,夾帶木馬TROJ_MEDFOS.JET.
舊的威脅也再次捲土重來。趨勢科技發現了和皇家寶寶相關的垃圾郵件(SPAM)郵件攻擊。這些郵件來得非常快速,在 正式宣佈的時間後半天就開始出現。
皇家寶寶相關的垃圾郵件樣本
皇家寶寶相關威脅在正式宣布後半天開始出現
稍早資訊安全研究人員披露了一個新的 Android 手機漏洞,該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響,因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在,目前僅有 Samsung Galaxy S4 修正了這項問題。
此漏洞 (有人稱之為「Master Key」金鑰漏洞) 吸引了大批媒體關注,但並非所有的媒體報導都正確。趨勢科技已經更新了「趨勢科技行動安全防護for Android中文版」來保護我們的使用者,但我們還是要特別在此澄清一下這到底是怎麼回事,這是什麼樣的威脅,以及使用者該做些什麼。
什麼是「Master Key」金鑰漏洞?
此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章,用來證明該程式「的確」 來自於該廠商,並且在傳送的過程當中從未被竄改。當 App 有新的版本時,除非新的版本也有來自於同一開發廠商的數位簽章,否則就無法更新。
此漏洞正是和這最後一個步驟有關。研究人員發現,歹徒即使「沒有」原始開發廠商的簽署金鑰,也能更新系統已安裝的 App 程式。簡而言之,任何已安裝的程式都可能被更新成惡意版本。
請注意,就技術而言,並沒有所謂的金鑰遭到外洩。當然,任何 App 程式都可能被竄改並用於惡意用途,但這當中並不是因為「金鑰」外洩。
有何風險?
此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式,如手機製造商或電信業者提供的 App 程式,尤其容易成為目標。
這類程式一旦進入裝置,它們的行為就像任何惡意 App 程式一樣,只不過使用者會以為它們是完全正常的程式。例如,一個遭到竄改/木馬化的網路銀行 App 程式,還是能夠像往常一樣運作,但使用者輸入的帳號密碼可能就會被歹徒所竊取。
使用者如何保護自己?
趨勢科技已經更新了「行動裝置應用程式信譽評等」資料庫來偵測專門攻擊這項漏洞的 App 程式,但目前尚未發現任何這類程式。儘管如此,我們已針對「趨勢科技行動安全防護」釋出了最新的病毒碼,確保我們能夠偵測專門攻擊此漏洞的 App 程式。(使用者只要更新到 1.513.00 或更新版本的病毒碼就能安全無虞,所有攻擊此漏洞的 App 程式都將偵測為 Android_ExploitSign.HRX。) 如此已足夠確保我們的使用者不受此威脅影響。
趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。 繼續閱讀
甲骨文發表一篇部落格文章敘述(及希望)會提高Java的安全性。從那之後,我問過了幾次:這指的究竟是什麼和這對一般使用者來說代表什麼?
首先,甲骨文談到他們現在如何處理安全修補程式。他們指出最近的修補程式有些什麼,事實上,它們比以前的修補程式解決更多安全漏洞。更重要的是,Java的更新時間表已經和其他Oracle產品線一致:每三個月就會推出一次修補程式,從今年十月開始。這應該有助於讓潛在問題被攻擊者利用前,能夠得到更迅速的解決。當然,甲骨文也會繼續替關鍵漏洞提供時間表外的更新。
Java也已經被納入甲骨文的軟體安全保障政策。一旦被納入,舉例來說,甲骨文現在就會使用自動化安全測試工具,來防止修正錯誤時出現回歸和新的問題。這是個好消息,因為它意味著未來將可以更快速的修補問題。
接下來,他們談論自己是如何地努力在提高Java的安全性,因為它會被用在瀏覽器中。比談論過去做過什麼更重要的是,甲骨文將會盡快推行的是什麼:未來版本的Java將不再允許未經簽章或自行簽章的應用程式執行。目前尚不清楚會何時發生,但如果這麼做,將會讓Java的安全性有顯著的增加。這代表攻擊者將不得不購買或是盜用簽章金鑰,好讓他們的Java程式可以執行:雖然這沒辦法阻止一個真正堅持的攻擊者,但對於不是那麼針對性的攻擊將會減少。此外,Oracle還致力於改善Java如何處理被撤銷的簽章,所以這程序可以在以後被預設打開。