分類: 漏洞攻擊

WordPress暴力攻擊影響數千個網站

Trend Labs 趨勢科技全球技術支援與研發中心

作者:Karla Agregado(詐騙分析師)

在過去幾個禮拜內,許多用WordPress架設的部落格都遇到大規模的暴力攻擊。這些攻擊使用暴力破解法來登錄WordPress主控台,並將惡意程式碼植入到淪陷的部落格和網站上。

重要的是知道這些不屬於哪種攻擊。它們並不是利用已知漏洞來攻擊未經修補的WordPress部落格網站,這次的攻擊並沒有那麼複雜,它只是嘗試用各種密碼登錄到預設的管理帳號。如果登入成功,它就會在這部落格上加入轉址到黑洞漏洞攻擊包網頁的程式碼。

趨勢科技一直在監視這些攻擊,我們可以確認它們的確正在進行中。因為他們會加入特定網址到成功淪陷的部落格內,趨勢科技透過主動式雲端截毒技術來識別這種攻擊的規模。

目前確認有1,800多個不同網站被這種攻擊入侵成功。這跟去年同時段被淪陷的WordPress網站數量比起來是有顯著地增加,可以確認出這波特殊攻擊相關活動的增加。

使用者和網站管理員都可以幫助消除這些威脅。這種特殊攻擊只針對沒有變更預設登錄名稱(admin)的管理者帳號。使用者可以選擇更改成另一個名稱。這作法及其他可以幫助解決這類攻擊的步驟都詳細列在WordPress的線上手冊裡。

對於使用者來說,因為類似這樣淪陷的惡意網站會被漏洞攻擊包所利用,所以要減輕這類威脅最好的方式就是保持系統上所安裝的軟體在最新狀態。如今已經有許多應用程式都提供某種形式的自動更新,(不幸的是)許多使用者都無視於它。我們過去已經在我們的指南裡討論過如何安全地使用JavaFlash,可以提供參考。

@原文出處:Brute-Force WordPress Attacks Affect Thousands of Sites

 延伸閱讀

遭入侵的WordPress網站,引發Blackhole漏洞攻擊

如果一定要使用Java,該怎麼辦?

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

虛擬化的無代理防護也適用於雲端嗎?

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

Cirsis/MORCUT 惡意軟體掛載虛擬機器

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

◎ 歡迎加入趨勢科技社群網站
   

倒數計時:Windows XP支援剩下一年

趨勢科技 TrendMicro

作者:Jonathan Leopando

 

根據微軟的說法,Windows XP已經正式接近尾聲了。還有不到一年,就會在二〇一四年四月八日結束對這十一歲作業系統的官方支援。

Facebook上的主要風險與對策

對使用者來說,最大的影響是微軟在該日期之後,將不再針對Windows XP漏洞發佈安全更新。如果到時候沒有很多使用者仍在使用XP的話,這就不會是一個問題。根據Net Applications的數據顯示,即便到了現在,仍有超過三分之一的個人電腦使用XP。根據這份資料,直到二〇一二年八月,Windows 7的使用者數量才超越了Windows XP。

 

網路犯罪份子會想去利用這情況是很有可能的。只要還有大量的XP使用者,就會繼續成為他們的目標,而且新的漏洞攻擊也會繼續出現。如果沒有任何來自微軟的安全修補程式,這些就會變得更加危險。(為了了解他們是如何繼續尋找Windows XP中新的安全漏洞,想想看:二〇一三年到目前為止的每一個週二修補程式發佈中,至少都會有一個重大更新包含XP)。

 

XP使用者都需要考慮馬上進行升級了。大多數使用者可能都已經升級他們的系統了,因為XP銷售給終端用戶已經過了許多年了。然而,企業和其他Windows XP使用者可能都有些原因而無法升級到其他系統,例如,需要XP才能運作的客製化軟體。然而,運行永遠不會被修補的軟體是個重大的賭注,特別是像Windows XP這樣長久以來都被當作攻擊目標的軟體。

 

這些組織應該準備好升級計劃,並且在今年晚些時候準備好實施。如果他們決定要堅持到Windows XP作業系統支援過期的二〇一四年四月(那時這作業系統都要超過十二歲了),那麼他們就要做好應對安全事件的準備。

 

對於趨勢科技而言,我們會持續提供新規則給趨勢科技Deep Security 和OfficeScan入侵防禦防火牆,建議使用者都可以加以應用以保護自己免受新威脅攻擊。它讓使用者可以將對Windows XP這樣未受支援的作業系統的威脅降到最低。

 

@原文出處:On Borrowed Time: Windows XP Support Expires In Under A Year

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

誰在真正攻擊你的ICS設備?

Trend Labs 趨勢科技全球技術支援與研發中心

作者:Kyle Wilhoit(威脅研究員)

工業控制系統(ICS)/資料採集和監控系統(SCADA)在過去三年或更久以來,因為Stuxnet蠕蟲、Duqu和其他類似值得注意的攻擊緣故,一直都是安全社群的話題之一。ICS系統的重要性以及缺乏安全防護一直都是有資料可查而眾所皆知的,我一直在研究會連網的的ICS/SCADA系統,誰在真正的攻擊它們以及為什麼。最近,我在歐洲Blackhat上談到相關研究,也寫了篇研究報告與大家分享我的發現。

因為不知道是否有連網的SCADA系統遭受攻擊,所以我開發一個誘捕系統(honeypot)架構,模擬幾種常見的SCADA和ICS系統。這誘捕系統包括了出現在這些設備上的傳統安全漏洞,呈現出很真實的誘捕環境。

調查結果呈現出在現實來自幾個國家的各種攻擊企圖。

ALT: 誰在真正攻擊你的ICS設備?
圖一、各國攻擊百分比

除了攻擊來源國家的統計數據,我的研究還包括攻擊者所試圖利用的幾個特定漏洞。包含試圖用魚叉式攻擊網站管理者和嘗試攻擊ICS基礎協定漏洞。

我們預測攻擊者會持續擴大對ICS的攻擊,這可能會帶來深遠的影響。持續善用安全技術來加強防禦並封鎖這些攻擊的能力,將會有助於防護你的組織。想了解更多關於這研究結果的相關資訊,可以參考我的報告「誰在真正攻擊你的ICS設備?」,可以了解這些攻擊的詳情,還有誰會是主要的攻擊者。

@原文出處:Who’s Really Attacking Your ICS Devices?

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

虛擬化的無代理防護也適用於雲端嗎?

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

Cirsis/MORCUT 惡意軟體掛載虛擬機器

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

 

從Facebook、Twitter、Microsoft和Apple遭到水坑攻擊談Mac OS平台安全

Trend Labs 趨勢科技全球技術支援與研發中心

 隨著越來越多的個人資訊會提供給Facebook、Twitter、Microsoft和Apple,他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者,並會據此來制定攻擊計劃。

作者:Jonathan Leopando

最近,我們看到了許多科技業知名品牌(如Facebook、Twitter、Microsoft和Apple)都遭到水坑(Watering hole)。這些受影響公司的員工瀏覽了受歡迎的iOS開發論壇,因為它被入侵淪陷了,所以也讓使用者遭受當時仍未知的Java漏洞攻擊。

attack

毫無疑問地,Java首當其衝地被認為要為此事件負責。The Verge的一個頭條新聞甚至要對Java「消失」。類似想法已經出現在許多安全專家的腦海裡,不管他們是不是會公開地說出來。

但…Java並不是唯一的問題。所有受影響的系統都是Mac(這很自然,因為是針對iOS開發者的論壇)。現在的重點都一直放在是如何攻擊(Java),而非目標(Mac)上。

攻擊者會嘗試去攻擊目標所使用的平台,不管是哪一種。在整個作業系統的市場裡,Apple的市佔率仍然比較低,但在某些圈子(如矽谷)的比例則高得多。而這些被鎖定的目標恰恰就是因為是Mac電腦的使用者而變得不再安全。攻擊者會客製化他們的攻擊以符合他們目標的狀況。在這起事件裡,攻擊者顯然是要透過水坑(Watering hole)攻擊來針對iOS開發者,這也說明了這起攻擊有過相當程度的規劃。

去年的Flashback事件強調了Mac使用者也有遭受惡意軟體攻擊的風險,而這起事件讓人了解到Mac使用者也會成為精心設計的目標攻擊(APT-進階持續性滲透攻擊)對象。Java只是這次攻擊的載體,但Mac使用者已經不再比其他使用者更加免疫於社交工程( Social Engineering)攻擊。

隨著越來越多的個人資訊會提供給這些網路公司,他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者,並會據此來制定攻擊計劃。

使用者可以透過跨平台防護的PC-cillin 2013雲端版來防護Mac OS平台上所有已知的威脅影響。

@原文出處:Barking Up The Wrong Tree

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺

當 APT 攻擊者擁有很大程度的控制權時,該怎麼辦?

《APT攻擊/威脅 》 水坑攻擊: 不是去攻擊目標,而是去埋伏在目標必經之路

Mandiant 提出的美國企業被 APT攻擊報告被當作社交工程信件誘餌

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

 

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網
 

黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊

Trend Labs 趨勢科技全球技術支援與研發中心

作者:Romeo Dela Cruz(威脅反應工程師)

趨勢科技二〇一三資安預測裡,我們提到傳統的惡意軟體會專注在加強現有的武器,而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上,我們最近發現了一起黑洞漏洞攻擊包(Blackhole Exploit Kit :BHEK)會利用一漏洞攻擊碼(趨勢科技偵測為JAVA_ARCAL.A)來攻擊最近被修補的CVE-2013-0431

如果使用者還記得,這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題

這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時,會被重新導向到數個網站,最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼(以及後續的行為)到系統內。

BHEK(Blackhole Exploit Kit)攻擊:偽裝來自PayPal的電子郵件樣本
圖一、偽裝來自PayPal的電子郵件樣本

經過趨勢科技的測試,這BHEK程式碼會檢查某些版本的Adobe Reader,讓它下載並執行一個惡意PDF檔案(被偵測為TROJ_PIDIEF.MEX),並攻擊一個舊漏洞CVE-2010-0188。

這BHEK程式碼也會在檢查受影響系統的Java版本,接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析,TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊,包括Chrome、Mozilla Firefox和Internet Explorer。最後,這BHEK程式碼將連上下列的惡意網頁,想讓使用者認為自己只是被重新導向到非惡意網站。

BHEK(Blackhole Exploit Kit)攻擊: 會試圖竊取儲存在瀏覽器內的資訊
圖二、感染鏈的最終目標網頁

 

趨勢科技主動式雲端截毒服務  Smart Protection Network的資料中,我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國,其次是墨西哥。這很讓人驚訝,因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。

繼續閱讀