|
|
| 請密切注意攻擊IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II近期披露了一個IE零時差漏洞(0-day exploit),該漏洞影響Internet Explorer 7、Internet Explorer 8、Internet Explorer 9。利用此漏洞的病毒已被趨勢科技產品偵測為HTML_EXPDROP.II及SWF_DROPPR.II。據調查,在與此病毒有關的部分惡意伺服器上,發現有早先公佈的針對Java零時差漏洞的攻擊代碼。截至目前為止,微軟尚未針對該漏洞發佈修補更新檔。
病毒名稱:HTML_EXPDROP.II 其它相關的偵測名稱:SWF_DROPPR.II、BKDR_POISON.BNM、BKDR_PLUGX.BNM
惡意行為: 趨勢科技產品將此病毒偵測命名為HTML_EXPDROP.II,此病毒利用IE7、IE8、IE9的零時差漏洞進行攻擊。該病毒執行後會產生一個惡意Flash檔:MOH2010.SWF (此檔已被趨勢科技產品偵測為SWF_DROPPR.II)。之後,惡意Flash檔將會產生另一個後門程式,趨勢科技產品可偵測該惡意程式及其變種為BKDR_POISON.BNM、BKDR_PLUGX.BNM。
感染細節: 當使用者瀏覽病毒所在的惡意網站時會受到感染。 病毒會查看使用者瀏覽器的版本,它的攻擊目標是IE7、IE8、IE9。
關於該病毒的其他一些行為細節請參考以下網頁: https://about-threats.trendmicro.com/us/malware/html_expdrop.ii https://about-threats.trendmicro.com/us/malware/swf_droppr.ii
防護措施: 請修改IE瀏覽器安全性設定: 工具à網際網路選項à“安全性”頁籤à選擇“網際網路”à按下“自訂等級”à“指令碼處理”部分下的“Active scripting”,選取“提示”並按下“確定”。
處理措施: 請更新趨勢科技產品病毒碼至9.403.00以上,即可偵測防禦目前發現的該病毒所有相關元件。 若您是DeepSecurity或IDF用戶,請立即更新Security Update: VSU12-026並啟用Rule 1005194,以針對此弱點進行防護。 手動刪除方法請參考: https://about-threats.trendmicro.com/us/malware/html_expdrop.ii https://about-threats.trendmicro.com/us/malware/swf_droppr.ii
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 ◎ 歡迎加入趨勢科技社群網站 |
分類: 漏洞攻擊
「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)
「李宗瑞影片,趕快下載呦!」~~~政府單位以這測試信,導致 996 名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課程。如果你是 IT 部門的主管,你知道公司裡最會開啟色情附件檔的是哪些員工?那個部門是網路安全的地雷區?
在本部落格提到的這篇文章中, 69%的人每週都碰到網路釣魚,25% 高階員工被釣得逞 ,而根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示,防毒意識最差的部門是:業務部,而最會開危險郵件的員工是:工讀生等臨時雇員。(編按:上述文章中有提到防網路釣魚四步驟,推薦閱讀)
這意味著,幫公司締造業績的部門,卻同時有可能是企業網路運作殺手。跑腿的工讀生,可能因午休時間開啟一封朋友轉寄的色情信件或網站連結,而讓公司數位資產暴露在外。 這不是在叫IT部門看完本文後去把業務部門電腦搜查一遍,或解雇所有工讀生,而是要指出一個現象:在這個調查之前,該公司 IT 部門普遍不知道企業內部的安全殺手潛伏在那個部門,也不知如何隔離那些總是開啟網路釣魚(Phishing)頁面或誤開有毒色情檔案高危險群。
這是目前存在許多企業的安全管理難題,尤其是網路使用自由度高的公司, IT 部門在不干涉員工的網路連線前提下,又要有效率地執行安全守則,著實兩難。 最明顯的例子是,員工開啟色情郵件或連結引狼入室。
此類郵件藉由勾起使用者的好奇心,一個郵件標題、一個附件檔名,就能讓使用者 Click滑鼠進行散播,我們稱之為社交工程陷阱( Social Engineering) 趨勢科技攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲,也沒有透過殭屍網路/傀儡網路 Botnet來散發垃圾郵件(SPAM),而是由人為手動轉寄木馬植入程式。究其原因,原來這封郵件樣本由群組中的某位成員散發給許多該群組的郵件,再滾雪球般地逐漸散佈出去。雖然屬於手動散播,但只要想想這封電子郵件所傳送的群組數目,加上每個群組所擁有的成員數目,也能釀成大禍。
資訊安全從「 IT 部門的事」到「全公司的事」
好的風險管理能成功教育員工為資訊安全負責,電腦中毒時不但不再衝動拿起電話開罵 IT部門,反而會為自己違反公司安全政策,影響公司網路安全而自責,讓安全意識的轉變從「千錯萬錯都是 IT 部門的錯」到「安全政策,不再只是 IT 部門的事」。 有個實際案例,某公司過去網路斷線時,員工總是高分貝抗議,但是請其合作遵守資訊安全守則時,卻是得不到明顯的成效,一直到他們舉行防毒演習為止。
在演習中,首先該公司以「看似」某部門最高長官 Dave的名義發出「軟體 Beta 版搶先試用,拿大獎」測試信,結果高達98%的員工開啟附件,結果得到如下訊息:「哈哈,上當了!!你的安全警覺性待加強。」而事實上該部門最高長官的正確名字是 David,而不是Dave。凡是點閱該封信件者,都會留下紀錄,藉著測試活動結果,以統計數據說服當事人或是高層主管,企業潛在的人為因素對整體網路安全的影響。
誤點信件後果比你想像的更嚴重! APT 攻擊全球戒備
今天我們就來分享APT進階持續性威脅 (Advanced Persistent Threat, APT)的社交工程陷阱( Social Engineering)信件案例與入侵實際模擬,讓大家看看一時的好奇心,可能付出的代價不只是個人電腦中毒,還有可能失去客戶資料,付出昂貴成本與修復鉅資。
什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。
這兩年很夯讓許多組織機構聞之色變的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) ,其特色之一就是【假冒信件】:針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。
以往駭客發動的APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。
幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。 趨勢科技身為全球雲端安全的領導廠商,在年度雲端資訊安全盛會 “CloudSec 2012”會中如何因應嶄新威脅APT (Advanced Persistent Threat)以守護企業重要機敏資訊的重要性。以下是:趨勢科技全球核心技術研發部技術經理翁世豪,在會議中分享的: 面對APT企業應當採取的縱深防禦防護策略。(含國內外社交工程信件案例與駭客入侵模擬)
目標式電子郵件攻擊實際案例(10:22) 駭客入侵模擬(20:20) APT 防護階段(29:16) 以下是幾個郵件樣本 1.攻擊者先收集 eMail 清單,然後寄給內部特定對象這個看起來像是excel 的附件,點開檔案只有一個空白的檔案,是寄錯檔案了嗎? 
其實看到這畫面時病毒已經在背後運作了,因為該檔案是設計過的,背後插了一個 Adobe flash 物件,,即使用戶已經更新了所有的 patch 還是無法阻擋該攻擊,因為這是零時差漏洞攻擊 繼續閱讀
Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌
Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌
上禮拜的Java零時差漏洞已經被許多種漏洞攻擊包所用,包括大家所熟知的Blackhole漏洞攻擊包。
在這篇文章中,我們會介紹在過去一週內所爆發的一些相關攻擊。趨勢科技主動式雲端截毒服務 Smart Protection Network中的自動化處理系統已經開始偵測這些攻擊,只要它們一出現就會加以封鎖。
有許多種方法被用來將網路使用者導到藏有這些攻擊程式的網頁上,包括:
利用多種方式來將使用者導引到惡意網站,的確增加了攻擊成功的機會,也讓使用者所面臨的風險更大了。在垃圾郵件方面,我們看到四種被使用的社交工程陷阱( Social Engineering)誘餌:
《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊
資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。
事實上,在他們拿到這Java漏洞之前,Nitro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標(附註一點,我們在2012年四月也看到另一波的電子郵件)。
資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。
Apple:這是Java的原罪
早在2010年十月,Apple就宣布他們將會放棄對Java的支援。這並不會影響到Oracle去直接支援這個Unix系統平台,就跟它會支援其他的Unix作業系統一樣。因為OSX對Java更新的遲緩讓它面臨了clickjacking點擊劫持和其他惡意活動的威脅。Apple最後終於負起責任去更新了Java 6 Update 33。在那之後,Java 6的另一個變更會影響兩個不同地區的時區變化。但Apple似乎不大可能去進一步的更新OSX的Java 6。
在2012年8月14日,Oracle釋出Java 7 Update 6給Mac上的Lion和Mountain Lion作業系統。Oracle對OSX的直接支援終止了Apple Java更新遲緩所受到的指責。Java的未來及相關的安全性現在顯然是握在Oracle的手上。在Oracle釋出OSX Java 7 Update 6更新版本的兩個禮拜內,一個漏洞被發現會影響Windows,而OSX和Linux上也都有相同的漏洞。這個漏洞會影響FireFox、IE 9和Safari 6。Oracle一向會及時的提供Java漏洞修補程式,也終於在近日推出更新版本修補此一漏洞,詳細資訊請參考下列網址: https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
Mac Java的背景知識
Java是Sun在1990年代初期所開發的。這個編程環境是用來幫助跨越各種不同的作業系統,從大型主機到嵌入式裝置的作業系統。Java甚至被當成是微軟在1996年所推出的ActiveX的替代控制作法,以延伸微軟COM和OLE跟作業系統的通訊。在2000年。Windows用ActiveX來取代JavaScript作為自己瀏覽器的API。這個外掛API是為Netscape所開發。JavaScript並不是Java,但Netscape認為Java代表分散式作業系統的客戶端/伺服器解決方案。微軟Internet Explorer 5.5的ActiveX將作業系統的應用程式帶到網路上,微軟希望他們的應用程式可以在網路上被廣泛採用,以增加Windows的影響力。
微軟對於將ActiveX擴展到他們瀏覽器的這項作法的說詞是為了要加強安全性。這時正好微軟也取消Windows Internet Name Service(WINS),而用DNS來提供名稱階層架構,也就是今天認證的基礎。ActiveX看起來是WINS的替代策略,讓微軟可以用來主宰網際網路。但是卻讓網路犯罪份子在網路上利用ActiveX來控制Windows應用程式。ActiveX並沒有讓Windows成為網際網路上的主導者,同時ActiveX也沒有提高安全性。
在2005年,Android利用Java建立Java執行環境(JRE)。Sun在2006年11月將Java的原始碼用GPL v2開放出去。但是唯一的例外就是不包括行動應用程式。所以Google開發自己的Java虛擬機器(JVM)技術,稱為Dalvik,以避開編程介面的限制。並且將JRE的堆疊模式轉變成Java虛擬機器(JVM)的暫存器型態。
接著,Sun在2010年被Oracle所收購。Apple並沒有替Java提供移除安裝程式,使用Java的程式可能不會取消檢查Apple的Java控制面板來直接使用Java。而許多這樣的程式也不會去注意到Oracle Java 7 Update 6的控制面板,更不會接受可用的Java 7環境位置。這些Java的問題需要一點時間來解決,但是Apple已經清楚的表達了他們的意思,不會再自動安裝Java,也不會支援Java 7。
Apple應用程式的規則
在Mac App Store審核指南規則2.24指出:
「應用程式使用不適用或需額外安裝的技術(例如Java、Rosetta)將會被拒絕」
控制應用程式的更新,可被允許的元資料和捷徑、禁止未經使用者同意就自動啟動和禁止下載其他應用程式或修改 – 所有的這一切都是為了提高安全性的目標。但是如果還是允許Java的話,執行這些安全措施並不實際,也會讓網路犯罪份子更加容易攻擊成功。