漏洞攻擊 - 資安趨勢部落格

「Zerologon」虛擬修補的價值

2020 年 09 月 18 日2020 年 09 月 18 日趨勢科技 TrendMicro

CVE 最近又發布了一個新的漏洞：CVE-2020-1472，並且登上了不少媒體版面。這個被稱為「Zerologon」的新漏洞可讓駭客利用 Netlogon 認證所使用的加密演算法來假冒任何電腦向網域控制站取得認證。

簡單來說，這就是 Netlogon Remote Protocol (MS-NRPC 通訊協定) 的一個漏洞，會讓駭客能在網路上的裝置執行惡意程式。駭客可以利用 MS-NRPC 通訊協定向網域控制站 (Domain Controller，簡稱 DC) 認證以取得系統管理權限。

根據我們 ZDI 漏洞懸賞計畫研究人員 Dustin Childs 指出：「更糟糕的是，目前並無法徹底解決該漏洞，此次修補更新只是讓網域控制站可暫時保護裝置，下次的修補更新 (預定 2021 年第一季推出) 才會強迫 Netlogon 使用安全的 RPC 通訊協定來徹底解決這項問題。不過套用這個修補更新之後，您還是要調整網域控制站的設定。Microsoft 已針對這些設定發布了一份指南來協助系統管理員進行調整。」

已經有了修補更新，為何這還會是個大問題？

繼續閱讀

Mac 惡意程式 XCSSET：感染 Xcode 專案，對 Safari 與其他瀏覽器發動 UXSS 攻擊並利用零時差漏洞

2020 年 08 月 16 日2021 年 12 月 23 日趨勢科技 TrendMicro

最近趨勢科技發現一種罕見的感染手法，專門感染 Xcode 開發專案。經過進一步調查之後，我們在某開發人員的 Xcode 專案中發現了原始惡意程式，深入追查之後更找到其他惡意檔案。在這調查過程當中，最值得注意的是我們發現了兩個零時差漏洞攻擊手法：其中一個是利用 Data Vault 的某個缺陷來竊取瀏覽器的 Cookie；另一個則是用來操控開發版本的 Safari 瀏覽器執行惡意行為。

此威脅比尋常，因為其惡意程式碼是注入於本地端 Xcode 專案當中，因此當該專案在產生應用程式時就會執行惡意程式碼，這對 Xcode 開發人員來說尤其特別危險。當我們發現受害的開發人員將其專案分享到 GitHub 之後，此威脅也隨之升高，使用者若將此專用應用到自己的開發專案當中，會造成類似供應鏈攻擊的效果。此外，我們也從 VirusTotal 之類的來源發現到此威脅，表示這項威脅已經擴散開來。

以下摘要說明我們對此威脅的分析結果，詳細攻擊細節請參閱相關技術摘要。首先，我們將此惡意程式命名為「TrojanSpy.MacOS.XCSSET.A」其幕後操縱 (C&C) 相關檔案命名為「 Backdoor.MacOS.XCSSET.A」。

此惡意程式主要經由 Xcode 專案以及從此惡意程式所衍生的應用程式散布。目前還不清楚惡意程式一開始是如何進入被感染的系統，因為照理講這些系統主要開發人員在使用。這些 Xcode 專案已遭修改，因此當專案在產生應用程式時就會執行惡意程式碼，進而使得 XCSSET 的主要惡意程式被植入到受害系統上執行。此外，受害使用者的登入憑證、帳號以及其他重要資料也可能遭竊。

XCSSET 進入受害系統之後可能出現以下行為：

繼續閱讀

《IOT 》數百萬台物聯網裝置受到 Ripple20 漏洞影響, 從一人精品店到財星500大皆被波及

2020 年 07 月 06 日2020 年 07 月 05 日趨勢科技 TrendMicro

資安研究員發佈了一組Ripple20漏洞的相關資訊。這些漏洞可能對數百萬台物聯網（IoT ,Internet of Thing）造成嚴重影響，各個產業（醫療、石油和天然氣、交通運輸、電力和製造業等）的關鍵機器都可能會受到這些臭蟲影響。以色列網路安全公司 JSOF 發佈的技術報告內列出了有漏洞裝置的廠商列表。

此漏洞來自美國公司Treck Inc.在90年代後期所發布的軟體。它實作了輕量級TCP/IP堆疊（TCP/IP stack），讓企業可以透過TCP/IP連線將裝置或軟體連上網路。

波及範圍從一人精品店到財星500大的跨國公司

繼續閱讀

駭客專挑尚未更新系統的企業,更新工具套件，清除舊版挖礦程式並攻擊更多系統

2020 年 03 月 04 日2020 年 03 月 06 日趨勢科技 TrendMicro

對於時時刻刻處心積慮謀求最大獲利的網路犯罪集團來說，沉寂不代表沒有動作。Outlaw 駭客集團就是一個例子，近幾個月來，他們似乎沉寂了好一陣子，但其實是忙著開發新的工具套件來開拓更多不法獲利來源。自從趨勢科技在去年 6 月披露之後，該集團沉默了好一段時間，但到了 12 月便又開始看到他們的活動，並推出了新版的工具套件，不過仍保留了許多先前的攻擊技巧。此次版本更新除了增加一些掃描參數並擴大了掃描目標之外，更會讓惡意程式不斷循環重複執行，並且加強了掃描活動躲避偵測的能力，還會將其他競爭對手的挖礦程式以及自己舊版的挖礦程式全部清除，來提升自身的利潤。

經過詳細分析之後，趨勢科技發現歹徒應該是鎖定汽車與金融產業，他們會在已遭入侵的系統上發動更多後續攻擊，並且 (可能會) 竊取資訊拿去販賣。比較這次的版本與過去的攻擊，我們認為 Outlaw 此次更新的目的包括：攻擊尚未更新系統的企業、掌握其先前感染的主機當前最新的資安狀況與系統變動、尋找新/舊攻擊目標，以及趁機在網路上測試新版功能。根據趨勢科技蒐集來自 456 個不同 IP 位址的樣本所觀察到的變化來看，預料該集團在未來幾個月內將更加活躍。

繼續閱讀

修補CVE-2020-0601 漏洞了嗎?別讓 Vulnera-Bullies 得逞，快用免費工具檢測!

2020 年 01 月 22 日2020 年 01 月 22 日趨勢科技 TrendMicro

想必您已經聽到有關 Microsoft® 最新 CVE-2020-0601 漏洞的消息，這項漏洞最早是由美國國家安全局 (NSA) 所揭露 (也讓它成為第一個由 NSA 公開揭露的漏洞)。此漏洞出現在一個含有重多功能的加密元件當中，其中一項重要功能就是簽署軟體，也就是認證軟體確實未曾遭到篡改。所以，駭客可利用這項漏洞來簽署其惡意執行檔，讓它變成合法的執行檔，進而用於所謂的中間人攻擊。

好消息是，Microsoft 已經釋出修補更新來防範與此漏洞有關的任何攻擊，前提是：您必須確實套用修補更新。

繼續閱讀