ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。
圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

 

 

圖2:ProMediads惡意廣告範例
圖2:ProMediads惡意廣告範例

 

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 Continue reading “ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒”

SCADA 人機介面 (HMI) 漏洞的現況

檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告
檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告

經由 HMI 攻擊 SCADA

SCADA 是所謂的「監控與資料擷取」(Supervisory Control and Data Acquisition) 系統的縮寫。普遍用於全球的各種關鍵基礎架構,因此天生就很容易吸引各種駭客的覬覦。駭客可能駭入 SCADA 系統來蒐集一些資訊,例如:廠房設施配置圖、關鍵門檻值、裝置設定等等,來協助他們從事後續攻擊。駭客攻擊可能帶來的最壞情況包括服務中斷,或是駭客利用易燃物質或重要物資來製造威脅生命安全的危險狀況。

Stuxnet 病毒及烏克蘭發電廠遭受攻擊的案例讓趨勢科技見識到,真正有心從事破壞的駭客不僅對企業是一大威脅,更可能危及社會大眾的安全。駭客有許多可入侵 SCADA 系統的管道,其中之一就是經由其人機介面 (HMI) 軟體普遍存在的漏洞。由於 SCADA 系統大多透過所謂的 HMI 軟體來管理,而這類軟體通常安裝在具有網路連線的電腦上。因此,HMI 是 SCADA 系統遭受攻擊最主要的目標之一,最好安裝在隔離或獨立安全的網路上。但根據經驗,實際情況通常並非如此。

何謂 HMI?

所謂的人機介面 (HMI) 就是顯示資料與接受操作人員指令的介面。操作人員可透過該介面監控系統狀況並做出適當的回應。今日的 HMI 大多具備先進、可自訂的資料顯示功能,讓操作人員很方便地掌握系統的狀況。

HMI 常見的漏洞類型

趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫團隊特別針對今日 SCADA HMI 的安全性做了一番深入研究,仔細分析了 2015 至 2016 年間所有已揭露並修復的 SCADA 軟體漏洞,其中也包括 ZDI 計畫所接獲通報的 250 個漏洞。

趨勢科技發現,這些漏洞主要分成幾類:記憶體損毀、登入憑證管理不良、缺乏認證/授權機制與不安全的預設值,以及程式碼注入漏洞,全都是可以藉由安全的程式撰寫習慣來預防的漏洞。

 

記憶體損毀:這類問題在所有已揭露的漏洞當中約占 20%,這類漏洞是很典型的程式碼不夠嚴謹的安全問題,例如:堆疊和記憶體緩衝區溢位,以及超出範圍的記憶體存取動作。 Continue reading “SCADA 人機介面 (HMI) 漏洞的現況”

鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統 

Samba的資安弱點即便經過修補,新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點(CVE-2017-7494)進行攻擊, 影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外,Linux作業系統只要啟用SMB服務,也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備(包含網路儲存設備 (NAS)IoT設備),一旦成功後即植入惡意程式。

企業環境(政府、製造業、金融業)大量使用 Linux 作業系統伺服器,且大部分均為關鍵業務系統。而Linux常被認為系統安全性高,較不會被入侵,因此較易疏於管理、更新、防護。駭客可能利用此情形,結合目標式攻擊與內網擴散手法攻擊此弱點,入侵至伺服器後加密檔案,進行勒索。因此,趨勢科技建議您,除了Windows作業系統需安裝修補程式外, Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件,極可能代表攻擊已進入到內網擴散階段,可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復,但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出,此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾,並促使伺服器載入並執行該程式庫。駭客一旦得逞,就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」,因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示,SambaCry 只被用來攻擊伺服器,且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料,駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A,發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例,它同樣也會在受害系統上開啟指令列介面。不過,ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先,它會攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置。其次,ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統,如:MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多,隨便上 Shodan 搜尋一下就能找到:指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾,含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。 Continue reading “鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統 “

未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次

零時差漏洞 (也就是從未被發現的新漏洞) 最近出現的頻率越來越高,更糟的是,這些危險的漏洞經常都是在駭客攻擊事件發生之後,人們才知道漏洞的存在。

根據網路資安研究機構 Cybersecurity Ventures 創辦人暨總編輯 Steven Morgan 指出,零時差漏洞的出現頻率在未來四年之內很可能提高到每天一次 (在 2015 年時大約每週一次)。

網路攻擊數量日益增加早已不是新聞,多年來,科技產業的現況就是如此。但這並不表示研究人員和開發人員就不須設法減少一些關鍵軟體和 IT 系統可能被攻擊的漏洞。

漏洞研究可扭轉局勢

這時候,漏洞研究就能派上用場,同時也是網路資安產業正興起的一股潮流。一般來說,漏洞研究通常由研發團隊負責,他們會運用一些高階技巧來試圖尋找駭客發動攻擊、製造資料外洩或其他資安事件時可能利用的軟體漏洞或缺失。

這類研究的目的,是希望及早發現一些零時差威脅以及軟體的其他問題,當然最好是在網路犯罪集團攻擊這些漏洞之前。如此就能減少駭客的攻擊管道,降低因零時差漏洞而遭感染的情況。

一項需要特殊技巧的艱難任務

「未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次。」

然而,正如 Dark Reading 特約作家 Rutrell Yasin 指出,沒有人是一夕間突然開始從事這類研究的。漏洞與資安研究需要特定的技術和能力,尤其在威脅情勢瞬息萬變的今日。 Continue reading “未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次”

漏洞懸賞計畫與漏洞研究的具體成效

我們擁有全球最大不限廠牌的漏洞懸賞計畫「Zero Day Initiative」(ZDI),因此有機會收到各式各樣的軟體漏洞。ZDI 所收到的軟體漏洞,其嚴重性從輕微困擾到超級破壞性不等,這是很正常的狀況。一般來說,漏洞懸賞計畫的目標,就是要盡可能網羅越多漏洞。至於收到漏洞之後該怎麼處理,那就看計畫團隊如何決定。在 ZDI,我們不僅會設法解決漏洞 (這一點我們似乎做得比其他機構來得好),而且我們還會設法阻止駭客利用漏洞從事進階攻擊。

當然,偵測及防範持續性滲透攻擊本身就是一項艱難挑戰,實際的情況總是不免要經歷一番危機才能真相大白。最近,維基解密 (WikiLeaks) 公布了一批據稱是美國情治單位所用的駭客工具,這正是 ZDI 懸賞計畫影響駭客攻擊方式的最佳範例。事實上,若維基解密的資料屬實,那美國中情局 (CAI) 將因 ZDI 的行動而被迫改用其他工具。

2010 年,震驚全球的 Stuxnet 病毒讓伊朗核武計畫的離心機受到嚴重損壞。Stuxnet 有三個核心元件:一個是用來隱藏自己的 Rootkit、一個是負責主要攻擊的蠕蟲,另一個是用來散布蠕蟲的自動執行捷徑檔。為此,Microsoft 釋出了多個安全更新來修補相關漏洞,包括解決捷徑檔漏洞的 MS10-046。這項修補使用了一個白名單來確保只有經過核准的檔案才能使用,很多人認為這樣的做法確實有效。不過,根據維基解密公布的文件顯示,一個叫做「EZCheese」的工具直到 2015 年為止一直都在攻擊一個類似的捷徑漏洞。這樣的改變是因為 ZDI 漏洞懸賞計畫已收到多個證明 MS10-046 更新修補無效的漏洞。駭客改用另外一個當時未知的捷徑漏洞 (Lachesis/RiverJack),源自於作業系統的「library-ms」功能。儘管 Microsoft 並未特別說明,但這另一個捷徑漏洞很可能在 CVE-2017-8464 釋出之後已經解決。 Continue reading “漏洞懸賞計畫與漏洞研究的具體成效”

機器人如何變壞?

測試工業機器人的安全極限

今日智慧工廠工業機器人攻擊示範
今日智慧工廠工業機器人攻擊示範

 

今日世界在各方面都極度仰賴工業機器人,然而,目前的機器人生態體系在安全方面是否足以抵擋駭客的網路攻擊?

機器人可不可能遭到駭客入侵?

基於效率、準確與安全的理由,工業機器人在許多大型生產線上早已取代了人力。這些可程式化的機械裝置,幾乎已遍及各種工業領域:汽車、飛機零件製造、食品包裝,甚至提供重要的公共服務。

很快地,機器人將成為現代化工廠一項普遍的特色,因此,我們有必要停下來思考一下,當今的工業機器人生態體系在安全上是否足以抵擋網路攻擊?這是我們前瞻威脅研究 (FTR) 團隊以及我們的合作夥伴 Politecnico di Milano (POLIMI) 在檢視今日工業機器人攻擊面時所共同思考的一個問題。更重要的是,我們希望藉由這次的機會來證明這些機器人是否真的有可能被入侵。

以下影片當中的攻擊示範,是在實驗室環境下針對工廠實際會用的工業機器人所做的測驗。由於今日工業機器人在結構上大同小異,此外也有嚴格的標準,因此,本研究所用的機器人對於為數眾多的工業機器人來說,可算具有代表性。

所謂的工業機器人,就是一套「經由自動控制、可重複程式化、多重用途的操作手臂,具備三軸或更多軸可程式化,可固定於某地,也可四處行動,主要應用於工業自動化。」

機器人可能遭到什麼樣的攻擊?

一具工業機器人需要多個部位共同配合才能順利加以操作。程式化人員或操作人員通常透過遠端存取介面,如:教導盒 (teach pendant) 來經由網路來下達一些高階指令給控制器。控制器 (基本上就是一台電腦) 接著將指令轉換成低階的指令給機器手臂的各個部位去解讀並執行。 Continue reading “機器人如何變壞?”

MS-17-010:EternalBlue對SRV驅動程式的Large Non-Paged Pool溢位

EternalBlue的漏洞攻擊碼在五月成為受人注目的焦點,因為它和過去數周出現的大規模惡意軟體攻擊大有關聯 – 知名的 WannaCry(想哭) 勒索蠕蟲、無檔案勒索病毒UIWIXSMB蠕蟲 EternalRocks以及電子貨幣採礦惡意軟體Adylkuzz。

EternalBlue(微軟釋出MS17-010修補)是關於Windows SMB 1.0(SMBv1)伺服器如何處理特定請求相關的安全漏洞。一旦攻擊成功,就可以讓攻擊者在目標系統上執行任意程式碼。EternalBlue及其他被駭客集團Shadow Broker所流出漏洞攻擊碼的嚴重性和複雜性被認定為中到高的程度。

趨勢科技進一步的研究EternalBlue內部運作來更加地了解此漏洞攻擊如何運作,並提供關於此漏洞攻擊肆虐世界各地不同產業組織的技術見解。

《延伸閱讀》與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊

 

漏洞分析

Windows SMBv1的核心函式srv!SrvOs2FeaListToNt在處理檔案延伸屬性(FEA)時,Large Non-Paged核心集區記憶體(kernel pool memory)存在緩衝區溢位的漏洞。srv!SrvOs2FeaListToNt在將FEA列表轉換成NTFEA(Windows NT FEA)列表前會呼叫srv!SrvOs2FeaListSizeToNt來計算所接收FEA列表的大小。按順序進行下面操作:

  1. srv!SrvOs2FeaListSizeToNt會計算FEA列表大小和更新所接收FEA列表大小
  2. 因為錯誤的WORD類型轉換造成FEA大小比原值大
  3. 當FEA列表重複地被轉換為NTFEA列表時,非分頁集區(non-page pool)會出現溢位,因為原本的總列表大小被誤算

 

溢位分析

我們的溢位分析是根據srv.sys 6.1.7601.17514_x86。有漏洞的程式碼可以用srv!SrvSmbOpen2觸發。追踪如下:

00 94527bb4 82171149 srv!SrvSmbOpen2

➜ SrvOs2FeaListSizeToNt() Continue reading “MS-17-010:EternalBlue對SRV驅動程式的Large Non-Paged Pool溢位”

【資料圖表 】如何防止保全系統遭到網路攻擊?

一般建築,不論商業大樓或私人住宅,通常都設有保全系統來保障重要資產的安全。從簡單的門禁管理到全面的監控攝影與警報系統,都算是保全系統。而且隨著這類系統日益複雜,大樓管理員也開始需要更方便的管理方式。

為了能夠更快、更容易掌控,保全系統開始慢慢連上網路。一些智慧型大樓,更是採用中央監控管理系統。值勤的人員直接從中控室就能過濾消防警報、查看是否有動作感應器被觸動,或者查看每一樓的監視畫面。通道入口的人員進出權限也可以從遠端直接更改。換句話說,實體保全正在逐漸數位化。

不僅如此,保全系統的裝置也逐漸變得複雜,門禁部分可能用到證件讀卡機、外出開關 (REX)、門管控制器、管理軟體等等整套系統。監視部分則包括了攝影機、數位錄影機、檢視軟體等等。而且大樓通常還會安裝各種警報裝置,例如:防闖感應器、消防警報器、滅火系統、動作感應器等等。 Continue reading “【資料圖表 】如何防止保全系統遭到網路攻擊?”

與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊

一個名為「EternalRocks」的最新惡意程式,不僅會攻擊 ShadowBrokers 駭客集團從美國國安局 (NSA) 外流並被惡名昭彰的 WannaCry(想哭)勒索病毒/勒索蠕蟲所利用的 EternalBlue 和 DoublePulsar 兩個漏洞,還會攻擊其他五個由同一駭客集團所外流的漏洞:EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。這些都是針對 Microsoft Server Message Block (SMB) 網路資源 (如檔案及印表機) 分享通訊協定的漏洞。

建議企業或個人使用者都該盡速更新修補自己的系統,即刻未雨綢繆,防患未然!

感染目標裝置後,會分兩階段執行安裝程序

EternalRocks 惡意程式最早是由科羅埃西亞電腦緊急應變小組 (CERT) 資安研究員 Miroslav Stampar 所發現,該惡意程式在感染目標裝置後,會分兩階段執行安裝程序。在第一階段,惡意程式會下載 TOR 用戶端 來建立通訊管道,接著再透過該管道與其幕後操縱 (C&C) 伺服器通訊。令人意外的是,該 C&C 伺服器並不會立即做出回應,而是等過了 24 小時之後才回應。這樣的延遲設計,很可能是為了躲避沙盒模擬分析技巧的測試以及資安人員的分析。 Continue reading “與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊”

WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

 WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊,除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本,但根據我們持續不斷的分析發現,這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族,只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010,代號 EternalBlue,由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布,同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同?首先,它是所謂的無檔案型態病毒,UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件,因此不會留下什麼痕跡,所以更難偵測。

此外,UIWIX 的行為更加謹慎,只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在,就會自行終止。根據 UIWIX 程式內的字串顯示,它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點: Continue reading “WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來”