網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?

我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件,例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純:竊取個人資訊並從中獲利,而遊戲本身也因此經常遭到濫用。

在本文說明的案例中,遭到網路犯罪者利用的並非遊戲,而是遊戲玩家所使用的通訊工具,Discord,這是玩家經常使用的新一代聊天平台,擁有超過 4,500 萬名註冊會員用戶。

ROBLOX

此攻擊案例涉及熱門的大型多人遊戲 ROBLOX,這個遊戲擁有 1 億 7,800 萬名註冊用戶,每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容,玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境,並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素,鼓勵使用者進行社交、一起玩遊戲及建立內容,並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。

Discord 的詐欺漏洞

在網路犯罪者攻擊 ROBLOX 玩家的犯罪中,Discord 扮演何種角色?我們的研究發現,網路犯罪者濫用此聊天平台內建的一項功能,即應用程式設計介面 (API),API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中,竊取包含 ROBLOX 登入憑證的瀏覽器 cookie,具體而言,是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時,讓聊天程式傳送訊息至指定頻道或使用者,Discord 因此成為資訊外洩的管道。

濫用 webhook 的手法可細分為以下步驟:

  1. 惡意程式感染目標系統,在此案例中,趨勢科技偵測到惡意程式 TSPY_RAPID.A。TSPY_RAPID.A 最早出現在遊戲論壇上,使用者將它貼在論壇上,宣稱是「作弊程式」,可讓玩家修改角色,取得勝過其他玩家的不當優勢。此惡意程式的程式碼中包含 Discord webhook,如下所示 (SHA256: a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)。Figure 1 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖
  2. 此惡意程式會持續等待,直到偵測到被害者系統中的 ROBLOX,就會竊取使用者的遊戲帳戶 cookie。
  3. 惡意程式利用 Discord,將竊取到的 cookie 傳送給同樣連線至 Discord 的指定頻道或使用者。
  4. 遭竊的 cookie 即用於登入已遭入侵的 ROBLOX 帳戶,竊取儲存於帳戶的 ROBUX,推測最後換為現金。

Continue reading “網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?”

CVE-2017-0199:新的惡意軟體攻擊PowerPoint漏洞

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞,讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入(OLE)介面以散播惡意軟體。它通常利用的是惡意RTF文件,也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本(趨勢科技偵測為TROJ_CVE20170199.JVU)會用新的方法(利用PowerPoint播放模式)來利用CVE-2017-0199漏洞,這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用,本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解,藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

 

技術分析

Figure 1 CVE-2017-0199 diagram

圖1:TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊(SPEAR PHISHING)附件的方式抵達,偽稱來自電線廠商,實際上則是會植入一個遠端存取工具。這個偽裝是有原因的,因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

 

郵件樣本內容如下:

Figure 2 spear-phishing email CVE-2017-0199

圖2:魚叉式釣魚郵件樣本

 

雖然電子郵件本身有提到訂單請求,但收到郵件的使用者看不到商業文件,而是會看到一個PPSX檔案,點擊後會顯示如下: Continue reading “CVE-2017-0199:新的惡意軟體攻擊PowerPoint漏洞”

F2FS 檔案系統漏洞可能導致 Android 和 Linux 記憶體資料損毀

Android 八月份安全性公告包含了三個趨勢科技研究人員發現的檔案系統漏洞 (CVE-2017-10663CVE-2017-10662CVE-2017-0750)。這些漏洞可能造成裝置記憶體中的資料損毀,讓惡意程式在系統核心內執行惡意程式碼,進而存取並掌握更多資料。歹徒可利用惡意程式來掛載一個 F2FS (Flash-Friendly File System) 格式的磁碟來觸發這項漏洞,這個磁碟可以是實體磁碟或虛擬磁碟映像。

F2FS 是一種專門針對快閃記憶體 (NAND) 裝置 (如隨身碟) 而最佳化的檔案系統。任何可掛載 F2FS 檔案系統的裝置都存在這項潛在風險。就 Android 而言,最危險的是那些預設使用 F2FS 檔案系統的裝置,例如:Motorola、Huawei 和 OnePlus 的手機,因此有數以百萬計的用戶都可能遭駭。不過,這項攻擊技巧要能成功,駭客必須先駭入某個具備檔案系統掛載權限的執行程序才行。

至於 Linux,問題就更加嚴重。Linux 核心從 2013 年發表的 3.8 版起就開始支援 F2FS 檔案系統。因此,該版本之後的所有 Linux 裝置都存在這項潛在危險。只不過,並非所有 Linux 發行版本都會預設啟用 F2FS 功能。而那些在插入 USB 隨身碟時會自動掛載該磁碟的裝置風險最高,因為駭客只需將一個含有 F2FS 漏洞攻擊程式的隨身碟插入系統就能觸發這項漏洞。

技術細節

這項漏洞出在讀取 F2FS 檔案系統結構的程式碼:駭客只要在含有漏洞的系統上使用 losetup 來掛載一個惡意的磁碟或本地端磁碟映像檔,即可造成系統記憶體資料損毀,進而讓惡意程式在系統核心內部執行惡意程式碼。前面發布的三項漏洞都可能讓惡意程式寫入正常範圍之外的記憶體,促使系統執行其惡意程式碼。 Continue reading “F2FS 檔案系統漏洞可能導致 Android 和 Linux 記憶體資料損毀”

資安人員該如何判斷哪些威脅有急迫性?

Macs have become more vulnerable as their collective market share has increased.在今日的世界,資安團隊隨時會面臨各種資安事件,隨時會收到各種來源的威脅訊息,因此,不可能每次的威脅都等同看待,必須要能分辨輕重緩急。那麼,該從何著手?當然,只要有威脅出現,資安人員就必須處理,但每次的威脅卻不盡相同,我們該如何判斷哪些有急迫性、哪些沒有呢?

從最初的偵測到強制規範與矯正等一連串的動作,都需要率先掌握明確的威脅資訊與其嚴重性,才能採取有效行動來保護您最珍貴的資產,否則就算並非完全不可能,但實行起來也將困難重重。

XGen 防護為基礎的趨勢科技 TippingPoint Security Management System (SMS) Threat Insights 有效整合了多方來源的威脅資訊,讓您在資安應變的當下能夠輕易判斷威脅的輕重緩急,並且深入掌握當前及未來您網路可能遭遇的威脅,以及目前已經採取的防範措施狀況。 Continue reading “資安人員該如何判斷哪些威脅有急迫性?”

ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。
圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

 

 

圖2:ProMediads惡意廣告範例
圖2:ProMediads惡意廣告範例

 

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 Continue reading “ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒”

SCADA 人機介面 (HMI) 漏洞的現況

檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告
檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告

經由 HMI 攻擊 SCADA

SCADA 是所謂的「監控與資料擷取」(Supervisory Control and Data Acquisition) 系統的縮寫。普遍用於全球的各種關鍵基礎架構,因此天生就很容易吸引各種駭客的覬覦。駭客可能駭入 SCADA 系統來蒐集一些資訊,例如:廠房設施配置圖、關鍵門檻值、裝置設定等等,來協助他們從事後續攻擊。駭客攻擊可能帶來的最壞情況包括服務中斷,或是駭客利用易燃物質或重要物資來製造威脅生命安全的危險狀況。

Stuxnet 病毒及烏克蘭發電廠遭受攻擊的案例讓趨勢科技見識到,真正有心從事破壞的駭客不僅對企業是一大威脅,更可能危及社會大眾的安全。駭客有許多可入侵 SCADA 系統的管道,其中之一就是經由其人機介面 (HMI) 軟體普遍存在的漏洞。由於 SCADA 系統大多透過所謂的 HMI 軟體來管理,而這類軟體通常安裝在具有網路連線的電腦上。因此,HMI 是 SCADA 系統遭受攻擊最主要的目標之一,最好安裝在隔離或獨立安全的網路上。但根據經驗,實際情況通常並非如此。

何謂 HMI?

所謂的人機介面 (HMI) 就是顯示資料與接受操作人員指令的介面。操作人員可透過該介面監控系統狀況並做出適當的回應。今日的 HMI 大多具備先進、可自訂的資料顯示功能,讓操作人員很方便地掌握系統的狀況。

HMI 常見的漏洞類型

趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫團隊特別針對今日 SCADA HMI 的安全性做了一番深入研究,仔細分析了 2015 至 2016 年間所有已揭露並修復的 SCADA 軟體漏洞,其中也包括 ZDI 計畫所接獲通報的 250 個漏洞。

趨勢科技發現,這些漏洞主要分成幾類:記憶體損毀、登入憑證管理不良、缺乏認證/授權機制與不安全的預設值,以及程式碼注入漏洞,全都是可以藉由安全的程式撰寫習慣來預防的漏洞。

 

SCADA 人機介面 (HMI) 漏洞的現況

記憶體損毀:這類問題在所有已揭露的漏洞當中約占 20%,這類漏洞是很典型的程式碼不夠嚴謹的安全問題,例如:堆疊和記憶體緩衝區溢位,以及超出範圍的記憶體存取動作。 Continue reading “SCADA 人機介面 (HMI) 漏洞的現況”

鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統 

Samba的資安弱點即便經過修補,新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點(CVE-2017-7494)進行攻擊, 影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外,Linux作業系統只要啟用SMB服務,也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備(包含網路儲存設備 (NAS)IoT設備),一旦成功後即植入惡意程式。

企業環境(政府、製造業、金融業)大量使用 Linux 作業系統伺服器,且大部分均為關鍵業務系統。而Linux常被認為系統安全性高,較不會被入侵,因此較易疏於管理、更新、防護。駭客可能利用此情形,結合目標式攻擊與內網擴散手法攻擊此弱點,入侵至伺服器後加密檔案,進行勒索。因此,趨勢科技建議您,除了Windows作業系統需安裝修補程式外, Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件,極可能代表攻擊已進入到內網擴散階段,可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復,但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出,此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾,並促使伺服器載入並執行該程式庫。駭客一旦得逞,就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」,因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示,SambaCry 只被用來攻擊伺服器,且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料,駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A,發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例,它同樣也會在受害系統上開啟指令列介面。不過,ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先,它會攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置。其次,ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統,如:MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多,隨便上 Shodan 搜尋一下就能找到:指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾,含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。 Continue reading “鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統 “

未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次

零時差漏洞 (也就是從未被發現的新漏洞) 最近出現的頻率越來越高,更糟的是,這些危險的漏洞經常都是在駭客攻擊事件發生之後,人們才知道漏洞的存在。

根據網路資安研究機構 Cybersecurity Ventures 創辦人暨總編輯 Steven Morgan 指出,零時差漏洞的出現頻率在未來四年之內很可能提高到每天一次 (在 2015 年時大約每週一次)。

網路攻擊數量日益增加早已不是新聞,多年來,科技產業的現況就是如此。但這並不表示研究人員和開發人員就不須設法減少一些關鍵軟體和 IT 系統可能被攻擊的漏洞。

漏洞研究可扭轉局勢

這時候,漏洞研究就能派上用場,同時也是網路資安產業正興起的一股潮流。一般來說,漏洞研究通常由研發團隊負責,他們會運用一些高階技巧來試圖尋找駭客發動攻擊、製造資料外洩或其他資安事件時可能利用的軟體漏洞或缺失。

這類研究的目的,是希望及早發現一些零時差威脅以及軟體的其他問題,當然最好是在網路犯罪集團攻擊這些漏洞之前。如此就能減少駭客的攻擊管道,降低因零時差漏洞而遭感染的情況。

一項需要特殊技巧的艱難任務

「未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次。」

然而,正如 Dark Reading 特約作家 Rutrell Yasin 指出,沒有人是一夕間突然開始從事這類研究的。漏洞與資安研究需要特定的技術和能力,尤其在威脅情勢瞬息萬變的今日。 Continue reading “未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次”

漏洞懸賞計畫與漏洞研究的具體成效

我們擁有全球最大不限廠牌的漏洞懸賞計畫「Zero Day Initiative」(ZDI),因此有機會收到各式各樣的軟體漏洞。ZDI 所收到的軟體漏洞,其嚴重性從輕微困擾到超級破壞性不等,這是很正常的狀況。一般來說,漏洞懸賞計畫的目標,就是要盡可能網羅越多漏洞。至於收到漏洞之後該怎麼處理,那就看計畫團隊如何決定。在 ZDI,我們不僅會設法解決漏洞 (這一點我們似乎做得比其他機構來得好),而且我們還會設法阻止駭客利用漏洞從事進階攻擊。

當然,偵測及防範持續性滲透攻擊本身就是一項艱難挑戰,實際的情況總是不免要經歷一番危機才能真相大白。最近,維基解密 (WikiLeaks) 公布了一批據稱是美國情治單位所用的駭客工具,這正是 ZDI 懸賞計畫影響駭客攻擊方式的最佳範例。事實上,若維基解密的資料屬實,那美國中情局 (CAI) 將因 ZDI 的行動而被迫改用其他工具。

2010 年,震驚全球的 Stuxnet 病毒讓伊朗核武計畫的離心機受到嚴重損壞。Stuxnet 有三個核心元件:一個是用來隱藏自己的 Rootkit、一個是負責主要攻擊的蠕蟲,另一個是用來散布蠕蟲的自動執行捷徑檔。為此,Microsoft 釋出了多個安全更新來修補相關漏洞,包括解決捷徑檔漏洞的 MS10-046。這項修補使用了一個白名單來確保只有經過核准的檔案才能使用,很多人認為這樣的做法確實有效。不過,根據維基解密公布的文件顯示,一個叫做「EZCheese」的工具直到 2015 年為止一直都在攻擊一個類似的捷徑漏洞。這樣的改變是因為 ZDI 漏洞懸賞計畫已收到多個證明 MS10-046 更新修補無效的漏洞。駭客改用另外一個當時未知的捷徑漏洞 (Lachesis/RiverJack),源自於作業系統的「library-ms」功能。儘管 Microsoft 並未特別說明,但這另一個捷徑漏洞很可能在 CVE-2017-8464 釋出之後已經解決。 Continue reading “漏洞懸賞計畫與漏洞研究的具體成效”

機器人如何變壞?

測試工業機器人的安全極限

今日智慧工廠工業機器人攻擊示範
今日智慧工廠工業機器人攻擊示範

 

今日世界在各方面都極度仰賴工業機器人,然而,目前的機器人生態體系在安全方面是否足以抵擋駭客的網路攻擊?

機器人可不可能遭到駭客入侵?

基於效率、準確與安全的理由,工業機器人在許多大型生產線上早已取代了人力。這些可程式化的機械裝置,幾乎已遍及各種工業領域:汽車、飛機零件製造、食品包裝,甚至提供重要的公共服務。

很快地,機器人將成為現代化工廠一項普遍的特色,因此,我們有必要停下來思考一下,當今的工業機器人生態體系在安全上是否足以抵擋網路攻擊?這是我們前瞻威脅研究 (FTR) 團隊以及我們的合作夥伴 Politecnico di Milano (POLIMI) 在檢視今日工業機器人攻擊面時所共同思考的一個問題。更重要的是,我們希望藉由這次的機會來證明這些機器人是否真的有可能被入侵。

以下影片當中的攻擊示範,是在實驗室環境下針對工廠實際會用的工業機器人所做的測驗。由於今日工業機器人在結構上大同小異,此外也有嚴格的標準,因此,本研究所用的機器人對於為數眾多的工業機器人來說,可算具有代表性。

所謂的工業機器人,就是一套「經由自動控制、可重複程式化、多重用途的操作手臂,具備三軸或更多軸可程式化,可固定於某地,也可四處行動,主要應用於工業自動化。」

機器人可能遭到什麼樣的攻擊?

一具工業機器人需要多個部位共同配合才能順利加以操作。程式化人員或操作人員通常透過遠端存取介面,如:教導盒 (teach pendant) 來經由網路來下達一些高階指令給控制器。控制器 (基本上就是一台電腦) 接著將指令轉換成低階的指令給機器手臂的各個部位去解讀並執行。 Continue reading “機器人如何變壞?”