Uber 爆漏洞,雙重認證機制出包

2017 年 11 月,全球叫車共乘大廠 Uber 陷入了一場資料外洩風暴, 該公司被揭發有 5,700 萬名司機和乘客的資訊外流到網路上。一月底又出現了另一個資安問題,研究人員 Karan Saini 發現 Uber 有一個 系統漏洞 可讓駭客跳過 Uber 應用程式的雙重認證 (2FA) 機制。

Uber 爆漏洞,雙重認證機制出包

該公司早在 2015 年就開始實驗雙重認證,希望能取代電子郵件和密碼的簡單認證方式。然而,這項功能卻因為 Uber 應用程式的登入方式而使得駭客有可能跳過這項安全機制。根據 Saini 提供的詳細資料指出,使用者只要有電子郵件和密碼就能登入其帳號。接著,使用者可以在同一個瀏覽器階段切換到 Uber 的「help」(協助) 子網域,然後再用相同的登入憑證就能登入。

Uber 公司已在本文截稿前修正了該問題,並且說明這有可能是其內部資安團隊為了測試評估各種雙重認證技術的效果而導致的問題。同時,該公司也表示並非所有裝置都預設使用雙重認證,只有在適當的情況下才會使用,也就是當發現有可疑活動的時候。

雙重認證的重要性

隨著資料外洩與資訊竊盜案件日益頻傳,不論企業機構或一般消費者都應開始考慮淘汰傳統的單一認證機制,改用雙重認證。對企業機構來說,這意味著必須在其系統內加入雙重認證,對一般消費者來說,這意味著要確實啟用這項機制 (如果不是預設使用的話)。

此案例告訴我們,即使是雙重認證系統也並非完美。更何況,網路犯罪集團還可透過網路釣魚或惡意程式的方式來克服這項機制。不過,多一分防護總是比少一分好,所以雙重認證畢竟還是比單一認證來的安全。而且雙重認證不一定會比較複雜,因為大多數的雙重認證都只是需要多一封手機簡訊或多一個應用程式 (後者較為安全) 來進行雙重認證而已。

所有企業機構,尤其是需要經手或儲存大量客戶資料的企業,都應優先在系統當中加入額外的安全機制。雙重認證是一道容易架設的安全機制,而且不論對企業或使用者來說都不需太複雜的步驟。

請參考這篇「如何設定雙重認證 (2FA)」來保護您的網路帳號。

 

原文出處:Bug Allows Attackers to Bypass Uber’s Two-Factor Authentication System

駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式

時間拉回 2017 年 9 月,當時 Microsoft 修正了 CVE-2017-11882 這個可讓駭客從遠端執行程式的 Microsoft Office 漏洞。但這仍無法阻止 Cobalt 網路犯罪集團繼續利用此漏洞來散布各種惡意程式,例如FAREITUrsnif 以及某個破解版 Loki 資訊竊取程式 (這是一個以竊取密碼和加密虛擬貨幣錢包為賣點的鍵盤側錄程式)。

最近,趨勢科技發現駭客又再次利用 CVE-2017-11882 漏洞發動攻擊,這次採用的是一種罕見的方法,透過 Microsoft Windows 作業系統中的 Windows Installer 服務。此手法有別於之前使用 Windows 的 mshta.exe 程式來執行 Powershell 腳本以下載並執行惡意檔案的作法,而是透過 Windows Installer 服務當中的「msiexec.exe」程式來執行惡意檔案。

完整感染過程

Figure 1: RATANKBA Infection Flow

圖 1:完整感染過程。

我們所分析到的樣本似乎某一波垃圾郵件所使用的附件檔案,這些垃圾郵件會要求收件人確認寄件人所收到的一筆款項。電子郵件內容含有韓文撰寫的文字,大意是「您好,請檢查一下您的電腦是否中毒或感染惡意程式」,似乎在提醒收件人小心別中毒。

此外,電子郵件也附了一個名為「Payment copy.Doc」的文件檔案,該檔案看似一份付款確認單,但其實是個木馬程式 (趨勢科技命名為:TROJ_CVE201711882.SM),它會攻擊 CVE-2017-11882 漏洞。

Figure 1: RATANKBA Infection Flow

圖 2:隨附惡意文件會攻擊 CVE-2017-11882 漏洞的垃圾郵件。 Continue reading “駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式”

攻擊者利用 Struts和 DotNetNuke 伺服器漏洞,進行數位貨幣挖礦攻擊

最近幾個月來,惡意份子已經將數位貨幣挖礦視作可行的賺錢方式。挖礦攻擊利用使用者的電腦運算能力來挖掘各種數位貨幣,最常見的是利用惡意軟體或被駭網站。透過入侵伺服器來執行挖礦程式可以讓惡意份子得到更多的運算能力,並從非法挖礦中賺取更多利潤。

趨勢科技在最近幾週注意到針對CVE-2017-5638Apache Struts的漏洞)和CVE-2017-9822DotNetNuke的漏洞)的攻擊次數顯著地增加。這些漏洞的修補程式都已經釋出。這些漏洞存在於開發者常用於建構網站的Web應用程式內,所以可能出現在許多伺服器上。2017年的大規模Equifax資料外洩事件也跟Struts漏洞有關。

我們認為這些攻擊的幕後黑手是同一個,因為這些網站都指向同個網域來下載門羅幣挖礦程式,也都指向同一個門羅幣地址。這地址已經收到了30個門羅幣(XMR),以2018年1月中的匯率來看約等於12,000美元。

 

分析

攻擊上述漏洞的惡意HTTP請求被發送到目標伺服器。這些HTTP請求包含編碼過的腳本程式。上述漏洞被利用來在受影響的Web伺服器執行這程式。使用多層混淆技術的程式碼可以讓分析和偵測變得更加困難。Windows和Linux系統都成為了這波攻擊的目標。

一旦將混淆過的程式碼完全解碼後就會找到這波攻擊活動的最終目標。程式碼最終會下載惡意軟體:一個門羅幣挖礦程式。

圖1和2、發送到目標伺服器的HTTP請求,分別針對了Struts和DotNetNuke漏洞

Continue reading “攻擊者利用 Struts和 DotNetNuke 伺服器漏洞,進行數位貨幣挖礦攻擊”

「ChaiOS」軟體問題造成 Apple iMessage 應用程式無限死當

最近,軟體開發人員 Abraham Masri 發現了一個影響 Apple 裝置的漏洞,讓人想起以前會讓 iMessage 應用程式當掉的「Effective Power」漏洞,這個名為「ChaiOS」的死亡簡訊漏洞會讓收到簡訊的裝置陷入無限當機循環。

Masri  為了展示這項漏洞的概念驗證,他在 GitHub 上製作了一個網站,並將該網站的結構資料 (Metadata) 塞滿數千個多餘的亂碼。他表示,當應用程式在讀取這些多餘的亂碼時就會當掉,甚至導致整個作業系統當機。MacRumors 測試了前述網站之後發現確實會讓 Apple 的訊息程式當掉。

ChaiOS 甚至會影響 MacOS 作業系統。Apple 已在  iOS 11.2.5 第 6 測試版 (Beta 6) 當中解決此問題。相信再過不久,正式的 iOS 11.2.5 和 MacOS High Sierra 10.13.3、watchOS 4.2.2 以及 tvOS 11.2.5 更新就會推出。

Continue reading “「ChaiOS」軟體問題造成 Apple iMessage 應用程式無限死當”

銀行木馬程式 CONFICKER/DOWNAD 出道九年依然肆虐?舊版 Windows 未修補的漏洞是關鍵!

銀行木馬程式 DOWNAD (又名 CONFICKER,趨勢科技命名為 DOWNAD 家族) 首次現身於 2008 年,是當時破壞力最強的惡意程式之一,高達 9 百萬台電腦受到感染,全球皆聞之喪膽。儘管 DOWNAD 現身至今已將近十年,而且已過了巔峰期,但它並未徹底消失。讓我們回顧一下 DOWNAD 這九年來的一些數據,就能理解為何它至今仍是全球最普遍的惡意程式之一。

巔峰時期曾經創下全球 9 百萬的感染案例, 至今每月偵測數量仍維持在 2 萬以

DOWNAD 在巔峰時期曾經創下全球 9 百萬的感染案例。四年之後,DOWNAD 仍是當年最紅的惡意程式,全球偵測數量仍有 250 萬左右 (2,564,618)。到了 2013 年,DOWNAD 數量銳減,從第一季的 74.1 萬一路下滑至第四季的 22.9 萬,原因應該是越來越多使用者已升級至新版 Windows 作業系統,因此它少了可攻擊的漏洞。但儘管如此,DOWNAD 仍位居 2013 年惡意程式排行榜榜首,偵測總數高達 180 萬左右 (1,824,000)。到了 2014 和 2015 年依然維持同樣情況,DOWNAD 仍穩居企業惡意程式年度感染數量前二名 (不論大型企業或中小企業),分別為 288,374 和 298,000。

Figure 1: Tracking the detections for DOWNAD from 2012 to 2016

圖 1:2012 至 2016 年 DOWNAD 偵測數量。

儘管在過了顛峰之後 DOWNAD 的感染情況已經緩和下來了,但根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2016 和 2017 年的 DOWNAD 偵測數據顯示,該惡意程式每月偵測數量仍維持在 2 萬以上,所以依然還是相當活躍。

這樣的情況多年來一直相當穩定,如果只看最近兩年的話,WORM_DOWNAD.AD 的偵測數量一直維持在一定水準,只有些微的起伏變化:

Figure 1: Monthly WORM_DOWNAD.AD detections for 2016 and 2017

圖 2:2016 和 2017 年 WORM_DOWNAD.AD 每月偵測數量。

主要分布於三大產業:政府、製造和醫療

DOWNAD 主要分布於三大產業:政府、製造和醫療,占 2016 年所有 WORM_DOWNAD.AD 偵測數量的 34%,同時也占 2017 年的 41%。這些產業的企業通常比較專注於原本的專業領域,所以不像一些科技相關產業 (如軟體和委外服務) 那麼重視技術升級投資。此外,這些產業的企業由於規模和複雜度的緣故,系統升級需耗費龐大的人力和時間,而這些都是 DOWNAD 為何在這些產業特別興盛的原因。

Figure 3: WORM_DOWNAD.AD detections across different industries in 2016

圖 3:WORM_DOWNAD.AD 在各產業的分布 (2016 年)。 Continue reading “銀行木馬程式 CONFICKER/DOWNAD 出道九年依然肆虐?舊版 Windows 未修補的漏洞是關鍵!”

Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式

根據資安研究人員指出,Google Apps Script 有某個資安漏洞可能讓駭客和網路犯罪集團經由 Google Drive 散布惡意程式。由於這項漏洞是發生在軟體服務 (Software-as-a-Service,簡稱 SaaS) 平台端,因此攻擊行動不易偵測,且攻擊時不需假使用者之手,因此使用者可能不會察覺。

Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式
Google Apps Script漏洞恐讓駭客經由 Google Drive散布惡意程式

Google Apps Script 是一個 JavaScript 開發平台,可讓程式設計人員開發網站應用程式以及 Google 軟體服務平台 (如 Google Docs、Sheets、Slides、Forms、Calendar 和 Gmail) 的延伸功能。

該漏洞跟 Google Apps 的分享與自動下載功能有關

根據研究人員指出,這項漏洞跟 Google Apps 的分享與自動下載功能有關。其攻擊手法與傳統利用 Google Drive 來存放和散布惡意程式的方式迥異。

在此手法當中,駭客先發送一份 Google Doc 文件給目標使用者來當成社交工程誘餌。當該文件被開啟時,會要求使用者執行一個 Google Apps Script 腳本,接著此腳本會從 Google Drive 下載惡意程式。此一方式跟一般 Office 文件內嵌的巨集惡意程式有異曲同工之妙。

[TrendLabs 資訊安全情報部落格:qkG 檔案加密病毒:可自我複製的文件加密勒索病毒]

這項研究發現,突顯出越來越多企業採用的 SasS平台所潛藏的資安風險。事實上,軟體服務 (SaaS) 與基礎架構服務 (Infrastructure-as-a-Service,簡稱IaaS) 是 2017 年公有雲服務成長的兩大動力,總營收達到 586 億美元。只要建置得當,SaaS 可提供企業彈性、客製化、可擴充的解決方案,實現企業流程及營運最佳化。

SaaS 開始普及,引來網路犯罪集團的覬覦 Continue reading “Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式”

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

Android的2017年12月安全更新修補了一個嚴重漏洞,這個漏洞會讓攻擊者在不影響簽章的情況下修改已安裝的應用程式。讓攻擊者能夠存取受影響的設備(間接地)。研究人員在去年 7月首次發現這個漏洞(被指定為CVE-2017-13156,也被稱為Janus漏洞),受到影響的Android版本包括5.1.1到8.0;約有74%的Android設備安裝這些版本。

趨勢科技發現至少有一個應用程式使用了這技術。這特定應用程式利用此漏洞讓自己更難被行動安全軟體偵測。之後也可能用來侵害其他應用程式並存取使用者資料。

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

漏洞分析

Android應用程式的安裝套件(.APK檔案)其實是.ZIP壓縮檔。.ZIP檔案格式有幾個特點讓這種攻擊發生。看看底下的基本.ZIP檔案結構:

1.ZIP檔案結構

 

檔案結構由三部分組成:檔案實體(File Entry)、核心目錄(Central Directory)和核心目錄結束(EOCD)。核心目錄包含壓縮檔內每個檔案的資料;應用程式使用此目錄來找出記憶體位置以存取所需的檔案。

不過每個檔案實體並不需要相鄰。甚至可以將任意資料放入.ZIP檔案的這部分,如下所示:

2ZIP檔案結構(紅色為任意資料)

 

攻擊者可以在APK檔案開頭放進一個惡意DEX檔案(如下所示)。有漏洞的Android版本仍會將其識別為有效的APK檔案並且執行。 Continue reading “高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP”

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上?為什麼新漏洞出現時沒有發表深入地探討?”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱,因為“我們一直在用它們,什麼事都沒有發生,所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣,不管是組織或個人,就會讓攻擊可以很容易的一再發生。

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

作者:Natasha Hellberg(趨勢科技資深威脅研究員)

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼,它們進入了更新的技術,然後包含在其他的技術中,我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱,因為“我們一直在用它們,什麼事都沒有發生,所以我們一定是安全的”。

聽起來有點熟?我們總是拿到新東西就直接安裝,完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限,就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運,這些設備有加以防護,可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是,根據趨勢科技FTR團隊所做的研究,有幾十萬放在網際網路上的設備帶有漏洞(就是說可以被入侵)或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

  1. 勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
  2. 資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
  3. 設備/網頁竄改(defacement) – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
  4. DDoS殭屍網路和攻擊激增工具(Booter) – 系統和設備漏洞成為攻擊他人的跳板

Continue reading “資安攻擊為何一再發生? 剖析四個”過於暴露”的案例”

2018年資安預測:已知漏洞將會成為最大攻擊來源

趨勢科技發表了對2018年的預測報告。在報告中,我們列出了在2018年威脅環境可能會出現的八種演變。雖然這些預測涉及廣泛,從物聯網到網路宣傳戰都有,但是真正的主題是2018年最大的攻擊將來自已知漏洞。

這預測源自2017年所有的重大資安事件(像是WannaCry(想哭)勒索蠕蟲事件)都是基於已知漏洞。只要研究Shadow Brokers所洩漏出的資訊,犯罪份子就可以取得國家級情報機構所使用且成功攻擊的漏洞清單。因為這樣,很容易就可以預見犯罪分子也會利用這些漏洞。

2018年資安預測:已知漏洞將會成為最大攻擊來源

一個未知的漏洞(只有情報組織才知道的漏洞)和已知漏洞間最大的差別就是使用它們的攻擊者數量呈指數增加。所以,一旦有漏洞被公眾所知,時間就開始在倒數,剩下的只是“什麼時候”會攻擊到使用者的問題。 Continue reading “2018年資安預測:已知漏洞將會成為最大攻擊來源”