重大資安事件 - 資安趨勢部落格

Heartbleed 漏洞常見問題集

2014 年 04 月 11 日2018 年 09 月 08 日趨勢科技 TrendMicro

Heartbleed漏洞讓 5％的前一百萬大網站心在淌血!新聞裡出現了一個讓許多人都很擔心的新安全問題。就是所謂的「Heartbleed漏洞。」引起了許多的混亂，尤其是關於大多數人應該關心什麼和該怎麼做。為了幫助你了解發生了什麼事而不要驚慌，這裡有一份常見問題的答案：

什麼是Heartbleed漏洞？

Heartbleed漏洞是個會影響 SSL的問題，SSL是用來保護你在網路上資料的技術。你如果要進行網路購物或在網站上輸入敏感資料就可能對SSL很熟悉，會看到一個「鎖頭」告訴你你的資料受到保護。

Heartbleed臭蟲，存在於所有實作 Heartbeat 擴充程式的 OpenSSL。當攻擊一個有漏洞的伺服器時，可以讓攻擊者一次讀取部分（最多64KB）的電腦記憶體而不會留下任何痕跡。

這一小塊記憶體可能會包含使用者重要的個人資料 – 私鑰、使用者名稱、密碼（在很多情況下是以明文的形式）、信用卡資料以及機密文件等等。攻擊者可以一再地要求記憶體區塊以盡可能地獲取他們所想要的資訊。而且這個漏洞可以被任何人從網路上的任何地方加以攻擊。

SSL有什麼問題？

這裡的問題是，有漏洞會影響到一些使用SSL的網站。這漏洞可能讓人有機會去存取SSL所保護的資料。

這對我來說代表什麼？

這代表你所認為會透過SSL保護的資料可能並不像你（或任何人）想得那麼安全。這代表像密碼、信用卡資料或其他個人資料等敏感資訊可能會在你不知情下洩漏給其他人。

我該如何解決這問題？

沒有辦法。在這情況裡，有問題的並不是你的電腦或設備。這是網站所必須處理的問題，修補好網站的SSL。

我可以分辨一個網站是否有這問題嗎？

不幸的是，沒有辦法。這只有運行此網站的人才能確認。

可以做些什麼來保護自己？

雖然你無法保護自己免於此特定問題，但你還是可以採取一些措施來保護自己免於此問題所可能帶來的影響。你可以進行下列步驟：

確保你在所有的系統上運行最新的安全軟體。
注意任何出現在你網路帳號和金融帳戶的可疑活動。
當網站建議你變更密碼時，馬上變更。

如果我有受到影響，應該怎麼做？

受影響的使用者必須升級到OpenSSL版本1.0.1g，它已經修補了Heartbleed臭蟲。

如果不能進行升級，你就必須重新編譯應用程式來關閉Heartbeat擴充程式。透過使用 -DOPENSSL_NO_HEARTBEATS旗標完成。

SSL憑證也必須撤銷以及換新。安裝在受影響版本OpenSSL的憑證私鑰很可能已經被外洩了。因為沒辦法知道哪些現有憑證受到影響，所以必須產生新的SSL憑證。

使用者也要考慮變更網路帳號的密碼，因為Heartbleed漏洞會暴露像使用者名稱和密碼等敏感資料。為了避免帳號受到危害，當使用者被通知重設密碼時就要盡快進行。他們還應該監控帳戶內任何可疑的活動，尤其是跟財務相關的帳戶。

趨勢科技解決方案

趨勢科技Deep Security客戶應該升級到DSRU-14-009，並指定下列規則：

1006010 – Restrict OpenSSL TLS/DTLS Heartbeat Request
1006011 – OpenSSL TLS/DTLS Heartbeat Information Disclosure Vulnerability
1006012 – Identified Suspicious OpenSSL TLS/DTLS Heartbeat Request

同時也能夠透過對網路活動的能見度和控制能力來察覺試圖對此漏洞進行的攻擊Deep Discovery可以透過規則CVE-2014-0160-SSL_HEARTBEAT_EXPLOIT來監控網頁伺服器和檢查SSL/TLS相關流量。一旦發現，Deep Discovery會尋找Heartbeat訊息回應，並檢查是否有漏洞攻擊的特徵出現，特別是連續回應數目、回應資料數量等等。這讓它可以偵測：對監控中伺服器的攻擊，在監控網路試圖去攻擊Heartbleed漏洞。這新的Deep Discovery規則已經發佈且會自動應用，因為是Deep Discovery自動更新程序的一部分。

客戶端應用程式也可能受到Heartbleed漏洞影響。如果它們連到惡意伺服器，Heartbleed漏洞就可能被用來讀取客戶端系統的記憶體。在4月11日，趨勢科技發佈以下規則以保護使用Deep Security和IDF的使用者防護這個漏洞攻擊：

1006016 – OpenSSL TLS/DTLS Heartbeat Message Information Disclosure Vulnerability
1006017 – Restrict OpenSSL TLS/DTLS Heartbeat Message

＠原文出處：Don’t have heartburn over the Heartbleed Vulnerability

檢測工具:

想要線上購物或進行網路交易又怕怕的嗎?輸入網址,檢測網站是否有相關漏洞,到這邊安裝檢測工具

Heartbleed漏洞讓 5％的前一百萬大網站心在淌血!

2014 年 04 月 11 日2014 年 04 月 17 日趨勢科技 TrendMicro

我們嘗試著評估Heartbleed漏洞的影響，根據Alexa排名的前1,000,000名網域來掃描幾個特定國家的頂級網域（TLD）。接著挑出有使用SSL的網站，進一步地分類成「受影響」或「安全」。我們從收集到的資料裡發現了一些有意思的事情。

到目前為止，我們看到了總共大約5％的網站受到CVE-2014-0160的影響。頂級網域內有最高比例受影響網站的是.KR和.JP。有意思的是在這份列表裡，.GOV在頂級網域中排到了第五。

圖一：每個國家內受影響網站的數據

（點擊這裡或上圖可以看大圖）

繼續閱讀

防禦使用Tor（The Onion Router）匿名服務的惡意軟體(一)

2014 年 03 月 07 日2014 年 03 月 03 日趨勢科技 TrendMicro

在過去的幾個月裡，Tor（The Onion Router）匿名服務因為各種原因出現在新聞上。最為人所知的可能是它被用在現已關閉的Silk Road地下市場。在趨勢科技標題為「深層網路和網路犯罪」的白皮書裡深入探討了深層網路的話題。在2014年預測裡，提到網路犯罪份子會進入更深層的地下世界，其中一部份會更多的使用Tor。

網路犯罪分子顯然沒有對Tor的潛力視而不見，網路管理者也必須考慮到使用Tor的惡意軟體可能會出現在自己的網路內。他們該如何應對這方面的發展？

到底什麼是Tor？

Tor被設計來解決一個相當具體的問題：阻止中間人（如網路管理者、網路服務供應商、甚至是國家）來確認或封鎖使用者所連上的網站。它如何做到這一點？

之前被稱為「洋蔥路由器」，Tor是洋蔥路由概念的實作，會有許多網路上的節點提供網路流量的中繼服務。想要使用Tor網路的使用者會安裝一個客戶端程式在自己的電腦上。

這個客戶端程式會連上一個Tor目錄伺服器來得到節點列表。使用者的Tor客戶端會選出一條網路流量路徑，透過各個Tor節點來到達目的地伺服器。這路徑就是為了不容易被追蹤。此外，節點間的所有通訊都被加密過。（關於Tor的更多詳情可以在Tor專案官方網站上找到。）

實際上，這會對你所連上的網站，以及任何在你行經路徑上可能會監聽你網路流量的攻擊者隱藏住你的身份（或至少IP地址）。對一個想要隱藏自己行蹤，或因某種原因被試圖連上的伺服器拒絕IP地址的訪客來說很有用。

這可以用來做合法和非法的用途。不幸的是，這意味著它可以，並且已經用在惡意目的上。

它如何被用在惡意用途？

就跟其他人一樣，惡意軟體可以很容易地使用Tor。在2013年下半年，我們看到更多惡意軟體利用它來隱藏自己的網路流量。在九月，我們有篇部落格文章提到Mevade惡意軟體下載Tor元件以作為命令與控制（C＆C）通訊的備援。2013年10月，荷蘭警方逮捕了四名TorRAT惡意軟體的幕後黑手，這是一個利用Tor進行C&C通訊的惡意軟體家族。這惡意軟體家族針對荷蘭使用者的銀行帳戶。調查工作很困難，因為它使用了地下加密服務來逃避偵測，並且使用加密電子貨幣（如比特幣）。

在2013年的最後幾個禮拜，我們看到一些勒索軟體Ransomware變種稱自己為Cryptorbit，明確地要求受害者使用Tor瀏覽器（帶有預先Tor設定的瀏覽器）來支付贖金。（該名稱的靈感可能來自於惡名昭彰的CryptoLocker惡意軟體，它也有著類似的行為。）

圖一、使用 Tor之勒索軟體的警告

趨勢科技曾論了幾個ZBOT樣本，除了使用Tor來進行C＆C連線的樣本，還有樣本會將自己的64位元版本嵌入正常的32位元版本內。

圖二、執行中的64位元ZBOT惡意軟體

繼續閱讀

為什麼 FBI 將 SpyEye 定罪是件大事?

2014 年 02 月 17 日2014 年 02 月 18 日趨勢科技 TrendMicro

「在刑事司法制度裡，有兩群獨立但同樣重要的人：調查犯罪的警察和起訴罪犯的地方檢察官。這些是他們的故事。」 – 法律與秩序（Law & Order）

近日聯邦調查局（FBI）在喬治亞州的亞特蘭大市宣布Aleksandr Andreevich Panin（俄國人，也被稱為「Gribodemon」或「Harderman」）在進入法院審判前，對其建立和散播SpyEye惡意軟體家族的控訴認罪。趨勢科技也參與協助 FBI 成功起訴 SpyEye惡意軟體作者。

雖然對我們這產業來說，網路犯罪活動被定罪的消息還不夠多。但對人們來說的確是每隔一段時間就會出現，讓人們忽視這些新聞，不會去了解它們的重要性。但其實不知道將SpyEye定罪有多重要是件非常危險的事。這次定罪在許多層面上都是對抗網路犯罪份子的顯著勝利。首先，它剷平整個生態鍊和該負責的人，不只是對付犯罪集團裡跑腿的小兵，而是它的創辦人和執行長。其次，它大大地打擊了這自2009年開始就非常成功的惡意軟體家族（它成功到在2010年10月/11月合併和吸收了它的主要競爭對手 – ZeuS）。最後，它顯示出公家單位和私人機構如何一起合作以達到最圓滿的結局，正義的行動可以迅速且果斷。

惡意軟體和犯罪工具給人的舊印象是一兩個人在自己的地下室裡搞出來的。但就像微軟從Windows 3.1成長到現在的Windows 8一樣。這些年來合法軟體的進步和成熟發展也相對應地發生在惡意軟體和犯罪工具上。今日的惡意軟體威脅不只是一個會毀掉你一天的開機型病毒：它們是複雜且多層次的解決方案，需要高深的規劃和開發。而且它們越來越懂得回應客戶的需求。外掛程式，功能需求甚至技術支援都一應俱全。

在這樣的背景下，SpyEye是地下市場裡最專業、最先進的產品。自從它在2009年出現，SpyEye就是最專業、最成功的惡意軟體家族之一。它提供定期的版本更新，甚至還有測試版。考慮到這一些，美國聯邦調查局對Panin在這些活動裡所扮演的角色說明會帶給人更貼切的感覺：「Panin是SpyEye病毒的主要開發者和經銷商，」換句話說，Panin並不是個憤世嫉俗的人躲在地下室裡寫病毒，他是SpyEye公司的創辦人和執行長。

而且SpyEye公司對Panin和購買他產品的客戶來說都是個非常成功的成果。這可以從FBI的一些數據裡略知一二。據他們所說，Panin以1,000美元到8,500美元不等來販賣各個SpyEye版本。據信他已經賣出SpyEye給至少150名「客戶」，所以他可以淨賺15萬美元到127萬5,000美元之間。而他的許多客戶也都做得很不錯。比方說Panin的客戶之一 – 「Solider」，根據報導，他使用SpyEye在六個月內取得了超過320萬美元（趨勢科技也協助了此一案子：你可以到這裡瞭解更多行動詳情，以及到這裡瞭解「Solider」惡意活動的相關資料）。雖然可能永遠無法知道Panin和他的客戶到底有多成功，但是光2013年就估計有超過25萬台電腦感染SpyEye，超過10,000個銀行帳戶受駭。

另一個代表SpyEye成功的標誌（並且進一步地幫助其更加成功）是在2010年10月，其對手ZeuS的作者（可以說和SpyEye一樣地成功）決定退休並轉入地下，所以將其作品交給Panin。SpyEye公司就這樣合併和吸收了ZeuS公司。這就好比Steve Jobs決定退休，並將Apple交給比爾蓋茨和微軟一樣。

從這些種種來看，你可以看出Panin並不是條小魚，相反地，他是條最大的魚。在2013年7月1日將其逮捕是次巨大的勝利：將他徹底趕走，有效地剷除SpyEye公司。而且這裡所談到的並不只是將其逮捕，而是能夠將其定罪。

電視節目「法律與秩序」的粉絲都清楚該劇的重點是進行逮捕的警察（「秩序」方面）和將其定罪的地方檢察官（「法律」方面）之間相互合作的重要性。逮捕行動只是第一章節的結束：定罪才結束了整個故事。本著此一精神，美國聯邦調查局在這禮拜宣布Panin認罪，意味著Panin和SpyEye公司的「法律與秩序」故事已經到達尾聲。而且這件事裡重要的是，這是認罪而非審判。就在被逮捕之後的六個月，可以證明良好的公私單位合作可以導致多麼成功的結果。繼續閱讀

趨勢科技協助 FBI 成功起訴 SpyEye惡意軟體作者

2014 年 02 月 17 日2014 年 02 月 17 日趨勢科技 TrendMicro

最近的新聞頭條充斥著駭客攻擊的消息，這一起事件讓零售業者和消費者損失了好幾百萬。不過在這起負面消息以外，我們也很高興地分享趨勢科技前瞻性威脅研究（FTR-Forward Looking Threat Research team）團隊幫忙美國聯邦調查局（FBI）逮捕了「SpyEye」的作者，並成功地加以定罪,該病毒感染了全球140萬台電腦。

在美國聯邦調查局所發布的新聞稿裡，FTR團隊和其他一些私人機構都幫忙成功地起訴了Aleksandr Andreevich Panin（俄國人，也被稱為「Gribodemon」或「Harderman」）。Panin身為「SpyEye」的主要作者和散播者，已經為其電匯和銀行詐騙行為認罪。

「美國聯邦調查局感謝來自趨勢科技前瞻性威脅研究團隊的協助調查，進而讓Aleksandr Andreevich Panin，又被稱為「Gribodemon」或「Harderman」遭到逮捕，」美國聯邦調查局的執行助理主管Rock McFeely說道。「像這樣的警民合作對於成功解決網路威脅並將網路犯罪份子繩之於法是至關重要的。」

趨勢科技的FTR團隊是群研究人員的菁英團隊，任務是探究網路未來和預測網路犯罪將來的演變。其電子犯罪單位和國際執法夥伴（如國際刑警組織和國際電信聯盟）緊密地合作，有助於讓世界的數位資訊交換更加安全。FTR曾經協助美國聯邦調查局破獲Rove Digital (請參考趨勢科技協助 FBI 破獲史上最大殭屍網路)，逮捕「警察勒索軟體」攻擊背後的關鍵人物，最近又協助美國聯邦調查局逮捕惡名昭彰的SpyEye銀行木馬作者。你可以從他們的研究報告或安全情報部落格內看到更多關於他們工作的介紹。

身為威脅防禦專家，趨勢科技的使命是讓世界可以更加安全的交換數位資訊。因此，只是偵測像SpyEye這樣的惡意軟體或保護我們的客戶對抗最新威脅並不足夠，我們需要深入威脅的來源。我們的信念是不只去阻止惡意活動，並且要阻止其幕後的黑手。我們的FTR電子犯罪小組會支援全球的執法單位，提供他們最新的調查結果。或是像是此一事件，支援他們執行中的調查。

研究威脅角色是趨勢科技主動式雲端截毒服務 Smart Protection Network裡一個相當關鍵的部分，幫助我們了解惡意份子今日所使用的工具和技術，同時找出犯罪活動背後的不法份子。這有助於我們提供客戶更好的防護，並且提供執法機構迫切需要的的協助。

@原文出處：Trend Micro threat defense experts assist FBI’s successful prosecution of “SpyEye” malware creator