1,000 至 3,000 億美元:這就是金融機構遭到網路攻擊可能帶來的鉅額損失。儘管金額相當嚇人,但卻一點也不令人意外。因為過去三年之間,就有多家銀行因為 SWIFT (環球銀行金融電信協會) 基礎架構遭駭客入侵而損失共 8,700 萬美元。然而這只是冰山一角:某網路犯罪集團在其首腦於 2018 年被捕之前,已從 40 個國家 100 多家金融機構累積盜取了 12 億美元。
網路駭客不但有能力駭入金融機構的營業系統,更有能力駭入其底層基礎架構。這樣的情況近兩年來屢見不鮮,而且攻擊越來越難纏、精密、且影響深遠。歹徒專門尋找唾手可得的目標,因為先前爆發的一些知名攻擊事件已使得消費者的意識提升,對資料外洩更加敏感,亦不斷提升安全來保護自己的敏感資料。
趨勢科技對網路犯罪地下市場的長期觀察,讓我們能清楚掌握多年來駭客攻擊的手法和技巧如何演進,他們專門利用哪些資安盲點,對真實世界帶來什麼衝擊,以及使用者和企業機構如何加以防範。
對許多的物聯網(IoT ,Internet of Thing)使用者來說,針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體,一直被用在許多的攻擊活動中,會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後,出現了各種不同的Mirai變種和衍生病毒。
我們分析了一個稱為「Miori」的Mirai變種,它會透過PHP框架(ThinkPHP)的遠端程式碼執行(RCE)漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是,我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。
除了Miori,有幾隻已知Mirai變種(如IZ1H9和APEP)也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器,就會將其變成殭屍網路的一部分,用來進行分散式阻斷服務(DDoS)攻擊。
檢視Mirai變種 – Miori
Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體:
圖1.、RCE下載並執行Miori惡意軟體
針對知名漏洞 Meltdown 和 Spectre 的攻擊目前或許仍在概念驗證 (PoC) 階段,或者如某些報導所說,仍在實驗性階段。不過,歹徒總有一天會完全掌握這些漏洞,只是時間早晚的問題。Meltdown 和 Spectre 漏洞的影響非常深遠,它最早可追溯至 1995 年所生產的電腦。此問題對企業來說尤其棘手,特別是受到歐盟通用資料保護法 (GDPR) 所規範的企業。
企業除了修補和更新系統之外,還有一點也很重要,那就是採取主動策略來搜尋、偵測、回應威脅,尤其像 Meltdown 和 Spectre 這類影響深遠的威脅。
針對 Meltdown 和 Spectre 漏洞攻擊,趨勢科技研究了一種利用 Intel 處理器內建效能計數器 (Performance Counter) 的特殊偵測技巧。這些計數器會記錄快取失誤的次數 (也就是應用程式所要求的資料不在快取記憶體當中的情況),這些數據可用來偵測 Meltdown 和 Spectre 漏洞攻擊。
由於這兩個漏洞都是利用今日 CPU 在設計上會為了提高效率而預先載入並執行一些指令以免 CPU 陷入無事可做的狀態。
這篇文章的目的,是希望系統管理和資安人員除了妥善訂定修補政策之外,還有另一種防範之道,尤其是那些因可能影響穩定性或效能而無法套用修補更新的系統。
請注意,MeltdownPrime 和 SpectrePrime 也可以利用偵測快取旁道攻擊 (cache-side channel attack) 的方式來加以偵測。儘管參數有些不同,但此方法可偵測 Flush + Reload 以及 Prime 和 Probe 方式的攻擊。只是,此方法雖已在 Linux 系統實驗成功,但尚未在 Mac 系統上測試過。
Spectre SGX (SgxPectre) 的目的是用來洩漏記憶體安全區域 (secure enclave) 內的資料。根據 Intel 的 SGX 程式設計手冊的說法,效能計數器在 SGX 安全區域內可能會被停用。不過,由於快取時間差攻擊是在 SGX 安全區域之外的非信任程式碼中執行,因此效能計數器仍會有關於快取命中 (Hit) 和失誤 (Miss) 的數據,所以應該還是有辦法偵測。關於這點,我們並未完整測試,因此無法百分之百確認。至於參數 (也就是取樣率、門檻等等) 則應視環境而有所差異。
Meltdown 和 Spectre 如何利用處理器預測執行的特性?
Meltdown 漏洞是利用 CPU 在預測執行時會無視權限規定,將原本沒有權限存取的記憶體資料載入快取當中,使得歹徒能夠利用快取旁道攻擊的方式取得這些資料。接著 CPU 才會發現使用者沒有適當權限,進而將運算結果拋棄。但此時已經載入的資料還是會留在末階快取 (Last-Level Cache,簡稱 LLC) 當中,所以才會讓駭客有機會取得這些資料。 繼續閱讀
在過去幾天出現了一種新的分散式阻斷服務(DDoS)放大攻擊,而且它有潛力造成比過去都更嚴重的DDoS攻擊。雖然大多數人想到DDoS所用的網路協定時會想到DNS、UpNP/SDP和NTP,但 mecache所造成的攻擊跟利用這些協定一樣有效。Memcache是一種可以從伺服器快速儲存和檢索資料的協定,而不會造成後端資料庫沈重的負擔。不幸的是,最近它也成為了DDoS攻擊一種有效的放大和反射來源。
Cloudflare和Github在過去幾天成為了這種新DDoS 放大攻擊的第一波受害者。在Github的例子中,來自Akamai的網路遙測資料顯示至少有一波攻擊造成1.35Tbps以上的網路流量送入其伺服器:
圖1:來自 https://githubengineering.com/DDoS-incident-report/
請記住,其中有些流量本身不是攻擊流量,而是正常網路活動(嘗試進行handshake之類),但最終還是造成了巨大的衝擊。根據Akamai SIRT的說法,這次攻擊的規模是2016年9月Mirai攻擊的兩倍。
使用memcached其實很簡單。你發送一個key,它會將與該key相關的資料送回給你。另外一個好處是可以根據需要將多筆查詢放入一個請求中。
圖2:建立一個memcache攻擊
在目前的攻擊中,攻擊者對Memcache服務發出GETS請求,以取得現有key可以得到的所有資料(圖2中的步驟3和4);但在許多情況下,memcache伺服器並不受保護,並且還允許SET指令(也就是將資料加入memcache伺服器)。惡意份子可以用它來將一個key設定成可允許的最大資料blob,然後對該key執行GETS查詢(圖2中的步驟1-4),來最大化針對受害者的反射攻擊。
雖然memcache可以以TCP(原生)和UDP安裝,但這些攻擊主要出現在UDP端口11211,因為UDP協定比較容易欺騙來源地址,更容易進行反射式DDoS攻擊。
根據Shodan的資料,全球有120,458個(撰寫本文時)memcache伺服器,只有不到1萬台伺服器使用UDP。更有意思的是,其中幾乎有三分之一都被用在攻擊中。 繼續閱讀
搭上 Intel CPU 漏洞順風車的釣魚信件,以「重大漏洞–重要更新」為餌,內含聲稱導向 Meltdown、Spectre 修補程式下載網頁的連結,不但使用SSL加密還冒用政府單位字樣的網域名,受害人稍不留意就掉入陷阱。
一月初,資安研究人員發現了 Meltdown 和 Spectre 兩個今日 CPU 設計上的資安漏洞,並且公布了詳盡的技術細節。根據研究人員指出,全球數十億裝置皆可能因這些漏洞而讓惡意程式竊取應用程式正在處理的資料。儘管處理器廠商們去年就已接獲通報,並在幾個月前著手開發修補更新,但直到最近才等到聯合公布的時機。Apple、Microsoft 和 Google 皆已釋出必要的修補更新來防範相關漏洞攻擊。
Meltdown 漏洞所影響的是 Intel 處理器,可能讓駭客取得系統權限並存取應用程式和作業系統記憶體中的資料。至於 Spectre 則是影響 Intel、Advanced Micro Devices (AMD) 及 Advanced RISC Machine (ARM) 處理器,可能讓駭客竊取系統核心或快取中的檔案或資料,例如:執行中程式存放在記憶體中的密碼、金鑰等等。
儘管如此,使用者在嘗試下載修補更新時務必小心,因為網路犯罪集團已利用 Meltdown 和 Spectre 的這波新聞熱潮來散布惡意程式。其中之一,就是德國在政府單位針對網路釣魚郵件發布警告之後出現的 SmokeLoader 惡意程式。
假冒來自德國聯邦資訊安全局 (BSI)的釣魚網站啟用 SSL 連線
這些郵件會假冒來自德國聯邦資訊安全局 (BSI)。研究人員指出,其網域含有一個啟用 SSL 連線的網路釣魚網站,該網站不屬於任何政府機構所有,只是假借政府名義誘騙民眾安裝惡意程式而已。該網站有個頁面會連結至 Meltdown 和 Spectre 的相關資源,但其中有些連結卻是指向一個含有惡意程式的 ZIP 壓縮檔。使用者一旦下載到該檔案並且在電腦上執行,電腦就會被植入 SmokeLoader 惡意程式。接著,SmokeLoader 會再下載其他惡意程式到電腦上執行。此外,研究人員也指出該惡意程式會嘗試連線至多個網域並送出一些加密過的資訊。
企業注意! 變臉詐騙不再使用執行檔
有些變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)電子郵件現在已不再使用執行檔為附件,而是改用 HTML 網頁。因為含有執行檔的電子郵件通常會被垃圾郵件過濾軟體列為可疑郵件,但 HTML 檔案則不會,因為惡意 HTML 檔案較難被偵測,除非可證明是網路釣魚網頁。而且,網路釣魚網頁的程式碼撰寫起來較為容易,又可在任何平台上通用。
雖然網路釣魚已是網路上最古老的詐騙手法之一,但使用者和企業機構至今仍深受其害。事實上,根據「網路釣魚工作小組」(Phishing Working Group) 的 2016 年第二季報告指出,該季偵測到的非重複網路釣魚網站數量達到巔峰。
10招防網路釣魚
使用者可採取以下 10個做法來防範網路釣魚攻擊,包括:
原文出處:SmokeLoader Malware Found Spreading via Fake Meltdown/Spectre Patches
PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
