重大資安事件 - 資安趨勢部落格

如何避免成為下一個摩根大通：分析十年來的入侵外洩事件

2015 年 11 月 20 日2015 年 11 月 30 日趨勢科技 TrendMicro

摩根大通及其他金融機構成為了一起持續多年的網路攻擊活動受害者，(請參考: 美國最大銀行摩根大通被駭，8千多萬家庭及企業資料遭竊取)如果說這駭人聽聞的消息能夠教導我們什麼，那就是全國最大的金融機構在面對駭客攻擊時也還是非常脆弱。這一波有近1億筆的客戶資料被竊，而美國各地和其他地方的金融機構都無疑地會想知道自己是否會成為下一個。這並不令人驚訝，因為金融機構所擁有的資料類型恰恰是駭客所想要的目標。

但你可能會很驚訝地發現，它們並非美國最常被攻擊的產業。事實上，根據趨勢科技的最新研究發現，它只佔過去十年來有記錄資料外洩事件的10%，。而且當談到身分竊盜，它甚至並非前三名。

有關資料外洩的真相

為了要揭開過去十年來資料外洩趨勢的真相，趨勢科技分析了非營利隱私權資訊交流中心從2005至2015年的數據，做出了兩份互相搭配的「跟著資料走」報告。對這段時間區間進行深入地研究，讓我們能夠準確地去演繹其模式和趨勢。我們發現零售業是到目前為止被攻擊得最慘的產業，佔這段時間內資料外洩事件的47.8%左右。金融業遠遠落在其後，以10.2%排在第二，再來是醫療保健（5.5%）。

事實上，根據趨勢科技的分析顯示，類似於政府機構，金融業有著一個很明顯的模式，資料外洩事件會在某年突然出現高峰（2006年，2010年）之後接著數年下降。這些年資料外洩事件數量的下降可能是因為產業會因為重大事件而實施新的政策、協議和程序。

10%仍然是資料外洩相當大的數目，而且我們也必須要記住，這僅僅是對有記錄事件的分析 – 可能有更多是我們所不知道的。這些機構會儲存的資料類型通常都是駭客所高度關注的。可以快速而方便地貨幣化 – 通常會利用偽造信用卡、支付帳單詐騙和從受害者銀行帳戶轉出。此外，跟其他產業的攻擊者會有一兩個特別青睞的資料外洩方式不一樣，遺失或被竊，駭客或惡意軟體，內部威脅和無意洩漏等事件在這十年來相當均勻地分佈著。但是，或許是因為新政策和程序所發揮的積極效果，遺失或被竊事件持續下降，但是駭客攻擊，惡意軟體和內部威脅卻在增加。繼續閱讀

Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼

2015 年 11 月 06 日2015 年 11 月 06 日趨勢科技 TrendMicro

當說到漏洞攻擊包，最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼，好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標，其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊。

從10月28日開始，趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。（第二個漏洞是Flash的漏洞，直到版本18.0.0.232都存在；我們目前正在與Adobe確認此漏洞的CVE編號）

圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖3、Angler漏洞攻擊包中第二個漏洞的截圖（點擊放大）

Diffie-Hellman協定被惡意使用

趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定，跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。

這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。

不再從客戶端發送g和p給伺服器。相對地，它送出ssid來確認g和p的配對。
隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。

圖4、Diffie-Hellman協定，使用ssid來識別g，p配對繼續閱讀

惡名昭彰的網路銀行惡意程式-DRIDEX,尚未出局

2015 年 11 月 04 日2015 年 11 月 26 日趨勢科技 TrendMicro

今年 10 月 13 日，美國和英國執法單位對惡名昭彰的 DRIDEX殭屍網路採取行動，希望能終止這項知名的網路銀行威脅。美國賓夕法尼亞州西區律師 David J. Hickton 稱這次的行動為「技術性中斷及打擊全世界最惡劣的惡意程式威脅之一。」
【延伸閱讀】FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

英國國家打擊犯罪局 (National Crime Agency，簡稱 NCA) 則稱此行動為「一項針對 Dridex 各版本及其幕後集團永久、持續的打擊行動，這些集團都躲藏在世界上難以發現的角落。」

雖然這項行動已經將 DRIDEX 擊倒，這離消滅它還很遠。在 DRIDEX 遭到破獲之後，趨勢科技估計受害使用者的數量已經降到破獲之前的 24%。這是根據 DRIDEX 感染數量在破獲前一星期和破獲後一星期的比較結果。

在深入觀察這項數據之後，我們發現受害者的分布情況也出現些許變化。尤其，美國的受害者數量大幅下降，從原本的將近 30% 降至不到 14%。

圖 1：受害者分布 (破獲前)台灣也列入其中 繼續閱讀

新的棘手問題：Pawn Storm零時差攻擊如何閃過Java的點擊播放（Click-to-Play）保護

2015 年 10 月 26 日2015 年 10 月 26 日趨勢科技 TrendMicro

趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞（CVE-2015-2590）進行攻擊。在當時，我們注意到另一個漏洞被用來繞過Java的點擊播放（Click-to-Play）保護。這第二個漏洞（CVE-2015-4902）現在已經被Oracle在每季定期更新中修復，這要歸功於趨勢科技的發現。

點擊播放（Click-to-Play）要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。

繞過點擊播放（Click-to-Play）保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用，因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織（NATO）成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名：最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。（此漏洞已經被Adobe修復。）

當我們私下披露此漏洞時，Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙；在我們徹底討論此漏洞前先讓我們討論一些背景資料。

Oracle提供Java網路啟動通訊協定（JNLP）技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中，攻擊者利用JNLP來部署applet。

要實現這做法，Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI（Java命名和目錄介面）。這種機制是Java遠端程序呼叫的基礎，稱為RMI（遠端方法調用）。JNDI有些基本概念和此攻擊有關，即：

Context – 一組名稱和物件的綁定。換言之，Context物件可以解析一個物件的名稱。這個物件有數種類型；RegistryContext是其中之一。
ContextFactory – context物件的工廠（factory），其為呼叫者建立Context物件。RegisterContextFactory是建立ContextFactory物件的工廠（factory）。

下圖顯示此攻擊是如何運作：

攻擊者需要完成三件事以進行攻擊：

攻擊者將圖2中的HTML碼加到一個惡意網站。
攻擊者建立具備公開IP地址的RMI註冊伺服器。
攻擊者建立另一個同樣具備公開IP地址Web伺服器來儲存惡意Java程式碼。

圖2.、HTML碼插入到一個惡意網站

下面是攻擊進行的過程：

在受害者的電腦上，瀏覽器程序產生（fork）出exe程序（Java客戶端的一部分）來請求惡意網站上的init.jnlp。這由圖2內的HTML碼所造成（Java網路啟動通訊協定用一個.jnlp檔案來透過Java Web Start技術來啟動Java程式碼。）

惡意網站傳回jnlp。讓我們來看看此檔案的內容：

繼續閱讀

俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會

2015 年 10 月 24 日2015 年 11 月 02 日趨勢科技 TrendMicro

馬來西亞航空MH17失事報告10月13日出爐，證實班機遭俄製飛彈擊落，隔天(10月14日)俄國駭客嘗試入侵荷蘭安全委員會電腦系統，嘗試取得敏感的最終失事報告。趨勢科技的研究發現應該是由 Pawn Storm 幕後集團針對DSB (Dutch Safety Board，亦稱 Onderzoeksraad) 所發動的攻擊。