重大資安事件 - 資安趨勢部落格

< 索尼影視（Sony Pictures）攻擊事件 > 深入分析美國 FBI 所提供之「破壞性」惡意軟體樣本

2014 年 12 月 10 日2014 年 12 月 16 日趨勢科技 TrendMicro

趨勢科技 T rendLabs 最近取得美國聯邦調查局（FBI）在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導，在最近的索尼影視（Sony Pictures）攻擊事件後，美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時，索尼影視（Sony Pictures）入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。

美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為，據報其有能力去覆蓋電腦硬碟的所有資料（包括開機磁區），這會讓電腦無法開機。

下面是趨勢科技的調查分析結果：

BKDR_WIPALL惡意軟體分析

我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。

這裡的主要程式為diskpartmg16.exe（檢測為BKDR_WIPALL.A）。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼，如下圖所示：

圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼

這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密，然後用來登入共享網路。一旦登入，惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。

圖2、惡意軟體登入到網路的程式碼片段 繼續閱讀

索尼影視（Sony Pictures）企業網路遭受重大攻擊：為何你需要領先APT 目標攻擊一步

2014 年 12 月 04 日2014 年 12 月 16 日趨勢科技 TrendMicro

處理攻擊、入侵和資料竊取問題是目前許多組織要面對的工作之一。這類威脅就像是組織固定會面對的問題，而不正確防禦策略所帶來的後果將會很快地顯現出來。

索尼影視（Sony Pictures）最近的攻擊事件突顯出這個問題。在11月下旬，該公司企業網路被自稱為和平守護者（#GoP）的團體所入侵。一張首先發表在Reddit的圖檔表示此圖被秀在每一位員工的電腦上，帶來駭客們的訊息，要求他們的「需求需要得到滿足」。

駭客聲稱他們擁有數個包含機密員工資料的ZIP檔案，包括姓名、個人檔案、薪資和生日。其他據稱被竊的資料是主演索尼影視（Sony Pictures）電影明星的個人資料。

五部尚未發表的完整長度影片也被洩露到各個檔案分享網站。

索尼影視（Sony Pictures）對此事件的反應也值得強調。對於這類高層級攻擊的典型反應是要讓組織可以適當地調查現有攻擊並將對組織的日常運作影響減至最低。然而，現有關於此次攻擊的報告顯示他們的反應是禁用整個企業網路。不僅嚴重地影響日常營運，也讓調查任何攻擊變得更加困難。

一般來說，攻擊企業網路被認為是對竊取金錢或資訊有興趣。這次攻擊提醒了IT管理員某些攻擊主要是被設計來破壞目標組織的運作 – 實際上，就是駭客主義的呈現。組織必須考慮到這一點並相對應地來保護自己的網路。

＠原文出處：Sony Pictures Corporate Network Hit by Major Attack: Why You Need to Stay Ahead of Targeted Attacks

對索尼被攻擊事件的報導隨著我們看到更多發展而繼續下去。這裡是跟此事件有關的文章列表：

分析美國聯邦調查局警訊背後的破壞性惡意軟體 – 分析美國聯邦調查局（FBI）關於警告美國企業的報告中所提到的「破壞性」惡意軟體
索尼影視（Sony Pictures）被駭：我們知道什麼和你該知道什麼 –索尼影視（Sony Pictures）受駭時間表
< 索尼影業被駭事件 > GOP 駭客組織給Sony Pictures員工的警告與 WIPALL 惡意軟體變種分析

Shellshock 新式攻擊針對SMTP伺服器，台灣為存取惡意網站最多的國家

2014 年 11 月 06 日2014 年 11 月 04 日趨勢科技 TrendMicro

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功，就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己，這很有可能是潛伏在雷達之下而不被偵測的方法。

下圖描述了攻擊的週期。

圖一、SMTP攻擊圖解

攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時，內嵌的Shellshock惡意程式碼就會被執行，然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動，如發動垃圾郵件攻擊活動。

可能有漏洞的郵件伺服器

趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。

qmail郵件傳輸代理程式（MTA）

.qmail是控制電子郵件傳輸的UNIX設定檔，也負責去執行Bash shell指令。可以設定它去啟動程式，一旦它呼叫了Bash，攻擊就算成功了。（這攻擊需要qmail MTA上有效收件者具備.qmail檔，而且.qmail檔包含任意派遞程式）。

第四版前的exim MTA

從第四版的exim開始，pipe_transport不會呼叫Shell來擴展變數和組合指令。

使用procmail的Postfix：Postfix MTA會調用procmail，一個郵件傳遞代理程式（MDA）。MDA被用來排序和過濾寄入的郵件。

Postfix沒有明顯的Shellshock漏洞。然而procmail（一種郵件傳遞代理程式）本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式，導致了可被攻擊的Shellshock漏洞。

注：Debian/Ubuntu的Postfix預設將procmail設在main.cf的mailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。

攻擊分析

根據趨勢科技的分析，如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行，攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式：

hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案，只是名稱不同。

圖2、「JST Perl IrcBot」下載的程式原始碼

「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制（C&C）IRC伺服器。殭屍程式會執行以下行為，危害受影響系統的安全：

從網址下載檔案
發送郵件
掃描端口
執行分散式拒斷服務（DDoS）攻擊
執行Unix指令

這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。

圖3、存取惡意軟體網站最多的國家

繼續閱讀

Shellshock /Bash 漏洞有多糟糕？

2014 年 09 月 29 日2014 年 09 月 30 日趨勢科技 TrendMicro

Bash漏洞（又被稱為Shellshock）剛被報導沒多久，趨勢科技就已經看到一些攻擊用它來植入DDoS惡意軟體到Linux系統上。然而，鑒於此漏洞的嚴重性，我們幾乎可以肯定還會看到更大、更嚴重的攻擊出現。我們可能看到的情景有哪些呢？

伺服器

目前網頁服務器遭受漏洞攻擊的風險最高。現在CGI腳本是最可靠也最被詳盡說明的漏洞攻擊方式。如同我們早前文章所提到，趨勢科技已經看到此類攻擊出現在現實世界中。我們預期之後將會看到更多相關攻擊。

網頁伺服器被入侵對於組織的危害有可能會很嚴重。淪陷的伺服器可以變成攻擊者進入組織網路的進入點。攻擊者可以選擇在受影響伺服器上執行任何指令。Shellshock加上一些其他的提權漏洞就可以完全掌控受影響的伺服器。

然而，網頁伺服器並非唯一的高風險應用程式。SSH也可能會受到Shellshock影響。在這時候，任何使用Bash的Unix/Linux伺服器都處在危險之中。這些系統大多數都是預設使用Bash，只有一些例外。比方說FreeBSD的預設shell是tcsh。這Bash的替代品不被認為有此弱點。

端點

Shellshock對最終使用者來說可能不會有什麼危險。Windows系統不會受到Shellshock影響，因此這些系統的使用者不會直接受到此問題危害。

目前的數據顯示約有10%的個人電腦使用某種形式的Linux或Max OS X。這些作業系統可能有Shellshock的漏洞，雖然對此進行漏洞攻擊有些困難。端點系統通常不會運行可以讓攻擊者輕易存取到的網路服務（如HTTP伺服器），所以減低了風險。Mac應用程式並不像Unix/Linux應用程式那樣依賴shell腳本。不過因為SSH看來提供了遠端存取到Bash的可能管道，也讓它成為可能的感染載體。

對於最終使用者來說，最大的隱憂可能是透過運行在受影響路由器或網路熱點上的惡意DHCP伺服器。DHCP客戶端使用bash來配置系統設定；連到惡意DHCP伺服器的客戶端可能會在他們的系統上執行惡意指令。這在惡意的開放無線網路上特別容易做到。我們建議使用者連到無線網路時要多加小心，不過這也是一直以來最佳實作的一部分。（Mac OS X使用自己的DHCP客戶端，所以不受此漏洞影響。）

對於行動裝置來說，Android設備並不使用Bash shell，因此也不受此威脅影響。iOS設備也不會。不過越獄的iOS設備包括了一份Bash副本，這些設備就處在危險之中。同樣地，root過或修改過的設備會執行變種的 *nix系統（因此有用Bash）就可能會受到影響。

嵌入式設備/萬物聯網（IoE ,Internet of Everything）

許多組成物聯網的嵌入式設備都建立在嵌入式版本的Linux上，增加了它們可能會受攻擊的風險。這可能會讓設備上的資料被竊，以及讓設備本身成為「Botnet傀儡殭屍網路」的一部份，用到各種惡意活動上。

不過並非所有此類設備都使用Bash。許多此類設備使用的是BusyBox，其中並不含Bash。這些設備也不會受此漏洞影響。

診斷和修補受 Shellshock 影響的物聯網設備有極大的難度。可以用來檢查系統是否有此漏洞的標準測試也很難在嵌入式設備上執行。同樣地，許多物聯網廠商提供安全修補程式的記錄也不是很理想。這部分可能會對想要消除Shellshock危害的長遠目標造成重大問題。

現在最該擔心的是IT管理員, 趨勢科技提供免費工具給 IT管理員

在眼下，IT管理員對於面對網路提供服務的伺服器進行維護是處理此攻擊最該關心的事。正如我們在之前的部落格文章中提到，大多數廠商現在都已經提供修補程式來關閉此安全性漏洞。繼續閱讀

ShellShock (即 Bash 漏洞) 威脅全球近五億連網裝置 ,趨勢科技提供免費工具

2014 年 09 月 29 日2014 年 09 月 29 日趨勢科技 TrendMicro

【2014 年 9 月 29日台北訊】隨著 Shellshock (即 Bash 漏洞) 的安全疑慮逐漸攀升，全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 率先提供一系列免費工具來讓大眾掃瞄自己的 OSX 和 Linux 伺服器以保護伺服器與網站使用者的安全。此漏洞很可能對全球近五億台的網站伺服器以及手機、路由器和醫療裝置等各種連上網際網路的裝置造成威脅。

趨勢科技執行長陳怡樺表示：「此問題的嚴重性很可能迅速攀升，因此我們立即採取了預防性措施來防止這個前所未有的漏洞，保障大眾安全。我們相信，對科技使用者來說，最有效的作法是謹慎面對，並且利用趨勢科技和其他廠商所提供的資源來建立一道堅固的防線。我們也希望能藉由提供免費工具給客戶及社會大眾來防範這波疫情爆發。」

本週媒體大量報導的 Shellshock (即 Bash 漏洞) 是一個可讓歹徒從遠端執行 Linux 指令的漏洞，其影響遍及全球絕大多數的網站伺服器，還有連上網際網路的 Mac OSX 平台裝置。我們提供的免費工具 BashLite Malware Scanner 即可檢查您的 Linux 系統上是否含有 BashLite 惡意程式。

趨勢科技技術長 Raimund Genes 指出：「Shellshock 很可能比今年稍早的 Heartbleed心淌血漏洞散布得更廣，它不僅與 Heartbleed 的性質和行為截然不同，而且威脅更為嚴重。」繼續閱讀