分類: 重大資安事件

假Java零時差漏洞修補程式,真勒索軟體

Trend Labs 趨勢科技全球技術支援與研發中心

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者:確保從可靠的來源下載,不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞(CVE-2012-3174)的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而,趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11,這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案,其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe(這兩個檔案都被偵測為BKDR_ANDROM.NTW)。一旦執行,這個後門程式會連到遠端伺服器,讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

 

勒索軟體偽裝成Java零時差漏洞修補程式
勒索軟體偽裝成Java零時差漏洞修補程式

 

JAVA_DLOADER.NTW 會下載並執行Up1.exe(BKDR_ANDROM.NTW)和Up2.exe(TSPY_KEYLOG.NTW)。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV%User Temp%\{random file name}.exe。經過趨勢科技的分析,這個勒索軟體 Ransomware會鎖定使用者螢幕,並且嘗試連上特定網站以顯示警告訊息給使用者。

繼續閱讀

重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動

趨勢科技 TrendMicro

 
日前(2013 年1 月10 日),針對Java系統弱點的零時差攻擊(Zero-Day Exploit) 爆發。這起攻擊事件背後是由類似黑洞漏洞攻擊組織(Black Hole Exploit Kit, BHEK) 所發起,並藉此散播惡意勒索軟體 Ransomware—Reveton。(關於勒贖軟體相關介紹,請參考線 上小學堂。)

甲骨文官方已於2013 年1 月13 日發佈緊急更新Java 7 update 11。針對此次的零 時差攻擊,趨勢科技產品Deep Security與Intrusion Defense Firewall(IDF)漏洞規 則編號1005177 Restrict Java Bytecode File (Jar/Class) Download早就可為用戶提供完 善的防護;更在2013年1 月11 日釋出更新檔DSRU13-002 加強防範針對Java弱點 所有可能的攻擊。Deep Security也可透過以下的DPI規則防範網路攻擊:

規則編號

規則名稱

防範弱點編號

1004711

 Identified Malicious Java JAR Files

CVE-2013-0422

1005331

 Ruby On Rails XML Processor YAML Deserialization DoS

CVE-2013-0156

1005328

 Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability

CVE-2013-0156

此外,趨勢科技PC-cillin 2013雲端版、WFBS、OfficeScan 等產品病毒碼更新至版本9.649.00 以上,也能取得完整的安全防護,並可偵測以下相關惡意程式/網站:

惡意程式/網頁偵測名稱

偵測描述

JAVA_EXPLOIT.RG

惡意程式碼

HTML_EXPLOIT.RG

藏有惡意程式碼的網站

TROJ_REVETON.RG

惡意程式

TROJ_REVETON.RJ

惡意程式

此次更新也特別包含以下防護功能:

  • 防範針對Java弱點的攻擊;
  • 防範藏有惡意程式碼的網站;
  • 防範下載惡意程式(勒贖軟體)。

另外,Deep Discovery透過其規則編號616 TCP_REVETON_REQUEST也可偵測 TROJ_REVETON的網路流量。

針對Java弱點攻擊的動向,趨勢科技提醒您:

  • 所有電腦主機皆須更新Patch,愈快愈好;
  • 企業應與資安專家討論此攻擊對企業的衝擊與影響範圍,並評估遭受攻擊 的可能性語因應措施;
  • 企業可選擇弱點屏蔽(Vulnerability shielding)或虛擬補丁(Virtual patch) 等防護措施作為解決方案,如Trend Micro Deep Security 及Trend Micro Intrusion Defense Firewall。

針對RDP弱點攻擊的動向,趨勢科技提醒您:

  • 所有電腦主機皆須更新Patch,愈快愈好;
  • 一般預料此項弱點將成為網路蠕蟲攻擊目標,更甚者攻擊行為可能已開始進化,在弱點主機間蔓延(如同網路蠕蟲);
  • 企業應與資安專家討論此攻擊對企業的衝擊與影響範圍,並評估遭受大規模網路蠕蟲攻擊的可能性;
  • 企業可選擇弱點遮蔽(vulnerability shielding)或虛擬補丁等防護措施作為解決方案,如趨勢科技Deep Security和Trend Micro Intrusion Defense Firewall。

 

@延伸閱讀

如果必要的話,該如何使用Java?
後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器《Java 零時差漏洞攻擊》

關閉Java而非JavaScript(含停用 Java 指南)

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網
 

讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落

趨勢科技 TrendMicro

去年趨勢科技協助 FBI 破獲史上最大殭屍網路DNS Changer(域名系統綁架病毒)之後, FBI發現若是直接關掉駭客犯罪用伺服器,中毒的 50 多萬電腦將無法連上網路。因此美國政府設立了替代伺服器,讓尚未修復的電腦可以正常上網,。FBI原先預定在今年3月8日關閉替代伺服器,但美國聯邦法院要求繼續提供DNS服務,給感染電腦多一點緩衝時間處理,但礙於經費,FBI已決定美國時間7月9日關掉伺服器,屆時數十萬尚未清除病毒的中毒電腦就會連不上網路。

趨勢科技呼籲大家立即檢查是否感染DNS Changer,因為FBI即將於7月9日關閉服務遭感染電腦所使用的DNS伺服器,屆時未修復的設備將無法上網。至於為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?請<看這裡>

ROVE DIGITAL的起落

DNS Changer(域名系統綁架病毒)是由Rove Digital這個網路犯罪集團控制,Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

當某些網路犯罪份子只想賺快錢的時候,有些則有更長遠的目標。ROVE DIGITAL已經運作超過六年了。讓我們看看他們是怎麼開始,最後又怎麼結束的。

過去四年每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得
過去四年每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得

2002-2004 早期階段

ROVE DIGITAL的起落
ROVE DIGITAL的起落

惡意活動

出租伺服器給網路罪犯客戶,主要做為垃圾郵件僵屍網路的C&C伺服器,或是代管資料竊取木馬、釣魚網站和DNS Changer(域名系統綁架病毒)。

基礎架構

在紐約(PILOSOFT),洛杉磯(ATRIVO)和愛沙尼亞(ELION)的三個資料中心承租伺服器。

地理位置:愛沙尼亞        美國

業務模式:一開始是網域註冊商 繼續閱讀

新病毒警訊通知 – Flame火焰病毒

趨勢科技 TrendMicro

新病毒警訊通知火焰病毒

發布日期:2012/05/31(四)

趨勢科技於05/30發佈新病毒警訊通知:火焰病毒「Flame」。

趨勢科技SPN日前偵測到的Flame病毒名稱為TROJ_FLAMER.CFG與WORM_FLAMER.A。Flame病毒會盜取受害電腦上機密資訊或有高度價值的資訊,最早出現時間可追朔至2010年,和同年的Stuxnet系出同門,鎖定目標主要為伊朗及中東地區其他國家。。

Flame主要藉由行動儲存裝置散播,但也能自動感染同一個區域網路內的電腦。

Flame是組織駭客所設計的高度精密病毒,主要有下列行為:

  • 移除防毒軟體以癱瘓防毒能力
  • 在受感染電腦上自動幫螢幕截圖,以擷取重要資訊
  • 使用電腦的麥克風執行秘密錄音
  • 操作資料庫竊取資料
  • 記錄並回報其活動
  • 修改機碼使其在系統開機時能夠自動啟動

如需更詳細的技術細節,請參考病毒報告:
https://about-threats.trendmicro.com/Malware.aspx?language=us&name=TROJ_FLAMER.CFG
https://about-threats.trendmicro.com/Malware.aspx?language=us&name=WORM_FLAMER.A

免費下防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012即刻免費下載

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

趨勢科技 TrendMicro

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

作者:趨勢科技資深分析師Rik Ferguson

 

 經過允許使用bixentro的Flickr相片

 

提交給法院長達162頁的文件裡,微軟和金融服務與資訊服務分析中心(FS-ISAC) – 一個代表4400個金融機構的經貿團體,還有NACHA – 電子付款協會一起控告了ZeuS、SpyEye和Ice IX殭屍網路/傀儡網路 Botnet背後的犯罪份子。

 

ZeuS、Ice-IX和SpyEye程式在網路犯罪史上有著漫長而惡名昭著的一席之地,ZeuS從2006年開始出現(2007年被告到法院),它要為數百個殭屍網路/傀儡網路 Botnet以及從消費者和企業的銀行帳戶中被竊取的數百萬英鎊負責。SpyEye原本是ZeuS的競爭對手,甚至當它發現目標電腦上有ZeuS存在,還會去移除它。但最近這兩個程式碼已經被合併成一個單一犯罪軟體了。

  繼續閱讀