重大資安事件 - 資安趨勢部落格

歷年十大資料外洩事件

2019 年 03 月 19 日2019 年 03 月 08 日趨勢科技 TrendMicro

儘管人們對資料外洩事件的新聞似乎已逐漸感到麻痺，但隨著更嚴格的資料保護法規上路，保護使用者資料安全反而更加重要。現在，企業發生資料外洩不但必須通報，而且若企業會經手歐盟人民的資料，將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。

光是今年就有不少知名品牌發生資料外洩，如：Macy’s、 Bloomingdale’s 以及 Reddit。其實，資料外洩對社會大眾而言，是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流，而且受影響的不光只有遭到入侵的企業而已，甚至包括每一個資料遭到外洩的個人。

何謂資料外洩事件？

所謂資料外洩事件，是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案，或者從遠端突破企業的網路安全防禦，進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者，一般來說，資料外洩事件的攻擊過程如下：

研究：駭客會先研究目標企業的人員、系統或網路是否存在任何資安缺口。
攻擊：駭客接著利用網路或社交工程攻擊的方式試圖突破缺口。
網路攻擊/社交工程攻擊：所謂的網路攻擊是指駭客利用電腦基礎架構、系統與應用程式的弱點來滲透企業網路。社交工程攻擊是指誘騙企業的員工，讓員工在不知情的狀況下引兵入關，讓駭客進入企業網路。例如，員工可能被騙提供了自己的帳號密碼，或者開啟了某個惡意附件檔案使得電腦感染遭到感染。
資料外傳：駭客一旦進入企業的電腦，就能在內部網路進一步遊走，進而找出企業機密資料所在。當駭客成功取得資料並且將資料外傳之後，攻擊就算完成。

十大資料外洩事件有哪些？

下表是截至目前為止所知的十大資料外洩事件：

繼續閱讀

駭客攻擊金融機構的手法和技巧(含歷年重大攻擊事件表)

2019 年 03 月 11 日2019 年 03 月 14 日趨勢科技 TrendMicro

1,000 至 3,000 億美元：這就是金融機構遭到網路攻擊可能帶來的鉅額損失。儘管金額相當嚇人，但卻一點也不令人意外。因為過去三年之間，就有多家銀行因為 SWIFT (環球銀行金融電信協會) 基礎架構遭駭客入侵而損失共 8,700 萬美元。然而這只是冰山一角：某網路犯罪集團在其首腦於 2018 年被捕之前，已從 40 個國家 100 多家金融機構累積盜取了 12 億美元。

網路駭客不但有能力駭入金融機構的營業系統，更有能力駭入其底層基礎架構。這樣的情況近兩年來屢見不鮮，而且攻擊越來越難纏、精密、且影響深遠。歹徒專門尋找唾手可得的目標，因為先前爆發的一些知名攻擊事件已使得消費者的意識提升，對資料外洩更加敏感，亦不斷提升安全來保護自己的敏感資料。

趨勢科技對網路犯罪地下市場的長期觀察，讓我們能清楚掌握多年來駭客攻擊的手法和技巧如何演進，他們專門利用哪些資安盲點，對真實世界帶來什麼衝擊，以及使用者和企業機構如何加以防範。

金融機構重大網路攻擊事件時間表

繼續閱讀

Mirai 變種 Miori 再進化：IoT殭屍網路透過ThinkPHP遠端程式碼執行漏洞散播

2019 年 01 月 01 日2018 年 12 月 31 日趨勢科技 TrendMicro

對許多的物聯網（IoT ,Internet of Thing ）使用者來說，針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體，一直被用在許多的攻擊活動中，會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後，出現了各種不同的Mirai變種和衍生病毒。

我們分析了一個稱為「Miori」的Mirai變種，它會透過PHP框架（ThinkPHP）的遠端程式碼執行（RCE）漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是，我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。

除了Miori，有幾隻已知Mirai變種（如IZ1H9和APEP）也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器，就會將其變成殭屍網路的一部分，用來進行分散式阻斷服務（DDoS）攻擊。

檢視Mirai變種 – Miori

Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體：

圖1.、RCE下載並執行Miori惡意軟體

繼續閱讀

利用 CPU 效能計數器來偵測 Meltdown 和 Spectre 漏洞攻擊

2018 年 03 月 17 日2018 年 03 月 19 日趨勢科技 TrendMicro

針對知名漏洞 Meltdown 和 Spectre 的攻擊目前或許仍在概念驗證 (PoC) 階段，或者如某些報導所說，仍在實驗性階段。不過，歹徒總有一天會完全掌握這些漏洞，只是時間早晚的問題。Meltdown 和 Spectre 漏洞的影響非常深遠，它最早可追溯至 1995 年所生產的電腦。此問題對企業來說尤其棘手，特別是受到歐盟通用資料保護法 (GDPR) 所規範的企業。

企業除了修補和更新系統之外，還有一點也很重要，那就是採取主動策略來搜尋、偵測、回應威脅，尤其像 Meltdown 和 Spectre 這類影響深遠的威脅。

針對 Meltdown 和 Spectre 漏洞攻擊，趨勢科技研究了一種利用 Intel 處理器內建效能計數器 (Performance Counter) 的特殊偵測技巧。這些計數器會記錄快取失誤的次數 (也就是應用程式所要求的資料不在快取記憶體當中的情況)，這些數據可用來偵測 Meltdown 和 Spectre 漏洞攻擊。

由於這兩個漏洞都是利用今日 CPU 在設計上會為了提高效率而預先載入並執行一些指令以免 CPU 陷入無事可做的狀態。

這篇文章的目的，是希望系統管理和資安人員除了妥善訂定修補政策之外，還有另一種防範之道，尤其是那些因可能影響穩定性或效能而無法套用修補更新的系統。

請注意，MeltdownPrime 和 SpectrePrime 也可以利用偵測快取旁道攻擊 (cache-side channel attack) 的方式來加以偵測。儘管參數有些不同，但此方法可偵測 Flush + Reload 以及 Prime 和 Probe 方式的攻擊。只是，此方法雖已在 Linux 系統實驗成功，但尚未在 Mac 系統上測試過。

Spectre SGX (SgxPectre) 的目的是用來洩漏記憶體安全區域 (secure enclave) 內的資料。根據 Intel 的 SGX 程式設計手冊的說法，效能計數器在 SGX 安全區域內可能會被停用。不過，由於快取時間差攻擊是在 SGX 安全區域之外的非信任程式碼中執行，因此效能計數器仍會有關於快取命中 (Hit) 和失誤 (Miss) 的數據，所以應該還是有辦法偵測。關於這點，我們並未完整測試，因此無法百分之百確認。至於參數 (也就是取樣率、門檻等等) 則應視環境而有所差異。

Meltdown 和 Spectre 如何利用處理器預測執行的特性?
Meltdown 漏洞是利用 CPU 在預測執行時會無視權限規定，將原本沒有權限存取的記憶體資料載入快取當中，使得歹徒能夠利用快取旁道攻擊的方式取得這些資料。接著 CPU 才會發現使用者沒有適當權限，進而將運算結果拋棄。但此時已經載入的資料還是會留在末階快取 (Last-Level Cache，簡稱 LLC) 當中，所以才會讓駭客有機會取得這些資料。繼續閱讀

Cloudflare和 Github 成為新DDoS 放大攻擊受害者攻擊規模為Mirai攻擊兩倍

2018 年 03 月 04 日2018 年 03 月 06 日趨勢科技 TrendMicro

在過去幾天出現了一種新的分散式阻斷服務（DDoS）放大攻擊，而且它有潛力造成比過去都更嚴重的DDoS攻擊。雖然大多數人想到DDoS所用的網路協定時會想到DNS、UpNP/SDP和NTP，但 mecache所造成的攻擊跟利用這些協定一樣有效。Memcache是一種可以從伺服器快速儲存和檢索資料的協定，而不會造成後端資料庫沈重的負擔。不幸的是，最近它也成為了DDoS攻擊一種有效的放大和反射來源。

Cloudflare和Github在過去幾天成為了這種新DDoS 放大攻擊的第一波受害者。在Github的例子中，來自Akamai的網路遙測資料顯示至少有一波攻擊造成1.35Tbps以上的網路流量送入其伺服器：

圖1：來自 https://githubengineering.com/DDoS-incident-report/

請記住，其中有些流量本身不是攻擊流量，而是正常網路活動（嘗試進行handshake之類），但最終還是造成了巨大的衝擊。根據Akamai SIRT的說法，這次攻擊的規模是2016年9月Mirai攻擊的兩倍。

使用memcached其實很簡單。你發送一個key，它會將與該key相關的資料送回給你。另外一個好處是可以根據需要將多筆查詢放入一個請求中。

圖2：建立一個memcache攻擊

在目前的攻擊中，攻擊者對Memcache服務發出GETS請求，以取得現有key可以得到的所有資料（圖2中的步驟3和4）；但在許多情況下，memcache伺服器並不受保護，並且還允許SET指令（也就是將資料加入memcache伺服器）。惡意份子可以用它來將一個key設定成可允許的最大資料blob，然後對該key執行GETS查詢（圖2中的步驟1-4），來最大化針對受害者的反射攻擊。

雖然memcache可以以TCP（原生）和UDP安裝，但這些攻擊主要出現在UDP端口11211，因為UDP協定比較容易欺騙來源地址，更容易進行反射式DDoS攻擊。

根據Shodan的資料，全球有120,458個（撰寫本文時）memcache伺服器，只有不到1萬台伺服器使用UDP。更有意思的是，其中幾乎有三分之一都被用在攻擊中。繼續閱讀