Linux Mint網站遭駭;光碟下載檔被換成後門程式

在2月20日下載Linux Mint的使用者可能有危險了,來自保加利亞首都索非亞的駭客駭入了Linux Mint(目前最受歡迎的Linux發行版本之一)。根據Linux Mint的報告,駭客變更該網站的下載連結來欺騙使用者下載具有後門程式的Linux Mint光碟映像檔。該連結指向他們自己用來提供Linux Mint 17.3 Cinnamon惡意光碟映像檔的伺服器。該網站自2月21日星期天就已經關閉,危害了數千次的下載。

 

發生了什麼事?

在2月21日,Linux Mint專案負責人 – Clement Lefebvre在部落格上公告:「駭客製作了一個帶有後門程式的Linux Mint光碟映像檔,並且想辦法攻破我們的網站來指向它。」Lefebvre強調只有在2月20日下載的版本有問題,該網站隨後就離線以防止更多人下載並且修正問題。如同Linux Mint的部落格所言,駭客透過該團隊的WordPress部落格來進入底層伺服器。接著駭客修改下載網頁,將其指到放有竄改過Linux Mint版本的惡意FTP伺服器。此版本包含了作為後門程式的惡意軟體。

一旦被啟動,就會偷偷地連到一個網路聊天室(IRC)伺服器來等待接收指令,可能會用來發動滴滴DDoS攻擊。該惡意軟體還可以從受害電腦上移除自己來消除存在過的痕跡。

 

誰受到影響?

根據2月21日的Linux Mint部落格,來自有問題連結的Linux Mint 17.3 Cinnamon是唯一被發現有問題的版本。下載其他版本的使用者應該不會受到影響。從其他來源下載(像使用torrent或是直接透過HTTP下載)可能也不會受到影響。

駭客攻擊的幕後黑手是誰及有何動機?

根據Lefebvre所說,後門程式及有問題的光碟映像檔追查到保加利亞首都索非亞以及該地其他三個人的名字。然而直到最近,還不清楚他們的動機為何。根據其他報導,一個稱為Peace的駭客組織透露他們已經在1月28日和2月18日兩次盜取了該網站論壇的完整資料。此外,駭客所取得資料的部分包括電子郵件地址、個人資料照片和加密過的密碼。

特別的是,後來發現駭客已經將「完整論壇資料」放到深層網路的交易市場上,每次下載價格是0.197比特幣(約85美元)。

受影響使用者可以怎麼辦?

如果你認為自己下載了有問題檔案,底下是你可以做的事:

  • 將受影響的系統下線
  • 使用乾淨的安裝程式重新安裝作業系統
  • 銷毀所有的惡意光碟映像檔

 

@原文出處:Linux Mint Website Hacked; ISO Downloads Replaced with a Backdoor

 

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

★針對企業用戶,趨勢科技端點解決方案亦可以偵測勒索軟體


 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光

Hacking Team 資料外洩事件前一個曝光的零時差漏洞 (CVE-2015-5119) 熱潮還未消退,另一個同樣危險的 Adobe Flash Player 漏洞 (CVE-2015-5122) 就浮上檯面。此漏洞一旦遭到攻擊,可能導致系統當機,並讓駭客取得系統控制權。此外,與CVE-2015-5119 相同的是,所有 Windows、Mac 及 Linux 最新版的 Flash (18.0.0.203) 都含有此漏洞。

alert 病毒警訊

這是一個新的漏洞,並未包含在先前我們未修補的 Flash Player 漏洞以及其他 Hacking Team 資料外洩事件當中發現的概念驗證攻擊 一文所討論的兩個 Flash 漏洞和 Windows 核心漏洞當中。

好消息是:此漏洞目前還在概念驗證階段,所以我們還在觀察是否有任何攻擊已運用該漏洞。壞消息是:該漏洞目前尚無修補程式,不過我們在確認此漏洞的真實性之後便立即通報了 Adobe (台北時間 7 月 11 日上午10:30),因此相信很外就會有修補程式。Adobe也在台北時間當天上午11:40針對此漏洞發布了安全公告

這漏洞到底如何運作?

經過仔細分析,我們發現這是一個利用  TextBlock.createTextLine() 和 TextBlock.recreateTextLine(textLine) 兩個函式來製造使用已釋放物件情況的漏洞。

觸發此漏洞的程式碼為:my_textLine.opaqueBackground = MyClass_object。實際情況是:MyClass.prototype.valueOf 被覆寫,因此使得 valueOf 函式會呼叫 TextBlock.recreateTextLine(my_textLine)。然後 my_textLine 在釋放之後又被用到。

由於我們是在x86環境上利用偵錯 (debugging) 來追蹤這個漏洞,因此觸發漏洞的是 MyClass32 這個類別。漏洞攻擊函式本身則為 MyClass32 的 TryExpl。

以下說明漏洞攻擊的步驟:

  1. 我們有一個新的 Array 物件,名為 _ar,設定 _ar 的長度為 _arLen = 126。使用 Vector.<uint> 來設定 _ar[0…29] 的數值,Vector 長度為 0x62。使用 Vector.<uint> 來設定 _ar[46…125] 的數值,Vector 長度為 0x8。將 _ar[30….45] 的數值設為 textLine,使用 _tb.createTextLine() 來產生 textLine,並將 textLine.opaqueBackground 設為 1。

Continue reading “Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光”

當心勒索軟體利用Hacking Team 外洩的 Adobe Flash漏洞發動攻擊

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊,總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中,包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密(WikiLeaks)公布了Hacking Team內部超過100萬筆電子郵件,並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在過去幾天裡,備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式,此事件導致其資料被公開的事件已經有了許多的討論。而人們最需要知道的事情是此次攻擊讓另一個新的Adobe Flash漏洞被公諸於世(CVE-2015-5119)。

趨勢科技的研究人員已經發現有攻擊者將這新的漏洞加進漏洞攻擊包以做為攻擊的武器。最嚴重的風險是這種攻擊可能會被用來感染第三方廣告伺服器,與我們在2015年第一季所看到的趨勢相符合。

這個漏洞影響所及遍布所有版本的Adobe Flash。Adobe Flash遭到入侵後可能會當掉,駭客也可能取得受害系統的控制權。Adobe已經發布了一則安全公告並建議用戶儘速套用安全性更新。

談到針對此漏洞的攻,趨勢科技根據主動式雲端截毒技術的資料獲知,Angler攻擊套件與Nuclear攻擊套件皆已可攻擊此漏洞;此外,據信Neutrino攻擊套件也具備同樣能力。

最近對台灣造成重大影響的勒索軟體 Ransomware也可能透過此漏洞進行攻擊,並針對重要檔案進行加密。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵,利用此漏洞植入後門程式,趨勢科技用戶只要啟用網頁信譽評等服務,即可攔截這些受駭網站。

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助,請您聯絡趨勢科技技術支援部。

駭客 hacked

趨勢科技的客戶有三種方法來防護這種威脅

Adobe已經提供一個更新以解決此漏洞,所以任何使用Flash的人都該立刻升級。 Continue reading “當心勒索軟體利用Hacking Team 外洩的 Adobe Flash漏洞發動攻擊”

Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊,總量近400GB的公司內部文件與資料被公開。趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具,目前發現的3款攻擊程式中,有兩款鎖定Flash Player的安全漏洞,一款鎖定Windows核心漏洞。(詳情)

趨勢科技主動式雲端截毒服務  Smart Protection Network回報的資料中發現,Angler 和 Nuclear 兩個漏洞攻擊套件已經收錄了最近 Hacking Team 資料外洩當中的 Flash 零時差漏洞攻擊。不僅如此,Kafeine 網站也指出,這項零時差攻擊也已收錄到 Neutrino 漏洞攻擊套件當中。

hacker 駭客

此漏洞的存在因為 Hacking Team 的資料外洩而曝光,而 Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中,編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。

所有 Flash Player 使用者皆應立即下載最新修正程式,否則將有危險。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高,而這樣的趨勢似乎沒有轉變的跡象。

圖 1:Angler 漏洞攻擊套件的 HTTP GET 標頭

Continue reading “Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!”

備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊,總量近400GB的公司內部文件與資料被公開。曾表示不跟極權國家做生意,以販售號稱合法攔截通訊工具給政府和執法機構的義大利公司Hacking Team, 始終沒有正式公布與他們合作單位的名單,在此次洩露的文件中,包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據International Business Time報導,使用其提供的程式的國家包含:
埃及、依索比亞、摩洛哥、奈及利亞、蘇丹、智利、哥倫比亞、厄瓜多、洪都拉斯、墨西哥、巴拿馬、美國、亞塞拜然、哈薩克斯坦、馬來西亞、蒙古、新加坡、韓國、泰國、烏茲別克斯坦、越南、澳大利亞、賽普勒斯、捷克、德國、匈牙利、義大利、盧森堡、波蘭、俄羅斯、西班牙、瑞士、巴林、阿曼、沙烏地阿拉伯、阿拉伯聯合大公國。

alert 病毒警訊

趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具,目前發現的3款攻擊程式中,有兩款鎖定Flash Player的安全漏洞,一款鎖定Windows核心漏洞,且當中只有一個Flash漏洞曾被揭露。

另一款Flash零時差漏洞被Hacking Team描述為「最近4年來最完美的Flash漏洞」。在文件中發現了針對此一漏洞概念性驗證攻擊程式,它會影響各大瀏覽器及Flash Player 9以後的版本,包含最新的Adobe Flash 18.0.0.194在內。

事實上這個Flash漏洞,先前已經有幾個漏洞使用這種 valueOf 伎倆,包括被用在 Pwn2Own 2015的 CVE-2015-0349。

 

圖1、Hacking Team對漏洞的描述

 

Adobe Flash Player漏洞資訊

外洩的資料中包含一個可以啟動Windows計算機的Flash零時差概念證明碼(POC)以及一個帶有真正攻擊shellcode的正式版本。

在POC中有一個說明文件詳述了這個零時差漏洞(如下圖所示)。它指出該漏洞可以影響Adobe Flash Player 9及更新的版本,而且桌面/Metro版本的IE、Chrome、Firefox和Safari都會受到影響。外部報告指出最新版本的Adobe Flash(版本18.0.0.194)也受到影響。

圖2、Hacking Team對漏洞的描述

Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中,編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。

所有 Flash Player 使用者皆應立即下載最新修正程式,否則將有危險。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高,而這樣的趨勢似乎沒有轉變的跡象。

根本原因分析

說明文件還介紹了該漏洞的根本原因。這是一個ByteArray類別的Use-After-Free(UAF)漏洞:

  • 當你有一個ByteArray物件ba,並將其給值ba[0]=Object,它會呼叫此物件的valueOf函數
  • valueOf函數可以被覆寫,所以能夠變更物件valueOf函數中的ba
  • 如果你重新分配valueOf函數內的ba記憶體,就會導致UAF,因為ba[0]=Object會儲存原本的記憶體,並且在valueOf函數被呼叫後使用。

Continue reading “備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式”

上週到過成田機場官網民眾,請即刻掃毒!

小心!知名公共場所成網路犯罪新歡

趨勢科技提醒,知名公共場所已成為網路犯罪者新歡!日本成田機場官方網站近期遭到入侵,民眾只要進入成田機場官網,即會自動導向至惡意網站造成病毒感染,趨勢科技資安專家呼籲上網搜尋旅遊資訊時,務必透過資訊安全軟體/防毒軟體來防護電腦及智慧型手機資料,才能玩得開心又安心!

日本當地時間3月3日凌晨至3月5日上午一點,駭客攻擊成田機場官網CMS(內容管理系統),使用者點選進入網頁後看似正常,但其實會被連接到其他惡意網站。成田機場在事件發生後已關閉網站修復,並發出官方呼籲建議曾於攻擊期間進入網站的用戶,將防毒軟體更新到最新版本並儘快掃毒。目前尚未發現有用戶的個資在這次事件中洩漏
日本當地時間3月3日凌晨至3月5日上午一點,駭客攻擊成田機場官網CMS(內容管理系統),並發出官方呼籲建議曾於攻擊期間進入網站的用戶,將防毒軟體更新到最新版本並儘快掃毒。

此波攻擊發生於日本當地時間3月3日凌晨至3月5日上午一點,駭客攻擊成田機場官網CMS(內容管理系統),使用者點選進入網頁後看似正常,但其實會被連接到其他惡意網站。成田機場在事件發生後已關閉網站修復,並發出官方呼籲建議曾於攻擊期間進入網站的用戶,將防毒軟體更新到最新版本並儘快掃毒。目前尚未發現有用戶的個資在這次事件中洩漏。

成田機場官網遭入侵說明
成田機場官方網站張貼網頁被惡意修改的致歉及恢復通知

 

趨勢科技資深技術顧問簡勝財呼籲:「公共場所的資安問題層出不窮,隨著民眾數位裝置的多元情況益加嚴重!近期適逢國人旅遊旺季,知名機場、大型旅館、著名景點等公共場所相關網站正是使用者閱覽的高峰,為了保障自身的個資安全,建議消費者透過資安防護軟體如趨勢科技『PC-cillin 2015雲端版』之封鎖惡意網頁功能避免誤點惡意連結;或下載免費「安全達人」App全面提升行動裝置瀏覽安全。」

1200x1200

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

 

 

◎ 歡迎加入趨勢科技社群網站