Hacking Team 資料外洩 - 資安趨勢部落格

Hacking Team 資料外洩曝光的漏洞攻擊,仍影響 Android 用戶

2016 年 06 月 06 日2016 年 06 月 03 日趨勢科技 TrendMicro

專門提供駭客服務的Hacking Team自己也被駭了! 這是 2015 年備受矚目的資安事件。雖然，Hacking Team 資料外洩事件已經是好幾個月前的事了，但因漏洞攻擊程式碼的曝光而引發一連串的攻擊，至今仍持續影響著我們。

最近，趨勢科技發現了一批 Android 惡意程式很顯然是採用了 Hacking Team 事件當中的某項漏洞攻擊程式碼。這批在網路上發現的惡意應用程式一旦得逞，就能讓遠端駭客取得感染裝置的系統管理員 (root) 權限，所有 Android 4.4 (KitKat) 以及更早版本的行動裝置 (占了將近所有 Android 裝置的 57%)都受到此漏洞的影響。

攻擊細節

根據趨勢科技的分析，這批惡意應用程式含有一段稱為「reed」的漏洞攻擊程式碼，也就是 Hacking Team 的 kernel_waiter_exploit 漏洞攻擊程式碼，這段程式可藉由 TowelRoot 漏洞 (CVE-2014-3153) 在裝置上植入一個後門程式，TowelRoot 是 Linux 系統在 2014 年就已修補的一個舊漏洞。

有了這個後門程式，駭客就能到幕後操縱 (C&C) 伺服器 (hxxps://remote.ibtubt.com/phone/ )下載最新的惡意程式到裝置上，並以系統管理員權限執行程式。

圖 1：Hacking Team 事件所外洩的漏洞攻擊程式碼。

駭客將這段漏洞攻擊程式碼暗藏在多款遊戲和 Launcher (啟動器) 應用程式當中，並透過下列網站散布：hxxp://risechen.b0.upaiyun.com，例如：Maria’s Coffie Shop、酷酷斗地主、iLauncher、One Launcher 以及 Launcher IP Style 6s 等等。我們發現至少有 88 個應用程式含有這段漏洞攻擊程式碼，但目前我們尚未見到其任何一個惡意程式在第三方應用程式商店上架。

圖 2：含有漏洞攻擊程式碼的惡意遊戲範例。 繼續閱讀

2015年十大資安關鍵字

2015 年 12 月 17 日2016 年 03 月 28 日趨勢科技 TrendMicro

本部落格從 2015年熱門資安新聞相關的十大資安關鍵字,回顧即將過去的這一年發生的資安大事件:

CryptoLocker (加密勒索軟體)

有史上最狠毒勒索軟體 Ransomware (勒索病毒/綁架病毒)之稱,2014年開始入侵臺灣，2015年災情持續蔓延。
前一陣子有位台北市某公司會計人員,誤點免費中獎iPhone 6S的釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選，「勒索軟體肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索軟體)奪魁,得票數占42.11%。

【相關新聞】
CryptoLocker勒索軟體肆虐可能助長網路銀行惡意程式
 透過可移除媒體散播的新CryptoLocker 勒索軟體
 勒索軟體CryptoLocker,攻擊個案翻兩倍
 勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊
 Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
真有其事還是虛張聲勢？Chimera 加密勒索軟體/綁架病毒,威脅將您的資料公布在網路上
 加密勒索軟體:用比特幣贖回你的檔案!!

>> 看更多

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密！即刻免費下載
PoS Malware (端點銷售惡意軟體)

端點銷售（PoS）惡意軟體攻擊呈現巨大的跳躍,全功能PoS 惡意軟體,可回傳信用卡號碼

【相關新聞】
PoS攻擊的演進 – 更加複雜也更具針對性
 IOE攻擊情境, POS 端點銷售惡意軟體 POS, 銷售端點（POS）記憶體惡意軟體
 【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料
 2015年第三季資安威脅總評: 駭客已悄悄將PoS攻擊目標移轉到中小企業 (SMB)
MalumPoS 惡意程式,可針對任何POS系統發動攻擊
 < IoT物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in
全功能PoS 惡意軟體,可回傳信用卡號碼,竊取巴西 22,000筆信用卡資訊
 < IoT 物聯網-PoS 攻擊>付款終端機在交易中如何處理你的信用卡資料?
< IoT 物聯網新趨勢 >飛機、火車與汽車 – 有哪裡可以逃過PoS惡意軟體的威脅？
資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長
>>看更多
Pawn Storm (網路間諜行動)

一項持續性網路間諜行動。曾攻擊北大西洋公約(NATO)會員國與美國白宮,亦曾攻擊馬航MH17失事調查委員會

【相關新聞】
Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼新的棘手問題：Pawn Storm零時差攻擊如何閃過Java的點擊播放（Click-to-Play）保護俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭
 Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列
 Pawn Storm 間諜行動曝光：政治人物,搖滾歌手,藝術家成為攻擊目標
 分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施
 < APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增
 數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊
 第三季資安總評:資料外洩成零時差漏洞攻擊利器,甚至危及人身安全

>> 看更多
XcodeGhost (iOS木馬)

iOS 開發工具染毒,蘋果出現嚴重漏洞,安全神話遭打破

【相關新聞】

【iOS安全】XcodeGhost 災難到底是怎麼來的？(含受影響應用程式清單)
Yispectre惡意程式感染中國和台灣：就算不越獄的 iPhone 也不一定安全
>> 看更多

繼續閱讀

有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事

2015 年 09 月 16 日2015 年 09 月 16 日趨勢科技 TrendMicro

自從 Hacking Team 資料外洩的檔案在網路上曝光之後，引發了很多後續效應。除了一些新的 Flash Player 和 IE 漏洞被發現、攻擊、然後修補之外，該公司的工具套件原始碼也遭到外流。尤其是一套精密的惡意程式套件，叫做 RCSAndroid (Android 遠端遙控系統)，這是該公司對外販售用來監視特定對象的間諜工具。

根據趨勢科技的研究人員指出，這套間諜工具可說是「目前所見最專業、最精密的 Android 惡意程式之一。」

但RCSAndroid 間諜軟體到底可以做些什麼？受影響的對象為何？哪些裝置會受到影響？我們在下面快速整理了有關 Hacking Team 資料外洩曝光的行動惡意程式套件你該知道的一些重點：

它可利用前、後鏡頭拍攝照片
我們的研究人員在分析該行動惡意程式套件外洩的原始程式碼之後發現，RCSAndroid 程式可窺探監視對象的隱私。其功能包括監視 Android 裝置螢幕和剪貼簿中的內容、蒐集網路帳號的密碼和聯絡資訊，還有使用裝置的相機鏡頭及麥克風。
所有 Android Lollipop 之前的版本都受到影響
若你裝置的 Android 系統版本為 Froyo、Gingerbread、Ice Cream Sandwich 或 Jelly Bean，那你就有可能成為 RCAndroid 監視的對象。我們目前還尚未證實這套工具是否適用於所有裝置。但前述的版本幾乎已經涵蓋 82% 的 Android 裝置。
歹徒會利用兩種方式來讓鎖定的對象下載 RCSAndroid
第一種方法是透過簡訊或電子郵件發送一個特殊的網址到目標對象。第二種方法是利用一個隱匿的後門 App 程式，該程式可避開 Google Play 的機制。
Hacking Team 實際販售的間諜工具價格昂貴，且使用者須支付年度維護費用
據聞整套工具價格為 234,000 歐元或 260,000 美元。雖然 Hacking Team 販售的間諜工具價格昂貴，但由於程式碼已遭到外洩，因此現在任何人都有可能取得這套工具。由於 RCSAndroid 如此強大，而且現在又這麼容易取得，因此也變得更加危險。網路犯罪集團可隨心所欲地修改其原本的程式來配合自己的需求，還能透過各種管道來讓使用者安裝到自己的裝置上，使用者完全不曉得自己安裝了間諜程式。
現在任何 Android 開發人員都能輕鬆使用 RCSAndroid
任何 Android 開發人員，只要具備足夠的知識，就能使用這套行動惡意程式。我們對這套惡意程式以及它如何破解裝置權限來從事間諜活動有深入的分析，請參閱我們的部落格文章「會竊聽電話的 Hacking Team RCSAndroid 間諜工具」。
已感染的裝置很難偵測並移除該間諜工具
為了躲避偵測以免遭到移除，RCSAndroid 套件還有能力偵測自己是否在模擬器或沙盒模擬分析環境中執行。該程式還有一項功能是篡改 Android 封裝管理員 (package manager) 的資料來新增或移除某些權限和元件並隱藏 App 圖示。
某些惡意的行為是經由一個事件動作觸發 (Event Action Trigger) 模組來觸發
在已感染的裝置上，事件動作觸發模組可根據某些事件來觸發惡意行為。這些事件的觸發條件包括：時間、充電或電池狀態、地理位置、連線狀態、執行中的 App、取得焦點的 App、SIM 卡狀態、收到包含特定關鍵字的簡訊以及螢幕開啟。

繼續閱讀

竊聽,偷拍,窺簡訊,秘密錄音….RCSAndroid的10個間諜能力,威脅 Android 用戶

2015 年 09 月 11 日2016 年 10 月 21 日趨勢科技 TrendMicro

繼新聞報導指出 iOS 裝置可能遭到 Hacking Team 間諜程式監聽之後，現在 Android 裝置也將遭殃。趨勢科技在 Hacking Team 資料外洩的檔案當中發現其開放原始碼惡意程式套件 RCSAndroid (Android 遠端遙控系統) 的程式碼，這是該公司所販賣的一項間諜工具。

RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。程式碼的外洩已讓它成為一項公開的商業間諜利器。Android 用戶隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

有關 Hacking Team 資料外洩入侵事件的各種消息及後續漏洞報導都著重在Adobe方面，但有一小塊對Android使用者很重要的訊息卻被許多人給忽略掉。

我們從 Hacking Team 資料外洩中所發現的攻擊手法及工具裡面，有一個特別惡劣的Android 惡意軟體稱為 RCSAndroid（Remote Control System Android）。RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。其程式碼的曝光，讓網路犯罪集團又多了一項新的利器可強化其間諜行動。

此一惡意軟體被該公司出售作為監控目標的工具。不同於其他惡意軟體，此一惡意軟體可安裝到 Android 手機上且近乎無法察覺。

跟其他個人電腦或Android上的惡意軟體不同，這個惡意軟體是真正的間諜工具。它安裝後所能做到的功能包括收集Android螢幕上的資訊、收集簡訊、收集電子郵件、拍照,甚至可竊聽電話，並且會打開內建麥克風錄製談話。它會針對Android設備進行漏洞攻擊,直到成功安裝為止。

根據外洩的程式碼看來，RCSAndroid 應用程式具備下列10 個間諜能力：

透過「screencap」這個指令擷取螢幕抓圖，並可直接讀取螢幕緩衝區內容。
監看剪貼簿的內容。
蒐集 Wi-Fi 網路與各種網路帳號的密碼，如：Skype、Facebook、Twitter、Google、WhatsApp、Mail 及 LinkedIn。
利用麥克風錄音。
蒐集簡訊、多媒體簡訊與 Gmail 訊息。
蒐集定位資訊。
蒐集裝置資訊。
利用前、後鏡頭拍照。
蒐集聯絡人，解讀即時通訊訊息，如：Facebook Messenger、WhatsApp、Skype、Viber、Line、WeChat、Hangouts、Telegram 以及 BlackBerry Messenger。
攔截系統的 mediaserver 服務，即時錄下任何行動電話與 App 的語音通話。

※RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。程式碼的外洩已讓它成為一項公開的商業間諜利器。Android 用戶隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。看更多關於會竊聽電話的 Hacking Team RCSAndroid 間諜工具

此種威脅自2012年起就出現了，但在7月因為兩個原因而出現重要轉折。

首先，因為 Hacking Team 資料外洩事件所被披露的文件,讓研究人員可以深入研究惡意軟體。其次，這惡意軟體可以透過Google Play上看似合法的應用程式來植入。雖然惡意軟體本身沒有出現在Google Play上，但其他應用程式會附帶啟動並加以安裝該惡意軟體。

在所有的 Android 威脅裡，這是我們所看到手法相當高竿的,其實這也不難理解，因為它的買主包含國家情報機構。

雖然我們大多數人感覺起來不太可能成為如此複雜間諜軟體攻擊的攻擊目標，但現在此惡意軟體背後的工具和技巧已經被公布周知，在 Android 惡意軟體在 2015 年 3月已經衝過了 500萬大關之際,可以預期會更廣泛地被其他惡意軟體作者所利用。繼續閱讀

從Hacking Team 資料外洩,回顧目前為止的 2015漏洞

2015 年 08 月 24 日2015 年 08 月 25 日趨勢科技 TrendMicro

2015年到目前為止對資安研究人員來說普遍處在忙碌狀態,尤其是 Hacking Team 資料外洩事件,導致多個零時差漏洞披露,以及討論不法買賣漏洞攻擊碼與「工具」的電子郵件流出，為資安環境投下了震撼彈。

網路犯罪分子一直都在努力地整合這些新漏洞到自己的「產品」內以試圖加駭更多人；同時各家廠商也在努力地提供使用者安全更新,現在讓我們回顧目前為止的 2015漏洞。

到 2015年七月底止，趨勢科技研究人員發現並揭露了 26 個漏洞
8個零時差漏洞中有兩個已被 APT 攻擊利用

正如今年早些時候所提到，使用OS X、iOS、Android和Flash Player的風險已經增加。趨勢科技的研究加上 Hacking Team 資料外洩反映了此一趨勢。到2015年七月底止，趨勢科技的研究人員發現並揭露了26個漏洞；8個是零時差漏洞。

零時差漏洞中有兩個已被用來發動 APT攻擊，包括Pawn Storm攻擊活動及在韓國和日本的攻擊。透過監視熱門漏洞攻擊包和趨勢科技產品的反饋資料發現了兩個Flash零時差漏洞（CVE-2015-0311和CVE-2015-0313）。四個零時差漏洞被發現是 Hacking Team流出資料的一部分，後來證實至少有一個（CVE-2015-5122）很快就被整入漏洞攻擊包中。截至今年七月，各研究者在常用的桌面應用程式共發現了15個值得注意的零時差漏洞，其中有8個是由趨勢科技的研究人員所發現。