Hacking Team 資料外洩曝光的漏洞攻擊,仍影響 Android 用戶

專門提供駭客服務的Hacking Team自己也被駭了! 這是 2015 年備受矚目的資安事件。雖然,Hacking Team 資料外洩事件已經是好幾個月前的事了,但因漏洞攻擊程式碼的曝光而引發一連串的攻擊,至今仍持續影響著我們。

最近,趨勢科技發現了一批 Android 惡意程式很顯然是採用了 Hacking Team 事件當中的某項漏洞攻擊程式碼。這批在網路上發現的惡意應用程式一旦得逞,就能讓遠端駭客取得感染裝置的系統管理員 (root) 權限,所有 Android 4.4 (KitKat) 以及更早版本的行動裝置 (占了將近所有 Android 裝置的 57%)都受到此漏洞的影響。

Android 病毒

 

攻擊細節

根據趨勢科技的分析,這批惡意應用程式含有一段稱為「reed」 的漏洞攻擊程式碼,也就是 Hacking Team 的 kernel_waiter_exploit 漏洞攻擊程式碼,這段程式可藉由 TowelRoot 漏洞 (CVE-2014-3153) 在裝置上植入一個後門程式,TowelRoot 是 Linux 系統在 2014 年就已修補的一個舊漏洞。

有了這個後門程式,駭客就能到幕後操縱 (C&C) 伺服器 (hxxps://remote.ibtubt.com/phone/ )下載最新的惡意程式到裝置上,並以系統管理員權限執行程式。

圖 1:Hacking Team 事件所外洩的漏洞攻擊程式碼。

駭客將這段漏洞攻擊程式碼暗藏在多款遊戲和 Launcher (啟動器) 應用程式當中,並透過下列網站散布:hxxp://risechen.b0.upaiyun.com,例如:Maria’s Coffie Shop、酷酷斗地主、iLauncher、One Launcher 以及 Launcher IP Style 6s 等等。我們發現至少有 88 個應用程式含有這段漏洞攻擊程式碼,但目前我們尚未見到其任何一個惡意程式在第三方應用程式商店上架。

圖 2:含有漏洞攻擊程式碼的惡意遊戲範例。 Continue reading “Hacking Team 資料外洩曝光的漏洞攻擊,仍影響 Android 用戶”

2015年十大資安關鍵字

本部落格從 2015年熱門資安新聞相關的十大資安關鍵字,回顧即將過去的這一年發生的資安大事件:

  1. CryptoLocker (加密勒索軟體)

    1200 627 cryptolocker
    有史上最狠毒勒索軟體 Ransomware (勒索病毒/綁架病毒)之稱,2014年開始入侵臺灣,2015年災情持續蔓延。
    前一陣子有位台北市某公司會計人員,誤點免費中獎iPhone 6S的釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選,「勒索軟體肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索軟體)奪魁,得票數占42.11%

    【相關新聞

    CryptoLocker勒索軟體肆虐可能助長網路銀行惡意程式
    透過可移除媒體散播的新CryptoLocker 勒索軟體
    勒索軟體CryptoLocker,攻擊個案翻兩倍
    勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊
    Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
    真有其事還是虛張聲勢?Chimera 加密勒索軟體/綁架病毒,威脅將您的資料公布在網路上
    加密勒索軟體:用比特幣贖回你的檔案!!

    >> 看更多

    ransom1224


    PCC2016_1Y3U_TW box

    PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密!即刻免費下載

     


     

     

  2. PoS Malware (端點銷售惡意軟體)

    POS

    端點銷售(PoS)惡意軟體攻擊呈現巨大的跳躍,全功能PoS 惡意軟體,可回傳信用卡號碼

    【 相關新聞

    PoS攻擊的演進 – 更加複雜也更具針對性
     IOE攻擊情境POS 端點銷售惡意軟體 POS銷售端點(POS)記憶體惡意軟體
    【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料
    2015年第三季資安威脅總評: 駭客已悄悄將PoS攻擊目標移轉到中小企業 (SMB)
     MalumPoS 惡意程式,可針對任何POS系統發動攻擊
    < IoT物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in
    全功能PoS 惡意軟體,可回傳信用卡號碼,竊取巴西 22,000筆信用卡資訊
    < IoT 物聯網-PoS 攻擊>付款終端機在交易中如何處理你的信用卡資料?
    < IoT 物聯網新趨勢 >飛機、火車與汽車 – 有哪裡可以逃過PoS惡意軟體的威脅?
    資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長
    >>看更多

  3. Pawn Storm (網路間諜行動)

    間諜軟體
    一項持續性網路間諜行動。曾攻擊北大西洋公約(NATO)會員國與美國白宮,亦曾攻擊馬航MH17失事調查委員會

    【相關新聞
    Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼新的棘手問題:Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭
    Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列
    Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標
    分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施
    < APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增
    數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊
    第三季資安總評:資料外洩成零時差漏洞攻擊利器,甚至危及人身安全

    >> 看更多

  4. XcodeGhost (iOS木馬)

    iOS 開發工具染毒,蘋果出現嚴重漏洞,安全神話遭打破
    mobile iphone手機
    【 相關新聞

    【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)
    Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全
    >> 看更多

Continue reading “2015年十大資安關鍵字”

有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事

 

有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事

自從 Hacking Team 資料外洩的檔案在網路上曝光之後,引發了很多後續效應。除了一些新的 Flash Player 和 IE 漏洞被發現、攻擊、然後修補之外,該公司的工具套件原始碼也遭到外流。尤其是一套精密的惡意程式套件,叫做 RCSAndroid (Android 遠端遙控系統),這是該公司對外販售用來監視特定對象的間諜工具。

根據趨勢科技的研究人員指出,這套間諜工具可說是「目前所見最專業、最精密的 Android 惡意程式之一。」

但RCSAndroid 間諜軟體到底可以做些什麼?受影響的對象為何?哪些裝置會受到影響?我們在下面快速整理了有關 Hacking Team 資料外洩曝光的行動惡意程式套件你該知道的一些重點:

  1. 它可利用前、後鏡頭拍攝照片
    我們的研究人員在分析該行動惡意程式套件外洩的原始程式碼之後發現,RCSAndroid 程式可窺探監視對象的隱私。其功能包括監視 Android 裝置螢幕和剪貼簿中的內容、蒐集網路帳號的密碼和聯絡資訊,還有使用裝置的相機鏡頭及麥克風。
  2. 所有 Android Lollipop 之前的版本都受到影響
    若你裝置的 Android 系統版本為 Froyo、Gingerbread、Ice Cream Sandwich 或 Jelly Bean,那你就有可能成為 RCAndroid 監視的對象。我們目前還尚未證實這套工具是否適用於所有裝置。但前述的版本幾乎已經涵蓋 82% 的 Android 裝置
  3. 歹徒會利用兩種方式來讓鎖定的對象下載 RCSAndroid
    第一種方法是透過簡訊或電子郵件發送一個特殊的網址到目標對象。第二種方法是利用一個隱匿的後門 App 程式,該程式可避開 Google Play 的機制。
  4. Hacking Team 實際販售的間諜工具價格昂貴,且使用者須支付年度維護費用
    據聞整套工具價格為 234,000 歐元或 260,000 美元。雖然 Hacking Team 販售的間諜工具價格昂貴,但由於程式碼已遭到外洩,因此現在任何人都有可能取得這套工具。由於 RCSAndroid 如此強大,而且現在又這麼容易取得,因此也變得更加危險。網路犯罪集團可隨心所欲地修改其原本的程式來配合自己的需求,還能透過各種管道來讓使用者安裝到自己的裝置上,使用者完全不曉得自己安裝了間諜程式。
  5. 現在任何 Android 開發人員都能輕鬆使用 RCSAndroid
    任何 Android 開發人員,只要具備足夠的知識,就能使用這套行動惡意程式。我們對這套惡意程式以及它如何破解裝置權限來從事間諜活動有深入的分析,請參閱我們的部落格文章「會竊聽電話的 Hacking Team RCSAndroid 間諜工具」。
  6. 已感染的裝置很難偵測並移除該間諜工具
    為了躲避偵測以免遭到移除,RCSAndroid 套件還有能力偵測自己是否在模擬器或沙盒模擬分析環境中執行。該程式還有一項功能是篡改 Android 封裝管理員 (package manager) 的資料來新增或移除某些權限和元件並隱藏 App 圖示。
  7. 某些惡意的行為是經由一個事件動作觸發 (Event Action Trigger) 模組來觸發
    在已感染的裝置上,事件動作觸發模組可根據某些事件來觸發惡意行為。這些事件的觸發條件包括:時間、充電或電池狀態、地理位置、連線狀態、執行中的 App、取得焦點的 App、SIM 卡狀態、收到包含特定關鍵字的簡訊以及螢幕開啟。

Continue reading “有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事”

竊聽,偷拍,窺簡訊,秘密錄音….RCSAndroid的10個間諜能力,威脅 Android 用戶

繼新聞報導指出 iOS 裝置可能遭到 Hacking Team 間諜程式監聽之後,現在 Android 裝置也將遭殃。趨勢科技在 Hacking Team 資料外洩的檔案當中發現其開放原始碼惡意程式套件 RCSAndroid (Android 遠端遙控系統) 的程式碼,這是該公司所販賣的一項間諜工具。

RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。程式碼的外洩已讓它成為一項公開的商業間諜利器。Android 用戶隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為,例如:不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

有關 Hacking Team 資料外洩入侵事件的各種消息及後續漏洞報導都著重在Adobe方面,但有一小塊對Android使用者很重要的訊息卻被許多人給忽略掉。

我們從 Hacking Team 資料外洩中所發現的攻擊手法及工具裡面,有一個特別惡劣的Android 惡意軟體稱為 RCSAndroid(Remote Control System Android)。RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。其程式碼的曝光,讓網路犯罪集團又多了一項新的利器可強化其間諜行動。

此一惡意軟體被該公司出售作為監控目標的工具。不同於其他惡意軟體,此一惡意軟體可安裝到 Android 手機上且近乎無法察覺。

跟其他個人電腦或Android上的惡意軟體不同,這個惡意軟體是真正的間諜工具。它安裝後所能做到的功能包括收集Android螢幕上的資訊、收集簡訊、收集電子郵件、拍照,甚至可竊聽電話,並且會打開內建麥克風錄製談話。它會針對Android設備進行漏洞攻擊,直到成功安裝為止。

根據外洩的程式碼看來,RCSAndroid 應用程式具備下列10 個間諜能力:

  1. 透過「screencap」這個指令擷取螢幕抓圖,並可直接讀取螢幕緩衝區內容。
  2. 監看剪貼簿的內容。
  3. 蒐集 Wi-Fi 網路與各種網路帳號的密碼,如:Skype、Facebook、Twitter、Google、WhatsApp、Mail 及 LinkedIn。
  4. 利用麥克風錄音。
  5. 蒐集簡訊、多媒體簡訊與 Gmail 訊息。
  6. 蒐集定位資訊。
  7. 蒐集裝置資訊。
  8. 利用前、後鏡頭拍照。
  9. 蒐集聯絡人,解讀即時通訊訊息,如:Facebook Messenger、WhatsApp、Skype、Viber、Line、WeChat、Hangouts、Telegram 以及 BlackBerry Messenger。
  10. 攔截系統的 mediaserver 服務,即時錄下任何行動電話與 App 的語音通話。

※RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。程式碼的外洩已讓它成為一項公開的商業間諜利器。Android 用戶隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為,例如:不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。看更多關於會竊聽電話的 Hacking Team RCSAndroid 間諜工具

 

此種威脅自2012年起就出現了,但在7月因為兩個原因而出現重要轉折。

首先,因為 Hacking Team 資料外洩事件所被披露的文件,讓研究人員可以深入研究惡意軟體。其次,這惡意軟體可以透過Google Play上看似合法的應用程式來植入。雖然惡意軟體本身沒有出現在Google Play上,但其他應用程式會附帶啟動並加以安裝該惡意軟體。

在所有的 Android 威脅裡,這是我們所看到手法相當高竿的,其實這也不難理解,因為它的買主包含國家情報機構。

雖然我們大多數人感覺起來不太可能成為如此複雜間諜軟體攻擊的攻擊目標,但現在此惡意軟體背後的工具和技巧已經被公布周知,在 Android 惡意軟體在 2015 年 3月已經衝過了 500萬大關之際,可以預期會更廣泛地被其他惡意軟體作者所利用。 Continue reading “竊聽,偷拍,窺簡訊,秘密錄音….RCSAndroid的10個間諜能力,威脅 Android 用戶”

從Hacking Team 資料外洩,回顧目前為止的 2015漏洞

2015年到目前為止對資安研究人員來說普遍處在忙碌狀態,尤其是 Hacking Team 資料外洩事件,導致多個零時差漏洞披露,以及討論不法買賣漏洞攻擊碼與「工具」的電子郵件流出,為資安環境投下了震撼彈。

網路犯罪分子一直都在努力地整合這些新漏洞到自己的「產品」內以試圖加駭更多人;同時各家廠商也在努力地提供使用者安全更新,現在讓我們回顧目前為止的 2015漏洞。

零時差攻擊

到 2015年七月底止,趨勢科技研究人員發現並揭露了 26 個漏洞
8個零時差漏洞中有兩個已被 APT 攻擊利用

正如今年早些時候所提到,使用OS X、iOS、Android和Flash Player的風險已經增加。趨勢科技的研究加上 Hacking Team 資料外洩反映了此一趨勢。到2015年七月底止,趨勢科技的研究人員發現並揭露了26個漏洞;8個是零時差漏洞。

零時差漏洞中有兩個已被用來發動 APT攻擊,包括Pawn Storm攻擊活動及在韓國和日本的攻擊。透過監視熱門漏洞攻擊包和趨勢科技產品的反饋資料發現了兩個Flash零時差漏洞(CVE-2015-0311CVE-2015-0313)。四個零時差漏洞被發現是 Hacking Team流出資料的一部分,後來證實至少有一個(CVE-2015-5122)很快就被整入漏洞攻擊包中。截至今年七月,各研究者在常用的桌面應用程式共發現了15個值得注意的零時差漏洞,其中有8個是由趨勢科技的研究人員所發現。

 

圖1、2015年趨勢科技所發現零時差和重大漏洞的時間軸

 

以下是趨勢科技在2015年至今所發現的漏洞列表,受影響軟體以及相關的廠商公告。以粗體顯示的為零時差漏洞:

Continue reading “從Hacking Team 資料外洩,回顧目前為止的 2015漏洞”

Flash的威脅:不只是在瀏覽器

Flash目前也在瀏覽器之外的地方受到攻擊。這個「發現」來自於 Hacking Team 資料外洩趨勢科技注意到這些零時差漏洞中的 CVE-2015-5119一直被用在APT攻擊。包含偽裝成來自台灣政府的電子郵件…..

七月對Adobe Flash Player安全來說是很糟糕的一個月。出現了三個零時差漏洞(都來自 Hacking Team 資料外洩流出的資料),讓許多人非常擔心Flash的安全性,也有許多人(包括本站)呼籲它要消失

不可免地,Adobe做出了些回應來提升Flash的安全性。最新版本的Flash(18.0.0.209)加入了許多攻擊緩解技術。這些是由Adobe和Google的Project Zero團隊一同開發。

新的攻擊緩解技術為:

  • <*>長度驗證 – 加入長度cookie到Vector緩衝區。如果漏洞攻擊碼覆寫Vector長度,cookie檢查會失敗。因為今天的每一個Flash漏洞攻擊碼都會覆寫Vector長度,這方法可以增加Flash漏洞攻擊碼開發的難度,甚至能阻止尚未公開的零時差攻擊。

增加cookie長度檢查之後,攻擊者需要有兩個漏洞來進行攻擊 – 一個洩漏cookie長度,另一個覆寫長度。也可以使用既能洩漏和覆寫該位置的單一漏洞,但這種漏洞很少見。

  • <uint>緩衝堆積分區 – 這解決方法讓洩漏cookie和覆寫長度更加困難。現在需要特定的漏洞而非一般的資料洩露和覆寫漏洞。
  • Flash堆積更強大的隨機能力 – 這緩解機制讓洩漏cookie和覆寫vector長度更加困難,因為堆積佈局比以前更難預測。

Continue reading “Flash的威脅:不只是在瀏覽器”

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

Hacking Team 資料外洩相關的Flash漏洞攻擊,被發現入侵了台灣和香港的網站, 此一攻擊活動從 7月9日開始,也就是Hacking Team 資料外洩宣布被駭的幾天後隨即受駭。會下載 Poison Ivy遠端存取工具和其他惡意軟體到使用者電腦上。

PoisonIvy是個在地下市場中流行的RAT後門程式,通常被用在「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)攻擊中。這個後門程式已知會抓取螢幕截圖、網路攝影機影像和聲音;記錄按鍵和活動視窗;刪除、搜尋和上傳檔案並執行其他侵入性行為。

這一波攻擊入侵了台灣的電視台、教育單位、宗教團體及一知名政黨的網站;還有一個受歡迎的香港新聞網站。這些受駭的網站有著固定的使用者,比方說提供就業考試給政府僱員的教育單位,已經製作和進口電視節目和電影長達十年的台灣網路電視。

我們已經通知了受攻擊影響網站的所有者;然而到本文撰寫時,還有三個網站處在受駭狀態。

 

Hacking Team的痕跡仍然在那

攻擊者一開始傳送Hacking Team所流出的Flash Player漏洞(CVE-2015-5119)到預先入侵好的網站上,就在該公司宣布遭受駭客攻擊(7月5日)和Adobe修補漏洞(7月7日)的幾天後。攻擊者們進行另一波的攻擊,導致另一個Hacking Team相關的Flash零時差漏洞攻擊(CVE-2015-5122)。

 

圖1、Hacking Team相關Flash漏洞攻擊送至台灣和香港網站的時間表

 

值得注意的是,在第一波和第二波攻擊開始時,兩個台灣教育機構網站皆在攻擊目標中。

 

圖2、台灣受駭的宗教團體網站

 

PoisonIvy和其他惡意軟體

趨勢科技發現所有受駭網站(除了一知名台灣政黨官方網站)都被用iframe來注入一惡意SWF,會導致遠端訪問工具(RAT) Poison Ivy (BKDR_POISON.TUFW)。

而另一方面,該政黨網站會帶來嵌入在圖片內的不同惡意軟體,偵測為TROJ_JPGEMBED.F。政黨網站跟其他受駭網站一樣會將資料發送到同一伺服器(223[.]27[.]43[.]32),推測這是同一波攻擊活動的一部分。

Hacking Team Flash exploit campaign

圖3、Hacking Team Flash漏洞攻擊所嵌入的圖片

 

雖然分析工作仍在進行中,好確定這波攻擊活動是否為 APT攻擊趨勢科技已經看到一個可疑網域wut[.]mophecfbr[.]com嵌入在惡意軟體中,它也出現在之前報導被稱為「Tomato Garden(番茄花園)」針對性攻擊所使用命令和控制(C&C)列表內。

 

建議

 

為了防止電腦遭受漏洞攻擊和惡意後門程式植入,使用者要更新Adobe Flash Player。你可以透過Adobe Flash Player網頁來檢查自己是否使用最新的版本。隨時了解常用軟體的最新消息也有幫助。參考我們的部落格文章 – 「Adobe Flash難題:積重難返」來了解更多最近的Flash相關事件,以及使用者和企業可以做些什麼。

 

趨勢科技可以偵測此事件中的所有惡意軟體和漏洞攻擊碼。SHA1值如下:

  • SWF_CVE20155122.A
    d4966a9e46f9c1e14422015b7e89d53a462fbd65
  • SWF_CVE20155122.B
    fdcdf30a90fa22ae8a095e99d80143df1cc71194
  • SWF_CVE20155122.C
    9209fee58a2149c706f71fb3c88fef14b585c717
  • BKDR_POISON.TUFW
    2dc1deb5b52133d0a33c9d18144ba8759fe43b66

 

@原文出處:Hacking Team Flash Attacks Spread: Compromised TV and Government-Related Sites in Hong Kong and Taiwan Lead to PoisonIvy|作者:Joseph C Chen(網路詐騙研究員)

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

會竊聽電話的 Hacking Team RCSAndroid 間諜工具

RCSAndroid 程式碼的外洩已讓它成為一項公開的商業間諜利器。行動使用者最好隨時掌握這項新聞的最新發展,並且隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為,例如:不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

一旦裝置遭到感染,這個後門程式必須有系統管理員 (root) 權限才能移除,使用者可能需要送回原廠來請他們重刷韌體才行。

繼新聞報導指出 iOS 裝置可能遭到 Hacking Team 間諜程式監聽之後,現在 Android 裝置也將遭殃。趨勢科技 Hacking Team 資料外洩的檔案當中發現其開放原始碼惡意程式套件 RCSAndroid (Android 遠端遙控系統) 的程式碼,這是該公司所販賣的一項間諜工具。

RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。其程式碼的曝光,讓網路犯罪集團又多了一項新的利器可強化其間諜行動。

Hacking Team RCSAndroid手機間諜

根據外洩的程式碼看來,RCSAndroid 應用程式具備下列10 個間諜能力:

  1. 透過「screencap」這個指令擷取螢幕抓圖,並可直接讀取螢幕緩衝區內容。
  2. 監看剪貼簿的內容。
  3. 蒐集 Wi-Fi 網路與各種網路帳號的密碼,如:Skype、Facebook、Twitter、Google、WhatsApp、Mail 及 LinkedIn。
  4. 利用麥克風錄音。
  5. 蒐集簡訊、多媒體簡訊與 Gmail 訊息。
  6. 蒐集定位資訊。
  7. 蒐集裝置資訊。
  8. 利用前、後鏡頭拍照。
  9. 蒐集聯絡人,解讀即時通訊訊息,如:Facebook Messenger、WhatsApp、Skype、Viber、Line、WeChat、Hangouts、Telegram 以及 BlackBerry Messenger。
  10. 攔截系統的 mediaserver 服務,即時錄下任何行動電話與 App 的語音通話。

Continue reading “會竊聽電話的 Hacking Team RCSAndroid 間諜工具”

Adobe Flash 就像煙癮一樣,難以戒掉?

上星期對 Adobe Flash 來說日子真是難過。 Hacking Team公司外洩的 440GB 電子郵件資料已成為駭客挖掘資安漏洞的寶藏。過去七天,光是 Flash 就被發現了三個不同的漏洞:

目前,只有第一個漏洞已經修正。Adobe 承諾會在本週之內修正另外兩個漏洞,但這仍難保未來不會有其他該平台的漏洞出現。因此我們不禁要問:我們是否要趁現在乾脆放棄使用 Adobe Flash?

Flash 一直是資訊安全的夢魘,多年來,趨勢科技在這部落格上已經報導過各種Flash 的漏洞。每一次,除了小心避開一些不良網站、停用 Flash 外掛程式、然後等待 Adobe 釋出更新之外,消費者能做的其實很有限。

 

漏洞 弱點攻擊

Hacking Team 外洩事件而曝光的三個零時差漏洞已經突顯出 Flash 多麼容易存在著漏洞。假使像 Hacking Team 這麼小的公司 (員工總共 40 人) 都能挖到這麼重大的漏洞,那想像一下其他一些由政府在背後資助的團體將有多大能耐。先前我們只能猜測情況大概多糟,但現在我們已經清楚看到它有多危險。

在理想的世界裡,就 Flash 現在的狀況來看,真的必須淘汰。不是改用新的網站技術 (如 HTML5),就是叫 Adobe 想辦法讓 Flash 變得安全。不過,這兩件事大概都不會發生。

Flash 就像煙癮一樣:即使我們知道它不好,但還是難以戒掉。儘管有風險,人們還是會繼續使用,因為光是安全的理由還不足以讓人放棄它。就網站的觀點,他們還是會繼續使用 Adobe Flash,因為成本較低,使用者體驗也較優。對使用者來說,因為他們經常上的網站仍在使用 Flash,所以還是少不了它。不論開發人員和使用者都得依賴 Flash,因此可以確定 Adobe Flash 還會繼續存活一段時間。

那麼,我們可以做些什麼? Continue reading “Adobe Flash 就像煙癮一樣,難以戒掉?”

Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用!

 Hacking Team 資料外洩事件曝光的資料經過解析之後,目前又有重大發現:Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System,簡稱 RCS) 代理程式常駐在受害者的系統。也就是說,就算使用者將硬碟格式化並重灌作業系統,甚至再買一顆新的硬碟,其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。

駭客 攻擊 通用

他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過,同樣的程式碼在 AMI BIOS 上或許也能運作。

 Hacking Team 資料外洩 的一份簡報投影片當中宣稱,要成功感染目標系統必須實際接觸到目標系統,但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是:駭客想辦法趁機操作目標電腦,將電腦重新開機以進入 UEFI BIOS 介面,然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit,接著將 BIOS 更新回去,最後再將系統重新開機。

趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具,甚至當使用者遇到不相容的 BIOS 時還提供技術支援。


圖 1:Hacking Team 還提供技術支援。

Rootkit 的安裝過程如下:首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume,簡稱 FV),例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod,可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod,用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod,含有實際的代理程式,檔名為 scout.exesoldier.exeContinue reading “Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用!”