登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: Continue reading “登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板”

Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼

當說到漏洞攻擊包,最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼,好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標,其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊

從10月28日開始,趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。(第二個漏洞是Flash的漏洞,直到版本18.0.0.232都存在;我們目前正在與Adobe確認此漏洞的CVE編號)

 

圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)

圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)

圖3、Angler漏洞攻擊包中第二個漏洞的截圖(點擊放大)

 

Diffie-Hellman協定被惡意使用

趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定,跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。

這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。

 

  1. 不再從客戶端發送gp給伺服器。相對地,它送出ssid來確認gp的配對。
  2. 隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。

 

圖4、Diffie-Hellman協定,使用ssid來識別g,p配對 Continue reading “Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼”

新的棘手問題:Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護

 

趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞(CVE-2015-2590)進行攻擊。在當時,我們注意到另一個漏洞被用來繞過Java的點擊播放(Click-to-Play)保護。這第二個漏洞(CVE-2015-4902)現在已經被Oracle在每季定期更新中修復,這要歸功於趨勢科技的發現。

點擊播放(Click-to-Play)要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。

繞過點擊播放(Click-to-Play)保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用,因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織(NATO)成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名:最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。(此漏洞已經被Adobe修復。)

當我們私下披露此漏洞時,Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙;在我們徹底討論此漏洞前先讓我們討論一些背景資料。

Oracle提供Java網路啟動通訊協定(JNLP)技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中,攻擊者利用JNLP來部署applet。

 

要實現這做法,Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI(Java命名和目錄介面)。這種機制是Java遠端程序呼叫的基礎,稱為RMI(遠端方法調用)。JNDI有些基本概念和此攻擊有關,即:

  • Context – 一組名稱和物件的綁定。換言之,Context物件可以解析一個物件的名稱。這個物件有數種類型;RegistryContext是其中之一。
  • ContextFactory – context物件的工廠(factory),其為呼叫者建立Context物件。RegisterContextFactory是建立ContextFactory物件的工廠(factory)。

 

下圖顯示此攻擊是如何運作:

 

圖1、如何繞過點擊播放(Click-to-Play)

 

攻擊者需要完成三件事以進行攻擊:

  1. 攻擊者將圖2中的HTML碼加到一個惡意網站。
  2. 攻擊者建立具備公開IP地址的RMI註冊伺服器。
  3. 攻擊者建立另一個同樣具備公開IP地址Web伺服器來儲存惡意Java程式碼。
圖2.、HTML碼插入到一個惡意網站

 

 

下面是攻擊進行的過程:

 

  1. 在受害者的電腦上瀏覽器程序產生(fork)出exe程序(Java客戶端的一部分)來請求惡意網站上的init.jnlp。這由圖2內的HTML碼所造成(Java網路啟動通訊協定用一個.jnlp檔案來透過Java Web Start技術來啟動Java程式碼。)

 

  1. 惡意網站傳回jnlp。讓我們來看看此檔案的內容:
圖3、init.jnlp的內容

Continue reading “新的棘手問題:Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護”

俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會

馬來西亞航空MH17失事報告10月13日出爐,證實班機遭俄製飛彈擊落,隔天(10月14日)俄國駭客嘗試入侵荷蘭安全委員會電腦系統,嘗試取得敏感的最終失事報告。趨勢科技的研究發現應該是由 Pawn Storm 幕後集團針對DSB (Dutch Safety Board,亦稱 Onderzoeksraad)  所發動的攻擊。

"失蹤的馬航真的在印度降落了!!"是真的詐騙!!
圖說:馬航班機被擊落失事的新聞震驚全球,卻也立即成為駭客進行不法行為的話題跳板。圖為當時臉書詐騙【瘋傳】「失蹤的馬航真的在印度降落了!!」

 

根據趨勢科技前瞻威脅研究 (FTR) 團隊所提供的報告,Pawn Storm 背後的駭客已攻擊了負責調查馬來西亞航空 MH 17 班機墜毀事件的荷蘭安全委員會 (Dutch Safety Board,簡稱 DSB,亦稱 Onderzoeksraad) 。

MH 17 班機於 2014 年 7 月 14 日墜毀在烏克蘭東部,機上 283 名乘客和 15 名機組人員全部罹難。

由於該班機是從荷蘭阿姆斯特丹起飛,因此由 DSB 負責調查這起事件。2015 年 10 月 13 日,DSB 發表了他們的最終調查報告Continue reading “俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會”

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動,以攻擊知名目標聞名,而且近兩年來更使用了 Java 有史以來第一個零時差漏洞

在最近一波攻擊行動當中,Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計,看起來都指向一些正常的時事新聞網頁,其使用過的電子郵件主旨包括:

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

 

值得注意的是,其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。alert 病毒警訊

近來,各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外,歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門,從事一些簡單卻極為有效的網路釣魚攻擊credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示,Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示,這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

圖 1:受影響的 Adobe Flash Player 版本。
圖 1:受影響的 Adobe Flash Player 版本。

Continue reading “【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭”

Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列

Pawn Storm 攻擊行動重點摘要與最新發展

Pawn Storm 是一項又深又廣的持續性網路間諜行動。它曾攻擊北大西洋公約 (NATO) 會員國與美國白宮等政府機關,也曾鎖定烏克蘭和俄羅斯的一些知名政治人物,而且我們相信,歹徒的總部就位於俄羅斯。去年十月趨勢科技即曾經發表過有關 Pawn Storm 的研究報告:Pawn Storm 攻擊行動:利用轉移注意力來躲避偵測 (Operation Pawn Storm: Using Decoys to Evade Detection),自此我們便一直持續監控及追蹤該行動的最新發展。

本文介紹有關該行動的最新發展,同時也提供一些背景資訊讓還不熟悉該行動的讀者進入狀況。

什麼是 Pawn Storm 攻擊行動?

Pawn Storm 是一項至今仍相當活躍的政治經濟網路間諜行動,專門鎖定一些知名機構和人士,從政府機關到媒體名人皆在攻擊之列。其最早的活動出現於2007 年,但直到最近,我們才掌握有關該行動的一些具體資料,包括其攻擊目標和攻擊來源。

它和其他網路間諜團體/行動有何不同之處?

Pawn Storm 在攻擊手法上和其他以政治為動機的駭客團體有明顯不同,例如:

  • 使用挾帶 SEDNIT/Sofacy 惡意程式的魚叉式網路釣魚(Phishing)郵件來攻擊 Windows系統,或挾帶 Fysbis 或 X-Agent 惡意程式來攻擊 Linux 系統。其魚叉式網路釣魚郵件有時會使用一些當地的材料或話題來吸引收件人開啟郵件。SEDNIT 是一個擁有後門和資訊竊取行為的惡意程式。
  • 假冒企業的 OWA 登入網頁來從事魚叉式網路釣魚郵件攻擊。其某個魚叉式網路釣魚(Phishing)魚郵件的變種會將使用者重導致假冒的 Outlook Web Access (OWA) 登入網頁,藉此竊取使用者的登入帳號密碼。此一攻擊手法的眾多受害者當中,美國國防承包商 ACADEMI (前 Blackwater 公司) 也名列其中。
  • 利用自製的 iOS 惡意程式從事間諜活動。此 iOS 惡意程式就是趨勢科技所偵測到的 IOS_XAGENT.A 或 IOS_XAGENT.B,可從受感染的行動裝置竊取各種資訊,例如:訊息、通訊錄、定位資訊、照片,甚至錄音檔。

Continue reading “Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列”

Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標

Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團?的確,Pussy Riot (暴動小貓) 是個具爭議性的樂團,這個由女性主義者成立的樂團,其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣?她們和其他被攻擊的對象有何關聯?

今年年初,我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前,他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位,但根據趨勢科技的分析發現,實際上仍可有不少目標其實是位於該國境內。

間諜軟體

俄羅斯境內的間諜活動

Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁,他們甚至也監控自己的人民。例如,針對俄羅斯國民的帳號登入資訊網路釣行動,就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。

圖 1:俄羅斯境內攻擊目標的產業/市場分布。

Continue reading “Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標”

分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施

過去,Java 一向是網路犯罪集團最愛的漏洞攻擊目標,不過近年來,這樣的情況已經不在。最近已修正的 Pawn Storm 攻擊行動 Java 零時差漏洞事實上是 Java 近兩年來被發現的第一個零時差漏洞。

零時差攻擊

這有一部分的原因要歸功於 Java 安全措施的強化。正如 Oracle 在 Java 首頁上所言,現在的主流瀏覽器在遇到過時的 Java 外掛程式時都會自動將它停用。此外,2014 年 1 月發表的Java 7 Update 51即限縮了可執行的 Applet 類型。在預設情況下,自我簽署和未經簽署 (也就是駭客最可能使用) 的 Applet 將無法在瀏覽器上執行。此外,JRE 還對所有的 Applet (不論是否簽署) 提供了點按執行 (click-to-play) 的功能。這兩點加起來,大大得降低了 Java 平台對駭客的吸引力。

既然這個 Java 零時差漏洞 (CVE-2015-2590) 現在已經修正,我們就來說明一下它的相關技術細節。此漏洞由兩部分組成:第一部份是略過 Java 的點按執行保護機制。這部分我們不能討論,但我們可以談談另外一部分。如前面所說,這個漏洞在最新的 Java 版本 (Java 8 Update 51) 當中已經獲得修正。

Java 提供了一個叫做 ObjectInputStream 的類別來執行反序列化 (decentralize) 作業,以便將記憶體緩衝區內的資料轉成物件。這個反序列化緩衝區當中包含了物件的類別資訊和檔案化的資料。如需該類別的更多詳細資訊,請參閱Java 官方文件Continue reading “分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施”

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

Pawn Storm活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)行動在新的一年突然爆炸性成長,導入了新的基礎架構,同時也開始鎖定北大西洋公約組織 (NATO) 會員國,甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報,同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

通用 security

 

Pawn Storm 攻擊行動:背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動,其目標相當廣泛,包括:軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客,至少從 2007 年開始即活躍至今,其犯案模式非常固定。我們為所取的名稱,是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法,與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件,文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式;第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式,讓瀏覽者感染前述的惡意程式;最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體,此外,烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月,趨勢科技觀察到 Pawn Storm 又有新的動作,並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式

Continue reading “< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增”