趨勢科技研究人員揭露最新針對義大利文使用者的性勒索計劃。以查找垃圾郵件網路釣魚(Phishing)電子郵件寄件人的 IP 為基礎,性勒索計劃似乎是透過 Gamut 垃圾郵件殭屍網路(botnet)傳送。該計劃也似乎是行銷活動的其中一部分。垃圾郵件是在 4 月 19 日發現,於歐洲中部夏令時間 (CEST) 上午 9 點至 10 點達到顛峰。根據趨勢科技 趨勢科技 Smart Protection Suites 的回報,共找到 25,000 封相關的垃圾電子郵件。
本次垃圾電子郵件值得注意的地方在於,駭客現在也利用比特幣現金做為偏好的虛擬貨幣。如同研究人員所觀察到仍在使用比特幣錢包地址的其他性勒索計劃,使用比特幣現金地址可能只是做為替代方案。
繼續閱讀惡意軟體可以利用Intel 的軟體保護擴展(SGX)功能來躲避防毒(AV)軟體偵測。格拉茨科技大學的研究人員Michael Schwarz,Samuel Weiser和Daniel Gruss在最近證明了這一點。
SGX在2015年隨著第六代Intel Core處理器推出,存在於Intel的Core和Xeon處理器並支援各種硬體。它是中央處理器(CPU)指令集的架構擴展,用來保護資料不被洩露或修改。作法是讓應用程式能夠分區和分配記憶體區域,加密內容(如密碼、使用者資料)及限制對它們的存取。這是種非對稱保護,也就是說,作業系統或使用者應用程式不能存取安全區(enclave,Intel稱為指定位址空間)資料,但安全區(enclave)可以存取外部虛擬空間。
[相關新聞:SgxPectre可以從Intel SGX Enclaves取出資料]
根據研究人員的說法,駭客可以利用安全區(enclave)來隱藏惡意軟體。例如將勒索病毒的加密金鑰藏在記憶體內,讓系統更難修復。還可以用來執行未經授權的操作,如發送網路釣魚(Phishing)郵件和啟動分散式阻斷服務攻擊(DDoS)攻擊。駭客可以將惡意程式碼(如下載器)藏在受保護的安全區(enclave),讓惡意軟體解決方案無法觸及,同時可以下載並執行加密過的任意惡意程式碼。
繼續閱讀安全研究人員發現了一起多階段的攻擊鏈,利用RTF檔案的設計及微軟Office漏洞(CVE-2017-8570)來散播Formbook遠端存取木馬(RAT)。以下是企業要主動回應此威脅所需要了解的資訊:
[相關文章:Trickbot資料竊取程式加入躲避偵測和鎖住螢幕的功能]
Formbook具備鍵盤側錄和螢幕擷取功能
Formbook具備鍵盤側錄和螢幕擷取功能。它還可以下載其他惡意軟體或元件來竊取和外洩資料。研究人員指出,這版本的Formbook也含有銀行木馬中常見的惡意元件。
在2017年12月,趨勢科技發現數個網路犯罪集團散播Formbook及大量的其他資料竊取惡意軟體。他們的攻擊活動中也利用了RTF檔案,攻擊的是另一個漏洞(CVE-2017-11882)。
[延伸閱讀:中小型企業的資安挑戰可能需要第三方協助]
攻擊鏈
感染方式是雙管齊下。第一階段利用夾帶微軟Word文件(.docx)的垃圾郵件,文件檔內的frameset(包含載入文件所需框架的HTML標籤)內嵌了惡意網址。一旦受害者打開檔案,就會下載攻擊者所指定的物件並呈現在文件內。經過研究人員逆向工程一個Formbook樣本顯示,網址會連到另一個帶有漏洞攻擊RTF檔案的命令與控制(C&C)伺服器。這種攻擊不需要巨集和shellcode。 繼續閱讀
三月初發生了兩起破記錄的分散式阻斷服務 (DDoS) 事件。第一起是 GitHub 遭到史無前例 1.35 Tbps 的 DDoS 攻擊;五天後 Arbor Networks 證實,一家美國服務供應商遭到 1.7 Tbps 的 DDoS 攻擊。自從攻擊者開始濫用 Memcached 伺服器放大資源,分散式阻斷服務攻擊 (DDoS) 攻擊的等級就急遽上升。
Memcached 伺服器如何遭到濫用?
攻擊者假冒目標的 IP 位址,向許多 Memcached 伺服器送出請求,而目標接收到的回應流量,可能高於請求本身 50,000 倍,導致受害者的網站遭到龐大的惡意流量轟炸。這種手法類似於反射攻擊,其曾在 2013 年及 2014 年引發災情,但這次使用的服務不同,威力更加強大。
最近,Memcached 放大式攻擊的兩種概念驗證 (PoC) 漏洞程式碼,顯示出這類大規模 DDoS 攻擊的發動方式。第一個PoC 名為 Memcrashed,位於 Python 指令碼中,其藉由 Shodan 搜尋引擎鎖定易受攻擊的 Memcached 伺服器,再透過它們攻擊目標。只需幾秒鐘執行工具,就能完成這項過程。
第二個 PoC 則發佈在 Pastebin 上,其以 C 語言寫成,附有 17,000 個易受攻擊的 Memcached 伺服器清單。這個指令碼會使用清單上的伺服器,針對特定目標發動 DDoS 攻擊。
使用者該如何緩解這類威脅?
DDoS 攻擊利用 Memcached 伺服器的消息傳出後,尋求解決方案的討論也隨之展開。除了通用的 DDoS 防護服務以外,有位研究人員提出一種針對 Memcached 伺服器的緩解技術。
這項「銷毀開關 (kill switch)」的機制經測試證實完全有效。採取「全部清除」的方法,可使易受攻擊的伺服器快取徹底失效,進而阻止 DDoS 攻擊者的惡意酬載。
許多網站業主隨後展開行動,報告指出,數台明顯易受攻擊的 Memcached 伺服器在首起 DDoS 攻擊發生後停止運作。Memcached 團隊也著手處理伺服器濫用的問題,並於 2 月 28 日的安全版本更新中發佈 1.5.6 版。
除了將伺服器更新至最新版本,並使用「全部清除」的緩解技術之外,擔心遭受 DDoS 攻擊的使用者還可採取以下四個措施:
– 1008918-Identified Memcached Amplified Reflected Response
– 1008916-Identified Memcached Reflected UDP Traffic
DDoS 攻擊強度遽增,如今隨著 PoC 公開,預計攻擊會越來越頻繁。網路罪犯也會不斷嘗試強化威脅,並設法從攻擊中牟利。使用者必須保持優勢,搶先行動,保護好伺服器安全,防患於未然。
◎原文來源:PoC Exploits for Memcached DDoS Attacks Published Online
開發人員都會回收使用程式碼 – 畢竟如果沒有問題就不用改了。這也是開放原始碼如此受歡迎及有價值的原因 – 不需要從頭開發全新的程式碼,開發人員可以利用現有的開放原始碼,並且可以根據自己的需求來改寫。
不幸的是,不僅軟體開發商和其他白帽公司會這麼做 – 駭客也會回收並重新利用過去運作良好的舊漏洞攻擊碼來製造全新的威脅。更糟的是,這些被回收使用的惡意攻擊結合新且複雜的感染手法讓其變得更加難以防範。
大多數新的惡意軟體並不新
從各種關於新惡意軟體的統計數據中,很容易就會認定網際網路和聯網設備都充斥著惡意威脅。事實上,G Data報導在2017年第一季就發現了2,200萬個新惡意軟體。換句話說,這代表幾乎每4秒就會發現一個新惡意威脅。
雖然有相當數量的惡意軟體可供駭客選擇是真的,但其中有許多並不完全是新的。
“2017年第一季發現了2,200萬個新惡意軟體樣本。”
Secplicity指出:“其中有大部分就像是科學怪人一樣由各種程式碼拼湊而成,可能來自現有的惡意軟體或公開的漏洞和工具。”
就這樣,駭客利用現成的程式碼和功能再並加上特製功能來做出新的惡意軟體。
為甚麼要回收使用?
有好幾個理由會讓駭客選擇重複或回收使用。首先這節省了許多時間。不必為基本功能來撰寫新的程式碼,使用已知可行的程式碼更快更容易。而且就如安全分析師Marc Laliberte所指出,利用這方法節省的時間可以讓網路犯罪分子將注意力放在更重要的事情上。
“如果有人已經開發了可行的解決方案,就無須再多此一舉去重新開發”Laliberte寫道。“透過盡可能地複製程式碼,讓惡意軟體作者有更多時間專注在其他地方,如躲避偵測和避免歸因。”
除了重複使用程式碼來節省時間外,許多網路犯罪分子還會重複使用常見的威脅功能,因為它們已經經過時間證明能夠成功。這也是為什麼會出現無數的勒索病毒、魚叉式網路釣魚和其他攻擊的變種。 繼續閱讀