社交工程（social engineering ） - 資安趨勢部落格

人氣行動應用遊戲「Temple Run 2」出現 Android 山寨版,下載後強迫放送廣告

2013 年 01 月 24 日2013 年 01 月 25 日趨勢科技 TrendMicro

在 Apple App Store上發布不過幾天，山寨 Android 版 Temple Run 2 已經出現在某些網站上了。

在Apple App Store發表僅僅四天後就出現了廿萬次的下載，Temple Run 2在 Temple Run粉絲群和遊戲愛好者之間的確備受期待。這遊戲的Android版本原定在本週發表，但趨勢科技已經看到有些網站出現疑似 Android 版 Temple Run 2的販賣。

我們分析了一個號稱是 Temple Run 2的應用程式, 令使用者大失所望的是，這些應用程式都沒有執行真正的Temple Run遊戲。這被趨勢科技偵測為ANDROIDOS_FAKETEMPLRUN.A的應用程式會派送廣告給使用者。

趨勢科技還注意到有其他網站提供Temple Run 2。仔細查看一下其中一個網站上的描述，開發人員有對這應用程式做出聲明。雖然網站沒有出現任何惡意行為，利用Temple Run 2去誘騙使用者下載「桌布」應用程式（有些網站提供的是解謎應用程式等等）還是相當可疑。

雖然目前所看到的幾起事件都只會造成輕微的傷害。但隨著發表日期的接近，我們也可能會看到帶有更大破壞能力版本的出現。

高人氣可能帶來危險

這並不是第一次有可疑的開發者想要借用Temple Run受歡迎的程度了。甚至在它發表Android版本之前，趨勢科技就注意到有山寨版出現Android Market上，而Google也馬上將其刪除。其他高人氣的行動應用程式，像是Instagram、憤怒鳥和Farm Frenzy在過去也都出現過山寨版。

在我們的二〇一三年資安威脅繼續閱讀

假Java零時差漏洞修補程式,真勒索軟體

2013 年 01 月 22 日2013 年 01 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者：確保從可靠的來源下載，不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞（CVE-2012-3174）的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而，趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11，這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案，其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe（這兩個檔案都被偵測為BKDR_ANDROM.NTW）。一旦執行，這個後門程式會連到遠端伺服器，讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

JAVA_DLOADER.NTW 會下載並執行Up1.exe（BKDR_ANDROM.NTW）和Up2.exe（TSPY_KEYLOG.NTW）。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV的%User Temp%\{random file name}.exe。經過趨勢科技的分析，這個勒索軟體 Ransomware會鎖定使用者螢幕，並且嘗試連上特定網站以顯示警告訊息給使用者。

繼續閱讀

Tapjacking：一個尚未發展的Android威脅

2013 年 01 月 17 日2013 年 01 月 17 日趨勢科技 TrendMicro

使用社交工程陷阱( Social Engineering)技巧，開發者可以建立一個應用程式用來誘騙使用者去點一個特製的應用程式跳出視窗（稱為toast view”通知訊息視景”），讓它成為多種威脅的入口，這種攻擊被稱為tapjacking，會利用一個Android使用者互動（UI）組件內的特定漏洞。

這技術並不是很複雜，但會對Android使用者造成嚴重的安全問題。

在我們進入tapjacking的細節之前，讓我先簡單地解釋一下這個UI漏洞的出處。

簡介應用程式活動（Activity）

Android顯示UI元素是以活動（Activity）為單位。一個活動（Activity）是一個會佔據整個螢幕大小的系統組件，可以容納很多不同的視景（View），一個顯示在設備螢幕上的矩形區域。

下面是一個活動（Activity）的例子，它包含兩個視景（View），即（1）文字視景，這是使用者可以輸入文字的地方。還有（2）按鈕，讓使用者點（或輕觸）。如下所示，一個活動（Activity）可能會佔據整個螢幕，即使很大一部分是空的（或黑色）。下面是應用程式WarGames的一個活動（Activity）的擷圖（注：此擷圖並非來自惡意應用程式）：

一個應用程式有好幾個活動（Activity），每個活動（Activity）代表一個UI元素，可能會佔用整個螢幕。作業系統利用被稱為堆疊（Stack）的資料結構來管理不同的活動（Activity），最新的活動（Activity）會顯現在堆疊的頂端，而舊活動則會位在它下面。目前出現的活動始終都會顯現在頂端，是唯一可以回應使用者輕觸或滑動的活動（Activity）。

在大多數情況下，應用程式被設計成出現一個新活動（Activity）來顯示一個可能會佔據整個螢幕的新UI。不過也有例外。在某些情況下，一個應用程式可以只顯示視景（View），不需要將視景（View）放在一個活動（Activity）內部。這些例外就是對話框視景（Dialog View）和通知訊息視景（Toast View）。

對話框視景和通知訊息視景之間的不同

對話框視景主要是讓應用程式與使用者互動。這是個雙向的互動：對話框會顯示一些資訊給使用者，使用者可以透過輸入文字或點擊Widget元件，像是按鈕回應。而且，因為對話框視景是暫時出現，它被設計成盡可能的小，讓使用者仍然可以看到背後是什麼。使用者還是不能跟對話框背後的活動（Activity）互動。

至於通知訊息視景就更有趣了。根據Android，通知訊息（Toast）提供「關於在一個小的彈出視窗內的操作的簡單回應」。通常它只會佔據訊息所需的空間，而且使用者還是可以跟它背後的活動（Activity）互動。底下是一個範例：

取決於應用程式（和開發者），通知訊息視景可能會顯示一段簡短資訊（見上圖）。但它的大小並不是固定的。開發者可以自由設計自己的應用程式來顯示較大的通知訊息視景，甚至可以像下圖這樣包含圖片：

繼續閱讀

重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動

2013 年 01 月 16 日2013 年 01 月 17 日趨勢科技 TrendMicro

日前（2013 年1 月10 日），針對Java系統弱點的零時差攻擊（Zero-Day Exploit）爆發。這起攻擊事件背後是由類似黑洞漏洞攻擊組織（Black Hole Exploit Kit, BHEK）所發起，並藉此散播惡意勒索軟體 Ransomware—Reveton。（關於勒贖軟體相關介紹，請參考線上小學堂。）

甲骨文官方已於2013 年1 月13 日發佈緊急更新Java 7 update 11。針對此次的零時差攻擊，趨勢科技產品Deep Security與Intrusion Defense Firewall（IDF）漏洞規則編號1005177 Restrict Java Bytecode File (Jar/Class) Download早就可為用戶提供完善的防護；更在2013年1 月11 日釋出更新檔DSRU13-002 加強防範針對Java弱點所有可能的攻擊。Deep Security也可透過以下的DPI規則防範網路攻擊：

規則編號	規則名稱	防範弱點編號
1004711	Identified Malicious Java JAR Files	CVE-2013-0422
1005331	Ruby On Rails XML Processor YAML Deserialization DoS	CVE-2013-0156
1005328	Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability	CVE-2013-0156

此外，趨勢科技PC-cillin 2013雲端版、WFBS、OfficeScan 等產品病毒碼更新至版本9.649.00 以上，也能取得完整的安全防護，並可偵測以下相關惡意程式/網站：

惡意程式/網頁偵測名稱	偵測描述
JAVA_EXPLOIT.RG	惡意程式碼
HTML_EXPLOIT.RG	藏有惡意程式碼的網站
TROJ_REVETON.RG	惡意程式
TROJ_REVETON.RJ	惡意程式

此次更新也特別包含以下防護功能：

防範針對Java弱點的攻擊；
防範藏有惡意程式碼的網站；
防範下載惡意程式（勒贖軟體）。

另外，Deep Discovery透過其規則編號616 TCP_REVETON_REQUEST也可偵測 TROJ_REVETON的網路流量。

針對Java弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受攻擊的可能性語因應措施；
企業可選擇弱點屏蔽（Vulnerability shielding）或虛擬補丁（Virtual patch）等防護措施作為解決方案，如Trend Micro Deep Security 及Trend Micro Intrusion Defense Firewall。

針對RDP弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
一般預料此項弱點將成為網路蠕蟲攻擊目標，更甚者攻擊行為可能已開始進化，在弱點主機間蔓延（如同網路蠕蟲）；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受大規模網路蠕蟲攻擊的可能性；
企業可選擇弱點遮蔽(vulnerability shielding)或虛擬補丁等防護措施作為解決方案，如趨勢科技Deep Security和Trend Micro Intrusion Defense Firewall。

@延伸閱讀

如果必要的話，該如何使用Java?
後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器《Java 零時差漏洞攻擊》

關閉Java而非JavaScript(含停用 Java 指南)

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現，這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文（美國）、簡體中文（中國）、繁體中文（台灣）、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告，微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護：

1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
1005301 – Identified Suspicious JavaScript Encoded Window Location Object
1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後（use-after-free）漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的，趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發，這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後，當頁面重新載入時，它的引用會被再次使用並指向無效的記憶體位置，讓當前使用者執行任意程式碼。微軟的IE6、IE7，IE8都會受到影響，但新版本 – IE9、IE10則沒有這個漏洞。

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上，早在二〇〇九年就有出現過這種技術，不過他們同時也認為水坑攻擊在未來將會更加普遍，並且將專門用在目標攻擊上。為什麼呢？

Raimund對二〇一三年的預測裡提供了一個可能的答案，他說，攻擊者將更加著重於如何去佈署威脅，而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊，以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的，我們會發現所使用的方法都非常熟悉。然而，這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上，就好像魚叉式網路釣魚（Phishing）郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法，因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點，攻擊者所利用的不再僅僅是軟體漏洞，還有使用者本身。繼續閱讀