物聯網 (IoT)會成為網路勒索的新天地?

 

由各式各樣蒐集和交換資訊的裝置所構成的物聯網向來是網路犯罪集團覬覦的對象,因為 IoT 的普及率正在不斷上升。根據 Gartner 預估,2020 年全球使用中的 IoT 裝置數量將超過 208 億,屆時超過一半以上的企業流程和系統都將運用到 IoT,其中大型企業將是 IoT 營收的主要動力。

然而,網路犯罪集團如何利用這波浪潮?IoT 裝置儘管擁有最新的硬體和應用程式,但大多數卻仍在使用一些過時的通訊協定與作業系統 (OS)。例如,遠端遙控燈泡及 Wi-Fi 連線的車內資訊系統 (In-Vehicle Infotainment,簡稱 IVI),大多使用 Linux 作業系統,並以缺乏安全組譯功能的 C 語言開發。此外,也採用 TCP/IP (1989,RFC 1122)、ZigBee (2004 規格)、CAN 2.0 (1991) 這類過時的通訊協定來連接,歹徒只要成功利用這些通訊協定的漏洞,就能從遠端遙控裝置。

例如,針對 TCP/IP 通訊協定,歹徒可發動中間人攻擊來侵入 IoT 裝置網路,從中攔截裝置的通訊流量,進而遙控裝置。

 

圖 1:TCP/IP 中間人攻擊示意圖。
圖 1:TCP/IP 中間人攻擊示意圖。

歹徒在駭入 IoT 裝置時會經過以下幾個步驟:

敵情偵察與概念驗證 (PoC)

駭客會先針對目標裝置進行一番研究,尋找可能的弱點,並透過概念驗證來發掘可利用的漏洞。這些概念驗證包括:車內資訊系統內建數位音訊廣播接收器可能存在的漏洞,以及連網燈泡的安全認證漏洞,這使得就算是與外界隔離的網路也可能發生資料外洩。

在這個階段,駭客的主要工作包括:

  1. 尋找裝置是否使用預設或內建的登入帳號密碼。
  2. 利用軟體測試工具來攻擊通訊協定的漏洞,如通訊協定或參數測試工具。
  3. 尋找是否有輸入檢查方面的疏失 (如:緩衝區溢位、SQL 隱碼攻擊)。

此外,駭客還有像 Modbus FuzzerCANard 這類開放原始碼的工具可加快整個流程,兩者都能在 Github 程式碼代管服務網站中找到。

圖 2:american fuzzy lop 2.06b 測試工具運作畫面,該軟體可分析大量資料來尋找漏洞。
圖 2:american fuzzy lop 2.06b 測試工具運作畫面,該軟體可分析大量資料來尋找漏洞。

 

 

取得裝置控制權

接下來,駭客將利用找到的漏洞奪取 IoT 裝置的控制權,可能的方式包括:

  • 藉由漏洞攻擊或預設的使用者帳號密碼來進入裝置,接著搜尋可橫向移動的內部網路。
  • 在裝置當中安裝殭屍程式來建立殭屍網路,進一步掌控裝置網路。
  • 發動分散式阻斷服務攻擊 (DDoS),這類攻擊需要大量的資料來癱瘓網路,而分布廣泛的 IoT 裝置正好提供一個良好的環境來發動 DDoS 攻擊。例如,最近發生的一個案例就是利用數以千計遭到殭屍化的監視攝影機來發動 DDoS 攻擊。

    圖 3:利用 TCP/IP 的漏洞來發動 SYN 洪水攻擊 (阻斷服務攻擊的一種)。
    圖 3:利用 TCP/IP 的漏洞來發動 SYN 洪水攻擊 (阻斷服務攻擊的一種)。

Continue reading “物聯網 (IoT)會成為網路勒索的新天地?"

Cerber勒索病毒利用雲端平台,感染家庭用戶和企業


Cerber勒索病毒
利用雲端平台來感染家庭用戶和企業,雖然這些平台跟桌面系統是同樣地安全,但鑑於CERBER的社交工程技倆,比如偽裝成收據或債務本票,建議使用者要停用Office程式的巨集功能,開啟未知或可疑寄件者的郵件附件檔時要謹慎小心,好的備份策略也可以有效的對抗勒索病毒

隨著雲端服務日漸被一般使用者採用,網路犯罪分子也同樣地想辦法來濫用它們,利用它們來散播惡意軟體。相對地,惡意分子也希望透過攻擊企業所採用的雲端生產力平台來將處理敏感企業資料的用戶變成受害者,當資料無法存取時就會對業務運作造成嚴重的影響。

一個典型的例子:CERBER勒索病毒 Ransomware (勒索軟體/綁架病毒),它的最新變種被趨勢科技偵測為RANSOM_CERBER.CAD,被發現會針對微軟的雲端辦公室方案:Office 365的使用者,特別是家庭用戶和企業。

CERBER最新變種會產生四個勒贖通知:聲音版本勒贖通知的VBS檔案,打開預設瀏覽器連到付費網站的.url檔案,然後還有.html和.txt檔案(如上所示)。
CERBER最新變種會產生四個勒贖通知:聲音版本勒贖通知的VBS檔案,打開預設瀏覽器連到付費網站的.url檔案,然後還有.html和.txt檔案(如上所示)。

 

Cerber 是少數利用電腦語音念出勒贖通知的勒索病毒

自從三月出現肆虐以來,CERBER勒索病毒家族也有所更新,加入了新功能,如分散式阻斷服務攻擊 (DDoS)攻擊及利用雙重壓縮Windows腳本檔案(WSF)來躲避啟發式分析並繞過垃圾郵件(SPAM)過濾程式。身為少數利用電腦語音念出勒贖通知的勒索病毒是它的獨特之處,它的原始碼甚至在俄羅斯地下市場內以勒索病毒即服務(Ransomware-as-a-Service)的商業模式交易,好讓網路犯罪運作賺更多的黑心錢。這惡意軟體主要透過惡意廣告活動加上Nuclear漏洞攻擊套件的攻擊組合來散播。

Cerber勒索病毒帶有惡意附件(此例中為Word範本檔案)偽裝成收據或債務本票的垃圾郵件樣本。
Cerber勒索病毒帶有惡意附件(此例中為Word範本檔案)偽裝成收據或債務本票的垃圾郵件樣本。

 

Continue reading “Cerber勒索病毒利用雲端平台,感染家庭用戶和企業"

網路黑暗動機:網路犯罪集團和恐怖組織共同青睞的技術 

 

網路上的工具和服務總是無法避免地會被網路犯罪集團所濫用,這類案例不勝枚舉,而且無所不在。從攻擊軟體、網站及網站應用程式的漏洞,利用雲端服務來散佈惡意程式元件,到利用社群網站貼文和連結引誘不幸使用者掉入詐騙陷阱等等。不管未來將出現什麼樣的技術或服務,永遠都可能會遭到不當濫用。

在研究網路犯罪的過程當中,趨勢科技發現有一群人和網路犯罪集團一樣擅長利用合法的服務來從事不法行動,那就是恐怖組織。這些人可說本身就是網路犯罪分子,因為他們在網路上同樣也是從事違法行為。不過,這兩群人的動機截然不同:網路犯罪分子的動機是錢,恐怖分子的目標則是宣揚理念,而非散播惡意程式。

本文將探討網路犯罪分子和恐怖分子在利用網路科技與平台來達成目的時有何共通之處,並且著重於他們採用的方法、運用的服務,以及他們自行開發什麼樣的輔助工具,來方便追隨者更容易參與他們的行動。

避免在網路上留下可追查的蹤跡和身分,傳授「隱匿技巧教戰守則」

這兩種集團一向擅長利用原本專為有正當理由必須隱藏身分的使用者所開發的工具和服務。 Continue reading “網路黑暗動機:網路犯罪集團和恐怖組織共同青睞的技術 “

Shellshock/bash 漏洞攻擊現身,ELF_BASHLITE.A可發動 DDoS 攻擊

Shellshock/bash 漏洞(包含在CVE-2014-7169)新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼,從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌,甚至是從資料庫竊取使用者資料以及其他更多事情。

趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A(也被稱為ELF_FLOODER.W),此惡意軟體可以發動分散式阻斷服務(DDoS)攻擊。它所會執行的指令包括有:

  • PING
  • GETLOCALIP
  • SCANNER
  • HOLD 暫停或是延後攻擊一給定時間
  • JUNK 垃圾洪水攻擊
  • UDP 用UDP封包做分散式阻斷服務攻擊
  • TCP 用TCP封包做分散式阻斷服務攻擊
  • KILLATTK – 終止攻擊執行緒
  • LOLNOGTFO – 終止僵屍機器人

它也可以做到暴力法登入,讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析,ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。

點小圖可放大

圖1、威脅感染示意圖(點入以看大圖)

 

下面是用來帶入惡意軟體進到系統的程式碼:  Continue reading “Shellshock/bash 漏洞攻擊現身,ELF_BASHLITE.A可發動 DDoS 攻擊"

針對 NTP 協定的最新分散式阻斷服務 (DDoS) 攻擊早在 13 年前就有解法

 


 

網路犯罪者在 NTP 這個較不常用的 HTTP 通訊協定身上發現了一種校對時間之外的全新用法。本季,我們見到了一波專門針對該通訊協定漏洞的 DDoS 反射攻擊 (Reflection Attack)。這些攻擊利用已遭入侵的網路對目標發送海量的回覆封包和錯誤訊息。

安全性不足的預設伺服器設定會讓網路成為 DDoS 反射攻擊的來源。此外,由於許多伺服器都未變更過預設的服務組態設定,因此駭客才能快快樂樂地運用這項技巧來攻擊選定的目標。

但令人驚訝的是,這項攻擊早在 13 年前就已經有預防方法,那就是:BCP 38 (第 38 號當前最佳實務)。假使安全真的是 IT 系統管理員的優先要務的話,那麼這類攻擊根本就不應該發生。

IOE Time check Recent DDoS attacks against NTP has a 13-year-old solution.docx

 

851 215 FB Cover promotion812

萬物聯網時代,企業必要掌握的資安四大面向

萬物聯網資訊安全中心  多層次的資訊安全中心控管
萬物聯網駭客攻防手法  深度分析APT攻擊,建立完整的防禦架構
萬物聯網雲端防護架構  私有雲 、公有雲、混合雲的資訊安全
萬物聯網行動安全機制  企業行動裝置安全策略

當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】

 

 

免費的DDoS反射攻擊解決方案:已經等了十年

冒著老生常談的風險,現在可以看到越來越多分散式阻斷(DDoS)攻擊使用另一個基本的網路協定。這次所用的是網路時間協定(NTP)。它並不像DNS或HTTP那麼有名,但卻同樣重要。NTP用來同步多個網路設備的時間。沒有它,我們就要回到必須手動調整電腦時間的日子。有個解決這類攻擊的方法已經出現了十年,但遺憾的是並沒有被廣泛採用。

NTP的主要功能是從高精確來源(如GPS或銫原子鐘相容設備)來散播時間。我很抱歉地要告訴你,你電腦內的時鐘很爛。石英晶體振盪器的誤差率通常是1ppm(百萬分之一),或是每秒多或少一微秒。相當於每個月誤差半秒鐘,這聽起來並不那麼糟糕。

不幸的是,我們不知道在特定時間點,時鐘的誤差方式為何。而輕微的溫度變化也會影響石英震盪週期。此外,1GHz處理器(現在這算慢的了)在半秒鐘就經歷5億次週期。在叢集和分散式系統裡,知道現在是什麼時間變得至關重要。

NTP各點會交換UDP封包來比較它們所認為的時間。設定良好的客戶端會去檢查三個或更多的點以獲得更好的時間準確度。當有個點從參考時鐘認為自己的時間不再準確,它就會對時鐘做出微小的修正。這會讓系統時間慢慢改變,所以所有正在運行中的軟體不會被打亂。這是解決一個重要問題的簡單解決方案。

不幸的是,不法份子利用這關鍵服務來發動DDoS攻擊。NTP伺服器通常都是公開的,往往會接受來自任何人的連線。有個monlist指令可以透過UDP發送給NTP伺服器,要求伺服器回覆最近接觸過的各點列表。

這對故障排除很有用,但它也是攻擊者的理想工具。送個將來源地址偽裝成攻擊目標的小封包,伺服器就會很樂意的送一大包資料給攻擊目標。該伺服器越繁忙,攻擊就會越被放大。

IT管理者可以做些事情來避免在無意間成為幫兇(IPv6並不能解決這問題,NTP也在它上面運作)。首先,關閉未使用的服務。你會很驚訝地知道有多少系統仍然提供字元產生協定(chargen)服務。如果電腦並不是NTP伺服器,那它就不需要運行NTP伺服器軟體。這也同樣地適用在其他未使用的服務和協定上。  Continue reading “免費的DDoS反射攻擊解決方案:已經等了十年"

消除DNS反射阻斷式攻擊 (Denial-of-Service Attacks)

作者:Ben April(資深威脅研究員)

目前,趨勢科技看到利用DNS反射(reflection)或放大(amplification)技術來進行阻斷式攻擊的數量節節攀升。有許多種變形,但攻擊模式大致是一樣的:

  1. 攻擊者偽造來源IP地址(來自目標受害者)來發出DNS查詢封包。(可以將這它想成使用假的退信地址。)
  2. 查詢封包發送到接受外部網路查詢的DNS伺服器(也就是位在不同的ISP/網路,而非自己的網路)。此外,也會想辦法讓這DNS查詢封包可以盡可能地產生最大的回應。通常會使用DNSSEC,因為它所回應的封包會比其他DNS回應封包要大得多。
  3. 目標受害者會接收到過多的封包。有來自DNS伺服器的回應封包,或是送回給「發送者」的錯誤訊息。
  4. 透過DNS反射(reflection)技術,可以用相較起來較少量的機器(通常是用被入侵淪陷的機器)來對受害者產生巨大的流量。在一般情況下,被濫用的DNS伺服器甚至不會知道自己正在參與攻擊。
  5. 這類型的攻擊很難被追踪,因為來源IP地址已經是變造過的。你需要DNS伺服器管理者和他們網路服務供應商的大力協助才有辦法追查攻擊來源。

網路營運商和DNS伺服器管理者都可以幫忙消除這些攻擊。

網路營運商

據估計,有14.1%的網段,佔所有IP地址的16.8%被用來造假。這聽起來很少,但網際網路是個很大的地方。使用DNS反射攻擊會造成很大的傷害,即使只用到遠小於1%的IP地址。

在路由器或防火牆上啟動入口過濾(Ingress filtering)是防止網路成為這類型攻擊來源的一種作法。它可以防止路由器傳送來源地址跟收到介面的網路不符的封包。這就好像是郵局拒絕一封退信地址是來自外地的外寄郵件。

但這並不能阻止位在相同網路上的機器發起欺騙攻擊,但它可以防止機器對外部網路發起欺騙攻擊。對這,最好的參考資料之一就是BCP-38,它詳細介紹了如何實現這類型的過濾。

DNS伺服器管理者

網路營運商的DNS伺服器在對付這種威脅上也扮演了一定的角色。如果你管理可以開放讓外部查詢的DNS伺服器,那你的確應該允許網路上的任意機器來查詢你底下伺服器的網域。但如果是那些不屬於你的網域呢?

Continue reading “消除DNS反射阻斷式攻擊 (Denial-of-Service Attacks)"

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

 

BKDR_ADDNEW 惡意程式 (也就是地下網路上所稱的「DaRK DDoSseR」) 是一個可從事 DDOS 分散式阻斷服務攻擊的工具,同時又具備了密碼竊取能力、瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。該工具的售價大約 30 美元,已經出現好幾年了。

某些感染 BKDR_ADDNEW 程式的電腦後來也感染了 Gh0st RAT 惡意程式。儘管 Gh0st RAT 曾經出現在許多鎖定目標攻擊,但此工具及其多個變種一直為 APT攻擊/進階持續性威脅 (Advanced Persistent Threat, APT)者與網路犯罪者所廣泛採用。

在執行時,BKDR_ADDNEW 會連線至一個 TCP 連接埠來接收遠端犯罪者的指令 (我們分析過一些使用連接埠443, 3176 和 3085 的樣本,但其預設連接埠為 3175)。
可能接收到的一些指令包括:下載檔案、竊取 Mozilla Firefox 密碼、顯示 DNS 資訊以及傳送應用程式權限等等。此外,它還能發動阻斷服務 (DOS) 攻擊。

趨勢科技的調查所知,BKDR_ADDNEW 內建了讓歹徒「更新」惡 Continue reading “APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”"

BBC 遭伊朗發動蓋台攻擊?

作者:趨勢科技資深分析師Rik Ferguson

 在BBC總裁 – Mark Thompson的部落格文章,還有BBC新聞首頁上的後續文章裡,該公司控訴伊朗當局騷擾並恐嚇他們在國內的員工,並且利用技術行動來做言論箝制。

 文章裡提到,BBC的波斯語廣播訊號被蓋台,而且在同一天裡,阻斷服務還攻擊了該廣播服務的倫敦辦事處,透過自動撥號來癱瘓他們的電話總機。

 由BBC所提供的攻擊細節裡,很快的就可以得出結論,就是伊朗需要為這些攻擊負責。透過自動撥號對語音服務做阻斷式攻擊是比較簡單的事情,事實上,這類型的服務在地下黑市裡都有提供,但我還沒有看過有人宣傳可以提供廣播入侵能力或訊號干擾,特別是在伊朗境內。

 用電話作分散式阻斷攻擊,就跟比較為人所知的網路分散式阻斷式攻擊一樣,最有效的解決方案是在服務供應商這層。在傳統市話線路POTS的設定下,撥入的電話是可以加以過濾的,比方說利用發號人或是頻率來過濾。但如果是VoIP,訊號和媒介速率都可以在供應商端和本地端利用VoIP防火牆來加以限制。但是,就跟許多網站所有人所面對的問題一樣,DDoS攻擊雖然已經是老舊的技術了,但仍然有效而難以對付。受害者的資源是有限的,攻擊者只要有足夠的能力跟堅持,就可以去癱瘓他們。想解決對電話系統的DDoS攻擊,就跟面對其他類型的DDoS攻擊一樣,需要持續不斷的努力。外部系統需要加以強化,停掉所有不必要的服務,也需要加強認證機制以減少被濫用的機會。當然,防火牆和服務供應商端的安全措施也都很重要。

 至於發射訊號做出干擾,將發射機調到跟接收設備相同調頻,只要夠強力跟夠近,就可以蓋掉任何接收信號。衛星干擾在伊朗並不是什麼新鮮事,在其他地方或許也是。

 自從第二次世界大戰以來,多數需要將內容發送到「不友好」地區的傳媒機構都已經對訊號干擾很熟悉了,但在這方面,可以解決的方法還是不多。而且每個國家也都被認為有權力控制在自己的領空內所收到的信號,就像英國政府在70年代封鎖海盜電台廣播一樣。

 而這個事件也提醒了我們,雖然世界因為各種基礎建設(像是網路)變得更加緊密,更像一個整體。但國家和犯罪集團也會繼續投入大量資源來研究如何攻擊它們的弱點,而且往往都會有顯著的效果。

 @原文出處:BBC attacked by Iran?

 

 
◎ 歡迎加入趨勢科技社群網站