網路黑暗動機:網路犯罪集團和恐怖組織共同青睞的技術 

 

網路上的工具和服務總是無法避免地會被網路犯罪集團所濫用,這類案例不勝枚舉,而且無所不在。從攻擊軟體、網站及網站應用程式的漏洞,利用雲端服務來散佈惡意程式元件,到利用社群網站貼文和連結引誘不幸使用者掉入詐騙陷阱等等。不管未來將出現什麼樣的技術或服務,永遠都可能會遭到不當濫用。

在研究網路犯罪的過程當中,趨勢科技發現有一群人和網路犯罪集團一樣擅長利用合法的服務來從事不法行動,那就是恐怖組織。這些人可說本身就是網路犯罪分子,因為他們在網路上同樣也是從事違法行為。不過,這兩群人的動機截然不同:網路犯罪分子的動機是錢,恐怖分子的目標則是宣揚理念,而非散播惡意程式。

本文將探討網路犯罪分子和恐怖分子在利用網路科技與平台來達成目的時有何共通之處,並且著重於他們採用的方法、運用的服務,以及他們自行開發什麼樣的輔助工具,來方便追隨者更容易參與他們的行動。

避免在網路上留下可追查的蹤跡和身分,傳授「隱匿技巧教戰守則」

這兩種集團一向擅長利用原本專為有正當理由必須隱藏身分的使用者所開發的工具和服務。 繼續閱讀

Shellshock/bash 漏洞攻擊現身,ELF_BASHLITE.A可發動 DDoS 攻擊

Shellshock/bash 漏洞(包含在CVE-2014-7169)新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼,從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌,甚至是從資料庫竊取使用者資料以及其他更多事情。

趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A(也被稱為ELF_FLOODER.W),此惡意軟體可以發動分散式阻斷服務(DDoS)攻擊。它所會執行的指令包括有:

  • PING
  • GETLOCALIP
  • SCANNER
  • HOLD 暫停或是延後攻擊一給定時間
  • JUNK 垃圾洪水攻擊
  • UDP 用UDP封包做分散式阻斷服務攻擊
  • TCP 用TCP封包做分散式阻斷服務攻擊
  • KILLATTK – 終止攻擊執行緒
  • LOLNOGTFO – 終止僵屍機器人

它也可以做到暴力法登入,讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析,ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。

點小圖可放大

圖1、威脅感染示意圖(點入以看大圖)

 

下面是用來帶入惡意軟體進到系統的程式碼:  繼續閱讀

針對 NTP 協定的最新分散式阻斷服務 (DDoS) 攻擊早在 13 年前就有解法

 


 

網路犯罪者在 NTP 這個較不常用的 HTTP 通訊協定身上發現了一種校對時間之外的全新用法。本季,我們見到了一波專門針對該通訊協定漏洞的 DDoS 反射攻擊 (Reflection Attack)。這些攻擊利用已遭入侵的網路對目標發送海量的回覆封包和錯誤訊息。

安全性不足的預設伺服器設定會讓網路成為 DDoS 反射攻擊的來源。此外,由於許多伺服器都未變更過預設的服務組態設定,因此駭客才能快快樂樂地運用這項技巧來攻擊選定的目標。

但令人驚訝的是,這項攻擊早在 13 年前就已經有預防方法,那就是:BCP 38 (第 38 號當前最佳實務)。假使安全真的是 IT 系統管理員的優先要務的話,那麼這類攻擊根本就不應該發生。

IOE Time check Recent DDoS attacks against NTP has a 13-year-old solution.docx

 

851 215 FB Cover promotion812

萬物聯網時代,企業必要掌握的資安四大面向

萬物聯網資訊安全中心  多層次的資訊安全中心控管
萬物聯網駭客攻防手法  深度分析APT攻擊,建立完整的防禦架構
萬物聯網雲端防護架構  私有雲 、公有雲、混合雲的資訊安全
萬物聯網行動安全機制  企業行動裝置安全策略

當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】

 

 

免費的DDoS反射攻擊解決方案:已經等了十年

冒著老生常談的風險,現在可以看到越來越多分散式阻斷(DDoS)攻擊使用另一個基本的網路協定。這次所用的是網路時間協定(NTP)。它並不像DNS或HTTP那麼有名,但卻同樣重要。NTP用來同步多個網路設備的時間。沒有它,我們就要回到必須手動調整電腦時間的日子。有個解決這類攻擊的方法已經出現了十年,但遺憾的是並沒有被廣泛採用。

NTP的主要功能是從高精確來源(如GPS或銫原子鐘相容設備)來散播時間。我很抱歉地要告訴你,你電腦內的時鐘很爛。石英晶體振盪器的誤差率通常是1ppm(百萬分之一),或是每秒多或少一微秒。相當於每個月誤差半秒鐘,這聽起來並不那麼糟糕。

不幸的是,我們不知道在特定時間點,時鐘的誤差方式為何。而輕微的溫度變化也會影響石英震盪週期。此外,1GHz處理器(現在這算慢的了)在半秒鐘就經歷5億次週期。在叢集和分散式系統裡,知道現在是什麼時間變得至關重要。

NTP各點會交換UDP封包來比較它們所認為的時間。設定良好的客戶端會去檢查三個或更多的點以獲得更好的時間準確度。當有個點從參考時鐘認為自己的時間不再準確,它就會對時鐘做出微小的修正。這會讓系統時間慢慢改變,所以所有正在運行中的軟體不會被打亂。這是解決一個重要問題的簡單解決方案。

不幸的是,不法份子利用這關鍵服務來發動DDoS攻擊。NTP伺服器通常都是公開的,往往會接受來自任何人的連線。有個monlist指令可以透過UDP發送給NTP伺服器,要求伺服器回覆最近接觸過的各點列表。

這對故障排除很有用,但它也是攻擊者的理想工具。送個將來源地址偽裝成攻擊目標的小封包,伺服器就會很樂意的送一大包資料給攻擊目標。該伺服器越繁忙,攻擊就會越被放大。

IT管理者可以做些事情來避免在無意間成為幫兇(IPv6並不能解決這問題,NTP也在它上面運作)。首先,關閉未使用的服務。你會很驚訝地知道有多少系統仍然提供字元產生協定(chargen)服務。如果電腦並不是NTP伺服器,那它就不需要運行NTP伺服器軟體。這也同樣地適用在其他未使用的服務和協定上。  繼續閱讀

消除DNS反射阻斷式攻擊 (Denial-of-Service Attacks)

作者:Ben April(資深威脅研究員)

目前,趨勢科技看到利用DNS反射(reflection)或放大(amplification)技術來進行阻斷式攻擊的數量節節攀升。有許多種變形,但攻擊模式大致是一樣的:

  1. 攻擊者偽造來源IP地址(來自目標受害者)來發出DNS查詢封包。(可以將這它想成使用假的退信地址。)
  2. 查詢封包發送到接受外部網路查詢的DNS伺服器(也就是位在不同的ISP/網路,而非自己的網路)。此外,也會想辦法讓這DNS查詢封包可以盡可能地產生最大的回應。通常會使用DNSSEC,因為它所回應的封包會比其他DNS回應封包要大得多。
  3. 目標受害者會接收到過多的封包。有來自DNS伺服器的回應封包,或是送回給「發送者」的錯誤訊息。
  4. 透過DNS反射(reflection)技術,可以用相較起來較少量的機器(通常是用被入侵淪陷的機器)來對受害者產生巨大的流量。在一般情況下,被濫用的DNS伺服器甚至不會知道自己正在參與攻擊。
  5. 這類型的攻擊很難被追踪,因為來源IP地址已經是變造過的。你需要DNS伺服器管理者和他們網路服務供應商的大力協助才有辦法追查攻擊來源。

網路營運商和DNS伺服器管理者都可以幫忙消除這些攻擊。

網路營運商

據估計,有14.1%的網段,佔所有IP地址的16.8%被用來造假。這聽起來很少,但網際網路是個很大的地方。使用DNS反射攻擊會造成很大的傷害,即使只用到遠小於1%的IP地址。

在路由器或防火牆上啟動入口過濾(Ingress filtering)是防止網路成為這類型攻擊來源的一種作法。它可以防止路由器傳送來源地址跟收到介面的網路不符的封包。這就好像是郵局拒絕一封退信地址是來自外地的外寄郵件。

但這並不能阻止位在相同網路上的機器發起欺騙攻擊,但它可以防止機器對外部網路發起欺騙攻擊。對這,最好的參考資料之一就是BCP-38,它詳細介紹了如何實現這類型的過濾。

DNS伺服器管理者

網路營運商的DNS伺服器在對付這種威脅上也扮演了一定的角色。如果你管理可以開放讓外部查詢的DNS伺服器,那你的確應該允許網路上的任意機器來查詢你底下伺服器的網域。但如果是那些不屬於你的網域呢?

繼續閱讀