資安 - 資安趨勢部落格

藏在純文字檔的Jenkins外掛漏洞

2019 年 09 月 06 日2019 年 09 月 05 日趨勢科技 TrendMicro

Jenkins是一套被廣泛使用的開源自動化伺服器，讓 DevOps 開發人員可以有效率且可靠地建構、測試和部署軟體。為了讓 Jenkins 的模組化架構發揮最大作用，開發人員會用外掛程式來擴充核心功能，好擴展建構時的腳本功能。在本文撰寫時，Jenkins的外掛程式索引裡有超過1,600個社群貢獻的外掛程式。其中有些外掛程式會儲存未加密的純文字帳密。一旦發生資料外洩，網路犯罪分子就可能在組織不知情下取得這些資料。

Jenkins在7月11日和8月7日發布了資安通報，其中就包括了用純文字儲存帳密的問題。我們會在本文裡討論此漏洞會怎麼被利用以及受到影響的外掛程式：

CVE編號	外掛程式名稱	更新版本備註
CVE-2019-10348	Gogs	Gogs外掛程式版本1.0.15
CVE-2019-10350	Port Allocator	當前版本可能不安全。外掛程式可以使用。主動安全警告：用純文字格式儲存帳密
CVE-2019-10351	Caliper CI	主動安全警告：用純文字格式儲存帳密
CVE-2019-10378	TestLink	目前版本跟舊版本可能都不安全。主動安全警告：用純文字格式儲存帳密
CVE-2019-10385	eggPlant	外掛程式已停用

表1. Jenkins外掛程式出現的洩密漏洞

繼續閱讀

《看漫畫談資安》在公共場所使用無線網路( WiFi )的五個安全須知

2019 年 07 月 03 日2021 年 03 月 25 日趨勢科技 TrendMicro

無線網路為我們的生活帶來了許多便利，在餐廳、飯店、咖啡館、購物中心和公園等公共場所也都能方便的使用，甚至在飛機上都可以。讓我們在這些地方也都可以連線來進行交易和通訊。但就跟其他的網路技術一樣，它很容易遭受駭客攻擊，對你的行動裝置造成了潛在威脅。

在公共場所使用無線網路( WiFi )的五個安全須知媽媽：哇！到處都有Wi-Fi耶

在公共場所使用無線網路( WiFi )的五個安全須知-媽媽：而且不需要輸入密碼就能連結！
小明：安全嗎？

在公共場所使用無線網路( WiFi )的五個安全須知爺爺：你怎麼知道是這裡的Wi-Fi呢？

媽媽：一目瞭然啊

在公共場所使用無線網路( WiFi )的五個安全須知
小明：：跟店裡介紹的不同！

爺爺：那是偽裝的Wi-Fi熱點

媽媽：趕緊切斷

駭客如何在你使用無線上網時,襲擊你?

尤其是公共熱點並不安全，很容易就會被網路犯罪分子攻擊。在駭客有好些方法可以在你使用公共無線網路時進行攻擊ˋˇ裏提到五個重點:

在你連線時介入你和無線熱點來進行中間人攻擊，監視你的連線。
偽裝成合法無線熱點，做出“邪惡雙胞胎（evil twin）”，讓你在不知不覺下登入，再次讓他們能夠監視你所傳輸的資料。
監聽你在未加密網路傳輸的封包，使用WireShark等軟體讀取封包來分析取得身分資訊，好用在之後進一步的攻擊。
即時“劫持”連線，讀取連線時送到你裝置的cookie來存取你所登入的帳號。這通常被稱為“連線劫持（sidejacking）”。
最後，他們還可以“肩窺（shoulder-surf）”，從你背後偷看你的螢幕內容以及你的按鍵。駭客在擁擠的地方可以輕易的“竊聽”你的連線。

繼續閱讀

無檔案惡意程式(Fileless Malware)五種運作方式

2019 年 02 月 22 日2019 年 02 月 15 日趨勢科技 TrendMicro

無檔案惡意程式早已不是什麼新聞，但目前卻有日益增加的趨勢。事實上，根據報導，在針對企業的攻擊得逞案例當中，有 77% 都是使用無檔案惡意程式。這類惡意程式不像傳統惡意程式那樣容易被發現，而且會利用各種技巧來長期躲藏在系統內部，因此隨時可能對企業流程或營運基礎架構造成危害。

以下詳細說明無檔案式威脅的幾種運作方式以及如何加以防範。

一.經由文件漏洞攻擊來啟動惡意程式

無檔案式威脅也有可能經由傳統方式進入系統，例如經由 JavaScript 或 VisualBasic (VBA) 惡意巨集腳本並內嵌在 Office 文件、PDF 檔案、壓縮檔或看似無害的檔案內部。這些巨集一旦執行，就會運用一些正常的工具 (如 PowerShell) 來進一步啟動、下載和執行更多程式碼、腳本或惡意檔案。這些巨集腳本通常也是經由 PowerShell 之類的工具來執行，並且會經過加密編碼，讓資安軟體無法輕易偵測觸發其執行的關鍵字。

這些腳本可利用 PowerShell 來讀取並執行本機系統上的執行檔，或者直接執行已經在記憶體中的程式碼。但即使是後者也不算完全的無檔案式攻擊，因為歹徒還是需要先透過檔案挾帶巨集來入侵系統。

無檔案式威脅透過文件漏洞發動攻擊的過程。

一般使用者可藉由培養一些良好的資安習慣並提升職場的資安意識，來盡可能避免遭受這類攻擊的威脅，例如：針對一些不請自來的郵件或檔案應提高警覺，尤其是在開啟時會要求使用者啟用巨集或腳本功能的檔案。

至於企業，則可採用一些端點防護產品來防範這類經由垃圾郵件散播的無檔案式攻擊，例如：趨勢科技Smart Protection Suites及 Worry-Free Business Security 這兩套解決方案都能妥善保護企業和使用者，偵測相關的惡意檔案和垃圾郵件，攔截所有相關的惡意連結。此外，還有趨勢科技Deep Discovery進階網路安全防護可提供電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。趨勢科技Deep Discovery進階網路安全防護可偵測從遠端執行的腳本，即使它並未下載到端點裝置上。繼續閱讀

【資安】曾攻擊全球最大石油公司Shamoon/Disttrack 磁碟清除病毒,出現了新變種：你需要知道什麼

2018 年 12 月 19 日2018 年 12 月 24 日趨勢科技 TrendMicro

2012年全球最大石油公司遭駭 75%電腦受感染, 資安專家分析，造成3萬部電腦受影響的就是Shamoon病毒。2016年媒體報導沙烏地阿拉伯遭到「國家級」駭客攻擊 ,Shamoon 惡意程式出現升級版，攻擊沙國數個政府機關。近日趨勢科技看到了惡名昭彰的磁碟清除病毒Shamoon（又稱Disttrack）出現更新版本的報導。同時也發現了好幾個此版本Shamoon 的樣本（趨勢科技偵測為Trojan.Win32.DISTTRACK.AA和 Trojan.Win64.DISTTRACK.AA）。雖然無法確認此版本的病毒是否真的有在外面散播，但我們正在分析此病毒來確認其功能，因為它所可能帶來的破壞性影響。

趨勢科技的趨勢科技XGen™ 防護透過主動式技術（如行為分析和高保真機器學習）能夠保護使用者和企業不會遭受此磁碟清除病毒影響。以下是使用者和企業關於最新的Shamoon病毒所需要知道的資訊：

什麼是Shamoon/Disttrack？

Shamoon（或稱Disttrack）蠕蟲是種磁碟清除病毒。它會覆蓋掉受感染電腦內的檔案，同時會感染主開機紀錄（MBR）。它的第一代會覆蓋掉文件、圖像、影片和音樂檔，清除MBR並換成燃燒旗幟的圖檔。第二代使用的是張有名的難民照片。

新版本的Shamoon似乎具備相同的MBR清除功能。而據報跟之前刪除替換檔案的版本不同的是，這次有不可逆轉的加密檔案功能。它似乎也缺少一些元件，例如用於網路橫向移動及命令和控制（C&C）通訊的預設憑證。我們還在進行分析中，一旦有更新資訊就能夠加以確認。

這新版本的Shamoon/Disttrack有實際在外散播嗎？

根據報導，一個包含最新版 Shamoon的檔案從義大利上傳到VirusTotal。我們並沒有發現任何跡象顯示此版本的Shamoon有在外擴散。

繼續閱讀

【資安】AutoIt 蠕蟲透過可移除磁碟,散播無檔案後門程式BLADABINDI/njRAT

2018 年 12 月 14 日2018 年 12 月 22 日趨勢科技 TrendMicro

BLADABINDI（也被稱為njRAT/Njw0rm）是一種遠端存取工具（RAT），具備了鍵盤側錄、執行分散式阻斷服務攻擊” (DDoS)攻擊等眾多後門功能，一再地被重複運用在各種網路間諜活動中。事實上，BLADABINDI的可客製性及可從網路地下世界取得讓它成為一種常見的惡意威脅。趨勢科技前幾日就發現了一隻蠕蟲病毒Worm.Win32.BLADABINDI.AA，它會透過行動碟來散播並安裝無檔案版本的BLADABINDI後門程式。

雖然仍無法確切知道惡意檔案如何進入受感染系統，但其散播行為顯示出它會透過行動碟來進入系統。AutoIt除了是一種靈活且易於使用的腳本語言外，BLADABINDI如何去濫用它也很令人關心。它利用AutoIt（FileInstall命令）來將後門程式和主腳本編譯成單一的執行檔，讓後門程式難以被偵測到。