無需巨集:深入解析利用RTF的設計及Office的漏洞散播的Formbook RAT

安全研究人員發現了一起多階段的攻擊鏈,利用RTF檔案的設計及微軟Office漏洞(CVE-2017-8570)來散播Formbook遠端存取木馬(RAT)。以下是企業要主動回應此威脅所需要了解的資訊:

[相關文章:Trickbot資料竊取程式加入躲避偵測和鎖住螢幕的功能]

無需巨集:深入解析利用RTF的設計及Office的漏洞散播的Formbook RAT

Formbook具備鍵盤側錄和螢幕擷取功能

Formbook具備鍵盤側錄和螢幕擷取功能。它還可以下載其他惡意軟體或元件來竊取和外洩資料。研究人員指出,這版本的Formbook也含有銀行木馬中常見的惡意元件。

在2017年12月,趨勢科技發現數個網路犯罪集團散播Formbook及大量的其他資料竊取惡意軟體。他們的攻擊活動中也利用了RTF檔案,攻擊的是另一個漏洞(CVE-2017-11882)。

 

[延伸閱讀:中小型企業的資安挑戰可能需要第三方協助]

 

攻擊鏈

感染方式是雙管齊下。第一階段利用夾帶微軟Word文件(.docx)的垃圾郵件,文件檔內的frameset(包含載入文件所需框架的HTML標籤)內嵌了惡意網址。一旦受害者打開檔案,就會下載攻擊者所指定的物件並呈現在文件內。經過研究人員逆向工程一個Formbook樣本顯示,網址會連到另一個帶有漏洞攻擊RTF檔案的命令與控制(C&C)伺服器。這種攻擊不需要巨集和shellcode。 Continue reading “無需巨集:深入解析利用RTF的設計及Office的漏洞散播的Formbook RAT”

「Mosquito 蚊子」發動攻擊, 電腦喇叭洩漏資料

以色列的內蓋夫本-古里安大學 (Ben-Gurion University of the Negev) 的研究人員最近示範了一種他們命名為「Mosquito」(蚊子) 的概念驗證攻擊,利用喇叭或耳機從連網或隔離的電腦將資料外傳。

「Mosquito 蚊子」發動攻擊, 電腦喇叭洩漏資料

這篇名為「Mosquito: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-Speaker Communication」(蚊子:利用超音波讓兩台隔離的電腦經由喇叭對喇叭的方式暗中進行通訊) 的研究報告,詳細說明了如何利用電腦的音效孔來暗中進行資料傳輸。這項技巧是將接收端的音訊輸出孔轉換成輸入孔,然後將喇叭當成麥克風使用。今日的音效晶片大多具備插孔轉換的功能,只需透過軟體設定就能達成。針對這項實驗,研究人員特別設計了一個惡意程式來將喇叭或耳機當成麥克風使用。兩台機器之間的資料傳輸是透過超音波來進行 (最遠可達  9 公尺)。 Continue reading “「Mosquito 蚊子」發動攻擊, 電腦喇叭洩漏資料”

新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器

資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動,利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。

新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器

RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構,根據研究,全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令,將加密虛擬貨幣挖礦惡意程式下載至伺服器上。

[資安基礎觀念:加密虛擬貨幣挖礦惡意程式的負面影響]

此外,在追查這項攻擊行動的過程當中,研究人員還發現一個指令列腳本 (shell script),該腳本用來:

  • 下載加密虛擬貨幣挖礦惡意程式。
  • 利用 Linux 上的 crontab 工作排程器來讓自己在系統上不斷執行。
  • 在感染的系統上建立一個新的 Secure Shell (SSH) 金鑰以便從遠端連線。

Continue reading “新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器”

CIGslip 駭客技巧可讓駭客避開 Microsoft Code Integrity Guard 程式碼完整性保護機制

 

資安研究人員發現了一種可避開 Microsoft Code Integrity Guard (CIG) 程式碼完整性保護機制的攻擊技巧,將惡意程式庫注入受 CIG 保護的應用程式和執行程序,例如 Microsoft Edge 瀏覽器。

CIGslip 駭客技巧可讓駭客避開 Microsoft Code Integrity Guard 程式碼完整性保護機制

CIG 如何運作?

CIG 是從 Windows 10 和 Windows Server 2016 開始導入的一項程式碼保護機制,屬於 Device Guard 裝置保護機制的一環,Microsoft 的 Edge 瀏覽器即支援 CIG。第三方軟體廠商也可在自己的應用程式當中加入 CIG 機制。支援 CIG 的應用程式只能載入 Microsoft 和 Windows Store 簽署的動態連結程式庫 (DLL) 和二進位檔案,如此可防止應用程式被注入不肖的程式碼。此外,CIG 也可攔截銀行木馬程式在瀏覽器 (如 Edge) 內顯示網路釣魚內容的程式碼。

[資訊安全指南:如何防範網頁注入]

CIGslip 如何避開 CIG 機制?

這個稱為「CIGslip」的攻擊技巧能避開 CIG 的保護機制,不需在系統記憶體內注入未經簽署的程式碼。惡意程式可利用 CIGslip 的技巧模仿正常 DLL 載入執行程序的方式來避開 CIG 的保護。接著,將無 CIG 保護的執行程序內部的惡意程式碼載入受 CIG 保護的執行程序當中,這就是駭客將其程式碼注入應用程式的方式。 Continue reading “CIGslip 駭客技巧可讓駭客避開 Microsoft Code Integrity Guard 程式碼完整性保護機制”

電子郵件軟體Exim爆漏洞,超過40萬台伺服器面臨嚴重漏洞風險

台灣研究人員最近在被廣泛使用(但低調)的電子郵件軟體Exim中發現一個嚴重的漏洞。如果遭受攻擊,這個漏洞可以讓攻擊者遠端執行惡意程式碼。安全報告指出至少有40萬台伺服器面臨風險。

這是一個影響廣泛的問題,尤其是因為網路上的郵件伺服器有56%運行Exim(根據2017年3月的調查)。Exim是個郵件傳輸代理程式(MTA),將郵件從寄件者傳送到收件者的軟體,基本上是用作中繼程式。

Exim開發人員已經在版本4.90.1修復了此漏洞,此版本在2月8日發布(漏洞報告發布後三天)。他們建議使用者要立刻安裝這個修補程式,並且表示之前的所有版本都已經過期。但是考慮到受影響伺服器的數量,可能需要數週甚至數個月才能更新完所有有漏洞的伺服器。

 

Exim漏洞的詳細資訊

研究人員將此問題歸類為”認證前遠端程式碼執行”漏洞,並將其編號為CVE-2018-6789。這是位於base64解碼函式內的單字元緩衝區溢位問題。透過將特製內容送入有漏洞的Exim伺服器就可能讓攻擊者遠端執行程式碼。 Continue reading “電子郵件軟體Exim爆漏洞,超過40萬台伺服器面臨嚴重漏洞風險”

SgxPectre可從Intel SGX Enclave取得資料

俄亥俄州立大學最近的一篇研究報告詳細介紹英特爾(Intel)軟體防護擴充指令集(SGX)遭受Spectre攻擊的最新情況。SGX是英特爾(Intel)現代處理器的一項功能,它將選定程式碼及資料管控在”飛地(enclave)”以保護它們不會被洩露或竄改。如果這被研究人員稱為SgxPectre的攻擊成功,攻擊者就可以從飛地(enclave)取得資料。

SgxPectre可從Intel SGX Enclave取得資料

當使用者在應付今年一月所披露的英特爾(Intel)處理器漏洞Meltdown和Spectre時,這些嚴重漏洞似乎並未影響到SGX飛地(enclave)。飛地(enclave)的安全設計是即使是作業系統也不能存取其內容。

這個攻擊使用了Spectre漏洞加上現有SGX執行時函式庫(runtime library)內有弱點的程式碼,可以完全存取受防護飛地(enclave)的內容。這些漏洞存在於執行時函式庫(runtime library) – Intel SGX SDK,Rust-SGX和Graphene-SGX特別被指出。

研究人員展示這個漏洞攻擊時補充:”SGXPECTRE建立了惡意的SGX飛地(enclave)來與其他飛地(enclave)共存,再使用旁路攻擊(side-channel)觀察快取追蹤和分支預測延遲。” Continue reading “SgxPectre可從Intel SGX Enclave取得資料”

交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!

可根據使用者的 Facebook 和 Spotify 資料,讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱,這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。

[來自TrendLabs Intelligence BlogTinder、Grindr和OKCupid網路應用程式是否會被惡意用在網路間諜活動?]

交友 app  爆漏洞,用電話號碼就能劫持 Tinder 帳號!

什麼是Facebook Account Kit

Facebook的Account Kit讓第三方開發者可以簡化應用程式流程,使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊,系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。

Account Kit不只用在iOSAndroid。它也支援Web和行動Web應用程式(無論是否啟用JavaScript)。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。

[閱讀:Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]

 

Account Kit漏洞如何被利用? Continue reading “交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!”

駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!

開發人員都會回收使用程式碼 – 畢竟如果沒有問題就不用改了。這也是開放原始碼如此受歡迎及有價值的原因 – 不需要從頭開發全新的程式碼,開發人員可以利用現有的開放原始碼,並且可以根據自己的需求來改寫。

不幸的是,不僅軟體開發商和其他白帽公司會這麼做 – 駭客也會回收並重新利用過去運作良好的舊漏洞攻擊碼來製造全新的威脅。更糟的是,這些被回收使用的惡意攻擊結合新且複雜的感染手法讓其變得更加難以防範。

駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!

大多數新的惡意軟體並不新

從各種關於新惡意軟體的統計數據中,很容易就會認定網際網路和聯網設備都充斥著惡意威脅。事實上,G Data報導在2017年第一季就發現了2,200萬個新惡意軟體。換句話說,這代表幾乎每4秒就會發現一個新惡意威脅。

雖然有相當數量的惡意軟體可供駭客選擇是真的,但其中有許多並不完全是新的。

“2017年第一季發現了2,200萬個新惡意軟體樣本。”

Secplicity指出:“其中有大部分就像是科學怪人一樣由各種程式碼拼湊而成,可能來自現有的惡意軟體或公開的漏洞和工具。”

就這樣,駭客利用現成的程式碼和功能再並加上特製功能來做出新的惡意軟體。

 

為甚麼要回收使用?

有好幾個理由會讓駭客選擇重複或回收使用。首先這節省了許多時間。不必為基本功能來撰寫新的程式碼,使用已知可行的程式碼更快更容易。而且就如安全分析師Marc Laliberte所指出,利用這方法節省的時間可以讓網路犯罪分子將注意力放在更重要的事情上。

“如果有人已經開發了可行的解決方案,就無須再多此一舉去重新開發”Laliberte寫道。“透過盡可能地複製程式碼,讓惡意軟體作者有更多時間專注在其他地方,如躲避偵測和避免歸因。”

除了重複使用程式碼來節省時間外,許多網路犯罪分子還會重複使用常見的威脅功能,因為它們已經經過時間證明能夠成功。這也是為什麼會出現無數的勒索病毒、魚叉式網路釣魚和其他攻擊的變種。 Continue reading “駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!”

Uber 爆漏洞,雙重認證機制出包

2017 年 11 月,全球叫車共乘大廠 Uber 陷入了一場資料外洩風暴, 該公司被揭發有 5,700 萬名司機和乘客的資訊外流到網路上。一月底又出現了另一個資安問題,研究人員 Karan Saini 發現 Uber 有一個 系統漏洞 可讓駭客跳過 Uber 應用程式的雙重認證 (2FA) 機制。

Uber 爆漏洞,雙重認證機制出包

該公司早在 2015 年就開始實驗雙重認證,希望能取代電子郵件和密碼的簡單認證方式。然而,這項功能卻因為 Uber 應用程式的登入方式而使得駭客有可能跳過這項安全機制。根據 Saini 提供的詳細資料指出,使用者只要有電子郵件和密碼就能登入其帳號。接著,使用者可以在同一個瀏覽器階段切換到 Uber 的「help」(協助) 子網域,然後再用相同的登入憑證就能登入。

Uber 公司已在本文截稿前修正了該問題,並且說明這有可能是其內部資安團隊為了測試評估各種雙重認證技術的效果而導致的問題。同時,該公司也表示並非所有裝置都預設使用雙重認證,只有在適當的情況下才會使用,也就是當發現有可疑活動的時候。

雙重認證的重要性

隨著資料外洩與資訊竊盜案件日益頻傳,不論企業機構或一般消費者都應開始考慮淘汰傳統的單一認證機制,改用雙重認證。對企業機構來說,這意味著必須在其系統內加入雙重認證,對一般消費者來說,這意味著要確實啟用這項機制 (如果不是預設使用的話)。

此案例告訴我們,即使是雙重認證系統也並非完美。更何況,網路犯罪集團還可透過網路釣魚或惡意程式的方式來克服這項機制。不過,多一分防護總是比少一分好,所以雙重認證畢竟還是比單一認證來的安全。而且雙重認證不一定會比較複雜,因為大多數的雙重認證都只是需要多一封手機簡訊或多一個應用程式 (後者較為安全) 來進行雙重認證而已。

所有企業機構,尤其是需要經手或儲存大量客戶資料的企業,都應優先在系統當中加入額外的安全機制。雙重認證是一道容易架設的安全機制,而且不論對企業或使用者來說都不需太複雜的步驟。

請參考這篇「如何設定雙重認證 (2FA)」來保護您的網路帳號。

 

原文出處:Bug Allows Attackers to Bypass Uber’s Two-Factor Authentication System

駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式

駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式時間拉回 2017 年 9 月,當時 Microsoft 修正了 CVE-2017-11882 這個可讓駭客從遠端執行程式的 Microsoft Office 漏洞。但這仍無法阻止 Cobalt 網路犯罪集團繼續利用此漏洞來散布各種惡意程式,例如FAREITUrsnif 以及某個破解版 Loki 資訊竊取程式 (這是一個以竊取密碼和加密虛擬貨幣錢包為賣點的鍵盤側錄程式)。

最近,趨勢科技發現駭客又再次利用 CVE-2017-11882 漏洞發動攻擊,這次採用的是一種罕見的方法,透過 Microsoft Windows 作業系統中的 Windows Installer 服務。此手法有別於之前使用 Windows 的 mshta.exe 程式來執行 Powershell 腳本以下載並執行惡意檔案的作法,而是透過 Windows Installer 服務當中的「msiexec.exe」程式來執行惡意檔案。

完整感染過程

Figure 1: RATANKBA Infection Flow

圖 1:完整感染過程。

我們所分析到的樣本似乎某一波垃圾郵件所使用的附件檔案,這些垃圾郵件會要求收件人確認寄件人所收到的一筆款項。電子郵件內容含有韓文撰寫的文字,大意是「您好,請檢查一下您的電腦是否中毒或感染惡意程式」,似乎在提醒收件人小心別中毒。

此外,電子郵件也附了一個名為「Payment copy.Doc」的文件檔案,該檔案看似一份付款確認單,但其實是個木馬程式 (趨勢科技命名為:TROJ_CVE201711882.SM),它會攻擊 CVE-2017-11882 漏洞。

Figure 1: RATANKBA Infection Flow

圖 2:隨附惡意文件會攻擊 CVE-2017-11882 漏洞的垃圾郵件。 Continue reading “駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式”