分類: 漏洞

2018年上半年影響企業的最大四種威脅

趨勢科技 TrendMicro

讓企業能夠更有效地做好資料安全保護以及主動防禦的最佳方法就是了解威脅環境趨勢。

檢視駭客現在所使用的攻擊、入侵和病毒散播策略,就能夠了解在未來會繼續出現的安全問題,讓企業可以準備好正確的資料和資產保護措施。

每一年都有著過去延續下來及新出現的威脅,這些威脅讓安全防護變得更加複雜。所以了解影響最大的威脅(包括過去就盛行的舊威脅以及網路犯罪分子間新出現的攻擊手法)在資料安全領域是相當重要的。

趨勢科技的研究人員檢視了2018年上半年常見的資料保護和網路威脅問題,整理出了2018年年中資安綜合報告:看不見的威脅帶來迫在眉睫的損失

讓我們仔細探討一下這份研究以及今年上半年影響企業最主要的四個威脅。

  1. 影響大量設備的漏洞

Heartbleed早在2014年就已經出現。它是當時最嚴重也影響最廣泛的漏洞之一,大量使用OpenSSL加密程式庫的平台和網站都受到了影響。因為受影響網站的數量龐大,加上它讓駭客有機會讀取到儲存在系統記憶體內的資料,讓此漏洞在當時成為全球的新聞頭條。

而之後還有許多漏洞被找出,包括2018年初的兩個重大漏洞。研究人員發現了CPU的設計缺陷 – 被稱為Meltdown和Spectre。不幸的是,這些還不是今年唯一的知名漏洞。

正如趨勢科技在5月份所報告,在Meltdown和Spectre之後又發現了8個也會影響英特爾處理器的漏洞,其中有4個被認為屬於「高」嚴重性威脅。因為這些處理器被全球企業及消費者所大量使用,因此新出現的漏洞對安全管理員和個人用戶來說都相當值得擔心。 繼續閱讀

SettingContent-ms 可被用於執行複雜的 DeepLink 以及Icon-based 的惡意程式碼

趨勢科技 TrendMicro

微軟SettingContent-ms最近成為備受關注的話題。趨勢科技在七月看到一個垃圾郵件活動利用惡意的SettingContent-ms檔案嵌入PDF檔中,目的是為了執行遠端存取的木馬程式FlawedAmmyy, 這個遠端存取木馬(RAT) 也被使用在Necurs殭屍網路上. 而攻擊行動主要鎖定的目標是歐洲和亞洲的銀行。

SettingContent-ms最近才加入微軟軟體中,最早是在Windows 10中引入。以XML格式/語言寫入此類型檔案中,通常這類型檔案會包含Windows功能的設定內容,例如更新流程以及開啟某些特定類型檔案的應用程式等。這些檔案最常被用來當成開啟舊版Winodws控制台的捷徑。

Figure 1

圖1.SettingContent-ms的副檔名以及icon

 

Figure 2

圖2.Figure 2. 正常 SettingContent檔案中的 DeepLink tag

除了垃圾郵件活動之外,還有一些關於微軟SettingContent-ms的概念驗證(POC)研究,在七月份由Specter Ops所發佈。由此份研究報告以及實際出現的攻擊行動顯示出只要將DeepLink tag下的指令替換成惡意指令碼,便可利用SettingContent-ms執行惡意程式。一開始當微軟從研究人員聽到這個問題時,他們並不認為這是作業系統的弱點。但是在2018年8月,他們公布了修正程式以修補這個問題: CVE-2018-8414

Figure 3

圖 3.  DeepLink tag 下的惡意指令碼

如圖3所示,是一個SettingContent-ms被濫用的範例,在DeepLink tag下的惡意指令碼可以執行PowerShell script並從惡意網站下載並執行惡意程式。

在進一步研究這些方法時,我們開始看到該技術的局限性。 單獨使用DeepLink似乎有一些缺點:

優點 

  • 檔案size較小 – 乍看之下不容易看出可疑性 

缺點

  •  容易佈署 
  • 最多只接受517個字元 
  • 侷限在一些命令執行技術,例如: Command Prompt,PowerShell,MSHTA,Certutil,Bitsadmin, WMI 

藉由這些觀察,進一步的研究發現可以利用SettingContent-ms發展其他技術。稍早之前,研究人員已經研究如何利用Icon Tag應用在惡意的攻擊活動。為了驗證這個技術是否可行,我們建立了一個SettingContent PoC,這包含了DeepLink以及Icon tag,用來裝載惡意程式碼。

DeepLink + Icon-based的惡意程式碼—如何運作?

在這個情境中,DeepLink tag只能包含一個指令,並且可以呼叫寫在Icon tag下的惡意程式碼。在我們的PoC研究中,我們將Icon tag下的Script做了非常深度的程式碼混淆,如同圖4所示。

Figure 4

圖 4. DeepLink 呼叫了 Icon tag

Figure 5

圖 5. 寫在Icon tag下的惡意PowerShell script (移除程式碼混淆)

我們做了這個測試目的是為了確認Icon-based這類較長以及複雜的惡意程式碼是否會執行,結果這類惡意程式碼的確可以被執行。在這個Poc中寫入在Icon tag下的PowerShell script是來自於TROJ_PSINJECT.A,這個惡意程式會下載ANDROM/GAMARUE。

即便做了這樣的操作,無論在Icon tag下被寫入什麼,Icon顯示仍為空白(如圖 1所示)。

假設這樣的技術可能成為未來潛在的威脅,仍有其優缺點:

優點

  • 容易佈署
  • Icon tag可以寫入的字元數不受限制
  • 不限於簡單的命令執行;可以佈署各種個Script例如ReflectivePEInjection, backdoors,等等。

缺點

  • 檔案size較大- 容易被標註為可疑程式

 

解決方案以及緩解方式

這個技術顯示出網路犯罪可能擁有很多的工具,用來協助他們佈署複雜又有效的惡意程式碼。上述的情境,由一個SettingContent-ms中DeepLink tag下的惡意指令開始,進而我們發現了可以透過Icon tag佈署更複雜以及更長的惡意程式碼。

除了SettingContent-ms之外,可能還有其他更多的正常檔案被濫用。因此我們必須持續針對不同的應用程式進行研究,比惡意程式作者以及新的威脅更早一步發現可能的風險。

為了防護濫用SettingContent-ms的類似威脅,可以利用具備行為分析能力的解決方案,透過行為監控可以發掘並阻擋惡意的指令,以避免惡意程式在受害者的電腦上被執行。

趨勢科技趨勢科技OfficeScan  XGen™ 防護 端點防護使用高準度機器學習(Machine learning,ML)以及其他的偵測技術搭配全球威脅情資可以提供全面的安全防護,對抗進階的惡意程式。我們也持續監控SettingContent-ms類型檔案是否出現新的惡意指令。

◎原文來源: SettingContent-ms can be Abused to Drop Complex DeepLink and Icon-based Payload  作者:Michael Villanueva

回歸原點:為什麼需要更加安全的物聯網 ( IOT ) 開發流程?

趨勢科技 TrendMicro

物聯網(IoT ,Internet of Thing正在徹底地改變我們的生活和工作方式。我們可以看到企業的運作變得更加敏捷、高效也更加節省成本,同時一般消費者也在驚嘆著智慧家居、健康管理和連網汽車的神奇。只有一個重要的問題:這新基礎架構的大部分都是開放的,容易遭到攻擊和濫用。想保護它會需要這生態系內的所有人的努力。

而起點就是產品製造。

這也是為什麼我們在最近推出了一項新計劃,將我們在漏洞研究領域領先的專業知識用來幫助物聯網(IoT ,Internet of Thing廠商踏出應對安全威脅的第一步。

威脅無處不在

使用者感受到物聯網的安全問題最早是因為2016年的Mirai殭屍網路。駭客利用出廠預設帳密來進行掃描登入,輕鬆控制了數萬台裝置來形成殭屍網路,發動了有史以來最大的幾波分散式阻斷服務攻擊 (DDoS)攻擊,其中一起讓一些網路巨頭都暫時停止了運作。受害者仍然面臨著威脅,FBI最近發布警報通知關於路由器、無線電設備、Raspberry Pi、網路攝影機、監視攝影機、NAS設備甚至智慧車庫遙控器所會遭受到的威脅。

美國聯邦調查局的研究結果顯示這些裝置可能被加入殭屍網路用來進行強大的帳密填充(credential stuff)攻擊、點擊詐騙、垃圾郵件等惡意活動,同時也被用來模糊惡意流量的真正來源。而企業面臨著更多的威脅:不安全的端點可能被用來滲透企業網路,進行資料竊取或入侵破壞業務流程及工廠產出。 繼續閱讀

趨勢科技研究團隊啟動新的IoT裝置計劃 協助裝置製造商在源頭解決資安風險

趨勢科技 TrendMicro

趨勢科技研究團隊啟動新的IoT裝置計劃 協助裝置製造商在源頭解決資安風險

ZDI 漏洞懸賞計畫的漏洞偵測專業技術  將開啟解決連網裝置漏洞的契機

 

【2018 年 9 月 6 日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 再次證明該公司致力確保物聯網 (IoT) 安全的決心,宣布將啟動一個新的計畫,善用其全球領先的 Zero Day Initiative (ZDI) 漏洞懸賞計畫協助智慧裝置開發廠商在設計之初即杜絕漏洞。

根據 Gartner註一 指出:「工業物聯網 (IIoT) 設備的運用以及連網裝置的快速成長,使得數位世界中所發生的事件很可能連帶影響到現實世界。Gartner 預測至 2021 年全球將有大約 250 億個連網 IoT 裝置,而這數字在可預見的未來仍將不斷成長。即使這些裝置當中只有很少的百分比是工業環境當中用來監控製造流程的 IIoT 裝置,但光是這些 IIoT 裝置的數量和普及性就足以讓資安事件不斷增加。」

這些不安全的裝置,意外地讓許多不同的威脅因而竄起,包括:企業資料失竊與網路入侵、勒索病毒導致生產停擺、工業設備遭到破壞、殭屍網路 DDoS攻擊以及虛擬加密貨幣挖礦。

趨勢科技執行長陳怡樺表示:「正如 Mirai、Brickerbot 和其他攻擊的崛起所示,越來越多的網路犯罪集團和國家層級駭客開始將目光轉向 IoT 裝置的漏洞。眼前的問題是,等到裝置被發現漏洞之後再來修補,顯然困難重重。許多製造商根本沒有所謂的軟體更新機制,就算廠商真的釋出了修補更新,客戶也很難套用這些更新,尤其在大型企業,其營運關鍵環境當中很可能部署了數以千計的 IoT 端點裝置。」

趨勢科技的 ZDI 是業界聞名的漏洞研究機構,過去 13 年來已協助不少企業提升安全。今天,ZDI 更擁有全球最大的獨立漏洞懸賞計畫,不僅內部團隊強大,其配合的外部研究人員更高達 3,500 名以上。

光 2018 上半年,ZDI 就發布了 600 次漏洞公告,較 2017 年同期成長 33%。監控與資料擷取 (SCADA) 系統及工業物聯網 (IIoT) 裝置的漏洞通報案例至目前爲止就占 30%,其中 ICS-CERT 是 SCADA/ICS 相關漏洞最大的通報機構。

陳怡樺繼續指出:「透過我們新的計畫,裝置製造商就能立即與相關豐富的 IoT 研究資源接軌,協助他們在裝置上市之前預先評估是否有潛在漏洞,並且建立一套後續的漏洞處理流程。目前,許多 IoT 裝置製造商都很難找到相關資安專業人才來加入其內部團隊,因此若能與專家合作來讓自己的產品在出廠之前盡可能杜絕漏洞,當然是上上之策。」

趨勢科技研究團隊與 ZDI 是趨勢科技從生態系出發來保護物聯網的關鍵要素之一,除了持續不斷研究連網喇叭、機器人系統、交通管理與連網汽車等相關新興威脅之外,趨勢科技更與電信廠商、企業客戶、內嵌式運算裝置開發商以及其他重要相關單位密切合作。

趨勢科技 Deep Security 能在後端資料中心提供完整的防護,而趨勢科技 Tipping Point 入侵防護裝置與 Deep Discovery 入侵偵測裝置則能在網路層次提升安全。此外還有趨勢科技 Safe Lock 可提供系統鎖定功能來保護 IIoT 環境內的特殊應用電腦與舊式作業系統終端機。

趨勢科技對提升其 IoT 資安相關的研究及領導地位一向不遺餘力,未來也將持續投入研發資源來保護這快速成長的 IoT 市場。

 

註一: Gartner,「安全與技術發展 ─ 匯流還是衝撞?」(Security and Engineering — Converging or Colliding?)。發表日期:2018 年 6 月 18 日。文件編號:G00348946。

####

新Underminer漏洞攻擊套件, 散播Bootkit和挖礦病毒,影響 50 萬台電腦,鎖定日本,台灣居第二

趨勢科技 TrendMicro

趨勢科技發現一個新的漏洞攻擊套件(命名為Underminer),它會使用其他漏洞攻擊套件出現過的功能來阻止研究人員追蹤其活動或逆向工程其送入的病毒。Underminer會傳送感染系統開機磁區的bootkit及名為Hidden Mellifera的虛擬貨幣挖礦病毒。Underminer透過加密TCP通道來派送這些惡意軟體,並且用類似ROM檔案格式(romfs)的客製化格式來封裝惡意檔案。這些作法讓漏洞攻擊套件及有效載荷(payload)難以被分析。Underminer似乎是在2017年11月所開發。不過在此次案例中,使用了包括Flash漏洞攻擊碼,並且會用無檔案攻擊手法來安裝惡意軟體。

Underminer在7月17日的活動顯示它主要將病毒散播到亞洲國家。Hidden Mellifera是從5月時出現據報影響多達50萬台的電腦。Hidden Mellifera的作者也跟2017年8月所報導的瀏覽器劫持木馬Hidden Soul有關。關聯分析顯示Underminer是由同一批駭客所開發,而Underminer也散播了Hidden Mellifera。另外,Underminer是透過廣告伺服器派送,這伺服器的網域名稱是用Hidden Mellifera開發者的電子郵件地址註冊。

圖1、Underminer漏洞攻擊亞洲國家,據報影響多達50萬台電腦,主要攻擊日本,台灣居第二(從7月17日到7月23日)

繼續閱讀