漏洞 - 資安趨勢部落格

Aurora 電網漏洞與 BlackEnergy 木馬程式

2018 年 07 月 17 日2018 年 07 月 17 日趨勢科技 TrendMicro

最近在一些工業物聯網 (IIoT) 資安研討會上，Aurora 漏洞持續成為眾人話題。與會者都在問：「我們國家的電網是否安全無虞？我們如何保護電網安全？Aurora 到底是什麼？」這篇文章就是要來探討一下 Aurora 漏洞以及專門利用該漏洞的 BlackEnergy 攻擊。

2007 年 3 月，美國能源部 (US Department of Energy) 展示了 Aurora 漏洞 (請參閱這段來自 CNN 的實測影片)。影片中發生了什麼事？

基本上，發電機內部是由一個永久性磁鐵所構成的轉子在一個由線圈構成的定子當中持續旋轉來產生電力。而帶動轉子旋轉的動力可以是水力 (水力發電機)、燃油 (柴油發電機)、蒸氣 (核能發電機) 或是風力 (風力發電機)。發電機所產生的電力會匯集到電網，然後再輸送至全國各地，提供民生及商業用電所需。

其他類型的發電設備同樣也要將電力匯集到電網。美國電網所提供的電力屬於 60 Hz 的交流電，這表示電壓的正負變化為每秒 60 次。只要發電機的相位與電網同步，其電力就能順利地併入電網的總電量當中。但萬一發電機輸出的電力與電網發生相位不同步的情況，就會無法將電力併入電網。繼續閱讀

無伺服器應用程式(Serverless Applications)：它們在DevOps代表什麼?

2018 年 05 月 08 日2018 年 04 月 24 日趨勢科技 TrendMicro

資安研究人員指出，在超過1,000個開放原始碼的無伺服器應用程式中，有21%具有嚴重漏洞或設定錯誤。他們還指出有6%將敏感資料（如API金鑰和帳號密碼）儲存在可公開存取的檔案庫中。

[專家見解：轉向無伺服器雲端應用程式]

什麼是無伺服器應用程式？

“無伺服器”有點不精確。應用程式在第三方雲端基礎設施上運行（如Amazon Web Service（AWS）的Lambda，微軟的 Azure Functions和Google的Cloud Functions）。它們沒有使用專屬伺服器、虛擬機或容器(container)；只有應用程式的程式碼在雲端伺服器上執行直到完成任務。

無伺服器應用程式體現了新興的功能即服務（FaaS）模型，將雲端運算轉變成一個平台，企業可以用來開發、部署和管理其應用程式，無需建立自己的基礎設施。

透過“無伺服器”，開發人員和企業受益於其靈活性和自動化能力。它也可以是推出應用程式的一種可擴展且高經濟效益的方式，因為不需要配置或維護專屬伺服器，安裝/管理軟體或運行環境。

[InfoSec指南：緩解Web注入攻擊]

無伺服器應用程式最常見的安全問題是什麼？

安全研究人員指出，大多數漏洞和弱點是因為實際應用程式中所用的不安全程式碼等問題所造成。他們發現這些是開放原始碼無伺服器應用程式最常見的安全問題：

資料注入 – 不可信或未經處理的輸入在應用程式元件（例如儲存、資料庫和通知系統）之間傳輸
認證機制
雲端儲存系統的錯誤授權設定
應用程式請求或授予的權限
監控和記錄功能不足
來自第三方套件的不安全程式碼

繼續閱讀

無需巨集：深入解析利用RTF的設計及Office的漏洞散播的Formbook RAT

2018 年 04 月 25 日2018 年 04 月 24 日趨勢科技 TrendMicro

安全研究人員發現了一起多階段的攻擊鏈，利用RTF檔案的設計及微軟Office漏洞（CVE-2017-8570）來散播Formbook遠端存取木馬（RAT）。以下是企業要主動回應此威脅所需要了解的資訊：

[相關文章：Trickbot資料竊取程式加入躲避偵測和鎖住螢幕的功能]

Formbook具備鍵盤側錄和螢幕擷取功能

Formbook具備鍵盤側錄和螢幕擷取功能。它還可以下載其他惡意軟體或元件來竊取和外洩資料。研究人員指出，這版本的Formbook也含有銀行木馬中常見的惡意元件。

在2017年12月，趨勢科技發現數個網路犯罪集團散播Formbook及大量的其他資料竊取惡意軟體。他們的攻擊活動中也利用了RTF檔案，攻擊的是另一個漏洞（CVE-2017-11882）。

[延伸閱讀：中小型企業的資安挑戰可能需要第三方協助]

攻擊鏈

感染方式是雙管齊下。第一階段利用夾帶微軟Word文件（.docx）的垃圾郵件，文件檔內的frameset（包含載入文件所需框架的HTML標籤）內嵌了惡意網址。一旦受害者打開檔案，就會下載攻擊者所指定的物件並呈現在文件內。經過研究人員逆向工程一個Formbook樣本顯示，網址會連到另一個帶有漏洞攻擊RTF檔案的命令與控制（C&C）伺服器。這種攻擊不需要巨集和shellcode。繼續閱讀

「Mosquito 蚊子」發動攻擊, 電腦喇叭洩漏資料

2018 年 03 月 20 日2018 年 11 月 18 日趨勢科技 TrendMicro

以色列的內蓋夫本-古里安大學 (Ben-Gurion University of the Negev) 的研究人員最近示範了一種他們命名為「Mosquito」(蚊子) 的概念驗證攻擊，利用喇叭或耳機從連網或隔離的電腦將資料外傳。

這篇名為「Mosquito: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-Speaker Communication」(蚊子：利用超音波讓兩台隔離的電腦經由喇叭對喇叭的方式暗中進行通訊) 的研究報告，詳細說明了如何利用電腦的音效孔來暗中進行資料傳輸。這項技巧是將接收端的音訊輸出孔轉換成輸入孔，然後將喇叭當成麥克風使用。今日的音效晶片大多具備插孔轉換的功能，只需透過軟體設定就能達成。針對這項實驗，研究人員特別設計了一個惡意程式來將喇叭或耳機當成麥克風使用。兩台機器之間的資料傳輸是透過超音波來進行 (最遠可達 9 公尺)。繼續閱讀

新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器

2018 年 03 月 19 日2018 年 03 月 19 日趨勢科技 TrendMicro

資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動，利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。

RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構，根據研究，全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令，將加密虛擬貨幣挖礦惡意程式下載至伺服器上。

[資安基礎觀念：加密虛擬貨幣挖礦惡意程式的負面影響]

此外，在追查這項攻擊行動的過程當中，研究人員還發現一個指令列腳本 (shell script)，該腳本用來：