Java 零時差漏洞攻擊 - 資安趨勢部落格

分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施

2015 年 07 月 22 日2015 年 10 月 14 日趨勢科技 TrendMicro

過去，Java 一向是網路犯罪集團最愛的漏洞攻擊目標，不過近年來，這樣的情況已經不在。最近已修正的 Pawn Storm 攻擊行動 Java 零時差漏洞事實上是 Java 近兩年來被發現的第一個零時差漏洞。

這有一部分的原因要歸功於 Java 安全措施的強化。正如 Oracle 在 Java 首頁上所言，現在的主流瀏覽器在遇到過時的 Java 外掛程式時都會自動將它停用。此外，2014 年 1 月發表的Java 7 Update 51即限縮了可執行的 Applet 類型。在預設情況下，自我簽署和未經簽署 (也就是駭客最可能使用) 的 Applet 將無法在瀏覽器上執行。此外，JRE 還對所有的 Applet (不論是否簽署) 提供了點按執行 (click-to-play) 的功能。這兩點加起來，大大得降低了 Java 平台對駭客的吸引力。

既然這個 Java 零時差漏洞 (CVE-2015-2590) 現在已經修正，我們就來說明一下它的相關技術細節。此漏洞由兩部分組成：第一部份是略過 Java 的點按執行保護機制。這部分我們不能討論，但我們可以談談另外一部分。如前面所說，這個漏洞在最新的 Java 版本 (Java 8 Update 51) 當中已經獲得修正。

Java 提供了一個叫做 ObjectInputStream 的類別來執行反序列化 (decentralize) 作業，以便將記憶體緩衝區內的資料轉成物件。這個反序列化緩衝區當中包含了物件的類別資訊和檔案化的資料。如需該類別的更多詳細資訊，請參閱Java 官方文件。繼續閱讀

Java零時差漏洞再現，鎖定專門攻擊軍事單位,政府機關和國防機構

2015 年 07 月 16 日2015 年 07 月 17 日趨勢科技 TrendMicro

Pawn Storm：兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務 Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞，這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外，該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015)，此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle， Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外，該漏洞也已列入 CVE 漏洞資料庫當中，編號：CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具，因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中，我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是，這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴) 在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似，不過當時的網址並未包含這次發現的漏洞。除此之外，Pawn Storm 還會攻擊其他政府機構，並利用一些政治事件和研討會為社交工程（social engineering ）誘餌，如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外，媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。繼續閱讀

甲骨文加強JAVA安全 – 這對一般使用者來說代表什麼

2013 年 07 月 04 日2013 年 07 月 08 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Pawan Kinger（弱點研究經理）

甲骨文發表一篇部落格文章敘述（及希望）會提高Java的安全性。從那之後，我問過了幾次：這指的究竟是什麼和這對一般使用者來說代表什麼？

首先，甲骨文談到他們現在如何處理安全修補程式。他們指出最近的修補程式有些什麼，事實上，它們比以前的修補程式解決更多安全漏洞。更重要的是，Java的更新時間表已經和其他Oracle產品線一致：每三個月就會推出一次修補程式，從今年十月開始。這應該有助於讓潛在問題被攻擊者利用前，能夠得到更迅速的解決。當然，甲骨文也會繼續替關鍵漏洞提供時間表外的更新。

Java也已經被納入甲骨文的軟體安全保障政策。一旦被納入，舉例來說，甲骨文現在就會使用自動化安全測試工具，來防止修正錯誤時出現回歸和新的問題。這是個好消息，因為它意味著未來將可以更快速的修補問題。

接下來，他們談論自己是如何地努力在提高Java的安全性，因為它會被用在瀏覽器中。比談論過去做過什麼更重要的是，甲骨文將會盡快推行的是什麼：未來版本的Java將不再允許未經簽章或自行簽章的應用程式執行。目前尚不清楚會何時發生，但如果這麼做，將會讓Java的安全性有顯著的增加。這代表攻擊者將不得不購買或是盜用簽章金鑰，好讓他們的Java程式可以執行：雖然這沒辦法阻止一個真正堅持的攻擊者，但對於不是那麼針對性的攻擊將會減少。此外，Oracle還致力於改善Java如何處理被撤銷的簽章，所以這程序可以在以後被預設打開。

繼續閱讀

從Facebook、Twitter、Microsoft和Apple遭到水坑攻擊談Mac OS平台安全

2013 年 03 月 29 日2013 年 03 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

隨著越來越多的個人資訊會提供給Facebook、Twitter、Microsoft和Apple，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

作者：Jonathan Leopando

最近，我們看到了許多科技業知名品牌（如Facebook、Twitter、Microsoft和Apple）都遭到水坑（Watering hole）。這些受影響公司的員工瀏覽了受歡迎的iOS開發論壇，因為它被入侵淪陷了，所以也讓使用者遭受當時仍未知的Java漏洞攻擊。

毫無疑問地，Java首當其衝地被認為要為此事件負責。The Verge的一個頭條新聞甚至要對Java「消失」。類似想法已經出現在許多安全專家的腦海裡，不管他們是不是會公開地說出來。

但…Java並不是唯一的問題。所有受影響的系統都是Mac（這很自然，因為是針對iOS開發者的論壇）。現在的重點都一直放在是如何攻擊（Java），而非目標（Mac）上。

攻擊者會嘗試去攻擊目標所使用的平台，不管是哪一種。在整個作業系統的市場裡，Apple的市佔率仍然比較低，但在某些圈子（如矽谷）的比例則高得多。而這些被鎖定的目標恰恰就是因為是Mac電腦的使用者而變得不再安全。攻擊者會客製化他們的攻擊以符合他們目標的狀況。在這起事件裡，攻擊者顯然是要透過水坑（Watering hole）攻擊來針對iOS開發者，這也說明了這起攻擊有過相當程度的規劃。

去年的Flashback事件強調了Mac使用者也有遭受惡意軟體攻擊的風險，而這起事件讓人了解到Mac使用者也會成為精心設計的目標攻擊(APT-進階持續性滲透攻擊)對象。Java只是這次攻擊的載體，但Mac使用者已經不再比其他使用者更加免疫於社交工程( Social Engineering)攻擊。

隨著越來越多的個人資訊會提供給這些網路公司，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

使用者可以透過跨平台防護的PC-cillin 2013雲端版來防護Mac OS平台上所有已知的威脅影響。

＠原文出處：Barking Up The Wrong Tree

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)？

《APT 攻擊》南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺

當 APT 攻擊者擁有很大程度的控制權時，該怎麼辦？

《APT攻擊/威脅》水坑攻擊: 不是去攻擊目標，而是去埋伏在目標必經之路

Mandiant 提出的美國企業被 APT攻擊報告被當作社交工程信件誘餌

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

◎即刻加入趨勢科技社群網站,精彩不漏網

黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊

2013 年 03 月 28 日2013 年 06 月 28 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Romeo Dela Cruz（威脅反應工程師）

在趨勢科技的二〇一三資安預測裡，我們提到傳統的惡意軟體會專注在加強現有的武器，而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上，我們最近發現了一起黑洞漏洞攻擊包（Blackhole Exploit Kit :BHEK）會利用一漏洞攻擊碼（趨勢科技偵測為JAVA_ARCAL.A）來攻擊最近被修補的CVE-2013-0431。

如果使用者還記得，這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題。

這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時，會被重新導向到數個網站，最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼（以及後續的行為）到系統內。

BHEK(Blackhole Exploit Kit)攻擊:偽裝來自PayPal的電子郵件樣本 — 圖一、偽裝來自PayPal的電子郵件樣本

經過趨勢科技的測試，這BHEK程式碼會檢查某些版本的Adobe Reader，讓它下載並執行一個惡意PDF檔案（被偵測為TROJ_PIDIEF.MEX），並攻擊一個舊漏洞CVE-2010-0188。

這BHEK程式碼也會在檢查受影響系統的Java版本，接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析，TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊，包括Chrome、Mozilla Firefox和Internet Explorer。最後，這BHEK程式碼將連上下列的惡意網頁，想讓使用者認為自己只是被重新導向到非惡意網站。

BHEK(Blackhole Exploit Kit)攻擊: 會試圖竊取儲存在瀏覽器內的資訊 — 圖二、感染鏈的最終目標網頁

從趨勢科技主動式雲端截毒服務 Smart Protection Network的資料中，我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國，其次是墨西哥。這很讓人驚訝，因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。

繼續閱讀