2015年到目前為止對資安研究人員來說普遍處在忙碌狀態,尤其是 Hacking Team 資料外洩事件,導致多個零時差漏洞披露,以及討論不法買賣漏洞攻擊碼與「工具」的電子郵件流出,為資安環境投下了震撼彈。
網路犯罪分子一直都在努力地整合這些新漏洞到自己的「產品」內以試圖加駭更多人;同時各家廠商也在努力地提供使用者安全更新,現在讓我們回顧目前為止的 2015漏洞。
到 2015年七月底止,趨勢科技研究人員發現並揭露了 26 個漏洞
8個零時差漏洞中有兩個已被 APT 攻擊利用
正如今年早些時候所提到,使用OS X、iOS、Android和Flash Player的風險已經增加。趨勢科技的研究加上 Hacking Team 資料外洩反映了此一趨勢。到2015年七月底止,趨勢科技的研究人員發現並揭露了26個漏洞;8個是零時差漏洞。
零時差漏洞中有兩個已被用來發動 APT攻擊,包括Pawn Storm攻擊活動及在韓國和日本的攻擊。透過監視熱門漏洞攻擊包和趨勢科技產品的反饋資料發現了兩個Flash零時差漏洞(CVE-2015-0311和CVE-2015-0313)。四個零時差漏洞被發現是 Hacking Team流出資料的一部分,後來證實至少有一個(CVE-2015-5122)很快就被整入漏洞攻擊包中。截至今年七月,各研究者在常用的桌面應用程式共發現了15個值得注意的零時差漏洞,其中有8個是由趨勢科技的研究人員所發現。
圖1、2015年趨勢科技所發現零時差和重大漏洞的時間軸
以下是趨勢科技在2015年至今所發現的漏洞列表,受影響軟體以及相關的廠商公告。以粗體顯示的為零時差漏洞:
- CVE-2014-4140(Microsoft Internet Explorer,MS14-056)
- CVE-2015-0069(Microsoft Internet Explorer,MS15-009)
- CVE-2015-0311(Adobe Flash,APSB15-03)
- CVE-2015-0313(Adobe Flash,APSA15-02)
- CVE-2015-1649(Microsoft Office,MS15-033)
- CVE-2015-1683(Microsoft Office,MS15-046)
- CVE-2015-1694(Microsoft Internet Explorer,MS15-043)
- CVE-2015-1709(Microsoft Internet Explorer,MS15-043)
- CVE-2015-1754(Microsoft Internet Explorer,MS15-056)
- CVE-2015-1835(Apache Cordova公告)
- CVE-2015-2391(Microsoft Internet Explorer,MS15-065)
- CVE-2015-2415(Microsoft Office,MS15-070)
- CVE-2415-2425(Microsoft Internet Explorer,MS15-065)
- CVE-2015-2426(Microsoft Windows,MS15-078)
- CVE-2015-2590(Oracle Java – Oracle重大修補程式更新公告 – 2015年7月)
- CVE-2015-3823(Google Android)
- CVE-2015-3824(Google Android)
- CVE-2015-3839(Google Android)
- CVE-2015-3840(Google Android)
- CVE-2015-3842(Google Android)
- CVE-2015-3847(Google Android)
- CVE-2015-3851(Google Android)
- CVE-2015-3852(Google Android)
- CVE-2015-5119(Adobe Flash,APSA15-03)
- CVE-2015-5122(Adobe Flash,APSA15-04)
- CVE-2015-5123(Adobe Flash,APSB15-18)
趨勢科技還發現九個在Android平台的漏洞。行動作業系統和OS X的漏洞數目從2014年開始顯著地上升,黑帽、白帽駭客和資安大會對它的關注也都在增加。也有攻擊實際出現在真實世界:一個 Hacking Team 所製造的零時差漏洞攻擊工具精心設計shellcode來攻擊OS X 64位元系統。這意味著Hacking Team的客戶 – 攻擊者 – 也對Mac使用者非常感興趣。
在Adobe的修補程式釋出後,至少有五個Flash漏洞攻擊碼被加入漏洞攻擊包中。不過在同一時間則少見針對其他應用程式的新漏洞。這顯示Flash Player是攻擊者所鎖定的目標。
圖2、桌面應用程式被發現的零時差漏洞分布
圖3、零時差漏洞發現者分布
新變化和未來
今年到目前為止除了眾多Flash漏洞被發現外,還有一些其他關於漏洞攻擊和漏洞的發展:
- 經過多年嚴峻的狀況,Adobe終於推出新的漏洞攻擊緩解技術到Flash Player的最新版本(加上Google Project Zero的協助)。利用隔離和加強的隨機處理來強化Flasher堆積(heap),並且也對<*>長度做出額外的檢查。這導致現有已知和常見的手法不再能夠成功的攻擊漏洞。相信這在短期內可以讓攻擊者更難撰寫漏洞攻擊碼 – 只要使用者更新Flash到最新版本。
- 自2013年來的第一個Java零時差漏洞,被用在跟Pawn Storm攻擊活動相關的新攻擊裡,目標是北約國家的軍事單位和美國國防單位。這次攻擊用到兩個漏洞,一個(CVE-2015-2590)已經被Oracle所修補。
- 廠商迅速地修復 Hacking Team外洩資料內的漏洞。雖然到目前都還好,但這些外洩的攻擊範本會持續造成長期的影響。Hacking Team有著相當程度的組織化,讓其他攻擊者可以向其學習。要開發能夠在多重平台上運作且不會被使用者察覺的漏洞並不容易。但Hacking Team做到了 – 他們不僅開發了漏洞攻擊碼,而且還具備了高品質和精心的設計。
根據以上幾點,預測在2015年下半年會出現更加進階的攻擊。
OS X上發現的漏洞數量在逐漸增加,Mac電腦也將會吸引更多的攻擊者。檢視CVE資訊,在2013年發現了63個,在2014年發現了111個,而2015年還沒有過完就已經發現了178個,甚至比2014年所發現的總數還多。趨勢科技研究人員已經發現了一些OS X漏洞,正在與Apple合作來提供修補程式。現在仍只是OS X漏洞研究的初始階段,Windows漏洞攻擊的部分技巧(如ROP,return-oriented programming)也適用在OS X平台。甚至有些惡意軟體家族(如Flashback)也被「移植」了。
2015年到目前為止,已經有好幾個資安事件是基於對OS X問題的研究,如Thunderstrike、Root-pipe、EFI boot腳本漏洞和DYLD_PRINT_TO_FILE漏洞。幸運的是,這些漏洞都只是攻擊鏈的一部份,而非完整的攻擊。
但這情況已經隨著公開對外披露的「Thunderstrike 2」Rootkit而改變。它攻擊DYLD_PRINT_TO_FILE漏洞來遠端侵入Mac電腦(透過網路釣魚郵件或惡意網站)。它可以接著攻擊一個EFI漏洞來透過Thunderbolt設備從一台Mac電腦擴散到另外一台(就跟Windows電腦上的USB惡意軟體類似)。因為三個原因而讓Thunderstrike 2變得比較嚴重:
- 它可以遠端部署和擴散
- 甚至連格式化硬碟也無法將其刪除
- 其中一個漏洞還沒有被修補
所有的一切都顯示Mac使用者面臨類似攻擊的風險在增加。
此外,越來越多閃避技術(像是SecureSWF加密)可被攻擊者所利用。他們也可能再次使用Java。Windows 10的新瀏覽器Microsoft Edge已經推出,雖然它確實有顯著的進步,攻擊者肯定也會測試其防禦措施。令人比較高興的消息是Flash漏洞攻擊將被限制在還沒有安裝最新版本的系統上(雖然有很多使用者不會升級到最新版本)。
漏洞研究和趨勢科技的防護技術
趨勢科技的研究人員著重在分析從針對性攻擊受害者所收集來的漏洞攻擊樣本。這些都來自不同的管道,如蜜罐系統(honeypot)、趨勢科技產品反饋資料和客戶及使用者提交資料。這樣綜合的作法有助於我們在七個月內就發現了許多零時差漏洞。我們也積極地利用靜態分析、模糊測試和滲透測試來尋找漏洞,並盡速回報漏洞給廠商。
我們的研究人員與開發團隊密切合作以確保趨勢科技的產品提供對付漏洞攻擊最佳的保護。趨勢科技產品透過從漏洞攻擊分析中所得來的經驗來做出最有效的偵測方法。
這些努力,讓趨勢科技能夠在如AV-Test、AV-Comparative和NSS實驗室等獨立實驗室的評測中得到正向的結果。特別是Deep Discovery已經連續兩年得到NSS實驗室的「推薦」評比,成為最被推薦的入侵外洩偵測系統。在在顯示出擁有超過20項的專利和數十個申請中的專利的Deep Discovery的卓越能力。
零時差漏洞攻擊主要用來進行APT攻擊(目標攻擊),它們是未知而不可預測的,甚至連最遵守安全規範的系統也會受到攻擊。偵測零時差漏洞攻擊的能力對使用者來說,甚至比發現與回應來得更有價值。我們的研究有助於主動偵測零時差漏洞並且領先攻擊者一步,現有的沙箱技術加上腳本分析引擎(趨勢科技Deep Discovery的一部分)可以在無需更新下就能夠偵測許多2015年的零時差漏洞。趨勢科技可以無需更新就偵測以下零時差漏洞:
- CVE-2015-0310
- CVE-2015-0311
- CVE-2015-0313
- CVE-2015-2590
- CVE-2015-3043
- CVE-2015-3113
- CVE-2015-5119
- CVE-2015-5123
這一評測成果和先進的偵測能力顯示出趨勢科技趨勢科技Deep Discovery Inspector是業界領先的APT攻擊解決方案,我們的智慧型沙箱技術也是關鍵的貢獻者。智慧型沙箱可以加以客製化,不僅可以偵測惡意軟體行為,也具備腳本和shell-code行為偵測。如果你想了解更多的詳細資訊,請到這裡參考之前的文章。
內容更新:
Apple已經發布一個安全更新來解決多個漏洞,其中包括本文中所提到的DYLD_PRINT_TO_FILE臭蟲。這個修補程式所解決的漏洞中有一個是趨勢科技所發現的臭蟲。編號為CVE-2015-3787,這個漏洞可以讓攻擊者在取得權限的網路中能夠用惡意格式藍牙封包來進行阻斷服務攻擊。我們建議Apple使用者立刻更新修補程式。
@原文出處:OS X Zero-days on the Rise—A 2015 Midyear Review and Outlook on Advanced Attack Surfaces作者:Weimin Wu(威脅分析師)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載