將所有 HTTP 流量加密,一直是資安界長久以來的努力目標,但這其中必須面臨兩大障礙。首先,憑證不是免費的,而許多網站經營者並不想多花錢;其次,憑證本身並非網站經營者能夠自行產生。
為此,網路上出現了一個叫做「Let’s Encrypt」的計畫,其成立宗旨就是要消除這兩大障礙。該計畫的目標是要免費提供憑證給所有的網站,並且透過一套網站伺服器軟體來盡可能將申請程序自動化。該計畫已獲得許多網路大廠及非營利組織的支持,包括:Akamai、Cisco、Electronic Frontier Foundation (EFF)、Facebook、Mozilla 等等。不過,Let’s Encrypt 僅提供網域認證 (DV) 憑證,而非延伸認證 (EV) 憑證,後者須針對網站經營者做進一步的背景調查才能簽發。
不幸的是,這樣的免費服務也有可能遭人濫用。從去年 12 月 21 日起,我們開始偵測到某惡意廣告伺服器的流量,其受害使用者大多來自日本。這項攻擊行動會讓受害者連上散布 Angler 漏洞攻擊套件的網站,進而下載一個銀行木馬程式 (BKDR_VAWTRAK.AAAFV) 到受害者電腦上。
圖 1:某惡意廣告伺服器的每日流量。
趨勢科技認為這項攻擊行動其實是去年 11月首次出現的一項惡意廣告行動 (同樣針對日本使用者) 的延續。
在這項攻擊當中,歹徒運用了一個稱為「影子網域」(domain shadowing) 的技巧。駭客先想辦法在某個正常的網域底下建立一個子網域,然後將子網域指向駭客所掌控的伺服器。在這次的案例中,駭客在某個正常的網域底下建立了一個子網域:ad.{某正常網域}.com。此處我們刻意不公開其網域名稱,好讓該公司的系統管理員能夠修正此問題。
連上這個子網域的流量就是採用 Let’s Encrypt 簽發的憑證來進行 HTTPS 連線,如下所示:
圖 2:Let’s Encrypt 簽發的 SSL 憑證。
當您連上該網域時會看到一個與其母網域相關的廣告,這是歹徒的障眼法。此外,歹徒還將重導流量的 JavaScript 程序碼移到一個 .GIF 檔案中,讓人更不容易發覺。同時我們也發現了類似 11 月份攻擊行動所用的防毒軟體反制技巧。而且駭客還使用了一個 DoubleClick 重新導向技巧,這項技巧在 惡意程式咖啡因不需要咖啡 (Kafeine of Malware don’t need Coffee) 一文當中已有討論。
圖 3:惡意廣告所使用的程式碼。
所有原本立意良善的技術,都有可能遭到網路犯罪集團的濫用,HTTPS 當然也不例外。由於我們自己本身也是一家憑證簽發機構,因此我們很了解歹徒可能如何濫用 SSL 系統的信任制度。像這樣駭客在正常網域底下建立惡意子網域的案例,正好突顯出這項問題。這類以自動化方式簽發憑證給網域的機構,反而可能助長網路犯罪。更嚴重的是,母網域的持有者因為完全被蒙在鼓裡而無法加以防範,所以這類 DV 憑證反而能讓駭客公然掩護其行動。
資訊基礎架構的安全必須仰賴其中的每一個環節:瀏覽器、CA、防毒軟體都必須通力合作並主動防範不肖之徒。
CA 必須在發現其簽署的網站遭歹徒利用時撤銷其憑證;網站經營者必須妥善保護其管理介面,不讓任何人在其不知情的狀況下建立子網域;而使用者則必須了解,一個採用安全連線的網站,並不代表它就是安全的。此外還要記住,隨時保持軟體更新以減少可攻擊的漏洞,才是防範漏洞攻擊的根本之道。
我們已將遭歹徒濫用的憑證通報給 Let’s Encrypt。
入侵指標資料
以下是 Angler 漏洞攻擊套件相關檔案的 SHA1 雜湊碼:
- 63c88467a0f67e2f3125fd7d3d15cad0b213a5cb
原文出處: Let’s Encrypt Now Being Abused By Malvertisers作者:Joseph C Chen (詐騙研究員)
(PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密)!即刻免費下載試用
趨勢科技PC-cillin雲端版防毒軟體,先進的網路釣魚(Phishing)防範技術能協助您避免掉入詐騙陷阱。PC-cillin 雲端版防毒軟體來提供您最大的網路釣魚(Phishing)防護。
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。