趨勢科技協助 FBI 破獲的駭客集團 Esthost/ Rove Digital,首腦面臨六年徒刑

趨勢科技 TrendMicro

 

Esthost/Rove Digital看起來是一個位在塔爾圖的正常 IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。首腦終於在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

 

2011年11月,趨勢科技協助 FBI 破獲史上最大殭屍網路: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得,透過被稱為「Operation Ghost Clock」的FBI行動,超過100台屬於Esthost/Rove Digital集團的伺服器被下線。這集團在紐約和芝加哥的資料中心被突擊,超過400萬名的受害者花了半年以上變更到非惡意的DNS伺服器

在這破獲行動經過近四年之後,這網路犯罪集團的首腦Vladimir Tsastsin已經在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

假防毒軟體軟體是集團重要的收入來源之一

Esthost/Rove Digital騙局的運作原理其實相當簡單:植入DNS變更惡意軟體到使用者電腦上,將對熱門網域的查詢導向惡意伺服器。這讓攻擊者可以重新導向針對這些熱門網域的流量,進行難以偵測但卻有極大利潤的攻擊,像是劫持搜尋結果和置換網站廣告。除此之外,假防毒軟體軟體也是這集團重要的收入來源。

攻擊者會對這些方法青睞有加是因為它們較難被偵測,而且可以維持很長一段時間。然而,該集團的活動早在2006年就被趨勢科技所察覺;自那時起我們就開始追蹤他們的活動。

趨勢科技是加入終結Esthost/Rove Digital行動的唯一防毒軟體公司。

在2009年,愛沙尼亞和美國的執法單位開始與其他組織共同行動來終結Esthost/Rove Digital;趨勢科技是加入此一聯合行動的唯一防毒軟體公司。

趨勢科技的研究報告 – 破獲Rove Digital將我們對這一集團的了解總結在一份文件中。

趨勢科技的研究是破獲Esthost/Rove Digital的重要部分,對於將Tsastsin送入監獄是不可或缺的。

犯罪行動曝光前的過去 4年每天都有人到駭客集團所成立的 Esthost/Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得,圖為犯罪集團的首腦Vladimir Tsastsin,將面臨六年的徒刑

圖說:犯罪行動曝光前的過去 4年每天都有人到駭客集團所成立的 Esthost/Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取數百萬美金的不法所得,圖為犯罪集團的首腦Vladimir Tsastsin,將面臨六年的徒刑 繼續閱讀

< WS 2003 EOS >7月14日 Windows Server 2003終止支援!

趨勢科技 TrendMicro

Windows XP在去年停止支援,現在則是另一套作業系統停止支援的時候了 –2015年7月14日輪到了Windows Server 2003,這被廣泛部署的微軟作業系統即將終止支援,自其2003年4月推出至今已經過了相當長的時間。估計仍有260萬到1100萬的Windows Server 2003使用者仍在活躍使用中

win20030529

但這次停止支援會帶來另一全新的挑戰。跟Windows XP不同,Windows Server 2003是伺服器作業系統。不像Windows XP被用在家用電腦和企業工作站/筆記型電腦上,Windows 2003為企業伺服器帶來更深層次的攻擊面。Windows Server 2003(仍然)被廣泛地用在核心功能上,像是目錄伺服器、檔案伺服器、DNS伺服器和電子郵件伺服器。組織依靠它來執行關鍵應用程式和支援內部服務,像是Active Directory、檔案共享和建置內部網站。

當Windows Server 2003支援終止,不會有機制將它保持在最新狀態,這對防護安全問題來說很關鍵。一般來說,作業系統需要透過定期支援來解決安全問題,包括:

  • 取得安全更新來防護漏洞
  • 取得絕大部分產品問題的正規支援
  • 取得非安全性更新,即「一般性」臭蟲修復

 

了解風險

作業系統終止支援(特別對Windows Server 2003來說),代表你IT部門開始有許多事情好做。組織需要準備應對缺少的安全更新、合規性問題、對抗惡意軟體及其他非安全性漏洞。你不再會收到安全問題的修補程式或弱點通知。當出現會影響你伺服器的漏洞時,你將不再知道。

在推出之際,Windows 2003要比Windows 2000更加安全。而隨著時間過去,很明顯地它也有著自己的一串漏洞。CVE清楚地指出使用Windows Server 2003的企業要面對接近403個漏洞,其中有27%是遠端程式碼執行漏洞。沒有通知來幫忙監控和衡量這些漏洞所帶來的風險,可能會讓你的伺服器安全開了一個大洞。 繼續閱讀

加密勒索軟體TorrentLocker偽裝水電帳單,法院,快遞,郵局..等通知肆虐英國

趨勢科技 TrendMicro

趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加,特別是英國和土耳其。從5月上旬到6月10日,TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期(6月10日至6月28日),我們看到這種威脅再次出現。

勒索軟體 Ransom

在2014年底, TorrentLocker勒索軟體 Ransomware義大利傳出疫情。澳洲也曾是這些攻擊的主要目標(雖然其他國家也有受到影響),但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業(如英國天然氣)和政府機構(如內政部或司法部)。

這會導致連到這些單位的假網站,要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上;這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下:

圖1、假的英國天然氣公司網站

圖2、假的英國內政部網站

 

其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱,還有電信公司(已知的例子包括SDA Express、Pozcta、Correo和Turkcell)。對澳洲使用者的攻擊已經變平靜,使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務(如澳洲的Couriers Please和Pack & Send)也遭到利用。

這些檔案所放置的地方也有所改變:之前它們放在檔案儲存網站,像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall(另一個加密勒索軟體家族)現在主要是透過Google Drive下載。

我們在六月看到所下載的檔案名稱(和使用的社交工程(social engineering )誘餌)列在下表中:

繼續閱讀

又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊,總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中,包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密(WikiLeaks)公布了Hacking Team內部超過100萬筆電子郵件,並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在連續兩個 Adobe Flash Player 零時差漏洞因 Hacking Team 資料外洩事件而曝光之後,趨勢科技又發現了另一個 Adobe Flash Player 零時差漏洞 (CVE-2015-5123)。Adobe 在接獲我們通報之後已發布了一項安全公告。此漏洞的分類為重大漏洞,因為駭客一旦攻擊成功,就可能取得系統的掌控權。此漏洞的影響層面涵蓋 Windows、Mac 和 Linux 平台上的所有 Adobe Flash 版本。

Attack 攻擊

問題根源分析

根據趨勢科技的分析,此漏洞一樣是valueOf 技巧所導致的問題。不過有別於前兩個 Flash 零時差漏洞的是,它利用的是 BitmapData 物件,而非 TextLineByteArray

以下是觸發該漏洞的步驟:

  1. 建立一個新的 BitmapData 物件,準備好兩個 Array 物件,產生兩個新的 MyClass 物件,然後將 MyClass 物件分別指派至前面兩個 Array 物件。
  2. 覆寫 MyClass 物件的 valueOf 函式,然後呼叫 paletteMap 並傳入前述兩個 Array 當成參數。BitmapData.paletteMap 將觸發 valueOf 函式。
  3. 在 valueOf 函式中呼叫 dispose() 來釋放 BitmapData 物件的記憶體,導致 Flash Player 當掉。

目前趨勢科技正密切監控是否有任何駭客攻擊運用到這項概念驗證 (POC) 漏洞。一有最新消息或新的發現,我們會立即更新這篇文章。由於 Hacking Team 資料外洩事件已經廣為公開,因此使用者已有遭到攻擊的危險。所以,建議使用者暫時先停用 Adobe Flash Player,直到 Adobe 釋出修補程式為止。 繼續閱讀

Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光

趨勢科技 TrendMicro

Hacking Team 資料外洩事件前一個曝光的零時差漏洞 (CVE-2015-5119) 熱潮還未消退,另一個同樣危險的 Adobe Flash Player 漏洞 (CVE-2015-5122) 就浮上檯面。此漏洞一旦遭到攻擊,可能導致系統當機,並讓駭客取得系統控制權。此外,與CVE-2015-5119 相同的是,所有 Windows、Mac 及 Linux 最新版的 Flash (18.0.0.203) 都含有此漏洞。

alert 病毒警訊

這是一個新的漏洞,並未包含在先前我們未修補的 Flash Player 漏洞以及其他 Hacking Team 資料外洩事件當中發現的概念驗證攻擊 一文所討論的兩個 Flash 漏洞和 Windows 核心漏洞當中。

好消息是:此漏洞目前還在概念驗證階段,所以我們還在觀察是否有任何攻擊已運用該漏洞。壞消息是:該漏洞目前尚無修補程式,不過我們在確認此漏洞的真實性之後便立即通報了 Adobe (台北時間 7 月 11 日上午10:30),因此相信很外就會有修補程式。Adobe也在台北時間當天上午11:40針對此漏洞發布了安全公告

這漏洞到底如何運作?

經過仔細分析,我們發現這是一個利用  TextBlock.createTextLine() 和 TextBlock.recreateTextLine(textLine) 兩個函式來製造使用已釋放物件情況的漏洞。

觸發此漏洞的程式碼為:my_textLine.opaqueBackground = MyClass_object。實際情況是:MyClass.prototype.valueOf 被覆寫,因此使得 valueOf 函式會呼叫 TextBlock.recreateTextLine(my_textLine)。然後 my_textLine 在釋放之後又被用到。

由於我們是在x86環境上利用偵錯 (debugging) 來追蹤這個漏洞,因此觸發漏洞的是 MyClass32 這個類別。漏洞攻擊函式本身則為 MyClass32 的 TryExpl。

以下說明漏洞攻擊的步驟:

  1. 我們有一個新的 Array 物件,名為 _ar,設定 _ar 的長度為 _arLen = 126。使用 Vector.<uint> 來設定 _ar[0…29] 的數值,Vector 長度為 0x62。使用 Vector.<uint> 來設定 _ar[46…125] 的數值,Vector 長度為 0x8。將 _ar[30….45] 的數值設為 textLine,使用 _tb.createTextLine() 來產生 textLine,並將 textLine.opaqueBackground 設為 1。

繼續閱讀