趨勢科技這次榮幸贊助 2015 年加拿大 FIFA 女子世界盃足球賽。您或許會說:「很好啊!但足球和網路安全有什麼關係?」嗯,那您要怎樣才能在足球場上獲勝?沒錯,要踢進最多球,但除此之外,您還需要堅強的防守。這就是為何接下來的幾個禮拜我們將在部落格上探討您如何「保護您的網路」(包括您的資料、應用程式以及雲端部署),並且防範所有試圖入侵您企業的威脅和漏洞攻擊。
在「保護您的網路」這一系列文章當中,我們將討論軟體定義資料中心和雲端所帶來的機會和挑戰,以及我們如何協助您企業建構一套有效的防禦。這問題您不妨從這個角度切入:不論您的企業規模多大,網路安全就像足球賽一樣,良好的防禦才是您獲勝的基礎。這句話套在雲端和虛擬化環境,真是再貼切不過了。 繼續閱讀
一種與 Emmental 攻擊行動手法類似的新形網路銀行惡意程式正肆虐日本,這就是趨勢科技所偵測到的 TROJ_WERDLOD 木馬程式,此一新的惡意程式從2014 年 12 月肆虐至今,已確定的受害者數量超過 400。
這項威脅藉由兩項系統設定變更來讓它能直接在網路層次竊取資訊 (也就是不需借助資料竊盜惡意程式)。其優點是不需要重新開機或者在感染的系統上執行任何常駐程式。
第一項變更是系統的 Proxy (網站代理伺服器) 設定,將某些使用者的網際網路流量重導到一個駭客掌握的 Proxy。第二項變更是將惡意根憑證加到系統信任的根憑證清單當中。如此一來,歹徒就能從其 Proxy 發動中間人攻擊 (Man-In-The-Middle,簡稱 MITM) 並使用惡意網站的憑證而不會造成系統出現警告或錯誤訊息。
這項惡意 Proxy 搭配新增根憑證的技巧,曾經出現在 Emmental 攻擊行動當中,所以,顯然這項技巧已經傳到了日本。
感染途徑
TROJ_WERDLOD 會利用含有 .RTF 附件檔案的垃圾電子郵件來感染使用者。該文件會偽裝成購物網站寄來的發票或帳單。這個 .RTF 檔案開啟之後,其內容會指示使用者點兩下文件當中的某個圖示 (見下圖),使用者一旦照做,就會讓 TROJ_WERDLOD 得以執行。
圖 1:導致使用者感染 TROJ_WERDLOD 的垃圾郵件 繼續閱讀
MadAdsMedia,這是一家美國的網路廣告商,最近遭受到網路犯罪份子的入侵,導致使用他們廣告平台的網站帶給訪客出自Nuclear漏洞攻擊包的Adobe Flash漏洞攻擊。每天有多達12,500名的使用者可能受到此威脅的影響;其中有三個國家佔了一半以上的點擊量:日本、美國和澳洲。
圖1、這次攻擊最早出現在四月,雖然流量相較起來比較低。受影響使用者的數量在五月初開始出現顯著成長,在5月2日達到每日12,500名受影響使用者的高峰。
最初,趨勢科技認為這是另一種型態的惡意廣告,但後來所發現的證據顯示並非如此。一般的惡意廣告攻擊會是由攻擊者所註冊廣告軟體來觸發的重新導向。但在MadAdsMedia事件中並非如此。我們看到其JavaScript 程式庫的網址出現異常行為 – 這原本是用來分配廣告如何顯示在客戶網站:
圖2、JavaScript程式庫網址提供JavaScript,就如預期的一般
檔案掃描程式的加強讓惡意軟體作者選擇跳脫原本傳統惡意軟體的安裝行為。惡意軟體將自己複製到惡意程式碼內所指定的位置,再利用持續性策略(像是加入自動啟動功能以確保自己持續運作)的做法已經不再足夠。檔案掃描程式可以輕易地封鎖和偵測這些威脅。
趨勢科技注意到的一個手法是利用無檔案惡意軟體。跟大多數惡意軟體不同,無檔案惡意軟體將自己隱藏在難以掃描或偵測的位置。無檔案惡意軟體只存在於記憶體中,並直接寫入記憶體而非目標電腦的硬碟上。POWELIKS是一個無檔案惡意軟體的例子,它可以將惡意程式碼隱藏在Windows註冊表中。利用一個傳統惡意軟體將惡意程式碼加入註冊表內。
在2014年8月,POWELIKS 的閃躲技術及使用Windows PowerShell 讓它被視為可能出現在未來攻擊的危險工具。
無檔案感染技術的成功(可以從2014年後期出現的POWELIKS感染高峰看出)讓其他惡意軟體作者也想要跟著仿效。在本文中,我們將討論另一個知名的惡意軟體也具備無檔案感染行為。
Phasebot,源自Solarbot
另一個無檔案惡意軟體的例子是「Phasebot」,趨勢科技發現它出現在販賣惡意軟體和其他惡意線上工具的網站上,被自稱是惡意軟體的創造者加以兜售。我們將 Phasebot偵測為TROJ_PHASE.A。Phasebot 同時具備 rootkit和無檔案執行能力。
趨勢科技注意到這個惡意軟體和Solarbot有著相同的功能,這個舊「Botnet傀儡殭屍網路」程式第一次出現是在2013年底左右。當我們比較販賣這兩個惡意軟體的網站後就可以看得更加清楚。
圖1、比較Solarbot(上)和Phasebot(下)網站
又一個用來保護網路安全的基礎加密演算法出現漏洞。這個漏洞被其發現者(來自各大學和公司的研究人員)稱為Logjam攻擊,讓攻擊者可以用中間人攻擊來減弱安全連線(例如 HTTPS、SSH和VPN)所用的加密方法。理論上,這代表著攻擊者(具備足夠的資源)可以破解加密並讀取「安全」的網路連線內容。
從某些方面來說,這種攻擊跟最近的FREAK攻擊類似。兩種攻擊都是因為對「出口等級」加密標準的支援而變得可能。直到1990年代,加密被美國認為是一種「武器」而限制「出口」到美國以外的產品能夠支援的加密強度。不幸的是,原本「可接受」的加密強度現在已經可以被破解,只要有足夠的運算資源。
該漏洞存在於Diffie-hellman金鑰交換進行的過程。Logjam可以用來降低接受的演算法強度到使用 512-bit質數(使用在「出口等級」加密)。類似的研究(也由Logjam研究者進行)證明其他漏洞也存在於使用768-bit和1024-bit質數的系統。國家等級可能有必要的資源來利用這些漏洞;讓攻擊者可以解密被動收集來的安全通訊。
誰有危險?
理論上,任何使用Diffie-hellman金鑰交換的協定都可能面臨這種攻擊的風險。然而,請注意這種攻擊要求符合兩個條件來進行攻擊:可以攔截安全伺服器和用戶端間的網路流量以及大量的運算資源。
研究人員估計,前100萬網域中有高達8.4%的網站是可能有此弱點的。類似比例的POP3S和IMAPS(安全郵件)伺服器也有危險。
我現在該怎麼做?
對於一般使用者來說,真正要做的只有一件事:更新你的瀏覽器。所有的主流瀏覽器廠商(Google、Mozilla、微軟和Apple)都在為他們的產品準備更新,應該很快就會發佈。你還可以透過這個網站來檢查你的瀏覽器是否有此弱點。
對於軟體開發者來說,要修補也是相對簡單。確認你的應用程式所使用的加密程式庫是更新的。此外,也可以在金鑰交換時指定使用較大的質數。
主要的工作落在使用有風險服務和協定的伺服器管理者身上。對他們來說,需要進行下列事情:
趨勢科技的解決方案
趨勢科技的Deep Security和Vulnerability Protraction已經推出下列規則可以用來防護此一威脅:
@原文出處:Logjam Breaks Secure Key Exchange… Sometimes
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接