趨勢科技發現一個惡意RTF檔案會利用漏洞CVE-2017-11882來散播間諜軟體Loki(TSPY_LOKI)。它透過HTML應用程式(HTA)來呼叫PowerShell植入惡意軟體,再來取得資料竊取軟體。
CVE-2017-11882是什麼?
CVE-2017-11882是微軟Office(包括Office 360)內存在17年的記憶體損毀問題。一旦攻擊成功,在開啟惡意文件後可以讓攻擊者在有漏洞的電腦上執行遠端程式碼(無需經過使用者互動)。這個漏洞存在於方程式編輯器(EQNEDT32.EXE),這是微軟Office用來在文件中插入或編輯OLE物件的工具。概念證明漏洞攻擊碼已經被公布,而微軟已經在11月份的星期二更新日修補了這個漏洞。
Loki病毒家族可以竊取FTP客戶端的帳號資料,以及儲存在各種網路瀏覽器和數位貨幣錢包的憑證。Loki還可以從“Sticky”相關(即Sticky Notes)和線上撲克遊戲應用程式收集資料。
[相關資料:Cobalt駭客集團再次將目標放在俄語企業]
攻擊者如何利用CVE-2017-11882? 繼續閱讀
全球數以千計海運船隻廣泛使用 AmosConnect 8 船舶通訊軟體被發現重大漏洞。此通訊軟體大多用於海上船舶窄頻衛星通訊、電子郵件、傳真,以及辦公室之間的通訊。但最近卻被網路資安廠商 IOActive 研究人員發現了兩個重大漏洞,可能讓駭客入侵該系統並竊取系統上儲存的任何資料。
根據研究人員表示,該軟體的登入表單出現漏洞可能被駭客透過 SQL 隱碼攻擊 (SQL Injection) 的方式,在表單內注入資料來造成伺服器產生錯誤訊息,進而取得某些伺服器資訊。
在 AmosConnect 8 系統上,駭客只要有網路存取權限,就能利用 SQL 隱碼攻擊來取得其他使用者的登入憑證。其伺服器顯然是使用明碼方式來儲存使用者名稱和密碼,所以才會讓歹徒很容易竊取。
除此之外,該平台也內建了一個後門,可讓駭客取得系統管理權限。如此一來,駭客就能從遠端在伺服器上執行任何程式碼。因此,伺服器上儲存的任何資料都可能遭到外洩,而且駭客還可藉此駭入任何相連的網路。這一點對於需要經手客戶資料和貨運私密資訊的跨國海運公司來說,是相當敏感的事。
隨著駭客不斷實驗各種攻擊方式來擴大事業版圖,媒體也開始經常出現海運公司遭駭客攻擊的案例。根據報導,有些駭客會身兼海盜,專門偷看船運公司的行程表來尋找高價值的貨物並挾持船隻。
根據新聞媒體指出,開發 AmosConnect 軟體的 Inmarsat 公司已經解決了這些安全漏洞並釋出了修補更新。不過該公司也將停止開發 8.0 版軟體,並且建議客戶先改回之前的 AmosConnect 7.0 版。
如同其他許多產業一樣,海運公司也正開始轉型並導入一些現代化功能。在這樣的情況下,該行業所使用的特殊軟體也必須跟上今日資安情勢的狀況,尤其,網路威脅數量正不斷成長。因此,企業應隨時更新並修補系統,以便防範各種已知的威脅。
原文出處:Vulnerabilities Found in AmosConnect 8 Maritime Communications Systems
電子設計師Tom Wimmerhove最近發現汽車製造商Subaru多款車輛的遙控鑰匙漏洞。一旦攻擊成功就可以讓駭客或小偷複製遙控鑰匙來進入汽車。
Wimmenhove將其稱為“fobrob”攻擊,指出這漏洞相對容易被攻擊。通常遙控鑰匙會滾動或跳躍性的送出代碼,支援keyless的汽車就會加以處理來解鎖車門。這些滾動代碼被設計成隨機產生以防止重用,但Wimmenhove指出Subaru用來生成鑰匙代碼的演算法有缺陷,具有可預測性或順序性而非隨機。駭客只需一個25美元的設備來捕捉汽車鑰匙發送的封包資料並取出資料所產生的滾動(上鎖和解鎖)代碼。就可以將這些代碼複製到Raspberry Pi上。
受影響車款包括Subaru Baja(2006),Subaru Forester(2005-2010),Subaru Impreza(2004-2011),Subaru Legacy(2005-2010)和Subaru Outback(2005-2010)。Wimmenhove還展示了對Subaru Forester的漏洞攻擊。
直到本文撰寫時,Subaru尚未承認此問題或回應評論的請求。Wimmenhove告訴BleepingComputer說:“我的確有進行聯繫。我告訴他們此漏洞並與他們分享我的程式碼。他們將我導向他們的“合作夥伴”網頁並要求我填寫問卷。“
[延伸閱讀:汽車駭客問題引發汽車產業的改變]
汽車駭客成為越來越重要的問題,因為汽車變得更加智慧化,依賴網路來替使用者提供一連串的功能。Subaru只是眾多受到汽車駭客影響的汽車製造商之一。早在2015年,智慧車輛的功能如資訊娛樂、無線網路和行動連線服務以及其他數位/線上功能(即用於keyless進入的無線設備)已經成為進入目標車輛的大門。
在8月,米蘭理工大學的Linklayer實驗室與趨勢科技前瞻性威脅研究(FTR)團隊合作詳盡研究了影響控制器區域網路(CAN bus)的漏洞。CAN標準是一種車輛內部基於訊息的汽車網路,可讓汽車的微控制器和設備透過應用程式相互溝通。該研究闡述了CAN bus漏洞如何造成停用連到汽車網路的設備,如安全氣囊、停車感應器和其他安全系統。鑑於使用此協定的汽車製造商數量,這安全漏洞對汽車不管虛擬或實體的安全性都有著顯著的影響,並且會影響提供許多功能之零組件的完整性。
[來自TrendLabs Intelligence Blog:你的汽車散播出過多資訊?]
汽車採用了最新科技而變得更加智慧化,也讓汽車成為了駭客的新目標,請注意相關的警告。此外,汽車製造商也在主動地更新或修補整合進其製造車輛內的應用程式,啟動可以更好地偵測車輛內漏洞的計畫。在去年2016年,美國的汽車資料共享和分析中心(Auto-ISAC)與汽車製造商合作制定了智慧車輛安全性的最佳實作。歐盟也一樣地透過概述安全標準和多項程序認證來確保物聯網(IoT Internet of Thing)設備(包括智慧車輛)的資料隱私。
@原文出處:Vulnerability in Key Fob Can Let Hackers Open Subaru Cars
趨勢科技研究人員發現了第一個攻擊 Dirty COW漏洞的Android 惡意軟體: AndroidOS_ZNIU,已有超過30萬款Android程式夾帶ZNIU。目前超過40個國家偵測到該惡意軟體,主要出現在中國和印度, 但美國、日本、加拿大、德國和印尼也有受害者。直到本文撰寫時,有超過5000名 Android 使用者被感染。在惡意網站上有超過1200隻偽裝成色情和遊戲的應用程式,夾帶能夠攻擊 Dirty COW漏洞rootkit的ZNIU惡意應用程式。
2016年首次曝光的Dirty COW為藏匿於Linux的提權漏洞(CVE-2016-5195),可允許駭客取得目標系統上的root權限。漏洞被發現在Linux平台,包含Redhat和使用了Linux核心的Android。針對Android的Dirty COW攻擊一直到近日才出現,猜測攻擊者花了許多時間來開發能夠在主要設備上穩定執行的漏洞攻擊碼。
圖1:藏有ZNIU的色情應用程式
趨勢科技在去年製作過Dirty COW的概念證明(POC)程式,並且發現所有版本的Android作業系統都有此漏洞,不過ZNIU對Dirty COW漏洞的攻擊只限於ARM/x86 64位元架構的Android設備。另外,最近的這波攻擊可以繞過SELinux來植入後門程式,而 PoC程式只能修改系統的服務程式碼。
趨勢科技監視了6個 ZNIU rootkit,其中4個是Dirty COW漏洞攻擊碼。另外兩個是KingoRoot(一個rooting應用程式)及Iovyroot漏洞攻擊碼(CVE-2015-1805)。ZNIU使用KingoRoot和Iovyroot是因為它們可以破解ARM 32位元CPU的設備,而這是Dirty COW rootkit所做不到的。
感染流程
ZNIU惡意軟體經常偽裝成色情應用程式埋伏在惡意網站上,誘騙使用者點擊安裝。一但執行,ZNIU會跟C&C伺服器進行通訊。如果有可更新的程式碼,它會從C&C伺服器取得並載入系統。同時會利用Dirty COW漏洞來提升本地端權限,解除系統限制和植入後門,為未來遠端控制攻擊鋪路。
圖2:ZNIU感染鏈
進入設備主畫面後,惡意軟體會取得用戶電信業者的資訊,偽裝成設備所有人,利用基於簡訊的支付服務與電信業者進行交易。透過受害者的行動設備,ZNIU背後的操作者可以利用電信業者的付費服務獲利,有個案例是將款項轉至某個位於中國的虛設公司。當交易結束後,惡意軟體會刪除設備上的交易訊息,不留下電信業者和惡意軟體操作者間的交易紀錄。如果是中國以外的電信業者,就不會進行交易,但是惡意軟體還是可以攻擊系統漏洞來植入後門。
圖3:從惡意軟體送給電信業者的交易請求
每月人民幣20元小額交易,避免驚動受害者
根據趨勢科技的分析,惡意軟體似乎只針對使用中國電信商的用戶。而且僅管惡意軟體操作者可以設定更高金額來從漏洞攻擊獲得更多金錢,但還是刻意的將每筆交易故意設為小額(每個月20元人民幣或3美元)來避免被發現。
圖4:SMS交易截圖
我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件,例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純:竊取個人資訊並從中獲利,而遊戲本身也因此經常遭到濫用。
在本文說明的案例中,遭到網路犯罪者利用的並非遊戲,而是遊戲玩家所使用的通訊工具,Discord,這是玩家經常使用的新一代聊天平台,擁有超過 4,500 萬名註冊會員用戶。
ROBLOX
此攻擊案例涉及熱門的大型多人遊戲 ROBLOX,這個遊戲擁有 1 億 7,800 萬名註冊用戶,每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容,玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境,並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素,鼓勵使用者進行社交、一起玩遊戲及建立內容,並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。
Discord 的詐欺漏洞
在網路犯罪者攻擊 ROBLOX 玩家的犯罪中,Discord 扮演何種角色?我們的研究發現,網路犯罪者濫用此聊天平台內建的一項功能,即應用程式設計介面 (API),API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中,竊取包含 ROBLOX 登入憑證的瀏覽器 cookie,具體而言,是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時,讓聊天程式傳送訊息至指定頻道或使用者,Discord 因此成為資訊外洩的管道。
濫用 webhook 的手法可細分為以下步驟:
圖 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖