漏洞 - 資安趨勢部落格

2018年上半年影響企業的最大四種威脅

2018 年 11 月 13 日2018 年 11 月 11 日趨勢科技 TrendMicro

讓企業能夠更有效地做好資料安全保護以及主動防禦的最佳方法就是了解威脅環境趨勢。

檢視駭客現在所使用的攻擊、入侵和病毒散播策略，就能夠了解在未來會繼續出現的安全問題，讓企業可以準備好正確的資料和資產保護措施。

每一年都有著過去延續下來及新出現的威脅，這些威脅讓安全防護變得更加複雜。所以了解影響最大的威脅（包括過去就盛行的舊威脅以及網路犯罪分子間新出現的攻擊手法）在資料安全領域是相當重要的。

趨勢科技的研究人員檢視了2018年上半年常見的資料保護和網路威脅問題，整理出了2018年年中資安綜合報告：看不見的威脅帶來迫在眉睫的損失。

讓我們仔細探討一下這份研究以及今年上半年影響企業最主要的四個威脅。

影響大量設備的漏洞

Heartbleed早在2014年就已經出現。它是當時最嚴重也影響最廣泛的漏洞之一，大量使用OpenSSL加密程式庫的平台和網站都受到了影響。因為受影響網站的數量龐大，加上它讓駭客有機會讀取到儲存在系統記憶體內的資料，讓此漏洞在當時成為全球的新聞頭條。

而之後還有許多漏洞被找出，包括2018年初的兩個重大漏洞。研究人員發現了CPU的設計缺陷 – 被稱為Meltdown和Spectre。不幸的是，這些還不是今年唯一的知名漏洞。

正如趨勢科技在5月份所報告，在Meltdown和Spectre之後又發現了8個也會影響英特爾處理器的漏洞，其中有4個被認為屬於「高」嚴重性威脅。因為這些處理器被全球企業及消費者所大量使用，因此新出現的漏洞對安全管理員和個人用戶來說都相當值得擔心。繼續閱讀

SettingContent-ms 可被用於執行複雜的 DeepLink 以及Icon-based 的惡意程式碼

2018 年 11 月 07 日2018 年 11 月 06 日趨勢科技 TrendMicro

微軟SettingContent-ms最近成為備受關注的話題。趨勢科技在七月看到一個垃圾郵件活動利用惡意的SettingContent-ms檔案嵌入PDF檔中，目的是為了執行遠端存取的木馬程式FlawedAmmyy, 這個遠端存取木馬(RAT) 也被使用在Necurs殭屍網路上. 而攻擊行動主要鎖定的目標是歐洲和亞洲的銀行。

SettingContent-ms最近才加入微軟軟體中，最早是在Windows 10中引入。以XML格式/語言寫入此類型檔案中，通常這類型檔案會包含Windows功能的設定內容，例如更新流程以及開啟某些特定類型檔案的應用程式等。這些檔案最常被用來當成開啟舊版Winodws控制台的捷徑。

圖1.SettingContent-ms的副檔名以及icon

圖2.Figure 2. 正常 SettingContent檔案中的 DeepLink tag

除了垃圾郵件活動之外，還有一些關於微軟SettingContent-ms的概念驗證(POC)研究，在七月份由Specter Ops所發佈。由此份研究報告以及實際出現的攻擊行動顯示出只要將DeepLink tag下的指令替換成惡意指令碼，便可利用SettingContent-ms執行惡意程式。一開始當微軟從研究人員聽到這個問題時，他們並不認為這是作業系統的弱點。但是在2018年8月，他們公布了修正程式以修補這個問題: CVE-2018-8414

圖 3. DeepLink tag 下的惡意指令碼

如圖3所示，是一個SettingContent-ms被濫用的範例，在DeepLink tag下的惡意指令碼可以執行PowerShell script並從惡意網站下載並執行惡意程式。

在進一步研究這些方法時，我們開始看到該技術的局限性。單獨使用DeepLink似乎有一些缺點：

優點

檔案size較小 – 乍看之下不容易看出可疑性

缺點

容易佈署
最多只接受517個字元
侷限在一些命令執行技術，例如: Command Prompt,PowerShell,MSHTA,Certutil,Bitsadmin, WMI

藉由這些觀察，進一步的研究發現可以利用SettingContent-ms發展其他技術。稍早之前，研究人員已經研究如何利用Icon Tag應用在惡意的攻擊活動。為了驗證這個技術是否可行，我們建立了一個SettingContent PoC，這包含了DeepLink以及Icon tag，用來裝載惡意程式碼。

DeepLink + Icon-based的惡意程式碼—如何運作?

在這個情境中，DeepLink tag只能包含一個指令，並且可以呼叫寫在Icon tag下的惡意程式碼。在我們的PoC研究中，我們將Icon tag下的Script做了非常深度的程式碼混淆，如同圖4所示。

圖 4. DeepLink 呼叫了 Icon tag

圖 5. 寫在Icon tag下的惡意PowerShell script (移除程式碼混淆)

我們做了這個測試目的是為了確認Icon-based這類較長以及複雜的惡意程式碼是否會執行，結果這類惡意程式碼的確可以被執行。在這個Poc中寫入在Icon tag下的PowerShell script是來自於TROJ_PSINJECT.A，這個惡意程式會下載ANDROM/GAMARUE。

即便做了這樣的操作，無論在Icon tag下被寫入什麼，Icon顯示仍為空白(如圖 1所示)。

假設這樣的技術可能成為未來潛在的威脅，仍有其優缺點:

優點

容易佈署
Icon tag可以寫入的字元數不受限制
不限於簡單的命令執行；可以佈署各種個Script例如ReflectivePEInjection, backdoors，等等。

缺點

檔案size較大- 容易被標註為可疑程式

解決方案以及緩解方式

這個技術顯示出網路犯罪可能擁有很多的工具，用來協助他們佈署複雜又有效的惡意程式碼。上述的情境，由一個SettingContent-ms中DeepLink tag下的惡意指令開始，進而我們發現了可以透過Icon tag佈署更複雜以及更長的惡意程式碼。

除了SettingContent-ms之外，可能還有其他更多的正常檔案被濫用。因此我們必須持續針對不同的應用程式進行研究，比惡意程式作者以及新的威脅更早一步發現可能的風險。

為了防護濫用SettingContent-ms的類似威脅，可以利用具備行為分析能力的解決方案，透過行為監控可以發掘並阻擋惡意的指令，以避免惡意程式在受害者的電腦上被執行。

趨勢科技趨勢科技OfficeScan XGen™ 防護端點防護使用高準度機器學習(Machine learning,ML)以及其他的偵測技術搭配全球威脅情資可以提供全面的安全防護，對抗進階的惡意程式。我們也持續監控SettingContent-ms類型檔案是否出現新的惡意指令。

◎原文來源: SettingContent-ms can be Abused to Drop Complex DeepLink and Icon-based Payload 作者:Michael Villanueva

新Underminer漏洞攻擊套件, 散播Bootkit和挖礦病毒,影響 50 萬台電腦,鎖定日本,台灣居第二

2018 年 07 月 30 日2018 年 07 月 28 日趨勢科技 TrendMicro

趨勢科技發現一個新的漏洞攻擊套件（命名為Underminer），它會使用其他漏洞攻擊套件出現過的功能來阻止研究人員追蹤其活動或逆向工程其送入的病毒。Underminer會傳送感染系統開機磁區的bootkit及名為Hidden Mellifera的虛擬貨幣挖礦病毒。Underminer透過加密TCP通道來派送這些惡意軟體，並且用類似ROM檔案格式（romfs）的客製化格式來封裝惡意檔案。這些作法讓漏洞攻擊套件及有效載荷（payload）難以被分析。Underminer似乎是在2017年11月所開發。不過在此次案例中，使用了包括Flash漏洞攻擊碼，並且會用無檔案攻擊手法來安裝惡意軟體。

Underminer在7月17日的活動顯示它主要將病毒散播到亞洲國家。Hidden Mellifera是從5月時出現，據報影響多達50萬台的電腦。Hidden Mellifera的作者也跟2017年8月所報導的瀏覽器劫持木馬Hidden Soul有關。關聯分析顯示Underminer是由同一批駭客所開發，而Underminer也散播了Hidden Mellifera。另外，Underminer是透過廣告伺服器派送，這伺服器的網域名稱是用Hidden Mellifera開發者的電子郵件地址註冊。

圖1、Underminer漏洞攻擊亞洲國家,據報影響多達50萬台電腦,主要攻擊日本,台灣居第二（從7月17日到7月23日）

繼續閱讀

Aurora 電網漏洞與 BlackEnergy 木馬程式

2018 年 07 月 17 日2018 年 07 月 17 日趨勢科技 TrendMicro

最近在一些工業物聯網 (IIoT) 資安研討會上，Aurora 漏洞持續成為眾人話題。與會者都在問：「我們國家的電網是否安全無虞？我們如何保護電網安全？Aurora 到底是什麼？」這篇文章就是要來探討一下 Aurora 漏洞以及專門利用該漏洞的 BlackEnergy 攻擊。

2007 年 3 月，美國能源部 (US Department of Energy) 展示了 Aurora 漏洞 (請參閱這段來自 CNN 的實測影片)。影片中發生了什麼事？

基本上，發電機內部是由一個永久性磁鐵所構成的轉子在一個由線圈構成的定子當中持續旋轉來產生電力。而帶動轉子旋轉的動力可以是水力 (水力發電機)、燃油 (柴油發電機)、蒸氣 (核能發電機) 或是風力 (風力發電機)。發電機所產生的電力會匯集到電網，然後再輸送至全國各地，提供民生及商業用電所需。

其他類型的發電設備同樣也要將電力匯集到電網。美國電網所提供的電力屬於 60 Hz 的交流電，這表示電壓的正負變化為每秒 60 次。只要發電機的相位與電網同步，其電力就能順利地併入電網的總電量當中。但萬一發電機輸出的電力與電網發生相位不同步的情況，就會無法將電力併入電網。繼續閱讀

上百萬台光纖路由器爆漏洞，變更網址即可避開認證機制

2018 年 05 月 10 日2018 年 05 月 10 日趨勢科技 TrendMicro

資安研究人員在上百萬個 Gigabit 被動光纖網路 (GPON) 家用路由器上發現了一個遠端程式碼執行 (RCE) 漏洞。此漏洞會讓駭客藉由修改瀏覽器網址列上的網址來輕易避開路由器登入頁面的認證機制，等於完全掌控了該路由器。根據 Shodan 全球連網裝置搜尋引擎的搜尋結果顯示，含有此漏洞路由器有一半都位於墨西哥，其餘一半的則分布在哈薩克和越南。

[延伸閱讀：路由器遭到攻擊：最新資安漏洞以及如何修正]

研究人員針對 Dasan Networks 所生產的路由器進行了完整的研究之後發現了可讓駭客避開其認證頁面的 CVE-2018-10561 漏洞，只要在存取該路由器的設定頁面時在網址末端加上「?images/」字串即可。除此之外，研究人員還能利用這項漏洞來注入指令，從遠端透過修改 DNS 設定對裝置及網路執行其他指令。

[延伸閱讀：2017 年最值得注意的家庭網路威脅]

GPON 是一種被動光纖網路，經常用於光纖路由器來提供高速網際網路連線，可讓使用者和所有相連的裝置經由光纖網路上網。其路由器通常由 ISP 提供，因此大多使用預設的帳號密碼。這讓駭客很容易竄改這些路由器的韌體，將路由器收編成殭屍網路的一員，進而被駭客用來從事中間人攻擊，或者竊取各種資訊以用於其他數位勒索或網路間諜活動。繼續閱讀

影響大量設備的漏洞