漏洞攻擊 - 資安趨勢部落格

CVE-2017-5638：Apache Struts 2 漏洞可能讓駭客從遠端執行程式

2017 年 03 月 15 日2017 年 03 月 15 日趨勢科技 TrendMicro

Apache Struts 是一個免費的開放原始碼程式開發架構，用來開發 Java 網站應用程式。我們仔細研究了過去 Apache Struts 被發現的幾個遠端程式碼執行 (Remote Code Execution，簡稱 RCE) 漏洞之後發現，歹徒大多使用 Object Graph Navigation Language (OGNL) 這個程式語言。OGNL 之所以很容易讓駭客從遠端執行任意的程式碼，是因為 Apache Struts 在大多數的流程當中都用到這個語言。

最近，一位研究人員在 Apache Struts 2 當中新發現一個關於 OGNL 的遠端程式碼執行漏洞：CVE-2017-5638。此外，一份報告也指出網路上已出現實際的漏洞攻擊案例，我們的研究和監控團隊也見過利用該漏洞的攻擊。

攻擊手法

駭客可以發送一個精心設計的網站請求給含有漏洞的伺服器，就能將一個檔案上傳至使用 Jakarta 外掛模組來處理檔案上傳請求的伺服器。

駭客接著在 Content-Type 標頭當中包含所要執行的指令來讓受害的伺服器執行指令。網路上已經出現示範這項攻擊手法的概念驗證。

漏洞分析

為了深入了解這項漏洞，我們仔細研究了一下該漏洞的修補程式，我們發現廠商在 FileUploadInterceptor.java 當中已放棄使用「LocalizedTextUtil」這個類別。此類別原本是用來在 HTTP 檔案上傳請求失敗時提供錯誤訊息給使用者。繼續閱讀

CloudFlare漏洞造成潛在的大規模資料外洩

2017 年 03 月 01 日2017 年 03 月 01 日趨勢科技 TrendMicro

全球最大型網路服務公司的程式碼出現嚴重缺陷，導致敏感資料會被外洩到網路上。在部落格的事後檢討文章中，CloudFlare詳細說明了其邊際伺服器如何受到緩衝區溢出的影響，導致對使用CloudFlare服務的網站所發出的請求會返回隨機資料位元，這可能包含了私密資訊如API金鑰、使用者憑證、cookies甚至是私人訊息。外洩資料也被搜尋引擎所暫存，增加了被用在惡意用途的可能性。這個漏洞已經被非正式地稱為「CloudBleed」，因為它跟早期的HeartBleed漏洞有相似之處。

「CloudBleed」一開始是由Google研究人員Travis Omandy所發現，他在觀察到對使用CloudFlare服務的網站所發出HTTP請求的異常行為時回報了此一問題。經過分析，CloudFlare將問題追查至其新的cf-html HTML解析程式。具體地說，這個問題跟存在其舊Ragel解析程式內多年的程式碼錯誤有關，不過問題會浮現是因為切換到新解析程式改變了緩衝機制，導致資料外洩的發生。

CloudFlare的即時回應是停用使用有資料外洩問題HTML解析程式的相關功能。此外，也組成了一個團隊來找出和修復解析程式內的錯誤，他們會設法在短時間內完成任務，在資料被更廣泛擴散前將潛在的傷害最小化。

網路使用者應該擔心嗎？

考量到使用CloudFlare服務的網站數量和資料可能遭到外洩的有效時間長度（最早可能從2016年9月），這似乎是件應該擔心的事情，特別是對經常使用CloudFlare相關網站的使用者來說。不過該公司也說明了資料外洩所造成的影響並沒有那麼大。據估計，在2月13日至18日期間所造成的資料外洩影響最大，透過CloudFlare所進行的3,300,300個HTTP請求中有約1個（0.00003%）可能會導致記憶體資料外洩。

這一點再加上CloudFlare對此事件的快速回應，顯示出資料外洩的影響應該很小。不過這起事件還是提醒了所有網路使用者必須要做好準備來保護自己最重要的數位資產 – 特別是包含敏感資料的部分。

因為主要問題並非使用者所能夠控制，所以使用者能做的最佳行動是變更使用CloudFlare基礎設施網站上的密碼。除了變更密碼，這或許也是個好時機讓使用者去採用更有效的驗證方法，如雙因子身份認證。

＠原文出處：CloudFlare Flaw Causes Potential Major Data Leak

波蘭銀行和其他金融機構遭受新惡意軟體攻擊

2017 年 02 月 17 日2017 年 03 月 13 日趨勢科技 TrendMicro

2017年 2月，許多的波蘭銀行回報在系統上出現未曾偵測到的惡意軟體變種。受影響的銀行報告了異常行為，包括連到國外的網路流量、加密的可執行檔和使用者工作站上的惡意軟體。惡意軟體分析顯示一旦其下載到工作站後，它會連到外部伺服器並且進行網路探勘、橫向移動和資料流出。

該惡意軟體被懷疑是放在波蘭金融監管局（該國的金融監管機構）網站上。有意思的是，研究人員還發現有證據顯示攻擊所用的程式碼跟墨西哥全國銀行及證券監察委員會及烏拉圭銀行所發生攻擊事件內的程式碼相似。

有跡象顯示針對波蘭銀行的攻擊屬於更大規模全球性攻擊活動的一部分，這波攻擊活動針對31個國家的104個金融組織。攻擊者入侵了目標組織的網站，注入惡意程式碼來將訪客重新導向會安裝惡意軟體的漏洞攻擊套件。漏洞攻擊套件是種用來感染訪客的客製化工具，特別是使用目標金融機構所擁有IP地址的使用者。繼續閱讀

洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk

2017 年 02 月 15 日2017 年 02 月 17 日趨勢科技 TrendMicro

無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點（PoS）系統及進行點擊詐騙（click fraud）。

Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織？

為何Lurk 總選擇在午休時間進行惡意內容派送?

沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?

Lurk 興風作浪的這五年

無檔案感染（Fileless Infection）就如同其名：沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見，而且對企業和一般使用者都造成了嚴重的威脅，因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點（PoS）系統及進行點擊詐騙（click fraud）。無檔案感染對攻擊者來說，重要的一點是可以先評估中毒系統，確認感染狀態再決定是否繼續或消失無蹤。

典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者

Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團，這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者，在部署其他惡意軟體前先探測其目標。感染鏈有多個階段，可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣，則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰，直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元，同時也破壞了受害者的營運、信譽和重要的一切。

Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織？他們還知道什麼其他的技術可能被其他網路犯罪分子仿效？他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業？我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析，我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。

*2011年至2012****年初：*利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統

Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說，特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站（如Google）。繼續閱讀

企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員

2016 年 10 月 31 日2016 年 11 月 08 日趨勢科技 TrendMicro

至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布
光是 2016 年第一季，勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得

不論任何時刻，網路總是會存在著漏洞，尤其若網路上還有一些老舊的系統或軟體,再加上零時差漏洞，那麼系統管理員根本就永遠在和時間賽跑。IT 系統管理員甚至必須想辦法在漏洞攻擊套件已收錄的零時差漏洞修補之前防範網路遭受攻擊。他們必須面對各種挑戰，例如，他們不僅要維護關鍵系統的營運不間斷，還要保護網路邊境。就算拿到了漏洞修補程式，也要先完成測試才能開始部署。企業平均約需要 30 天的時間來完成修補程式測試。這樣的情況再加上其他因素，就會導致空窗期，讓漏洞攻擊套件有機可乘。

————————————————-

漏洞攻擊服務(Exploits as a Service)：「漏洞攻擊套件 + 勒索病毒」如何影響企業生計?

2013 年，Blackhole 漏洞攻擊套件和搜尋CryptoLocker 開創了漏洞攻擊套件與勒索病毒聯手出擊的先例。沒過多久，其他漏洞攻擊套件，如：Angler、Neutrino、Magnitude 和 Rig 也隨之跟進。至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布。

值得一提的是，漏洞攻擊套件最早從 2006年起便一直是各種威脅的散布管道。2010 年至今，趨勢科技至少已發現 100 個漏洞被收錄到幾十個套件當中。勒索病毒僅是漏洞攻擊套件可能植入系統當中的眾多威脅類型之一。

[延伸閱讀：進一步認識漏洞攻擊套件]

光是 2016 年第一季，勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得。雖然勒索病毒的直接風險就是資料損失，但它還會帶來其他的不良後果，包括：品牌和商譽損失、法律賠償以及復原關鍵資料的額外成本。

[延伸閱讀：勒索病毒當道的時代 ]

漏洞攻擊套件為何會成為各種威脅的有效的散布管道？首先，這類攻擊無需假借使用者之手，因為它們利用的是熱門軟體未修補的漏洞。光是今年上半年，趨勢科技 (加上 TippingPoint) 和 ZDI 漏洞懸賞計劃就發現了 473 個漏洞。繼續閱讀