漏洞攻擊 - 資安趨勢部落格

AV-TEST :趨勢科技 OfficeScan 零時差防護 No.1

2015 年 10 月 30 日2016 年 03 月 31 日趨勢科技 TrendMicro

今年夏天 (2015 年 7 至 8 月)，IT 安全獨立測試機構 AV-TEST 測試了市面上領先的幾套端點防護產品，趨勢科技 OfficeScan™ 也在測試之列。
AV-TEST 的測試方法採用了真實世界測試情境與真實世界威脅樣本。
測試項目包括：
• 防護力 – 產品對於惡意程式感染 (如：病毒、蠕蟲、木馬程式等等以及零時差攻擊) 的攔截能力。
• 效能 – 產品對電腦日常作業 (如：瀏覽網站、下載軟體、安裝和執行程式及複製資料) 的速度有何影響。
• 使用體驗 – 資安軟體對電腦整體使用體驗的影響 (如：虛驚一場的警報、誤判的攔截等等)。

很榮幸地，OfficeScan 是唯一三項測試皆拿到滿分 6 分成績的產品。
• 所有廠商的測試成績請參閱
• 趨勢科技個別的詳細成績請參閱繼續閱讀

新的棘手問題：Pawn Storm零時差攻擊如何閃過Java的點擊播放（Click-to-Play）保護

2015 年 10 月 26 日2015 年 10 月 26 日趨勢科技 TrendMicro

趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞（CVE-2015-2590）進行攻擊。在當時，我們注意到另一個漏洞被用來繞過Java的點擊播放（Click-to-Play）保護。這第二個漏洞（CVE-2015-4902）現在已經被Oracle在每季定期更新中修復，這要歸功於趨勢科技的發現。

點擊播放（Click-to-Play）要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。

繞過點擊播放（Click-to-Play）保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用，因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織（NATO）成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名：最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。（此漏洞已經被Adobe修復。）

當我們私下披露此漏洞時，Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙；在我們徹底討論此漏洞前先讓我們討論一些背景資料。

Oracle提供Java網路啟動通訊協定（JNLP）技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中，攻擊者利用JNLP來部署applet。

要實現這做法，Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI（Java命名和目錄介面）。這種機制是Java遠端程序呼叫的基礎，稱為RMI（遠端方法調用）。JNDI有些基本概念和此攻擊有關，即：

Context – 一組名稱和物件的綁定。換言之，Context物件可以解析一個物件的名稱。這個物件有數種類型；RegistryContext是其中之一。
ContextFactory – context物件的工廠（factory），其為呼叫者建立Context物件。RegisterContextFactory是建立ContextFactory物件的工廠（factory）。

下圖顯示此攻擊是如何運作：

攻擊者需要完成三件事以進行攻擊：

攻擊者將圖2中的HTML碼加到一個惡意網站。
攻擊者建立具備公開IP地址的RMI註冊伺服器。
攻擊者建立另一個同樣具備公開IP地址Web伺服器來儲存惡意Java程式碼。

圖2.、HTML碼插入到一個惡意網站

下面是攻擊進行的過程：

在受害者的電腦上，瀏覽器程序產生（fork）出exe程序（Java客戶端的一部分）來請求惡意網站上的init.jnlp。這由圖2內的HTML碼所造成（Java網路啟動通訊協定用一個.jnlp檔案來透過Java Web Start技術來啟動Java程式碼。）

惡意網站傳回jnlp。讓我們來看看此檔案的內容：

繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

2015 年 10 月 14 日2015 年 10 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動，以攻擊知名目標聞名，而且近兩年來更使用了 Java 有史以來第一個零時差漏洞。

在最近一波攻擊行動當中，Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計，看起來都指向一些正常的時事新聞網頁，其使用過的電子郵件主旨包括：

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

值得注意的是，其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。

近來，各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外，歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門，從事一些簡單卻極為有效的網路釣魚攻擊 ( credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示，Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示，這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

繼續閱讀

Shellshock漏洞屆滿一年，您的伺服器和裝置是否更安全了呢？

2015 年 09 月 30 日2015 年 09 月 30 日趨勢科技 TrendMicro

當 2014 年爆發 Shellshock 漏洞時，資安研究人員第一時間就跳出來回應。當大多數的 Unix、Linux 及 Mac OSX 作業系統皆普遍使用的 Bash指令列介面程式爆發嚴重漏洞時，研究人員同樣也迅速著手研究網站伺服器可能如何遭到該漏洞的攻擊。Shellshock 漏洞發現當時，全球約有五億台裝置和系統受到威脅。

而研究人員擔心的問題也很快就應驗，網路犯罪集團迅速將 Shellshock 整合至現有的攻擊當中，使得一些使用 Bash 指令列介面程式 (至今已有 25 年歷史) 的裝置和伺服器瞬間陷入危機。就在該漏洞曝光的幾小時後，趨勢科技研究人員就在網路上發現針對此漏洞的攻擊。趨勢科技在一個樣本當中發現了 ELF_BASHLITE.A 惡意程式，它不僅可讓歹徒從遠端存取電腦，還可發動分散式阻斷服務 (DDOS) 攻擊。

當時許多企業也迅速做出回應，這或許是因為有了幾個月前的 OpenSSLHeartbleed心淌血漏洞的經驗。加拿大政府也預防性地將某些含有漏洞的系統下線。此外，美國聯邦金融機構檢查委員會 (FFIEC) 也警告金融機構應小心Shellshock 的危險，而英國國家電腦緊急應變小組 (CERT-UK) 也對該漏洞發出警訊。

有關 Shellshock 可能造成網站安全問題的疑慮甚囂塵上，因為，歹徒只需幾行程式碼就能入侵含有漏洞的伺服器。經過一番測試之後我們發現，並非所有使用 Bash 的系統都有可能遭到遠端攻擊，只有預設使用 Bash 為指令列介面程式的作業系統才會遭到攻擊。

Shellshock 帶來的恐懼仍持續至今

就在漏洞曝光的一星期之後，更多 Bash 相關漏洞和惡意程式相繼出現。Shellshock 曾被用於 DDoS 攻擊，一家知名的雲端服務被用來攻擊其他伺服器，包括某政府機關的伺服器在內。此外，巴西的政府單位和中國一家金融機構也遭到此漏洞攻擊。另一個相關的惡意程式還會下載 KAITEN 惡意程式的原始碼，此程式專門用於 DDoS 攻擊。除了攻擊伺服器和裝置之外，Shellshock 攻擊也可能影響分配用戶端 IP 位址的 DHCP 通訊協定，以及電子郵件的 SMTP 傳輸協定。

事隔一年之後，這份恐懼已經漸漸消退，但威脅卻依然存在。Shellshock 相關的攻擊仍持續肆虐數位世界。從2015年第二季起，趨勢科技已發現超過 70,000 次使用 Shellshock 漏洞的攻擊以及大約 100,000 次使用Heartbleed心淌血漏洞的攻擊。我們刻意架設了一個含有 Shellshock 漏洞的誘捕網路，光在過去 15 天內即遭到 50 次攻擊。

Shellshock 相關的感染已蔓延全球。與一年前的情況相比，今日受害最嚴重的地區仍大致維持不變。當年 Shellshock 曝光後的第一個月，絕大多數受感染的電腦都分布在亞洲 (34%)、歐洲 (34%) 和北美 (11%)。過去一個月，絕大部分受感染的電腦還是分布在亞洲 (46%)、歐洲 (23%) 和北美 (14%)。亞洲地區感染率較高的原因很可能是系統修補作業較未能落實的緣故。

圖 1：2014 年 9 至 10 月受 Shellshock 影響的地區,亞洲居冠。

圖 2：2015 年 8 至 9 月受 Shellshock 影響的地區,亞洲居冠。

儘管目前 Shellshock 漏洞仍未出現重大攻擊，但這仍無法掩蓋它是一項普遍性漏洞的事實，而且歹徒有可能利用它來製造真實的傷害。它可用於取得遠端存取權限、發動 DDoS 攻擊、散布惡意程式、竄改並汙損網站、建立「Botnet傀儡殭屍網路」、竊取資料、散發垃圾郵件和網路釣魚郵件，以及執行其他惡意指令。只要駭客的想像力夠豐富，就有無限的方式可攻擊任何使用 Bash 的應用程式和連網裝置，包括：路由器、IP 攝影機、網路閘道 (如 Citrix 的 NetScaler、F5 的 BIGIP 及 Cisco 的產品)，以及網站 CGI 程式。繼續閱讀

從Hacking Team 資料外洩,回顧目前為止的 2015漏洞

2015 年 08 月 24 日2015 年 08 月 25 日趨勢科技 TrendMicro

2015年到目前為止對資安研究人員來說普遍處在忙碌狀態,尤其是 Hacking Team 資料外洩事件,導致多個零時差漏洞披露,以及討論不法買賣漏洞攻擊碼與「工具」的電子郵件流出，為資安環境投下了震撼彈。

網路犯罪分子一直都在努力地整合這些新漏洞到自己的「產品」內以試圖加駭更多人；同時各家廠商也在努力地提供使用者安全更新,現在讓我們回顧目前為止的 2015漏洞。

到 2015年七月底止，趨勢科技研究人員發現並揭露了 26 個漏洞
8個零時差漏洞中有兩個已被 APT 攻擊利用

正如今年早些時候所提到，使用OS X、iOS、Android和Flash Player的風險已經增加。趨勢科技的研究加上 Hacking Team 資料外洩反映了此一趨勢。到2015年七月底止，趨勢科技的研究人員發現並揭露了26個漏洞；8個是零時差漏洞。

零時差漏洞中有兩個已被用來發動 APT攻擊，包括Pawn Storm攻擊活動及在韓國和日本的攻擊。透過監視熱門漏洞攻擊包和趨勢科技產品的反饋資料發現了兩個Flash零時差漏洞（CVE-2015-0311和CVE-2015-0313）。四個零時差漏洞被發現是 Hacking Team流出資料的一部分，後來證實至少有一個（CVE-2015-5122）很快就被整入漏洞攻擊包中。截至今年七月，各研究者在常用的桌面應用程式共發現了15個值得注意的零時差漏洞，其中有8個是由趨勢科技的研究人員所發現。