DDoS - 資安趨勢部落格

systemd漏洞在Linux上導致阻斷服務攻擊

2017 年 11 月 28 日2017 年 11 月 28 日趨勢科技 TrendMicro

許多Linux發行版都因為最近被披露的systemd的漏洞而面臨危險：DNS解析服務的一個漏洞可能讓系統遭受分散式阻斷服務攻擊 (DDoS)。攻擊這漏洞的方式是讓系統向攻擊者所控制的DNS伺服器進行查詢。DNS伺服器接著送回一個特製回應，讓systemd進入無限迴圈，也讓系統的CPU使用率持續在100%的狀態。這漏洞已經被分配編號CVE-2017-15908。

有許多方法可以讓使用者查詢惡意份子所控制的DNS伺服器，不過最簡單的作法是讓使用者系統連往攻擊者所控制的網域。這可以透過惡意軟體或社交工程完成。

解決這漏洞最有效的辦法是修補systemd的漏洞。趨勢科技在今年7月首先發現了這個漏洞，並在同月份通過零時差計畫（ZDI）回報給適當的廠商。獨立研究人員在今年10月也同樣發現了這個漏洞，並將其回報給Canonical。許多Linux發行版都已經推出修復程式，像Ubuntu也在10月底發布。幸運的是，到目前為止還沒有出現針對此漏洞的攻擊。

漏洞分析

隨著時間過去，DNS會持續加入新的功能，既是為了增加新功能也是為了讓其更加安全。一個定義在RFC 4034內，新加入域名安全擴展（DNSSEC）的資源記錄類型稱為NSEC（Next Secure）記錄。

這漏洞發生在處理表示NSEC位元圖（bitmap）中虛擬型態（pseudo-type）的位元時。下圖顯示了程式碼區塊和堆疊框架。反白的地方“continue”顯示“while迴圈”進入無限迴圈。dns_packet_read_type_window()出現在resolved-dns-packet.c內。繼續閱讀

Google Play 再現惡意程式，Sockbot 可利用遭感染手機發動 DDoS 攻擊

2017 年 10 月 24 日2017 年 10 月 24 日趨勢科技 TrendMicro

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢，還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》，宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式，宣稱可讓玩家自訂其角色造型。不過，這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格：GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示，此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著，C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後，應用程式會再連上歹徒指定的另一個伺服器，該伺服器會提供一份廣告清單及相關資料 (如：廣告類型、螢幕大小)。然後，應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化，就可以用來攻擊網路相關的漏洞。而且，憑著 Sockbot 挾持裝置的能力，被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。繼續閱讀

你以為印表機很安全嗎? 全臺46所學校印表機遭駭客入侵！

2017 年 03 月 10 日2017 年 03 月 15 日趨勢科技TrendMicro

2017年資安風暴一波未平一波又起，上個月二月初臺灣證券市場才遭逢第一件大型駭客攻擊，二月底多所學校的網路印表機均收到自動列印署名為Emerson Rodrigues之恐嚇信件，要求校方指定時間前支付3個比特幣（約新臺幣10萬元），若未準時付款就會於3月1日發動網路攻擊以癱瘓學校網路。

延伸閱讀>>臺灣證券市場遭逢第一件大型駭客攻擊！刑事局已介入偵辦

經過教育部調查後，上週五至本周一為止，全臺已有多達46所學校收到駭客威脅信，目前以大專院校為大宗。仍有部分縣市尚未回報，估計受駭客入侵學校數量恐怕不只如此。根據行政院國家資通安全會報公告，該類印表機因曝露於網際網路且未設置相關登入帳號密碼或使用預設密碼，導致有心人士可於外部直接存取網路印表機。

那麼，網路影印機很危險嗎?
二月初，一位名為Stackoverflowin的網路駭客入侵15萬台網路印表機，並遠端作業，使其印表機印出了文字與ASCII編碼構成的機器人，受害印表機廠商遍布多數大廠牌，如Canon、Epson、HP、Lexmark、Brother等。Stackoverflowin表示此舉在於提醒大家注意印表機的安全性。

受害者在社群平台twitter上傳受害證據-文字與ASCII編碼構成的機器人 繼續閱讀

專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!

2017 年 02 月 14 日2017 年 05 月 12 日趨勢科技 TrendMicro

去年年底，以 Linux 類系統為目標的 Mirai 殭屍病毒 (趨勢科技命名為 ELF_MIRAI) 造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊，讓我們見識到物聯網有多麼脆弱。

最初的 Mirai 殭屍病毒是在 2016 年 8 月發現，專門攻擊採用 Linux 韌體的 IoT 裝置，例如：路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。病毒會隨機選擇一個 IP 位址，然後試圖用一些預設的管理帳號和密碼來看看能不能登入裝置，它所嘗試的連接埠 (和通訊協定) 有：7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在 2016 年 10 月，該病毒的原始程式碼開始在網路上流傳，攻擊案例也開始攀升。各種變種開始攻擊各大知名網站，如：Netflix、Reddit、Twitter、AirBnB，其中最大的案例之一就是德國電信 (Deutsche Telekom) 約有 900,000 台家用路由器遭殃。

最近，Mirai 又再次登上媒體版面，這一次它挾著新 Windows 木馬程式的威力，進一步擴大地盤。

去年我們就預測，像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加。不過，這個新的木馬程式只是用來散布 Mirai 殭屍病毒的工具，而非另一個殭屍病毒。在 2015、2016 年，Mirai 是利用暴力破解方式和殭屍程式不斷掃瞄所有 IP 位址來發掘潛在的受害者。此次發現的 Windows 木馬程式 (趨勢科技命名為 BKDR_MIRAI.A) 主要是用來幫 Mirai 搜尋可攻擊的目標，讓 Mirai 殭屍病毒散布得更廣。

以 Windows 為跳板,尋找適合納入殭屍網路的目標

此 Windows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃瞄的 IP 位址範圍。當該程式成功入侵目標裝置，就會檢查裝置使用的是什麼作業系統。如果是 Linux，就會在裝置內植入 Mirai 病毒，讓這台裝置也變成殭屍。如果是 Windows，就將木馬程式複製一份到該裝置上，然後繼續尋找其他 Linux 目標。因此這個木馬程式會植入目標裝置惡意程式有 Linux 和 Windows 兩種版本。

圖 1：Windows 木馬程式當中負責掃瞄連接埠的程式碼。

繼續閱讀

臺灣證券市場遭逢第一件大型駭客攻擊！刑事局已介入偵辦

2017 年 02 月 06 日2017 年 02 月 06 日趨勢科技TrendMicro

上週，臺灣證券市場發生史上最具規模的駭客攻擊事件，而刑事局日前已出面證實2家證券商主動跟警方報案。

根據《經濟日報》報導，元大、群益、凱基、元富、大展等十多家證券商，於2月2日起分別接獲駭客英文勒索信件，要求支付比特幣，並揚言若不在指定時間內支付，就會發動DDoS攻擊。

那什麼是DDoS攻擊呢?
DDoS：Distributed Denial of Service，為分散式阻斷服務攻擊。DDoS攻擊的邏輯可以用一個很簡單的情境比喻解釋—-就是奧客。比方說，使用者走到只有一個服務櫃台的銀行。當使用者接近櫃台時，另一人插入並且開始和行員閒聊，並沒有要想要進行任何銀行相關交易。即便身為銀行的合法使用者，使用者也無法存入他的支票，被迫等到「惡意」使用者完成他的談話。然而，當這惡意使用者離開後，其他人走到合法使用者前，再來一次地延遲合法使用者。這過程可能持續數小時，甚至數天，阻止這名使用者或任何合法使用者進行銀行交易。此攻擊方式幾乎無法從正常流量中分辨出攻擊流量。攻擊會消耗其目標網路系統的資源並無限延遲提供正常的服務的時間。繼續閱讀