標籤: Pawn Storm

Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼

趨勢科技 TrendMicro

當說到漏洞攻擊包,最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼,好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標,其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊

從10月28日開始,趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。(第二個漏洞是Flash的漏洞,直到版本18.0.0.232都存在;我們目前正在與Adobe確認此漏洞的CVE編號)

 

圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)

圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖(點擊放大)

圖3、Angler漏洞攻擊包中第二個漏洞的截圖(點擊放大)

 

Diffie-Hellman協定被惡意使用

趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定,跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。

這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。

 

  1. 不再從客戶端發送gp給伺服器。相對地,它送出ssid來確認gp的配對。
  2. 隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。

 

圖4、Diffie-Hellman協定,使用ssid來識別g,p配對 繼續閱讀

新的棘手問題:Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護

趨勢科技 TrendMicro

 

趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞(CVE-2015-2590)進行攻擊。在當時,我們注意到另一個漏洞被用來繞過Java的點擊播放(Click-to-Play)保護。這第二個漏洞(CVE-2015-4902)現在已經被Oracle在每季定期更新中修復,這要歸功於趨勢科技的發現。

點擊播放(Click-to-Play)要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。

繞過點擊播放(Click-to-Play)保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用,因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織(NATO)成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名:最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。(此漏洞已經被Adobe修復。)

當我們私下披露此漏洞時,Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙;在我們徹底討論此漏洞前先讓我們討論一些背景資料。

Oracle提供Java網路啟動通訊協定(JNLP)技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中,攻擊者利用JNLP來部署applet。

 

要實現這做法,Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI(Java命名和目錄介面)。這種機制是Java遠端程序呼叫的基礎,稱為RMI(遠端方法調用)。JNDI有些基本概念和此攻擊有關,即:

  • Context – 一組名稱和物件的綁定。換言之,Context物件可以解析一個物件的名稱。這個物件有數種類型;RegistryContext是其中之一。
  • ContextFactory – context物件的工廠(factory),其為呼叫者建立Context物件。RegisterContextFactory是建立ContextFactory物件的工廠(factory)。

 

下圖顯示此攻擊是如何運作:

 

圖1、如何繞過點擊播放(Click-to-Play)

 

攻擊者需要完成三件事以進行攻擊:

  1. 攻擊者將圖2中的HTML碼加到一個惡意網站。
  2. 攻擊者建立具備公開IP地址的RMI註冊伺服器。
  3. 攻擊者建立另一個同樣具備公開IP地址Web伺服器來儲存惡意Java程式碼。
圖2.、HTML碼插入到一個惡意網站

 

 

下面是攻擊進行的過程:

 

  1. 在受害者的電腦上瀏覽器程序產生(fork)出exe程序(Java客戶端的一部分)來請求惡意網站上的init.jnlp。這由圖2內的HTML碼所造成(Java網路啟動通訊協定用一個.jnlp檔案來透過Java Web Start技術來啟動Java程式碼。)

 

  1. 惡意網站傳回jnlp。讓我們來看看此檔案的內容:
圖3、init.jnlp的內容

繼續閱讀

俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會

趨勢科技 TrendMicro

馬來西亞航空MH17失事報告10月13日出爐,證實班機遭俄製飛彈擊落,隔天(10月14日)俄國駭客嘗試入侵荷蘭安全委員會電腦系統,嘗試取得敏感的最終失事報告。趨勢科技的研究發現應該是由 Pawn Storm 幕後集團針對DSB (Dutch Safety Board,亦稱 Onderzoeksraad)  所發動的攻擊。

"失蹤的馬航真的在印度降落了!!"是真的詐騙!!
圖說:馬航班機被擊落失事的新聞震驚全球,卻也立即成為駭客進行不法行為的話題跳板。圖為當時臉書詐騙【瘋傳】「失蹤的馬航真的在印度降落了!!」

 

根據趨勢科技前瞻威脅研究 (FTR) 團隊所提供的報告,Pawn Storm 背後的駭客已攻擊了負責調查馬來西亞航空 MH 17 班機墜毀事件的荷蘭安全委員會 (Dutch Safety Board,簡稱 DSB,亦稱 Onderzoeksraad) 。

MH 17 班機於 2014 年 7 月 14 日墜毀在烏克蘭東部,機上 283 名乘客和 15 名機組人員全部罹難。

由於該班機是從荷蘭阿姆斯特丹起飛,因此由 DSB 負責調查這起事件。2015 年 10 月 13 日,DSB 發表了他們的最終調查報告繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動,以攻擊知名目標聞名,而且近兩年來更使用了 Java 有史以來第一個零時差漏洞

在最近一波攻擊行動當中,Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計,看起來都指向一些正常的時事新聞網頁,其使用過的電子郵件主旨包括:

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

 

值得注意的是,其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。alert 病毒警訊

近來,各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外,歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門,從事一些簡單卻極為有效的網路釣魚攻擊credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示,Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示,這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

圖 1:受影響的 Adobe Flash Player 版本。
圖 1:受影響的 Adobe Flash Player 版本。

繼續閱讀

Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列

趨勢科技 TrendMicro

Pawn Storm 攻擊行動重點摘要與最新發展

Pawn Storm 是一項又深又廣的持續性網路間諜行動。它曾攻擊北大西洋公約 (NATO) 會員國與美國白宮等政府機關,也曾鎖定烏克蘭和俄羅斯的一些知名政治人物,而且我們相信,歹徒的總部就位於俄羅斯。去年十月趨勢科技即曾經發表過有關 Pawn Storm 的研究報告:Pawn Storm 攻擊行動:利用轉移注意力來躲避偵測 (Operation Pawn Storm: Using Decoys to Evade Detection),自此我們便一直持續監控及追蹤該行動的最新發展。

本文介紹有關該行動的最新發展,同時也提供一些背景資訊讓還不熟悉該行動的讀者進入狀況。

什麼是 Pawn Storm 攻擊行動?

Pawn Storm 是一項至今仍相當活躍的政治經濟網路間諜行動,專門鎖定一些知名機構和人士,從政府機關到媒體名人皆在攻擊之列。其最早的活動出現於2007 年,但直到最近,我們才掌握有關該行動的一些具體資料,包括其攻擊目標和攻擊來源。

它和其他網路間諜團體/行動有何不同之處?

Pawn Storm 在攻擊手法上和其他以政治為動機的駭客團體有明顯不同,例如:

  • 使用挾帶 SEDNIT/Sofacy 惡意程式的魚叉式網路釣魚(Phishing)郵件來攻擊 Windows系統,或挾帶 Fysbis 或 X-Agent 惡意程式來攻擊 Linux 系統。其魚叉式網路釣魚郵件有時會使用一些當地的材料或話題來吸引收件人開啟郵件。SEDNIT 是一個擁有後門和資訊竊取行為的惡意程式。
  • 假冒企業的 OWA 登入網頁來從事魚叉式網路釣魚郵件攻擊。其某個魚叉式網路釣魚(Phishing)魚郵件的變種會將使用者重導致假冒的 Outlook Web Access (OWA) 登入網頁,藉此竊取使用者的登入帳號密碼。此一攻擊手法的眾多受害者當中,美國國防承包商 ACADEMI (前 Blackwater 公司) 也名列其中。
  • 利用自製的 iOS 惡意程式從事間諜活動。此 iOS 惡意程式就是趨勢科技所偵測到的 IOS_XAGENT.A 或 IOS_XAGENT.B,可從受感染的行動裝置竊取各種資訊,例如:訊息、通訊錄、定位資訊、照片,甚至錄音檔。

繼續閱讀