《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

 資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

 

事實上,在他們拿到這Java漏洞之前,Nitro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標(附註一點,我們在2012年四月也看到另一波的電子郵件)。

itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標
itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標

 

資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

  繼續閱讀

Apple:這是Java的原罪

  早在2010年十月,Apple就宣布他們將會放棄對Java的支援。這並不會影響到Oracle去直接支援這個Unix系統平台,就跟它會支援其他的Unix作業系統一樣。因為OSX對Java更新的遲緩讓它面臨了clickjacking點擊劫持和其他惡意活動的威脅。Apple最後終於負起責任去更新了Java 6 Update 33。在那之後,Java 6的另一個變更會影響兩個不同地區的時區變化。但Apple似乎不大可能去進一步的更新OSX的Java 6。

  

 在2012年8月14日,Oracle釋出Java 7 Update 6給Mac上的Lion和Mountain Lion作業系統。Oracle對OSX的直接支援終止了Apple Java更新遲緩所受到的指責。Java的未來及相關的安全性現在顯然是握在Oracle的手上。在Oracle釋出OSX Java 7 Update 6更新版本的兩個禮拜內,一個漏洞被發現會影響Windows,而OSX和Linux上也都有相同的漏洞。這個漏洞會影響FireFox、IE 9和Safari 6。Oracle一向會及時的提供Java漏洞修補程式,也終於在近日推出更新版本修補此一漏洞,詳細資訊請參考下列網址: https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

 Mac Java的背景知識

 Java是Sun在1990年代初期所開發的。這個編程環境是用來幫助跨越各種不同的作業系統,從大型主機到嵌入式裝置的作業系統。Java甚至被當成是微軟在1996年所推出的ActiveX的替代控制作法,以延伸微軟COM和OLE跟作業系統的通訊。在2000年。Windows用ActiveX來取代JavaScript作為自己瀏覽器的API。這個外掛API是為Netscape所開發。JavaScript並不是Java,但Netscape認為Java代表分散式作業系統的客戶端/伺服器解決方案。微軟Internet Explorer 5.5的ActiveX將作業系統的應用程式帶到網路上,微軟希望他們的應用程式可以在網路上被廣泛採用,以增加Windows的影響力。

 微軟對於將ActiveX擴展到他們瀏覽器的這項作法的說詞是為了要加強安全性。這時正好微軟也取消Windows Internet Name Service(WINS),而用DNS來提供名稱階層架構,也就是今天認證的基礎。ActiveX看起來是WINS的替代策略,讓微軟可以用來主宰網際網路。但是卻讓網路犯罪份子在網路上利用ActiveX來控制Windows應用程式。ActiveX並沒有讓Windows成為網際網路上的主導者,同時ActiveX也沒有提高安全性。

  在2005年,Android利用Java建立Java執行環境(JRE)。Sun在2006年11月將Java的原始碼用GPL v2開放出去。但是唯一的例外就是不包括行動應用程式。所以Google開發自己的Java虛擬機器(JVM)技術,稱為Dalvik,以避開編程介面的限制。並且將JRE的堆疊模式轉變成Java虛擬機器(JVM)的暫存器型態。

 接著,Sun在2010年被Oracle所收購。Apple並沒有替Java提供移除安裝程式,使用Java的程式可能不會取消檢查Apple的Java控制面板來直接使用Java。而許多這樣的程式也不會去注意到Oracle Java 7 Update 6的控制面板,更不會接受可用的Java 7環境位置。這些Java的問題需要一點時間來解決,但是Apple已經清楚的表達了他們的意思,不會再自動安裝Java,也不會支援Java 7。

 

Apple應用程式的規則

 在Mac App Store審核指南規則2.24指出:

 「應用程式使用不適用或需額外安裝的技術(例如Java、Rosetta)將會被拒絕」

 控制應用程式的更新,可被允許的元資料和捷徑、禁止未經使用者同意就自動啟動和禁止下載其他應用程式或修改 – 所有的這一切都是為了提高安全性的目標。但是如果還是允許Java的話,執行這些安全措施並不實際,也會讓網路犯罪份子更加容易攻擊成功。

   繼續閱讀

《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)

編按:可遠端控制攻擊受感染機器的Java 7 漏洞,更新後立即又被發現新漏洞!!要如何暫停使用 Java 請看本文


 

作者:趨勢科技資深分析師Rik Ferguson

 

這不是Java

這不是Java                                                                                                                      �
  圖片來源:Homini :)的Flickr照片,經由創用CC授權引用。

有種常見的誤解就是以為Java和JavaScript之間有密切的關連,許多人甚至會混著使用這兩個名詞。但事實上,會有相似的名稱只是因為Netscape將一種技術名稱 – LiveScript改成JavaScript,他們從1995開始研發這種技術。這改變在當時被普遍認為是種行銷策略。但從長遠來看,它的確造成許多的混淆。

Java和JavaScript並不相同,當然跟Bob的爪哇搖滾樂(上圖內的World Famous Bob’s Java Jive)更沒關係。最近Java的零時差弱點(本部落格中文相關文章Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX)讓這星期熱鬧滾滾,了解它倆的區別也成為了你網路安全的關鍵。

最新版本Java內的漏洞讓攻擊者可以誘騙你去連上一個惡意或被入侵的網站,在無需跟使用者有任何互動的情況下就可以利用這漏洞來安裝惡意程式到你的電腦上。它已經被用來安裝一個已知的後門程式,讓網路犯罪分子可以遠端控制被感染的電腦。也被加入到一些攻擊工具包內,不管是專業用工具還是犯罪用工具。

事實上,Java是種跨平台的環境,讓它相對起來,更簡單去產生惡意程式碼來攻擊多數主要作業系統。

 

如果你的系統上有裝Java 1.7的任何版本,那就有受到這種攻擊的危險。這是最新被預設安裝到微軟Windows電腦的版本。如果你用的是MacOS,那由Apple軟體更新所拿到的最新版本Java是1.6.0.33,就沒有這個弱點。但如果你很熱衷於將系統保持在最新狀態,都會想去安裝最新修補程式來防止已知漏洞(通常這是很好的作法),那你可能已經上過java.com,而Oracle也已經提供MacOS最新但是有弱點的版本。

當漏洞已經被廣泛的利用來攻擊,但修補程式還沒釋出前,最好的作法就是直接在瀏覽器裡停用Java。這時知道Java和JavaScript有何不同就很重要了。不然你很可能會關到錯的選項,但危險卻沒解除。

 在Internet Explorer裡停用Java

的Internet Explorer的「工具」選單內選取「管理附加元件」,停用Java™ Plug-in SSV HelperJava 2™ Plug-in 2 SSV Helper 繼續閱讀

雲端資料銷毀:你的舊資料還可以被存取嗎?

作者:趨勢科技 Christine Drake

 趨勢科技最近在Linked舉辦一次關於企業如何銷燬雲端資料的調查。截至八月中旬為止,我們收到了149票,目前結果如下。

 

企業如何銷燬雲端資料調查結果
企業如何銷燬雲端資料調查結果

 

因為第四種回應是「這是什麼意思?」所以先讓我們簡單解釋一下什麼是雲端資料銷毀。在雲端環境裡,你的資料是經常在移動的,好讓資源使用可以最佳化。雲端空間是移動的、快照是頻繁的、備份也是定期在製作的,而且資料會在好幾個資料中心間被共享,以節省成本和提供可用性。資料可能會被資料所有者所移動,或者是在公共雲裡,被服務供應商所移動,好在多租戶環境中最佳化資源使用狀況。

 

當資料被移動時,原本位置的資料應該要被銷毀。如果有任何資料仍然殘存著,就有可能會產生安全問題,也可能出現未經授權就存取殘存資料的問題。如果企業在自家私有雲內移動資料,他們可以存取底層基礎設施,並且能夠好好地掌控銷燬原本位置上的資料。但即使是在私有雲內,新資源分配的動態特性也讓人很難確切知道資料在特定時間上會位在哪裡。

 

至於公共雲,企業的掌握就更少了。服務供應商可能會為了最佳化資源分配、備援和可存取性而去移動或複製資料。服務供應商通常因為規模經濟而可以幫客戶節省更多成本。但為了最佳化資源運用,他們可能會在資料所有者不知情下去移動資料。

 

那企業要如何確認他們在原本儲存位置上的資料已經被銷毀了呢?投票結果顯示,有31%的人表示他們的雲端服務供應商會負責處理雲端資料銷燬,33%表示他們會加密自己的資料,最後10%的人表示他們會消磁硬碟。對於那些將問題交給雲端服務供應商的人,不應該認定雲端資料已經被充分銷燬了。很重要的一點是,要檢視和服務供應商的合約,確保裡面包含了資料要如何摧毀的資訊,而且所有方法符合組織要求。而且萬一有殘存資料的問題,當資料能被存取時,誰該負責?風險還是在資料所有人身上,而不是服務供應商。

  繼續閱讀

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX(附件:修補程式操作說明)

趨勢科技最近發現,在特定網站上的惡意JAR檔案會攻擊尚未被修補的JRE 1.7/Java 7零時差弱點(CVE-2012-4681)。一旦漏洞攻擊成功就會下載一個後門程式,讓遠端的惡意攻擊者可以任意在受感染系統上執行所需的指令。

這個零時差漏洞攻擊碼可以在所有版本的Internet ExplorerFirefoxOpera上執行。而透過Metasploit的測試,這漏洞同樣也可以在Google ChromeSafari上執行。

 

漏洞攻擊和惡意行為的技術分析

 

受影響的弱點和新的Java 7 classcom.sun.beans.finder.ClassFinder有關,它會允許sun.awt.SunToolkit class加載、修改和執行惡意程式碼。這威脅包含下列幾種元件,HTML網頁和惡意JavaScript(index.html,被偵測為JS_FIEROPS.A)、Java Applet(applet.java,被偵測為JAVA_GONDY.A)和惡意程式(FLASH_UPDATE.exe,被偵測為BKDR_POISON.BLW)。

 

使用者可能會因為訪問某些網站而遇上這種威脅,其中一個是http://www.{BLOCKED}s.com/public/meeting/index.html,會讓人下載並加載惡意Java Applet(JAVA_GONDY. A)。接著會傳遞參數以用來下載BKDR_POISON.BLW。

 

 

使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A
使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A

 

 

 

根據趨勢科技index.html程式碼的分析,裡面的腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密。

 

 

腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密
腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密

 

 

 

解譯這個腳本後讓我們可以拿到傳遞給惡意Java Applet的參數。下面截圖顯示出傳遞給CVE2012xxxx.Gondvv.class的參數,好用來下載惡意程式FLASH_UPDATE.exe

 

 

傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe
傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe

 

繼續閱讀