趨勢科技 TrendMicro – 第 527 頁

趨勢科技協助 FBI 破獲的駭客集團 Esthost/ Rove Digital，首腦面臨六年徒刑

2015 年 07 月 14 日2015 年 07 月 15 日趨勢科技 TrendMicro

Esthost/Rove Digital看起來是一個位在塔爾圖的正常 IT公司，一個每天早上都有人來上班的辦公室。但實際上，這個辦公室控制著數以百萬計，位在世界各地的中毒電腦，每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。首腦終於在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

2011年11月，趨勢科技協助 FBI 破獲史上最大殭屍網路: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得,透過被稱為「Operation Ghost Clock」的FBI行動，超過100台屬於Esthost/Rove Digital集團的伺服器被下線。這集團在紐約和芝加哥的資料中心被突擊，超過400萬名的受害者花了半年以上變更到非惡意的DNS伺服器。

在這破獲行動經過近四年之後，這網路犯罪集團的首腦Vladimir Tsastsin已經在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

假防毒軟體軟體是集團重要的收入來源之一

Esthost/Rove Digital騙局的運作原理其實相當簡單：植入DNS變更惡意軟體到使用者電腦上，將對熱門網域的查詢導向惡意伺服器。這讓攻擊者可以重新導向針對這些熱門網域的流量，進行難以偵測但卻有極大利潤的攻擊，像是劫持搜尋結果和置換網站廣告。除此之外，假防毒軟體軟體也是這集團重要的收入來源。

攻擊者會對這些方法青睞有加是因為它們較難被偵測，而且可以維持很長一段時間。然而，該集團的活動早在2006年就被趨勢科技所察覺；自那時起我們就開始追蹤他們的活動。

趨勢科技是加入終結Esthost/Rove Digital行動的唯一防毒軟體公司。

在2009年，愛沙尼亞和美國的執法單位開始與其他組織共同行動來終結Esthost/Rove Digital；趨勢科技是加入此一聯合行動的唯一防毒軟體公司。

趨勢科技的研究報告 – 破獲Rove Digital將我們對這一集團的了解總結在一份文件中。

趨勢科技的研究是破獲Esthost/Rove Digital的重要部分，對於將Tsastsin送入監獄是不可或缺的。

圖說:犯罪行動曝光前的過去 4年每天都有人到駭客集團所成立的 Esthost/Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦，獲取數百萬美金的不法所得,圖為犯罪集團的首腦Vladimir Tsastsin，將面臨六年的徒刑繼續閱讀

< WS 2003 EOS >7月14日 Windows Server 2003終止支援!

2015 年 07 月 14 日2015 年 07 月 27 日趨勢科技 TrendMicro

Windows XP在去年停止支援，現在則是另一套作業系統停止支援的時候了 –2015年7月14日輪到了Windows Server 2003，這被廣泛部署的微軟作業系統即將終止支援，自其2003年4月推出至今已經過了相當長的時間。估計仍有260萬到1100萬的Windows Server 2003使用者仍在活躍使用中。

但這次停止支援會帶來另一全新的挑戰。跟Windows XP不同，Windows Server 2003是伺服器作業系統。不像Windows XP被用在家用電腦和企業工作站/筆記型電腦上，Windows 2003為企業伺服器帶來更深層次的攻擊面。Windows Server 2003（仍然）被廣泛地用在核心功能上，像是目錄伺服器、檔案伺服器、DNS伺服器和電子郵件伺服器。組織依靠它來執行關鍵應用程式和支援內部服務，像是Active Directory、檔案共享和建置內部網站。

當Windows Server 2003支援終止，不會有機制將它保持在最新狀態，這對防護安全問題來說很關鍵。一般來說，作業系統需要透過定期支援來解決安全問題，包括：

取得安全更新來防護漏洞
取得絕大部分產品問題的正規支援
取得非安全性更新，即「一般性」臭蟲修復

了解風險

作業系統終止支援（特別對Windows Server 2003來說），代表你IT部門開始有許多事情好做。組織需要準備應對缺少的安全更新、合規性問題、對抗惡意軟體及其他非安全性漏洞。你不再會收到安全問題的修補程式或弱點通知。當出現會影響你伺服器的漏洞時，你將不再知道。

在推出之際，Windows 2003要比Windows 2000更加安全。而隨著時間過去，很明顯地它也有著自己的一串漏洞。CVE清楚地指出使用Windows Server 2003的企業要面對接近403個漏洞，其中有27%是遠端程式碼執行漏洞。沒有通知來幫忙監控和衡量這些漏洞所帶來的風險，可能會讓你的伺服器安全開了一個大洞。繼續閱讀

加密勒索軟體TorrentLocker偽裝水電帳單,法院,快遞,郵局..等通知肆虐英國

2015 年 07 月 13 日2015 年 07 月 13 日趨勢科技 TrendMicro

趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加，特別是英國和土耳其。從5月上旬到6月10日，TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期（6月10日至6月28日），我們看到這種威脅再次出現。

在2014年底， TorrentLocker勒索軟體 Ransomware在義大利傳出疫情。澳洲也曾是這些攻擊的主要目標（雖然其他國家也有受到影響），但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業（如英國天然氣）和政府機構（如內政部或司法部）。

這會導致連到這些單位的假網站，要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上；這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下：

圖1、假的英國天然氣公司網站

圖2、假的英國內政部網站

其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱，還有電信公司（已知的例子包括SDA Express、Pozcta、Correo和Turkcell）。對澳洲使用者的攻擊已經變平靜，使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務（如澳洲的Couriers Please和Pack & Send）也遭到利用。

這些檔案所放置的地方也有所改變：之前它們放在檔案儲存網站，像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall（另一個加密勒索軟體家族）現在主要是透過Google Drive下載。

我們在六月看到所下載的檔案名稱（和使用的社交工程（social engineering ）誘餌）列在下表中:

繼續閱讀

又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

2015 年 07 月 12 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密（WikiLeaks）公布了Hacking Team內部超過100萬筆電子郵件，並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在連續兩個 Adobe Flash Player 零時差漏洞因 Hacking Team 資料外洩事件而曝光之後，趨勢科技又發現了另一個 Adobe Flash Player 零時差漏洞 (CVE-2015-5123)。Adobe 在接獲我們通報之後已發布了一項安全公告。此漏洞的分類為重大漏洞，因為駭客一旦攻擊成功，就可能取得系統的掌控權。此漏洞的影響層面涵蓋 Windows、Mac 和 Linux 平台上的所有 Adobe Flash 版本。

問題根源分析

根據趨勢科技的分析，此漏洞一樣是valueOf 技巧所導致的問題。不過有別於前兩個 Flash 零時差漏洞的是，它利用的是 BitmapData 物件，而非 TextLine 和 ByteArray。

以下是觸發該漏洞的步驟：

建立一個新的 BitmapData 物件，準備好兩個 Array 物件，產生兩個新的 MyClass 物件，然後將 MyClass 物件分別指派至前面兩個 Array 物件。
覆寫 MyClass 物件的 valueOf 函式，然後呼叫 paletteMap 並傳入前述兩個 Array 當成參數。BitmapData.paletteMap 將觸發 valueOf 函式。
在 valueOf 函式中呼叫 dispose() 來釋放 BitmapData 物件的記憶體，導致 Flash Player 當掉。

目前趨勢科技正密切監控是否有任何駭客攻擊運用到這項概念驗證 (POC) 漏洞。一有最新消息或新的發現，我們會立即更新這篇文章。由於 Hacking Team 資料外洩事件已經廣為公開，因此使用者已有遭到攻擊的危險。所以，建議使用者暫時先停用 Adobe Flash Player，直到 Adobe 釋出修補程式為止。繼續閱讀

Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光

2015 年 07 月 11 日2015 年 07 月 13 日趨勢科技 TrendMicro

Hacking Team 資料外洩事件前一個曝光的零時差漏洞 (CVE-2015-5119) 熱潮還未消退，另一個同樣危險的 Adobe Flash Player 漏洞 (CVE-2015-5122) 就浮上檯面。此漏洞一旦遭到攻擊，可能導致系統當機，並讓駭客取得系統控制權。此外，與CVE-2015-5119 相同的是，所有 Windows、Mac 及 Linux 最新版的 Flash (18.0.0.203) 都含有此漏洞。

這是一個新的漏洞，並未包含在先前我們未修補的 Flash Player 漏洞以及其他 Hacking Team 資料外洩事件當中發現的概念驗證攻擊一文所討論的兩個 Flash 漏洞和 Windows 核心漏洞當中。

好消息是：此漏洞目前還在概念驗證階段，所以我們還在觀察是否有任何攻擊已運用該漏洞。壞消息是：該漏洞目前尚無修補程式，不過我們在確認此漏洞的真實性之後便立即通報了 Adobe (台北時間 7 月 11 日上午10:30)，因此相信很外就會有修補程式。Adobe也在台北時間當天上午11:40針對此漏洞發布了安全公告。

這漏洞到底如何運作？

經過仔細分析，我們發現這是一個利用 TextBlock.createTextLine() 和 TextBlock.recreateTextLine(textLine) 兩個函式來製造使用已釋放物件情況的漏洞。

觸發此漏洞的程式碼為：my_textLine.opaqueBackground = MyClass_object。實際情況是：MyClass.prototype.valueOf 被覆寫，因此使得 valueOf 函式會呼叫 TextBlock.recreateTextLine(my_textLine)。然後 my_textLine 在釋放之後又被用到。

由於我們是在x86環境上利用偵錯 (debugging) 來追蹤這個漏洞，因此觸發漏洞的是 MyClass32 這個類別。漏洞攻擊函式本身則為 MyClass32 的 TryExpl。

以下說明漏洞攻擊的步驟：

我們有一個新的 Array 物件，名為 _ar，設定 _ar 的長度為 _arLen = 126。使用 Vector.<uint> 來設定 _ar[0…29] 的數值，Vector 長度為 0x62。使用 Vector.<uint> 來設定 _ar[46…125] 的數值，Vector 長度為 0x8。將 _ar[30….45] 的數值設為 textLine，使用 _tb.createTextLine() 來產生 textLine，並將 textLine.opaqueBackground 設為 1。

繼續閱讀