趨勢科技發現一個惡意RTF檔案會利用漏洞CVE-2017-11882來散播間諜軟體Loki(TSPY_LOKI)。它透過HTML應用程式(HTA)來呼叫PowerShell植入惡意軟體,再來取得資料竊取軟體。
CVE-2017-11882是什麼?
CVE-2017-11882是微軟Office(包括Office 360)內存在17年的記憶體損毀問題。一旦攻擊成功,在開啟惡意文件後可以讓攻擊者在有漏洞的電腦上執行遠端程式碼(無需經過使用者互動)。這個漏洞存在於方程式編輯器(EQNEDT32.EXE),這是微軟Office用來在文件中插入或編輯OLE物件的工具。概念證明漏洞攻擊碼已經被公布,而微軟已經在11月份的星期二更新日修補了這個漏洞。
Loki病毒家族可以竊取FTP客戶端的帳號資料,以及儲存在各種網路瀏覽器和數位貨幣錢包的憑證。Loki還可以從“Sticky”相關(即Sticky Notes)和線上撲克遊戲應用程式收集資料。
[相關資料:Cobalt駭客集團再次將目標放在俄語企業]
攻擊者如何利用CVE-2017-11882? 繼續閱讀
(1) Huang Yaya: 網路 ATM 與實體 ATM 的安全性是否有差異
這兩者運作方式十分不同。網路 ATM 是你要在電腦中跑另一個擴充套件,透過 waterhole 攻擊,可以 fingerprint 你是否為某個特定銀行的用戶,再進行攻擊。目前我們還沒看過針對網路ATM的攻擊,以後說不定會有。
(2) Ben Chien 實體隔離(ATM網路)就真的可以解決一銀案的問題嗎?
這次第一銀行的 case 因為所有的攻擊都是透過連上 internet 進行的,所以實體隔離可以有效增加攻擊的難度,但我們相信駭客還是會尋找不同的方式進行攻擊。
(3) Nicole Yu: 除了晶片密碼6-12位設計外 有更安全的防盜錄機制? (Poli Le 先問的,「導入生物辨識技術後的atm是否能夠完全防範駭客攻擊?」 我們把兩題合併回答)
導入生物辨識技術,比方說虹膜、指紋、心跳等等,可以更安全的防止盜錄,但是這只能防止側錄提款卡帳號,何況跨國提領能不能用生物辨識技術,還是另一個問題。此外,我們看到的 ATM 攻擊,包括了直接攻擊 dispenser 、存錢後再把錢夾出來、透過網路入侵 ATM 、把 ATM 整台搬走等等方式,所以導入生物辨識技術只能解決一小部份的問題。
(4) 蘇嗶: 為何ATM攻擊案例在全球漸多?是否ATM的防駭客攻擊系統遲遲沒有更新呢?
事實上各國的銀行有在加強 ATM 的防禦,比方說 skimmer 以前很普遍,但最近已經愈來愈少看到了。
有一個笑話是這樣說的,「你為什麼要去銀行搶錢?」「因為錢存在銀行裡面啊!」如果你要搶錢的話,銀行有保全和警衛,但 ATM 只有它自己。我們都知道罪犯會找最容易下手的目標,所以 ATM 就是一個好目標。此外,黑社會的技術會互相流傳,只要有人發現一個攻擊 ATM 的方法,其它人就會學走。
(5) Rock Chiang: ATM系統為何都使用微軟的WINDOWS….
提款機本身也是一台電腦,需要容易維護、也需要維護的 IT 人材。此外,為了節省維護成本、增加相容性,Microsoft 在 1991 年開始倡議 XFS (eXtended Financial Service) ,後來漸漸成為業界標準。這也是 Microsoft Windows 普遍用在提款機的一大主因。
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選:
趨勢科技 IoT Security 物聯網防護將支援 Mentor Automotive ConnectedOS? 車用作業系統 iThome
Mirai變種惡意程式感染10萬物聯網裝置組成殭屍網路大軍,其中9成來自華為家用路由器 iThome
懷疑電腦越來越慢?有 2,500 個網站會偷用你的電腦挖礦,就算關掉瀏覽器也一樣 T客邦
PayPal旗下支付服務TIO Networks遭駭,外洩近160萬用戶資料 iThome
勒索軟體瞄準Office文件而來,還會感染Word範例檔自我繁殖 iThome Weekly電腦報
【2017MVP】當勒索病毒攻擊全球企業,他如何靠3小時成軍的團隊,56小時內釋出解鎖方案?經理人
圖靈耗費2年心力,但雲端加AI只用15分鐘,就破解了納粹Enigma密碼機 iThome
Linux重大漏洞Dirty COW修補不完全,再補一次! iThome
macOS High Sierra最新修補沒效?用戶抱怨更新後根漏洞還在!蘋果緊急呼籲:更新完得重開機才有用 iThome
iOS傳災情 3C達人籲:不要更新 自由時報電子報
提升員工郵件資安意識有譜,趨勢提供免費及付費SaaS方案 趨勢Phish Insight iThome Weekly電腦報
網路巨頭聯手要反恐,臉書、Google、微軟與推特聯手打造反恐資料庫 iThome
「紅橘子」老闆涉跨國詐欺 今遠端訊問加拿大籍證人 自由時報電子報
LINE徵資安工程師 來台灣駭客年會搶人 中央社即時新聞網
Media OutReach/趨勢科技預測 2018 網絡攻擊主要透過漏洞進行 中央日報網路報
新攻擊手法ParseDroid鎖定開發工具漏洞,竊取Android開發者的重要資料 iThome
黑客攻陷尿袋 叉電變洩密!專家教3招自保 東網 (台灣版)
法院若有需要,黑莓機 CEO 願破解自家手機的加密訊息 科技新報網
美國、歐盟與德國跨國大執法,聯手擊潰Gamarue殭屍網路 iThome
憂心企業受駭客攻擊 德國擬修法主動反擊 電子時報
俄國駭客入侵逾500家美國企業 判14年徒刑 經濟日報網
史丹福個資外洩 員工薪資被看光 世界新聞網
國際/美銀行建防禦系統:備份資料應對網路攻擊影響 中央日報網路報
聯卡中心Üny防盜刷 代碼化服務保護個資 卡優新聞網
【社論】APP曝資安危機 別把手機當麻吉 青年日報
物聯網時代資安問題刻不容緩 電子時報
車聯資安升級 趨勢物聯網防護攜手西門子車用系統 新浪網(臺灣)
英美消費者選購連網汽車首重安全 電子時報
國際警方聯手抓大咖駭客 台警也參與 台灣蘋果日報網
【地方政府資安新戰略:臺北市經驗】城市變成資安產業練兵場,更得靠跨域聯防掌握情資來預防 iThome
顧立雄:金管會資安中心12月中完成 中央社即時新聞網
聖誕約會打卡放閃 小心”閃”來駭客介入! iThome Weekly電腦報
2018連假旅遊玩透透 小心駭客跟著趴趴走 iThome
斯洛維尼亞的數位加密貨幣採礦市集「NiceHash」 已確認其網站和支付系統皆遭駭客入侵,其比特幣錢包內的貨幣已被偷走。根據報導,此次總共損失了 4,700比特幣(Bitcoin),約合 6,400 萬美元。
NiceHash 已在其網站發表一份聲明來說明此次事件:「很不幸地,NiceHash 的網站發生了駭客入侵事件,我們目前正著手調查整起事件,因此未來 24 小時將暫停所有營運。」
NiceHash 是一個讓使用者購買或銷售數位加密貨幣開採效能的市集,此外,會員還可將開採出來的貨幣儲存在外部錢包或本地端 BitGo 錢包。此事件的效應和影響範圍目前仍有待釐清,但這已意味著該市集的會員們將損失其經由 NiceHash 開採或累積的數位加密貨幣。
NiceHash 遭駭事件正好發生在數位加密貨幣流通量和價值達到巔峰之際 (比特幣價格目前已突破 14,000 美元)。目前的情勢對開採者、礦池業者以及投資人都是絕佳機會,因為數位加密貨幣已逐漸獲得企業機關和公家機構的青睞。 繼續閱讀
Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動
NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統
有時候雙重出現可能是件好事:像是你最喜歡的球隊連勝兩場比賽,或是販賣機一次掉出兩包零食等都是。不過當提到網路安全,雙重攻擊指的是面對一起威脅的影響時又遭受到另外一起攻擊。
在網路安全方面,許多組織都關注在解決單一弱點或是會遭受攻擊的漏洞,認為這樣就足夠阻止攻擊。雖然有時這是真的,但今日的駭客手法更加複雜,也比過去的網路犯罪份子更加執著。如果一條路走不通,駭客會繼續改變戰略直到能夠成功入侵系統。
在最近出現了一種新型態的攻擊,它利用了兩起獨立的惡意軟體攻擊。這做法是用一起攻擊來吸引注意力,好掩蓋另一起惡意軟體的活動,讓它不被注意到 – 提供另一條途徑來進行感染,或是竊取資料及其他知識產權。駭客通常會利用特別明顯的勒索病毒 Ransomware (勒索軟體/綁架病毒)作為第一起攻擊,這是雙重攻擊模式理想的吸引注意力工具。這種做法將會越來越頻繁,持續到2018年。
不過這種攻擊究竟看起來如何?當網路安全面臨這類雙重攻擊時,組織該如何保護自己?讓我們來看看當一個攻擊掩飾另一起攻擊時是什麼樣子:
Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動
最近用一起攻擊掩飾另一起更具破壞性駭客活動的例子用的是Bad Rabbit(壞兔
子)。這勒索病毒在2017年秋天首次出現,跟據Hacker News的報導,它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼,迅速地滲透受害者的網路並進行擴散。
其他最近知名的勒索病毒像NotPetya用的是EternalBlue。Bad Rabbit使用EternalRomance RCE來進行惡意活動。它所攻擊的是微軟Windows 伺服器訊息區塊(SMB)的漏洞,標識為CVE-2017-0145。這個漏洞會影響Windows端點間的資料傳輸,並且讓駭客可以繞過安全協定來進行遠端程式碼執行。
當攻擊出現時,研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載(drive-by download),利用假Flash播放程式來安裝惡意軟體。
不過研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒:這病毒還隱藏了一起強大的魚叉式網路釣魚活動。
“當Bad Rabbit散播時,一些烏克蘭的機構也同時被網路釣魚攻擊所鎖定”KnowBe4的作者Stu Sjouwerman寫道。“這些攻擊活動的目標是金融資訊和其他敏感資料。”
Bad Rabbit(壞兔子)勒索病毒只是煙霧彈,它覬覦的是珍貴的商務機密
這樣一來,最初的Bad Rabbit勒索病毒只是個煙霧彈,用來掩飾鎖定特定對象的針對性攻擊。
烏克蘭國家網路警察主管Serhiy·Demedyuk稱這為 “混合攻擊”,並指出第一波攻擊吸引了大部分的關注,讓第二次攻擊能夠成功取得“災難性的結果”。
不要被愚弄:Bad Rabbit一開始出現是利用Windows漏洞,但它實際上掩飾了一起強大的魚叉式網路釣魚攻擊。 繼續閱讀