資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

2017 年 07 月 21 日2017 年 07 月 21 日趨勢科技 TrendMicro

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”，顧名思義它的確是盜版自其前輩，這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動，會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍，但在6月16日又透過Rig漏洞攻擊套件冒出來。不過，我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是，迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件，就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示，Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1：ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日，Sundown-Pirate會植入Trojan SmokeLoader（TROJ_SMOKELOAD.A），它會安裝資料竊取殭屍網路感染病毒Zyklon（TSPY_ZYKLON.C）。繼續閱讀

《資安新聞周報》GhostCtrl 病毒偽裝Pokemon GO 竊聽襲擊安卓用戶對話/鎖定SambaCry 漏洞新威脅現身/全球逾5萬台主機可被EternalBlue程式攻擊

2017 年 07 月 21 日2017 年 07 月 21 日趨勢科技TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

本周焦點新聞:

Android 後門程式 GhostCtrl ,可暗中錄音、錄影，還可隨心所欲操控受感染的裝置資安趨勢部落格

鎖定「SambaCry」漏洞的新威脅現身， Linux 使用者請盡速更新系統資安趨勢部落格

資安趨勢部落格一周重點文章:

其他媒體:

無現金的荒謬！瑞典最大保全公司CEO 被駭客搞到破產還不知道鉅亨網

勒索病毒再演變彩虹小馬裝萌勒索比特幣台灣蘋果日報網

研究：全球還有逾5萬台主機可被EternalBlue程式攻擊 iThome

FBI：小心連網玩具洩露你和孩子的親子隱私! iThome

CoinDash 眾籌被劫 770 萬美元，以太幣合夥人：ICO 就像定時炸彈科技新報網

「俄」意!？英國大選駭客入侵發電廠電腦中時電子報網

英國 Wi-Fi業者使壞，讓2.2萬名用戶無意中同意去掃流動廁所 IT Home

Google 增加新安全防護措施，以減少未經驗證應用程式帶來的風險電腦王阿達

兩步驟驗證真能保護我們的帳號不被盜嗎？科技新報網

Google 兩步驟驗證將以手機提示取代簡訊 iThome 繼續閱讀

SCADA 人機介面 (HMI) 漏洞的現況

2017 年 07 月 21 日2017 年 07 月 19 日趨勢科技 TrendMicro

經由 HMI 攻擊 SCADA

SCADA 是所謂的「監控與資料擷取」(Supervisory Control and Data Acquisition) 系統的縮寫。普遍用於全球的各種關鍵基礎架構，因此天生就很容易吸引各種駭客的覬覦。駭客可能駭入 SCADA 系統來蒐集一些資訊，例如：廠房設施配置圖、關鍵門檻值、裝置設定等等，來協助他們從事後續攻擊。駭客攻擊可能帶來的最壞情況包括服務中斷，或是駭客利用易燃物質或重要物資來製造威脅生命安全的危險狀況。

Stuxnet 病毒及烏克蘭發電廠遭受攻擊的案例讓趨勢科技見識到，真正有心從事破壞的駭客不僅對企業是一大威脅，更可能危及社會大眾的安全。駭客有許多可入侵 SCADA 系統的管道，其中之一就是經由其人機介面 (HMI) 軟體普遍存在的漏洞。由於 SCADA 系統大多透過所謂的 HMI 軟體來管理，而這類軟體通常安裝在具有網路連線的電腦上。因此，HMI 是 SCADA 系統遭受攻擊最主要的目標之一，最好安裝在隔離或獨立安全的網路上。但根據經驗，實際情況通常並非如此。

何謂 HMI？

所謂的人機介面 (HMI) 就是顯示資料與接受操作人員指令的介面。操作人員可透過該介面監控系統狀況並做出適當的回應。今日的 HMI 大多具備先進、可自訂的資料顯示功能，讓操作人員很方便地掌握系統的狀況。

HMI 常見的漏洞類型

趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫團隊特別針對今日 SCADA HMI 的安全性做了一番深入研究，仔細分析了 2015 至 2016 年間所有已揭露並修復的 SCADA 軟體漏洞，其中也包括 ZDI 計畫所接獲通報的 250 個漏洞。

趨勢科技發現，這些漏洞主要分成幾類：記憶體損毀、登入憑證管理不良、缺乏認證/授權機制與不安全的預設值，以及程式碼注入漏洞，全都是可以藉由安全的程式撰寫習慣來預防的漏洞。

記憶體損毀：這類問題在所有已揭露的漏洞當中約占 20%，這類漏洞是很典型的程式碼不夠嚴謹的安全問題，例如：堆疊和記憶體緩衝區溢位，以及超出範圍的記憶體存取動作。繼續閱讀

鎖定「SambaCry」漏洞的新威脅現身， Linux 使用者請盡速更新系統

2017 年 07 月 20 日2017 年 07 月 21 日趨勢科技 TrendMicro

Samba的資安弱點即便經過修補，新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點（CVE-2017-7494）進行攻擊，影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外，Linux作業系統只要啟用SMB服務，也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備（包含網路儲存設備 (NAS)、IoT設備），一旦成功後即植入惡意程式。

企業環境（政府、製造業、金融業）大量使用 Linux 作業系統伺服器，且大部分均為關鍵業務系統。而Linux常被認為系統安全性高，較不會被入侵，因此較易疏於管理、更新、防護。駭客可能利用此情形，結合目標式攻擊與內網擴散手法攻擊此弱點，入侵至伺服器後加密檔案，進行勒索。因此，趨勢科技建議您，除了Windows作業系統需安裝修補程式外， Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件，極可能代表攻擊已進入到內網擴散階段，可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復，但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出，此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾，並促使伺服器載入並執行該程式庫。駭客一旦得逞，就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」，因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示，SambaCry 只被用來攻擊伺服器，且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料，駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A，發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例，它同樣也會在受害系統上開啟指令列介面。不過，ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先，它會攻擊物聯網（IoT ,Internet of Thing）裝置，尤其是中小企業經常用到的 NAS 網路儲存裝置。其次，ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統，如：MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多，隨便上 Shodan 搜尋一下就能找到：指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾，含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。繼續閱讀