漏洞 - 資安趨勢部落格

Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚

2019 年 10 月 31 日2019 年 10 月 31 日趨勢科技 TrendMicro

安全研究實驗室（SRL）的研究人員展示了應用程式（Amazon Alexa上的 Skills和Google Home上的 Actions）如何經由某些裝置功能來產生安全問題。

SRL的報告顯示可以利用下列方式來偷走帳號密碼或付款資訊等敏感資料：

製作一個正常的應用程式並通過Amazon或Google的審查
在審查通過後修改應用程式，將歡迎訊息偽裝成錯誤訊息（如「你所在的國家/地區目前不提供此功能」），並且加上長時間的暫停（如讓應用程式讀無法發音的字元）
透過在應用程式內設定訊息來欺騙使用者（像是「裝置有重要的安全更新可用。請先說開始更新，接著輸入密碼。」），這會讓使用者洩露敏感資料
將取得的資料作為槽值（slot value，使用者的語音輸入）傳送給攻擊者

繼續閱讀

即使漏洞修補了兩年, WannaCry 仍是使用EternalBlue 漏洞攻擊手法中,偵測到最多的勒索病毒

2019 年 10 月 23 日2022 年 05 月 30 日趨勢科技 TrendMicro

即使在 EternalBlue(永恆之藍)漏洞已經修補了兩年多後，EternalBlue 仍舊非常活躍。即使到了 2019 年，WannaCry 還是所有使用 EternalBlue 攻擊手法的惡意程式當中偵測數量最多的。它的偵測數量幾乎是所有其他勒索病毒數量加總的四倍。

勒索病毒和挖礦程式的最愛: EternalBlue

2017 年，全球有史以來最嚴重的 WannaCry(想哭)勒索病毒勒索病毒爆發事件，其背後的動力就是 EternalBlue(永恆之藍) 漏洞攻擊手法。直到今天，儘管該手法所利用的漏洞早已修正，還是有很多惡意程式 (從勒索病毒HYPERLINK “https://blog.trendmicro.com.tw/?p=12412” Ransomware到常見的虛擬貨幣貨幣挖礦程式) 還在利用這項漏洞攻擊手法。

「WannaCry」對資安研究人員、企業、甚至是一般網路使用者都是一個耳熟能詳的名字，2017年該勒索病毒爆發的疫情在當時幾乎佔據了全球媒體版面，造成許多跨國企業花費數百萬、數千萬甚至上億美元的成本來進行修復和復原。兩年後的今天，企業依然經常遭到 WannaCry 襲擊。根據趨勢科技 Smart Protection Network™ 的資料，WannaCry 仍是 2019 年偵測數量最多的勒索病毒。事實上，WannaCry 的偵測數量甚至超越所有其他勒索病毒家族偵測數量的總合。

WannaCry 依然占了絕大部分的勒索病毒偵測數量：WannaCry 與所有其他勒索病毒家族偵測數量逐月比較 (2019 上半年)。

WannaCry 之所以能造成大量感染，其背後的動力就是 EternalBlue 漏洞攻擊手法 (Microsoft 早在 MS17-010 資安公告當中即修補了該漏洞)，該手法是由 ShadowBrokers 網路犯罪集團流傳到網路上，但根據許多報導指出，該手法是竊取自美國國安全局 (NSA)。EternalBlue 實際上利用了 CVE-2017-0143 至 CVE-2017-0148 等多項漏洞，這些都是 Microsoft 某些 Windows 版本所使用的 SMBv1 伺服器通訊協定的漏洞。這些漏洞可讓駭客經由發送特製的訊息給受害系統上的 SMBv1 伺服器來觸發，並且可執行任意程式碼。由於 Microsoft SMB 漏洞所影響的產業極廣，從醫療設備到辦公室印表機、儲存裝置等等，因此網路犯罪集團很快就看上 EternalBlue 的價值。再加上許多企業在修補管理方面皆力有未逮，因此還有很多存在著漏洞的系統，所以 EternalBlue 才會至今仍受到歹徒喜愛。

繼續閱讀

垃圾信夾帶山寨新聞網站連結,引導至虛擬貨幣交易詐騙網站

2019 年 09 月 25 日2019 年 09 月 24 日趨勢科技 TrendMicro

點擊偽裝成合法新聞網站和虛擬貨幣交易網頁的詐騙網站內的任何連結,都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費，但要求使用者在帳戶內加值250美元作為“種子資金”。

假新聞網站 — 垃圾郵件連結會將受害者導到偽裝的新聞網站點擊詐騙新聞網站內的任何連結都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費，但要求使用者在帳戶內加值250美元作為“種子資金”。

垃圾郵件使用PHP函式作為持續性機制，利用受感染裝置發送惡意連結

趨勢科技的蜜罐系統偵測到一波垃圾郵件，會利用受感染裝置來攻擊有漏洞的網頁伺服器。利用暴力破解攻擊弱帳密的裝置後，攻擊者將它們當作代理程式來將base64編碼的PHP腳本轉發到網頁伺服器。該腳本會將內嵌詐騙網站連結的電子郵件寄送給特定目標。

雖然我們發現的部分樣本是垃圾郵件或是將使用者重新導到虛擬貨幣詐騙網站，但垃圾郵件殭屍網路（botnet）可能會被用來將散播惡意軟體到更多系統或有漏洞的伺服器。因為是透過受感染裝置來發送惡意連結，如果出現更大規模的攻擊會很難找出幕後組織或攻擊者。此外，使用PHP web shell和函式不僅可以進行入侵和感染 – 還可以讓攻擊者在漏洞被修補後還能再次存取伺服器。

A close up of a device

Description automatically generated

圖1. 垃圾郵件活動攻擊鏈

攻擊者透過暴力破解取得裝置的SSH存取權限，接著利用端口轉發來將惡意PHP腳本發送到網頁伺服器。

繼續閱讀

【軟體無所不在5-5】軟體高度普及的三大缺點與對策

2019 年 09 月 18 日2019 年 09 月 09 日趨勢科技 TrendMicro

今日世界已經遠遠超越機械裝置與單純邏輯的時代，我們可透過程式設計對一個複雜系統的各個不同層次進行邏輯改造，從裝置的主機板元件和微處理器到企業內及雲端上的系統皆然。這無疑地能讓效率和生產力提升至原本無法達到的境界。但是，凡事都有優缺點，軟體的缺點包括：

系統邏輯缺乏一種可確認安全無虞的方法。不僅如此，當發生問題時，通常會因系統已複雜到難以分析而使得問題無法解釋。
消費者對軟體的自動更新習以為常，現在更期待功能會不斷改善。但更新有時卻反而造成營運中斷或帶來相容性問題。由於企業營運已經和軟體密不可分，因此一旦更新稍有不慎，就很可能造成嚴重問題。
隨著軟體日益普及，企業或使用者的潛在攻擊面將擴大。可惜，有些企業對這類問題既無法掌握，也缺乏適當的監控及防護工具。

不僅如此，當功能被設計成軟體的形式，也意味著擁有裝置的使用者可自行修改功能。任何人，不論是裝置持有人或駭客，都能經由公開的資訊來了解系統的內部運作。

繼續閱讀

【軟體無所不在5-4】軟體更新竟讓裝置變磚塊?

2019 年 09 月 17 日2019 年 09 月 09 日趨勢科技 TrendMicro

在許多情況下，軟體有正當的理由必須更新。有時，軟體更新是為了提供原本已宣傳、但出貨時卻來不及加入的功能。因此，裝置開箱、連上網路、下載最新軟體以獲得最新功能，對今日的消費者來說就像家常便飯。但像這樣的更新不一定每次都很順利，有時候功能遠比預期還晚推出，或者功能根本就不如原先所預期。

除此之外，一些透過更新取得的功能，也可能導致不預期或不良的後果。例如：Spectre 漏洞最初的修正就會導致某些系統的效能變慢。除了 CPU 效能問題之外，有些案例是儲存效能也受到影響，而這又可能進一步影響系統的其他效能，因為資料讀取速率突然變慢。

大體而言，裝置能自動更新對使用者來說是件好事。許多裝置軟體所發生的問題，可透過更新來修正當然最好。只不過，軟體更新有時候也可能反而讓裝置變得無法使用。這樣的問題通常是因為更新規劃不當，或是硬體上的變異所造成。例如裝置用到一些不良 (或仿冒) 的晶片 (這樣的情況並非罕見)，所以才會讓裝置在更新後出現異常行為，甚至變成磚塊 (完全不能用)。

繼續閱讀