CVE-2014-4115分析:惡意USB 磁碟可能導致整個系統被控制

2014年10月的週二修補程式日的其中一項是MS14-063,用來解決FAT32磁碟分割區驅動程式中的漏洞,此漏洞讓攻擊者可以取得受影響系統上的管理者權限,只需要一個具備特製檔案系統的USB磁碟。這個漏洞也被編號為CVE-2014-4115

vulnerability2

為什麼此漏洞並不尋常?

我們特別注意檔案系統驅動程式,因為它們可以被用來透過USB磁碟機來攻擊系統。想想看之前的Stuxnet漏洞:它透過Windows捷徑漏洞來散播,能夠輕易地執行Windows shell程式碼;再利用第二個漏洞來取得管理者權限。檔案系統驅動程式漏洞可以一次就達到原本需要兩步驟的效果。

CVE-2014-4115存在於Windows Vista、Server 2003、Server 2008的檔案系統驅動程式(FASTFAT.SYS)。此驅動程式負責處理Fast FAT檔案系統(如 FAT32)。當處理FAT32格式磁碟中帶有特殊BIOS參數區塊(BPB)的開機磁區時,就可能觸發此漏洞。

FAT32今日仍被普遍地用在USB隨身碟上。正因如此,針對性攻擊可以利用此漏洞。假設一個特製的USB隨身碟以某種方式插入高階主管的筆記型電腦或公司內部網路的電腦。這些系統就會被外部惡意份子所控制,就有可能被用來進行針對性攻擊。 系統管媒體的政策。

系統管理員及時進行修補可以減少成為攻擊受害者的風險。企業系統管理員也該重新考慮在公司內部網路使用USB媒體的政策。

這個漏洞是什麼,出現在哪裡?

如前所述,此漏洞出現在FASTFAT.SYS。比較過有漏洞的版本和修補過的版本,唯一區別在於:函數 FatCommonWrite()

圖 1、原始和修補過FASTFAT.SYS的差異

 

繼續閱讀

2015資安預測:隱藏的威脅將浮出檯面

在2014年,整個技術環境出現了許多重大的新事物。這些事物讓使用者跟企業有了新能力去做之前無法想像的事情。不過這些新變化也同樣地幫助了惡意分子:威脅現在可能來自意想不到的地方,並且加強了攻擊者現有的能力。

通用 木馬 病毒 間諜軟體

那些關鍵發展會造成明日的威脅環境,我們如何預見其演進?底下是我們認為會出現在2015年的趨勢:

1.更多的網路犯罪集團將利用黑暗網路  (Darknet)和專門的地下論壇來分享和販售犯罪軟體。

2015-1
我們已經看到網路犯罪分子利用深層網路和其他黑暗網路,以及無法追查的點對點網路(例如Tor、I2P、Freenet)來販賣和交流工具及服務。研究人員和執法單位的打擊活動及協同合作已經打亂了網路犯罪集團,讓他們具備更多理由深入地下。安全公司和執法單位需要透過提供威脅情報及對網路犯罪有單一解釋來延伸合作範圍,以幫助執法單位抓到網路犯罪份子和攻擊者,不管司法管轄區為何。

 

2.網路犯罪活動的熱絡將催生出功能更強、規模更 大、效果更好的駭客工具及攻擊手法

2015-2
網路犯罪份子會追逐比家庭使用者更大的目標,因為可以帶來更多的利潤。我們將會看到更多關於銀行和金融機構的資料外洩事件,客戶資料所有者仍然是非常有吸引力的目標。為此,組織和個人應該要假定會有入侵事件;企業需要持續不斷地監視網路內是否有任何威脅出現,同時個人使用者要定期變更自己的密碼以防止資料被竊取。

 

3.隨著行動裝置漏洞逐漸成為重要的裝置感染途 徑,漏洞攻擊套件將開始鎖定 Android 平台。

2015-3
隨著Android威脅的成長,我們將會在未來幾年看到更多行動裝置、應用程式和平台的漏洞被發現。網路犯罪份子會將目標放在這些行動裝置內所儲存的資料。此外,攻擊者可能會利用Android作業系統的碎片化,使用類似黑洞漏洞攻擊包(BHEK)的工具。類似勒索軟體的的傳統威脅也會出現在行動環境上。

 

4.鎖定目標攻擊將變得和一般網路犯罪一樣普遍

2015-4高調APT攻擊/目標攻擊活動的成功突顯出網路攻擊是搜集情報的有用手段。根據這一點,我們將會看到來自其他國家的針對性攻擊,而不僅僅是常說的那些攻擊來源國家。我們將會看到更多元化的目標和攻擊源頭,也會看到具備不同目的的威脅分子出現。雖然威脅份子的動機可能多樣化,他們將會繼續的竊取極機密的政府、資料、財務資訊、智慧財產、產業藍圖以及其它各種資訊。社群媒體會是針對性攻擊的一個新切入點。

繼續閱讀

偽裝收據通知,垂涎比特幣和網路銀行

網路犯罪分子和威脅幕後黑手經常會利用測試過的漏洞來感染使用者系統,也藉此去穿透企業網路。這凸顯出修補系統和將軟體及應用程式保持在最新狀態的重要性。

比特幣bitcoin3

趨勢科技最近發現DYREZA惡意軟體利用了舊的Adobe Reader和Acrobat漏洞(CVE-2013-2729)。一旦成功地攻擊此漏洞,就可以在受影響系統上執行任意程式碼。

圖1-2、垃圾郵件截圖

DYREZA惡意軟體使用偽裝成收據通知的垃圾郵件作為感染媒介。它夾帶著惡意PDF檔案(被趨勢科技偵測為TROJ_PIDIEF.YYJU)。一旦執行,它會攻擊CVE-2013-2729漏洞,進而去下載TSPY_DYRE.EKW,一個DYREZA變種(也被稱為DYRE和DYRANGES)。

DYREZA是個以竊取銀行認證資訊聞名的惡意軟體,而且和包裹騾子詐騙有關。我們最近寫過一篇部落格文章詳述了此惡意軟體在威脅環境生態系中所扮演的角色和一些顯著的行為,包括其有能力透過瀏覽器注入來進行中間人(MITM)攻擊,監視目標銀行的網路銀行連線和竊取其他資訊,如瀏覽器版本、截圖和個人認證資訊。

使用者和企業都有危險,因為DYREZA可以透過瀏覽器截圖來取得其他類型的資料,像是個人識別資訊(PII)和認證資訊。此外,還有報告指出CUTWAIL殭屍網路會導致下載UPATRE和DYRE惡意軟體。

讓TSPY_DYRE.EKW值得注意的是其注入惡意程式碼到特定銀行和比特幣登入頁面來竊取重要資訊的能力。它所監視的一些比特幣網頁:

  • co.uk/*
  • co.uk/login*
  • com/*
  • com/merchant-login*
  • com/*
  • com/accounts/login*
  • bitstamp.net/*
  • bitstamp.net/account/login*

除了資料竊取的行為外,TSPY_DYRE.EKW可以連到某些惡意網站來收發資訊。此外,它可以連到特定STUN(NAT會話傳輸應用程式)伺服器來確認其感染電腦的公開IP位址。因此,網路犯罪分子可以找出惡意軟體的位置或判斷受影響使用者和組織的位置。出現最多受害者的國家包括了愛爾蘭、美國、加拿大、英國和荷蘭。

比特幣是一種具有真實世界價值的數位貨幣。網路犯罪分子常常會將目標放在比特幣上,因為它提供了一個可以產生利潤的新場所。雖然這並不是第一次詐騙分子及網路犯罪分子將目標放在比特幣上,這個新攻擊凸顯出傳統威脅(如漏洞和銀行惡意軟體)仍然是網路犯罪分子竊取使用者認證資訊和攻擊較新平台(比特幣)的常用手段。它也教了我們關於保持系統和軟體應用程式更新到最新版本的重要一課。

趨勢科技透過主動式雲端截毒服務  Smart Protection Network來保護使用者對抗此威脅,它會偵測垃圾郵件和所有相關惡意軟體。

@原文出處:Old Adobe Vulnerability Used in Dyreza Attack, Targets Bitcoin Sites作者:Rika Joi Gregorio(趨勢科技威脅回應工程師)

詳解網路銀行木馬DYRE,第二部

在本系列文章的第一部中,我們討論了銀行惡意軟體DYRE的行為和進入點。然而,資料竊取並非此惡意軟體的最後一步。這惡意軟體還參與了另一項計畫 – 包裹騾子騙局

包裹和騾子

在我們分析DYR惡意軟體時,也發現了一個網頁控制台 – Global BlackPoint

圖1、Global BlackPoint網站

快速地進行線上搜尋,此網域已經出租一年多了。網站使用者可以購賣其所想要的東西。

圖2、待售物品

然而,研究和有關此網頁控制台內容的情報都指出一個事實,它被用作購買美國商品,再將其重新寄送到不同的地方。該網站在其使用條款內指明了這一點。  繼續閱讀

< 網路釣魚 >假 Google Drive 登錄頁面竊取電子郵件帳號

網路犯罪分子跟攻擊者正在利用 Google Drive 網站和其品牌名氣來躲避雷達,避免被偵測。前不久有一起針對性攻擊利用 Google Drive 來從其受害者身上獲取資訊。而這一次,網路網路釣魚(Phishing)攻擊利用變造過的 Google Drive 登錄頁面來竊取電子郵件帳號認證資訊。這起攻擊可以視為是今年早些時候要求多重電子郵件地址之攻擊的改良版本。

假 Google Drive 網站

使用者會收到一封電子郵件,內容包含會導到假 Google Drive 網站的連結。

圖一、包含會連到假網站連結的垃圾郵件

釣魚網站讓使用者可以用不同的電子郵件服務帳號登入,這很不尋常,因為 Google Drive只能用 Google 帳號登入。該網站還提供語言選項,不過無法正常運作。

 

圖2、假 Google Drive網站

為了要讓使用者認為沒有發生任何奇怪的事情,釣魚網站將使用者重新導向一投資相關網站的PDF檔案。不過重新導到一個關於投資的網站可能還是會讓人們起疑,因為電子郵件本身沒有提到會有關於金融財務的「文件」。 繼續閱讀