資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼

2015 年 11 月 06 日2015 年 11 月 06 日趨勢科技 TrendMicro

當說到漏洞攻擊包，最重要的就是時間。漏洞攻擊包通常都會包入最新或零時差的漏洞攻擊碼，好盡可能地攻擊更多尚未更新的受害者。趨勢科技發現有兩個漏洞正被漏洞攻擊包當作目標，其中之一被用在最近的Pawn Storm Flash零時差漏洞攻擊。

從10月28日開始，趨勢科技發現這兩個漏洞被 Angler和Nuclear漏洞攻擊包當作目標。（第二個漏洞是Flash的漏洞，直到版本18.0.0.232都存在；我們目前正在與Adobe確認此漏洞的CVE編號）

圖1、Angler漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖2、Nuclear漏洞攻擊包中CVE-2015-7645的截圖（點擊放大）

圖3、Angler漏洞攻擊包中第二個漏洞的截圖（點擊放大）

Diffie-Hellman協定被惡意使用

趨勢科技最新的研究確認此兩個漏洞攻擊包惡意使用了Diffie-Hellman金鑰交換協定，跟之前的用法有些許不同。這次是用來隱藏自己的網路流量並繞過某些安全產品。

這些改變試圖讓研究人員想分析它們的金鑰交換時更加困難。Angler漏洞攻擊包對其Diffie-Hellman協定的用法做出以下改變。它們在之前比較明確而清晰的程序中加入一些混淆處。

不再從客戶端發送g和p給伺服器。相對地，它送出ssid來確認g和p的配對。
隨機金鑰K是128字元而非16字元。使用128字元的金鑰使得想解開原始資料變得更加困難。

圖4、Diffie-Hellman協定，使用ssid來識別g，p配對繼續閱讀

百度 Moplus SDK 開後門,上億Android 用戶受影響!!

2015 年 11 月 06 日2015 年 11 月 10 日趨勢科技 TrendMicro

Moplus SDK 的後門行為以及相關的 Wormhole 漏洞

這是一項重大問題，甚至比 Stagefright 漏洞還要嚴重，因為後者還需經由網路釣魚連結將使用者帶到某個網站，或是透過使用者的電話號碼才能發送惡意簡訊。但此 SDK 卻讓駭客只需單純地掃瞄網路 IP 位址，而且不需使用者配合採取任何動作，也不需任何社交工程技巧。

一個名為 Wormhole (蟲洞)的漏洞，據報專門攻擊百度的 Moplus SDK 軟體開發套件，最近因其攻擊成功之後所帶來的嚴重後果而聲名大噪。此漏洞是由中國的漏洞通報開放平台 WooYun.og 所舉報。

然而，經過趨勢科技的仔細研究之後發現，Moplus SDK 本身就內含一些後門功能，所以前述攻擊不必然是因為漏洞所引起或與之相關。目前，普遍的看法是此問題源自於 Moplus SDK 的存取權限控管沒有做好適當管制。因此，這個看似漏洞的問題，其實是該 SDK 本身內含後門功能所造成，例如：推送網路釣魚網頁、隨意插入聯絡人資訊、傳送假冒的簡訊、將本地端檔案上傳至遠端伺服器，以及未經使用者允許就安裝任何應用程式到 Android 裝置上。而且只要裝置連上網際網路，這些功能就能順利執行。如今，Moplus SDK 已內含在許多 Android 應用程式當中，目前大約有 1 億名 Android 用戶受到影響。此外，我們也發現，已經有一個使用 Moplus SDK 的惡意程式在網路上流傳。

此篇部落格將探討 Moplus SDK 當中的惡意功能，以及這些功能將為 Android 裝置帶來什麼風險。

圖 1：一個利用 Moplus SDK 將自己偷偷安裝到裝置上的惡意程式。

挖掘 Moplus SDK 的祕密

Moplus SDK 是由中國搜尋引擎龍頭百度所開發。在此次調查當中，我們檢視了兩個不同的 App，一個是「百度地图」(百度地圖) (com.baidu.BaiduMap，8.7.0) 另一個是「奇闻异录」(奇聞異錄) ( com.ufo.dcb.lingyi，1.3)。雖然它們內含的 SDK 版本有所不同，但程式碼卻大同小異。

圖 2：「奇聞異錄」(com.ufo.dcb.lingyi) 當中的 Moplus SDK。 繼續閱讀

破除資料外洩迷思：誰在竊取你的資料？

2015 年 11 月 05 日2015 年 10 月 28 日趨勢科技 TrendMicro

看到有關資料外洩事件的最新消息，抱持一定程度的質疑相當重要。因為，這類重大新聞固然吸睛，但不一定能呈現事情的全貌。反之，歷經十年時間所蒐集的數據，卻能讓我們從中找出一些重要脈絡，分辨事實和迷思，釐清到底是誰在竊取我們的資料，以及背後的動機。

這就是趨勢科技最新一份報告的作法：跟著資料循線追查：解構資料外洩事件及破除迷思 (Follow the Data: Dissecting Data Breaches and Debunking Myths)，這份報告是根據美國民間公益團體 Privacy Rights Clearinghouse (隱私權情報交換所，簡稱 PRC) 於 2005 至 2015 年間所蒐集的公開揭露資料分析撰寫而成。我們希望趨勢科技的客戶在掌握這份資訊之後能更懂得如何防範資料外洩。

內賊和外賊

主流媒體上所播報的網路攻擊與資料外洩事件，大多將焦點放在駭客、惡意程式作者、暗中活動的國家級駭客，以及到處肆虐的網路犯罪集團。但這並非全貌。過去十年來，資料外洩的原因還包括：

	內賊蓄意外洩：心懷不軌卻擁有權限的員工竊取資料。遺失或失竊：行動裝置、筆記型電腦或紙本文件。不小心透露：員工因人為疏失而導致資料外洩。支付卡詐騙：利用磁條資料讀取裝置來竊取卡片資料。

繼續閱讀

防止廣告封鎖服務遭駭：PageFair被駭讓使用者可能感染惡意軟體

2015 年 11 月 04 日2015 年 11 月 17 日趨勢科技 TrendMicro

PageFair證實其在萬聖節週末遭受駭客攻擊，501個使用其免費分析服務的未公布網站受到影響，它們的訪客可能遭受惡意軟體攻擊。駭客成功地侵入這家成立三年的愛爾蘭新創公司，將惡意的JavaScript程式碼注入使用其核心服務的網站。

也就是說，在上周末GMT標準時間的11:52PM到1:15AM之間，從Windows電腦訪問受影響網站的使用者都可能面臨風險，不過只有當這些訪客點入一個偽裝成Adobe Flash更新的連結時才會真正受到影響。

在週日，11月1日，執行長Sean Blanchfield透過一篇部落格文章說明此一事件，解釋這起駭客事件是如何發生及為了解決該事件所造成損害而進行的措施。他寫道：「此次攻擊很複雜且特別針對PageFair，但是駭客有辦法存取我們的系統是不能接受的。我們立刻確認了此一事件，但仍然花了超過80分鐘來將其完全停止。在此期間，連上這些信任我們之網站主(Publisher)網站的訪客都成為了這些駭客的目標。」

駭客透過魚叉式網路釣魚（Phishing）攻擊來取得一個關鍵電子郵件帳號，將提供分析用Javascript標籤的內容傳遞網路(CDN)服務的PageFair帳戶進行密碼重置以加以劫持。「他們修改了CDN設定，所以並非提供PageFair的JavaScript，而是提供惡意的JavaScript」。這惡意的有害JavaScript會提示訪客安裝一個假的Adobe Flash更新程式，看起來是針對Windows平台的殭屍網路木馬程式。儘管許多病毒掃描程式可以防止這個檔案執行，但其他可能不能正確地加以偵測。“ 繼續閱讀