Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用!

趨勢科技 TrendMicro

 Hacking Team 資料外洩事件曝光的資料經過解析之後,目前又有重大發現:Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System,簡稱 RCS) 代理程式常駐在受害者的系統。也就是說,就算使用者將硬碟格式化並重灌作業系統,甚至再買一顆新的硬碟,其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。

駭客 攻擊 通用

他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過,同樣的程式碼在 AMI BIOS 上或許也能運作。

 Hacking Team 資料外洩 的一份簡報投影片當中宣稱,要成功感染目標系統必須實際接觸到目標系統,但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是:駭客想辦法趁機操作目標電腦,將電腦重新開機以進入 UEFI BIOS 介面,然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit,接著將 BIOS 更新回去,最後再將系統重新開機。

趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具,甚至當使用者遇到不相容的 BIOS 時還提供技術支援。


圖 1:Hacking Team 還提供技術支援。

Rootkit 的安裝過程如下:首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume,簡稱 FV),例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod,可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod,用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod,含有實際的代理程式,檔名為 scout.exesoldier.exe繼續閱讀

[新弱點通知] Adobe Flash與Oracle Java零時差漏洞

趨勢科技 TrendMicro

Hacking Team資料外洩與新的Flash漏洞更新

上週趨勢科技曾經提醒用戶一個新的零時差Adobe Flash漏洞(CVE-2015-5119),起因於  Hacking Team 資料外洩事件。雖然Adobe很快在最新釋出的版本修補了這個漏洞(18.0.0.203),但從Hacking Team握有的資料中又發現了兩個新的Flash漏洞。

hacker 駭客

關於新發現的Flash漏洞資訊,您可參考:

這兩個新的Adobe Flash漏洞(CVE-2015-5122、CVE-2015-5123)已經證實但目前尚未修補。Adobe承諾會在本周修補這兩個漏洞。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵,利用CVE-2015-5122漏洞植入後門程式,趨勢科技用戶只要啟用網頁信譽評等服務,即可攔截這些受駭網站。

 

Pawn Storm攻擊與Java零時差漏洞

負責Pawn Storm目標式攻擊活動的趨勢科技威脅研究專家,在此攻擊活動中發現了一個新的Oracle Java零時差漏洞遭受到攻擊。根據趨勢科技主動式雲端截毒服務  Smart Protection Network分析,這些攻擊是透過魚叉式網路釣魚網路釣魚(Phishing)信件進行,在信件中含有惡意URL指向惡意伺服器,進而攻擊未修補的Java漏洞。

這些行動同時會攻擊一個三年前已揭露的微軟Windows Common Controls漏洞CVE-2012-015(MS12-027)。

Oracle 2015年七月緊急更新建議

防護措施
趨勢科技已有解決方案防護用戶免遭此漏洞攻擊:

  • 趨勢科技Deep Security及Vulnerability Protection(原OfficeScan中的IDF模組):請將防護規則保持更新,即可提供多一層的防護。尤其趨勢科技更釋出最新主動式防護規則:
    • Deep Packet Inspection (DPI) rule1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability (addresses the already resolved CVE-2015-5119)
    • Deep Packet Inspection (DPI) rule1006858 – Adobe Flash ActionScript3 opaqueBackground Use After Free Vulnerability (CVE-2015-5122)
    • Deep Packet Inspection (DPI) rule1006859 – Adobe Flash Player BitmapData Remote Code Execution Vulnerability (CVE-2015-5123)
    • Deep Packet Inspection (DPI) rule1006857 – Oracle Java SE Remote Code Execution Vulnerability

 

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助,請您聯絡趨勢科技技術支援部。

延伸閱讀:

 

 

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

找上你的是獵人頭公司,還是….如何看穿商務社群網站上的詐騙?

趨勢科技 TrendMicro

全球擁有 3 億 6,400 萬活躍用戶的 LinkedIn 已是今日最受歡迎的商務社群網站服務。另一個法國的類似服務 Viadeo 也有 6,500 萬用戶,並且穩定成長中。有這麼多人將自己的履歷發布在網路上,自然會吸引歹徒的覬覦,因為這些資料真是不可多得的寶藏。一旦這些資料落入不肖分子手中,您和貴公司就很可能陷入危險當中。

在此,我們提供了一些實用的技巧來協助您判斷是否有人試圖誘騙您提供一些敏感的公司資訊。

HR

誰會想在專業社群網路上騙人?

有三種人會這麼做:

  1. 駭客 / APT攻擊

這類攻擊者會盡可能蒐集有關您的任何資訊,以便滲透您的公司網路。他們會使用社交工程(social engineering )來引誘您加他們好友,也會透過電子郵件讓您點選惡意附件檔案或連結,兩者都會讓您電腦感染惡意程式。這些惡意程式一旦進入您的系統,就等於在您的系統開了後門,駭客可以自由進出您的系統和公司網路。接下來,他們幾乎就能為所欲為,包括:竊取公司機密、破壞資訊基礎架構以及其他等等。

  1. 競爭對手

您的競爭對手有可能利用假的身分或公司名稱在社群網路上和您接觸,甚至和您成為真正的好友,慢慢取得您的信任。一旦獲得您的信任,他們就會開始向您探聽一些想要的資訊,或者要您透露工作上的內容或公司的內部訊息。有了這些資訊,競爭對手就能超越您的公司。

  1. 積極的獵人頭公司 / 人力資源公司

他們會盡可能蒐集更多人才資訊,他們需要這些資訊來建立資料庫,詳細記錄有關貴公司及員工的資訊,以及各員工負責的專案,他們利用這些資料庫來幫助客戶尋找合適的挖角對象。

儘管他們的動機不同,但目標是一致的,那就是透過接觸來蒐集情報。一般來說,他們會先發一則交友邀請給您。他們會假裝是您的同事、客戶或是老闆。若您接受,他們就會看到您的完整個人檔案以及您的聯絡人。他們會想加您好友,或者加入您的私人社團當中,盡可能知道有關貴公司的資訊。

真實案例

有一個同事收到一波 Viadeo 社群網站(全球最大的非英語國家職業社交網站)的交友邀請,有該名人士假裝曾在同一集團澳洲分公司擔任 18 年的 IT 主管。其社群網站上的個人檔案資料相當稀少,而且只有四個聯絡人。 繼續閱讀

Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構

趨勢科技 TrendMicro
Pawn Storm:兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務  Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Attack 攻擊

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞,這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外,該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015),此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle, Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外,該漏洞也已列入 CVE 漏洞資料庫當中,編號:CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具,因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中,我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是,這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴)  在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似,不過當時的網址並未包含這次發現的漏洞。除此之外,Pawn Storm 還會攻擊其他政府機構,並利用一些政治事件和研討會為社交工程(social engineering )誘餌,如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外,媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。 繼續閱讀

美國政府和維基百科都走向全HTTPS,網站所有者是否也該跟進?

趨勢科技 TrendMicro

六月中網路安全世界出現了一些有趣的消息。首先是美國政府宣布所有聯邦機構維護的網站到2016年底都必須使用HTTPS。接著是維基媒體基金會(最為人所知的是維基百科)宣布他們也會在網站上強制使用HTTPS,預計在「幾個禮拜內」會全面完成。

安全 通用

隨著大型組織轉向全HTTPS,而且瀏覽器廠商也跟著推波助瀾(有紀錄指出Mozilla最終只會將新功能使用在HTTPS網站上),較小網站的所有者也是時候跟進了嗎?一般使用者應該要強迫他們所喜愛的網站採用HTTPS嗎?它真的能夠有助於網路安全嗎?

簡短的回答是YES。網站所有者應該認真考慮為自己的網站啟用HTTPS。很清楚地是有許多人認為,從長遠來看,採用HTTPS可以增加網路安全性。網路巨頭如Google和Mozilla,再加上國際組織像是網際網路工程工作小組(IETF)和全球資訊網協會(W3C)都贊成此說法。現在在建立的網站應該一開始就使用HTTPS。這是今日資訊網的方向,而現在建立的網站應該要考慮到使用者的安全性和隱私。對於現行的網站,只要可能就盡快啟用HTTPS是網站所有者該認真思考的事情,特別是當需要處理敏感資料時。

另一件網站管理員要考慮的事情是,從長遠來看,搜索引擎可能會將使用HTTPS做為排名演算法的一部分。Google已經如此做了。雖然現在它還不是一個特別顯著的「信號」,但長久來說可能會大大的改變。對網站所有者來說,能夠領先於這潮流是件好事,而且也讓其使用者擁有更加安全和隱私的網路。

 

HTTPS:一個好的開始

但要注意的是,雖然強制採用HTTPS是提升網路安全非常重要的一步,但不應該只止於此。HTTPS絕對是種進步,但它並非完美,對網路安全來說也絕非萬靈丹。 繼續閱讀