資安趨勢部落格 – 第 756 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

Sandworm 鎖定使用SCADA 企業,展開目標攻擊

2014 年 10 月 24 日2016 年 01 月 25 日趨勢科技 TrendMicro

10 月 14 日，網路上出現一則有關 Sandworm team (沙蟲小隊) 駭客團體的報導。在初步研究過相關的惡意程式樣本和網域之後，趨勢科技很快就發現該團體的主要對象應該是使用 SCADA (監控與資料擷取) 系統的企業，尤其專門鎖定奇異公司智慧型平台 CIMPLICITY HMI 解決方案套裝軟體的使用者。我們發現該團體使用 .cim 和 .bcl 檔案為攻擊工具，兩者都是 CIMPLICITY 軟體所使用的檔案。另一項證明其專門鎖定 CIMPILICITY 的證據是，其惡意程式會透過 %CIMPATH% 這個環境變數找到 CIMPLICITY 在目標系統上的安裝目錄，然後將其檔案複製到該目錄內。

圖 1：內含環境變數的字串。

CIMPLICITY 是一個搭配 SCADA 系統使用的套裝軟體。HMI 是任何一個 SCADA 系統都必備的主要元件之一，HMI 代表人機介面 (Human-Machine Interface)，基本上就是操作主控台，用來監視及控制工業環境中的各項裝置，這些裝置可能負責自動化控制或安全控管。

圖 2 示範電力輸送系統的 HMI 所在位置。此外，您也可以在企業網路中看到設計、開發和測試用的 HMI。

圖 2：監控與資料擷取 (SCADA) 系統範例。

值得注意的一點是，我們目前已看到歹徒利用 CIMPLICITY 為攻擊途徑，但尚未發現惡意程式實際操弄任何 SCADA 系統或資料。但由於 HMI 在企業總部和控制網路當中都有，因此這項攻擊可用於攻擊特定網段或者從企業總部橫跨至控制網路。繼續閱讀

POODLE漏洞讓網路交易陷入危險

2014 年 10 月 24 日2014 年 10 月 23 日趨勢科技 TrendMicro

Google的研究人員 – Bodo Möller、Thai Duong和Krzysztof Kotowicz發表了SSL 3.0一篇報告討論的一個嚴重漏洞，讓攻擊者能夠進行中間人攻擊和解密網站伺服器和使用者間的通訊。

比方說，如果你在網路上使用信用卡購物，你可能會認為你的資料是安全的，但因為這個漏洞（被稱為POODLE），它實際上可能是危險的。攻擊者可以劫持你的交易，取得你的信用卡資料，甚至變更你的訂單。

下面總結了此漏洞的一些關鍵要點：

CVE編號：CVE-2014-3566
一般稱為：POODLE（Padding Oracle On Downgraded Legacy Encryption的縮寫）
漏洞：SSL 3.0降級漏洞
攻擊方式：中間人攻擊

POODLE攻擊如何運作？

根據該報告，關鍵問題是填充SSL 3.0區塊密文的完整性問題。協定並沒有驗證該填充。這會讓能夠成功劫持使用者和網站伺服器連線的攻擊者有辦法去修改SSL密文的最後一個區塊。導致攻擊者能夠成功地解密任何他們所能截取的加密流量。

SSL 3.0是一種舊的加密協定，已經有15年了。它已經由TLS（現在是1.2版）所取代。然而，如果連線有任一方不支援最新版本的話，TLS用戶端和伺服器將降級到較早版本的協定。

想想下面的可能狀況。瀏覽器支援到TLS 1.2版。在進行第一次握手（handshake）時，瀏覽器使用它所支援的最高版本（TLS 1.2）。如果這次握手失敗，瀏覽器會用較早的版本（TLS 1.1，然後TLS 1.0）繼續嘗試。攻擊者就可以讓瀏覽器降級到使用SSL 3.0，此時POODLE漏洞就可以被利用來解密雙方之間的任何通訊。

圖1：攻擊者可能會迫使用戶端和伺服器間的通訊從TLS降級到SSL 3.0，好能夠解密網路通訊

對策

禁用SSL 3.0協定就可以避免此漏洞。網站管理員可以從他們這邊禁用支援。例如這裡有說明介紹如何在Apache進行。繼續閱讀

一個好的 App 程式該具備什麼？

2014 年 10 月 23 日2014 年 10 月 23 日趨勢科技 TrendMicro

一個好的 App 程式該具備什麼？以下是程式開發人員在釋出程式之前應該注意的一些事項。

程式的特色和功能是否如文宣上所言？
程式是否消耗過多的電力？
程式是否提供滿足廣大使用者需求的功能或內容？
程式的介面是否友善？
程式是否通過品質檢驗，確定沒有需要修正的漏洞或軟體錯誤？
程式要求的權限是否恰當？

【趨勢科技新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊已現身台灣

2014 年 10 月 22 日2014 年 10 月 22 日趨勢科技 TrendMicro

微軟才在上週二發布的例行性安全公告，其中新發現的零時差漏洞CVE-2014-4114，之前傳出有駭客透過此漏洞成功竊取北大西洋公約組織與歐盟等企業的重要資料。日前趨勢科技已在台灣接獲首例透過此漏洞的攻擊案例，呼籲企業及個人用戶小心防範。

目前已在台灣發現駭客透過此漏洞攻擊的蹤影

一封名為「檢送簡報資料」的郵件，其中包含了一個名為「雲端資安.ppsx」的附件檔(如下圖)。若不慎開啟，內嵌在文件裡的PE病毒將被自動執行。造成使用者電腦暴於資料被竊的風險中。

若有安裝趨勢科技產品，嘗試開啟時可偵測此病毒程式如下圖:

此漏洞的詳細內容如下：

此漏洞存在於Microsoft Windows系統與伺服器當中的OLE封裝管理程式。
OLE封裝程式 (packager) 可下載並執行 INF 檔案。目前在所觀察到的案例中，尤其是在處理 Microsoft PowerPoint 檔案時，封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案，如：INF 檔案。
當攻擊得逞時，此漏洞可讓駭客從遠端執行任意程式碼。
趨勢科技產品已經可以偵測利用此漏洞的病毒程式，病毒名稱為”TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後，會下載一個INF檔惡意程式(被偵測為”INF_BLACKEN.A”)，並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式，可讓駭客遠端遙控進行不當行為。

由於此一攻擊方式並不特別複雜，很有可能導致駭客們大量濫用，趨勢科技針對此波零時差攻擊提出建議：

趨勢科技用戶：

趨勢科技 APT 防護解決方案已可針對此漏洞進行防護，透過”惡意文件指紋偵測引擎”(ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。呼籲用戶請盡快更新最新防毒元件，以偵測此病毒程式。

趨勢科技用戶請更新最新防毒元件，以偵測此病毒程式。若有使用 TrendMicro Deep Security與 OfficeScan IDF plug-in的用戶們亦可套用下方DPI規則進行偵測。

1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
1006291 Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

一般用戶：

建議用戶盡快針對此一Windows作業系統的漏洞進行修補，在完成修補前，不要隨意開啟陌生人寄來的PowerPoint檔案，以降低被攻擊的風險。一般使用者並透過趨勢科技PC-cillin 2015雲端版協助偵測可疑的PowerPoint 檔案，以免落入駭客陷阱。
詳細的攻擊資訊及手法可參考: