資安趨勢部落格 – 第 867 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

你確定要讓大家看到2012 年你的 FACEBOOK 上最多人留言的20張照片?

2013 年 01 月 08 日2013 年 01 月 08 日趨勢科技 TrendMicro

透過Google Zeitgeist(「Zeitgeist」出自德文，意思是「時代的精神」)，Google會揭曉當年度的熱門搜索。而流行的社群網站也採用了類似的想法。如果你想要有個方法來在年底找回自己散落的記憶，沒有比用Facebook和Twitter更好的了。

來看看社群媒體，基本上這是個許多人會在上面分享一切的網站:”每、一、件、事”。

有超過二千萬人在上面分享完整的出生年月日，有近五百萬人會在上面告訴別人要出門了，有另外五百萬人會在上面分享感情問題，還有近三百萬人就在上面喝起酒來的感覺。

所以，如果你想知道這些年終功能是不是夠安全來讓自己看起來理智和保持名譽，就來看看自己的 Facebook：年度回顧

想知道Facebook是如何將所有留言最多的照片組合在一起讓人們分享嗎？他們所做的是透過類似動態圖表的方式，看板上出現有九張照片在不停旋轉，呈現出這一年來留言最多的廿張照片。你唯一會想期望的就是在暫停時沒有出現讓你看起來很可笑的照片。

底下是年度回顧頁面的樣子：

來源：https://newsroom.fb.com

用他們的話說，這廿張照片包括了「生活要事、精選貼文以及人氣動態。」現在，如果你擔心隱私問題，那你的問題會是你是否公開了太多東西。為什麼呢？因為有了這個功能，即使不是你的朋友也可以看到你的年度回顧。繼續閱讀

《APT攻擊》 2013年目標攻擊的三個預測

2013 年 01 月 07 日2013 年 06 月 28 日趨勢科技 TrendMicro

作者：Nart Villeneuve（資深威脅研究員）

APT

現在對於目標攻擊的認識，包括APT進階持續性威脅 (Advanced Persistent Threat, APT)已經在廣大的安全社群內成為主流。我預計到了2013年，我們的認知將會面臨到挑戰。我們在過去幾年間看到所謂「技術上不複雜」的攻擊是如何被成功的運用，我認為他們也將會繼續這樣做。他們的伎倆會盡可能的發揮在人的因素上，其次才是技術部分。

趨勢科技技術長 – Raimund Genes的2013年預測中，他認為惡意軟體攻擊將會變得越來越複雜，這並不一定是指惡意軟體本身的技術部分，而是如何去佈署攻擊。此外，他認為這類攻擊將會有越來越多具備破壞能力，使得做屬性分析時更加困難。基於這些觀點，以下是我對於2013年的趨勢預測：

越來越多針對性地區性目標攻擊尤其是有些知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動日漸公開。我們將會看到本地化攻擊的增加，像是除非符合一定條件，不然惡意軟體不會執行。比方說語言設定，或是只會影響某些地區，甚至特定網段的水坑攻擊(Watering Hole )攻擊。
更多帶有破壞性的間諜活動:我們現在都認為目標攻擊的動機是間諜活動，但在2013年將會看到有更多攻擊帶有破壞性質。將會有越來越多目標攻擊所使用的惡意軟體具備破壞能力。無論這是它的主要企圖（即破壞），或是作為清理攻擊者蹤跡的手段。這功能很可能是時間性攻擊的一部分，運用在明確的政治（或是軍事）目的上。
故佈疑陣,讓判斷更困難: 繼續閱讀

2012年目標攻擊/ APT 攻擊回顧

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

作者：Nart Villeneuve（趨勢科技資深威脅研究員）

經過了整個2012年，我們研究了各式各樣的目標攻擊，包括好幾個APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊活動（像LuckyCat和Ixeshe），也更新了一些已經運行一段時間的攻擊活動（像Lurid/Enfal和 Taidoor）。資安社群在今年有許多關於目標攻擊的精采研究發表，我將這些有意思的研究集結起來，分成六個我認為可以代表2012年目標攻擊趨勢的主題：

目標和工具 –
雖然在2011年，目標攻擊幾乎就等同於APT進階持續性威脅 (Advanced Persistent Threat, APT)。在2012年出現了各式各樣的攻擊，特別是在中東地區，包括沙烏地阿拉伯的Shamoon，Mahdi攻擊活動，GAUSS和Wiper/Flame，這些都被卡巴斯基所記錄起來。還有一些攻擊和中東地區衝突有關，最顯著的是敘利亞、以色列和巴勒斯坦（參考Norman的研究分析）。APT活動在2012年仍然是個重大的問題，Dell SecureWorks發表了一份集結各種APT活動的報告，還有關於Mirage和SinDigoo的報告來闡述問題的影響範圍。彭博社發表了一系列關於「Comment Crew」的文章，詳細介紹了APT攻擊活動的廣度和影響。還有針對俄羅斯、台灣、韓國、越南、印度和日本的活動也相當活躍。除了目標地理位置的擴張之外，我們也看到了所針對技術的擴展，包括Android行動設備和Mac平台。來自Citizen Lab的Seth Hardy在SecTor上作了一場很棒的演講，介紹了今年所新興的各種Mac相關遠端存取木馬（RAT）（SabPub、MacControl、IMULER/Revir和Dokster）。雖然我們在過去看過智慧卡的相關攻擊，不過感謝來自Sykipot和AlienVault的精采分析，提供蓄意用智慧卡做目標攻擊的技術細節。
隱匿性和持久性 –
這些是主要的趨勢之一，根據Mandiant在2012年的文件，APT活動之所以不只是惡意軟體，正因為確保持久存取會使用正常應用程式（例如VPN）。此外，雖然許多進行中的APT攻擊活動所用的惡意軟體可以經由網路流量分析而偵測，微軟發現一個舊惡意軟體組件會在NDIS（網路驅動程式介面規範）層建立一個隱蔽的後門，讓偵測變得更加困難。除了隱身在網路層，我們也看到在某些案例中，出現有數位簽章的惡意軟體讓檔案系統層級的偵測變得更加困難。有數位簽章的惡意軟體當然不是新伎倆，還有個大量被用在目標攻擊上的遠端存取木馬（被稱為PlugX），使用一種DLL搜尋路徑劫持（這技術本身也不是新的）。
另一個出現在Mandiant報告中的HiKit工具也會利用DLL搜尋路徑隱藏在檔案系統層級，同時會在網路層竊聽進入流量（像是早期的遠端存取木馬），而非只是對外連接到命令和控制伺服器。Flame惡意軟體則會利用MD5碰撞攻擊，劫持Windows Update功能來散播。將隱匿性及持久性帶到另一個境界。
社交工程陷阱( Social Engineering) –
毫無意外地，魚叉式網路釣魚郵件仍然是目標攻擊主要用來傳遞惡意軟體的機制。但其他技術，像是「Watering Hole」攻擊也讓人極為注目。Shadowserver發表了被他們稱之為「策略性網站入侵（Strategic Web Compromises）」的研究分析，利用了Java和Flash的漏洞攻擊碼，而RSA報告中所提到的VOHO攻擊活動，也使用了相同的技術。但在2012年，另一個有趣的社交工程伎倆就是利用安全廠商對惡意軟體的分析做為誘餌，來傳播惡意軟體。不過，魚叉式網路釣魚郵件和淪陷網站並不是唯一的攻擊途徑。即時通（被認為用在針對Google的Aurora攻擊）也提供了另一條攻擊路線。Skype也被報導提到用在敘利亞衝突的DarkComet RAT攻擊內。
攻擊是最好的防禦 –
在2012年，有個新興資安公司 – Crowdstrike提出了「攻擊是最好的防禦」概念，雖然這概念常被狹隘地理解為「駭回去」，但我卻想從David Dittrich所謂的「主動回應連續（Active Response Continuum）」背景下來理解這件事。有各種戰術可以應用，滲透，強迫下線（不管是通過技術手段、回報濫用行為、策反、點名和羞辱、法律機制或和執法單位合作）或是欺敵行動，好來進行反擊，而不是只能「駭回去」。這些都是經常用來對付犯罪份子的行動，但也可以應用在這裡。在一定程度上，針對基礎設施的攻擊，通常都是國家默許或國家資助的。所以這些措施以外的反擊作法也很吸引人，因為有國家資助的案例通常是不適用於法律途徑的，所以我們也開始看到這樣的行動出現。在2012年的一個案例中，CERT-GOV-GE不僅取得存取「Georbot」殭屍網路命令和控制伺服器的能力，還誘使殭屍網路運營者去偷取一個惡意檔案。執行之後，就讓CERT-GOV-GE可以遠端錄下運營者的影像。
「超限」武器交易 –
這個備受爭議的話題 – 販賣零時差漏洞攻擊碼及搭配的惡意軟體，在2012年已經是個公開的祕密。美國公民自由聯盟的Christopher Soghoian在VB2012大會上用這題目做了主題演講。除了會買賣漏洞和攻擊碼之外，也有惡意軟體的交易是在政府授意下。Morgan Marguis-Boire發表了被稱為FinFisher的產品（也可用來偵查智慧型手機）是如何被英國政府散播的相關資料。還有被義大利公司所散播的後門程式，據報導是被政府用來監控異議份子。另外Dell SecureWorks的Joe Stewart發現「一個由位在某亞洲國家（非中國）的私營電腦安全公司所經營的龐大網路間諜活動針對國外軍事單位」，進一步說明了問題的嚴重程度。繼續閱讀

從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現，這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文（美國）、簡體中文（中國）、繁體中文（台灣）、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告，微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護：

1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
1005301 – Identified Suspicious JavaScript Encoded Window Location Object
1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後（use-after-free）漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的，趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發，這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後，當頁面重新載入時，它的引用會被再次使用並指向無效的記憶體位置，讓當前使用者執行任意程式碼。微軟的IE6、IE7，IE8都會受到影響，但新版本 – IE9、IE10則沒有這個漏洞。

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上，早在二〇〇九年就有出現過這種技術，不過他們同時也認為水坑攻擊在未來將會更加普遍，並且將專門用在目標攻擊上。為什麼呢？

Raimund對二〇一三年的預測裡提供了一個可能的答案，他說，攻擊者將更加著重於如何去佈署威脅，而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊，以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的，我們會發現所使用的方法都非常熟悉。然而，這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上，就好像魚叉式網路釣魚（Phishing）郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法，因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點，攻擊者所利用的不再僅僅是軟體漏洞，還有使用者本身。繼續閱讀