資安趨勢部落格 – 第 868 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金

2013 年 01 月 03 日2015 年 05 月 25 日趨勢科技 TrendMicro

2012年假冒執法警察的勒索攻擊持續蔓延在歐洲 ,警察勒索軟體 Ransomware的幕後黑手不再只是利用執法單位的權威來替自己的騙局建立可信度，他們現在也會開始利用安全廠商。

趨勢科技發現到一個警察勒索軟體 Ransomware變種，提到了所謂執法單位和防毒廠商間的「條約」。它甚至出現這些安全廠商的圖示以強調其合法性。趨勢科技將這個新的勒索軟體變種偵測為TROJ_REVETON.IT。

根據我們的調查顯示，這惡意軟體變種裡的DLL檔案內有一張螢幕鎖定圖檔，其中包含多家防毒廠商的標誌。文字敘述為：

「為了讓警察工作更有效率，已與防毒軟體開發公司簽署一項國際條約，用於識別網路犯罪分子。」

當然，這只是用來誘騙人們相信其合法性的詭計。一旦這惡意軟體被執行，它會鎖住使用者電腦，並顯示假訊息：

「你已觸犯法律，電腦已被鎖定,你的行為非法且會導致刑事責任。」

警察勒索軟體為人所知的就是會宣稱使用者違反法律，進而鎖住系統。他們必須支付一大筆罰款以再次使用自己的電腦。我們還觀察到勒索警告頁面或圖形使用者界面（GUI）常常會改變。這可能是惡意軟體社交工程陷阱( Social Engineering)伎倆的一部分。

繼續閱讀

13恐懼症？2013年資安預測

2013 年 01 月 02 日2013 年 01 月 17 日趨勢科技 TrendMicro

作者：趨勢科技資深資安分析師Rik Ferguson

又來到了一年的這個時候，雪厚厚的積在地上，槲寄生出現在我的口袋裡，有熱酒暖和著手，當然還有對二〇一三年的資安預測。

趨勢科技在發表了商務、數位生活和雲端技術所要面臨的安全威脅，這是趨勢科技對二〇一三年及未來的安全預測。猛一看，預測標題可能會讓人覺得驚訝，惡意和高風險的Android應用程式數量將會在二〇一三年達到一百萬個。然而，如果想到我們在這一年來不停地上修二〇一二年底的Android惡意軟體數量，而現在已經有一百萬的四分之一了，那聽起來或許就不那麼遙不可及了。

這份報告總共提出了十項預測挑戰，有些全面性地檢視了技術發展趨勢和生活方式的改變，非常值得一讀。但我也想為你提供一些我自己的預測。

今年當然還是有些引人注目的惡意軟體出現，特別是Flame、Gauss及其家族。雖然這些單獨來看都很難說是2012年最大的威脅，但是他們所展現的方向和動能是很驚人的。在2012這一年，我們也證實了各個國家及政府單位意識到可以由數位秘密行動來進行軍事目的的可能性，可以說是已經被用來違反日內瓦公約和國際人道法。這是一個大問題，而所造成的影響，我相信得過一段時間後才會更加清楚。

跨平台漏洞攻擊包將會出現，這些攻擊包會包括針對行動系統的強制（drive-by）攻擊。這是有根據的，因為黑洞漏洞攻擊包（Blackhole Exploit Kit）已經在收集Win8和行動作業系統的統計資料。針對行動系統的強迫攻擊會改變整個行動惡意軟體世界。

惡意附加檔案再次興起 – 根據趨勢科技的最新研究發現，約有91％的目標攻擊是透過魚叉式網路釣魚郵件進入，其中有96％使用了惡意附加檔案。所以可以預計利用電子郵件附加檔案來做攻擊會再度興起，這是在近幾年內比較少在資安防禦中被討論到的部分。

沙箱閃避技術 – 安全技術的更新也意味著攻擊者將被迫花費更多時間來發展躲避沙箱自動分析的技術。自爆不再是個可行的作法。

繼續閱讀

多個零時差漏洞概念證明攻擊碼威脅MySQL伺服器

2012 年 12 月 31 日2012 年 12 月 20 日趨勢科技 TrendMicro

在這今年的最後一個月，MySQL被一組零時差漏洞攻擊碼給淹沒了。這些都是由Kingcope所發表，他也公布了這些安全漏洞的概念證明（PoC）攻擊碼。

最新被發現的零時差漏洞會用多種方式來影響MySQL，像是應用程式崩潰/阻斷服務、升級權限、身份驗證繞過、Windows系統上的遠端管理者權限和堆積區（Heap）/堆疊區（Stack）溢位。這些漏洞已經被軟體廠商確認，並被分配了CVE編號：CVE-2012-5611、CVE-2012-5612、CVE-2012-5613、CVE-2012-5614、CVE-2012-5615。

兩個嚴重的安全問題，ExploitDB：23073和23083在MySQL上允許遠端身份認證過的攻擊者透過發送特製請求來取得Windows系統權限。

以下是其他的嚴重問題：

（CVE-2012-5611）：經由發送超長參數給GRANT FILE指令來發動，接著會導致堆疊緩衝區溢位。它讓遠端攻擊者可以執行任意程式碼，甚至導致資料庫崩潰。不過，要利用這個漏洞，必須要有有效的用戶名稱和密碼。
（CVE-2012-5612）：一連串特製的指令可以導致堆積緩衝區溢出漏洞，像是USE、SHOW TABLES、DESCRIBE、CREATE TABLE、DROP TABLE、ALTER TABLE、DELETE FROM、UPDATE、SET PASSWORD等。如果漏洞攻擊成功，可以讓身份驗證過的低權限遠端攻擊者去更改一個目前使用者的密碼成一個未定義值。
（CVE-2012-5614）：可以透過SELECT指令和一個包含大量獨特、嵌入元素XML的UpdateXML指令來造成服務崩潰。要成功利用此漏洞也需要身分認證過的有效使用者名稱和密碼。
（CVE-2012-5615）：MySQL內的列舉（Enumeration）漏洞，可以讓遠端攻擊者根據所產生的錯誤訊息來獲取所有有效的用戶名稱。
（CVE-2012-5613）：這不被視為軟體的安全漏洞，因為它是因為設定錯誤而造成。但它可以讓遠端認證過的使用者獲得管理者權限。一個有FILE權限的攻擊者可以建立跟MySQL管理者完全一樣權限的新使用者。

MySQL資料庫是有名的高效能、高可靠性和易於使用。它可以運行在Windows和許多非Windows平台上，像UNIX、Mac OS、Solaris、IBM AIX等。它一直是成長最快的應用程式，也被許多大公司所選用，像是Facebook、Google和Adobe等等。也因為它的普及，網路犯罪分子和其他攻擊者也肯定會盯上這平台。

為了幫助使用者解決這些問題，趨勢科技Deep Security已經發布了更新 – 12-032，包含一套新的DPI規則。建議使用者更新以下的DPI規則。

Exploit DB	CVE編號	DPI 規則名稱
23076 MySQL (Linux) Heap Based Overrun PoC Zeroday	CVE-2012-5612	1005264 – Oracle MySQL Server Command Length Restriction
23081 MySQL Remote Preauth User Enumeration Zeroday	CVE-2012-5615	1005045 – MySQL Database Server Possible Login Brute Force Attempt*
23078 MySQL Denial of Service Zeroday PoC	CVE-2012-5614	1005265 – Oracle MySQL Server Denial Of Service Vulnerability
23083 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day		1005263 – Windows MySQL Server Remote Code Execution
23075 MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday	CVE-2012-5611	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23077 MySQL (Linux) Database Privilege Elevation Zero day Exploit	CVE-2012-5613	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23073 MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot)		1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability*

* 這些漏洞已經被包含在現有DPI規則內了。

趨勢科技的DPI規則可以保護使用者免受這些已知漏洞的攻擊。截至本文撰寫時，我們還沒看到任何利用這些概念證明碼進行的攻擊。

＠原文出處：Multiple Zero-Day POC Exploits Threaten Oracle MySQL Server作者：Pavithra Hanchagaiah（資深安全研究員）
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

假 Mac OS 安裝程式透過手機帳戶向使用者收錢

2012 年 12 月 28 日2012 年 12 月 24 日趨勢科技 TrendMicro

最近有些報導流傳著有假Mac OS安裝程式的出現，證明了Mac OS在網路威脅世界裡是不會缺席的。

使用者會在那些號稱提供正式軟體下載的網站上碰到一個假Mac OS X安裝程式OSX_ARCHSMS.A,一旦安裝完，會出現一個看起來像是安裝導引視窗的圖片。

這威脅讓令人好奇的地方在於OSX_ARCHSMS.A要求使用者提供手機號碼，並且用簡訊傳送驗證碼。完成之後，系統會提示使用者去同意該程式的使用條款，包括了會定期從他們的行動電話帳戶中扣款。不用說，不會安裝任何程式，而使用者卻要因為假（不存在）程式而付費。

如果你覺得這伎倆，尤其是會從使用者手機賬戶中扣款這點看起來很熟悉，你可能已經看過被稱為加值服務濫用程式的惡意Android應用程式的相關資訊了。通常會偽裝成正常的應用程式，以將使用者註冊到加值服務、在使用者不同意或不知情下傳送簡訊和通話而廣為人知，也因此讓使用者產生不必要的費用。一些有名的加值服務濫用程式包括Android上的惡意版本壞蛋豬及Adobe Flash Player。

不過這假安裝程式有兩個地方是前所未見的：第一個影響Mac使用者的加值服務濫用程式，也是第一個利用假安裝程式作為幌子的加值服務濫用程式。這是個有趣的組合，也證明了網路犯罪份子的確狡猾多變 – 特別是當他們想要使用者的錢時。

這假安裝程式當然不是Mac OS上所出現的第一次威脅。就在2012年初，Flashback造成新聞話題，不僅是因為它針對這平台，也因為它對使用者所造成的影響和範圍。我們之前還發現了其他Mac使用者也該知道的威脅。繼續閱讀

企業郵件伺服器處理電子郵件自動回覆的四個小提醒

2012 年 12 月 27 日2012 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技部落格在最近的兩篇文章（休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!和退信和讀取回條自動回覆的風險）中討論了關於電子郵件自動回覆所可能引來的威脅，從外出通知（Out-of-Office Notification）到未送達報告（Non-Delivery Notification）。這些都可能會洩漏資訊而遭到利用。所以管理者和使用者可以做什麼來應對這種威脅，幫助保護他們的環境？

雖然我們一直強調教育用戶的重要性，但在這裡，加強伺服器設定也是必須的。沒有道理只依賴於使用者設定，因為那有可能會失誤（而且經常發生）。

❶只送外出通知給企業內部人員。
企業郵件伺服器需要對是否發送外出通知做好精細的控制。一個很好的作法就是只送外出通知給企業內部人員。如果外部人士需要收到這些通知，可以視需要來加入白名單。不過預設應該是不送外出通知到企業外部。

❷郵件伺服器應該設定為不送退信通知到企業外部。
同樣的，郵件伺服器應該設定為不送退信通知到企業外部。

❸退信通知不該包含大量原始信件的內容
另一點很重要的是，退信通知不該包含大量原始信件的內容，因為這麼做就可能會被利用在垃圾郵件(SPAM)攻擊上。（RFC 3834明確地建議了這點。）繼續閱讀