漏洞攻擊 - 資安趨勢部落格

攻擊者利用 Struts和 DotNetNuke 伺服器漏洞,進行數位貨幣挖礦攻擊

2018 年 01 月 23 日2018 年 01 月 22 日趨勢科技 TrendMicro

最近幾個月來，惡意份子已經將數位貨幣挖礦視作可行的賺錢方式。挖礦攻擊利用使用者的電腦運算能力來挖掘各種數位貨幣，最常見的是利用惡意軟體或被駭網站。透過入侵伺服器來執行挖礦程式可以讓惡意份子得到更多的運算能力，並從非法挖礦中賺取更多利潤。

趨勢科技在最近幾週注意到針對CVE-2017-5638（Apache Struts的漏洞）和CVE-2017-9822（DotNetNuke的漏洞）的攻擊次數顯著地增加。這些漏洞的修補程式都已經釋出。這些漏洞存在於開發者常用於建構網站的Web應用程式內，所以可能出現在許多伺服器上。2017年的大規模Equifax資料外洩事件也跟Struts漏洞有關。

我們認為這些攻擊的幕後黑手是同一個，因為這些網站都指向同個網域來下載門羅幣挖礦程式，也都指向同一個門羅幣地址。這地址已經收到了30個門羅幣（XMR），以2018年1月中的匯率來看約等於12,000美元。

分析

攻擊上述漏洞的惡意HTTP請求被發送到目標伺服器。這些HTTP請求包含編碼過的腳本程式。上述漏洞被利用來在受影響的Web伺服器執行這程式。使用多層混淆技術的程式碼可以讓分析和偵測變得更加困難。Windows和Linux系統都成為了這波攻擊的目標。

一旦將混淆過的程式碼完全解碼後就會找到這波攻擊活動的最終目標。程式碼最終會下載惡意軟體：一個門羅幣挖礦程式。

圖1和2、發送到目標伺服器的HTTP請求，分別針對了Struts和DotNetNuke漏洞

繼續閱讀

「ChaiOS」軟體問題造成 Apple iMessage 應用程式無限死當

2018 年 01 月 20 日2018 年 02 月 12 日趨勢科技 TrendMicro

最近，軟體開發人員 Abraham Masri 發現了一個影響 Apple 裝置的漏洞，讓人想起以前會讓 iMessage 應用程式當掉的「Effective Power」漏洞，這個名為「ChaiOS」的死亡簡訊漏洞會讓收到簡訊的裝置陷入無限當機循環。

Masri 為了展示這項漏洞的概念驗證，他在 GitHub 上製作了一個網站，並將該網站的結構資料 (Metadata) 塞滿數千個多餘的亂碼。他表示，當應用程式在讀取這些多餘的亂碼時就會當掉，甚至導致整個作業系統當機。MacRumors 測試了前述網站之後發現確實會讓 Apple 的訊息程式當掉。

ChaiOS 甚至會影響 MacOS 作業系統。Apple 已在 iOS 11.2.5 第 6 測試版 (Beta 6) 當中解決此問題。相信再過不久，正式的 iOS 11.2.5 和 MacOS High Sierra 10.13.3、watchOS 4.2.2 以及 tvOS 11.2.5 更新就會推出。

繼續閱讀

Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式

2018 年 01 月 12 日2018 年 01 月 11 日趨勢科技 TrendMicro

根據資安研究人員指出，Google Apps Script 有某個資安漏洞可能讓駭客和網路犯罪集團經由 Google Drive 散布惡意程式。由於這項漏洞是發生在軟體服務 (Software-as-a-Service，簡稱 SaaS) 平台端，因此攻擊行動不易偵測，且攻擊時不需假使用者之手，因此使用者可能不會察覺。

Google Apps Script漏洞恐讓駭客經由 Google Drive散布惡意程式

Google Apps Script 是一個 JavaScript 開發平台，可讓程式設計人員開發網站應用程式以及 Google 軟體服務平台 (如 Google Docs、Sheets、Slides、Forms、Calendar 和 Gmail) 的延伸功能。

該漏洞跟 Google Apps 的分享與自動下載功能有關

根據研究人員指出，這項漏洞跟 Google Apps 的分享與自動下載功能有關。其攻擊手法與傳統利用 Google Drive 來存放和散布惡意程式的方式迥異。

在此手法當中，駭客先發送一份 Google Doc 文件給目標使用者來當成社交工程誘餌。當該文件被開啟時，會要求使用者執行一個 Google Apps Script 腳本，接著此腳本會從 Google Drive 下載惡意程式。此一方式跟一般 Office 文件內嵌的巨集惡意程式有異曲同工之妙。

[TrendLabs 資訊安全情報部落格：qkG 檔案加密病毒：可自我複製的文件加密勒索病毒]

這項研究發現，突顯出越來越多企業採用的 SasS平台所潛藏的資安風險。事實上，軟體服務 (SaaS) 與基礎架構服務 (Infrastructure-as-a-Service，簡稱IaaS) 是 2017 年公有雲服務成長的兩大動力，總營收達到 586 億美元。只要建置得當，SaaS 可提供企業彈性、客製化、可擴充的解決方案，實現企業流程及營運最佳化。

SaaS 開始普及，引來網路犯罪集團的覬覦繼續閱讀

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

2018 年 01 月 03 日2018 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上？為什麼新漏洞出現時沒有發表深入地探討？”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣，不管是組織或個人，就會讓攻擊可以很容易的一再發生。

作者：Natasha Hellberg（趨勢科技資深威脅研究員）

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼，它們進入了更新的技術，然後包含在其他的技術中，我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”。

聽起來有點熟？我們總是拿到新東西就直接安裝，完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限，就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運，這些設備有加以防護，可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是，根據趨勢科技FTR團隊所做的研究，有幾十萬放在網際網路上的設備帶有漏洞（就是說可以被入侵）或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
設備/網頁竄改（defacement） – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
DDoS殭屍網路和攻擊激增工具（Booter） – 系統和設備漏洞成為攻擊他人的跳板

繼續閱讀

「ROBOT 攻擊」影響 Facebook、PayPal 等知名網站

2017 年 12 月 15 日2018 年 01 月 05 日趨勢科技 TrendMicro

有研究團隊發現 1998 年由 Daniel Bleichenbacher 所批露的 RSA 加密演算法實作漏洞至今仍可能遭到攻擊。根據報導，日前又出現一個利用此漏洞的新攻擊，命名為「ROBOT」(其名為「Return of Bleichenbacher’s Oracle Threat」的縮寫)，影響所及包括 Alexa Top 100 百大網站中的 27 個網站，如 PayPal、Facebook 等知名網站皆受影響。這個由 Hanno Böck、Juraj Somorovsky 和 Craig Young 三名研究人員所組成的團隊指出，駭客在某些條件下有可能取得可以解開 HTTPS 流量的私密金鑰。只不過，至今尚未出現駭客利用 ROBOT 漏洞發動攻擊的案例。

ROBOT 漏洞攻擊手法是藉由 Bleichenbacher 所發現的漏洞，此漏洞可讓駭客利用暴力破解的方式成功猜出連線階段金鑰 (session key)，進而解開 TLS (HTTPS) 伺服器與用戶端瀏覽器之間的 HTTPS 通訊。此情況發生的條件是：連線階段金鑰採用 RSA 演算法加密，並且使用 PKCS #1 V1.5 padding 系統。駭客可以發送連線階段金鑰給 TLS 伺服器去查詢該金鑰是否有效，伺服器會回覆「是」或「否」，駭客可以如此反覆嘗試，直到試出正確金鑰為止。儘管這項漏洞存在已將近 20 年，但 ROBOT 漏洞攻擊至今依然可行，因為該漏洞的解決方法非常複雜，而且在實作上也未徹底解決。

繼續閱讀