資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

13恐懼症？2013年資安預測

2013 年 01 月 02 日2013 年 01 月 17 日趨勢科技 TrendMicro

作者：趨勢科技資深資安分析師Rik Ferguson

又來到了一年的這個時候，雪厚厚的積在地上，槲寄生出現在我的口袋裡，有熱酒暖和著手，當然還有對二〇一三年的資安預測。

趨勢科技在發表了商務、數位生活和雲端技術所要面臨的安全威脅，這是趨勢科技對二〇一三年及未來的安全預測。猛一看，預測標題可能會讓人覺得驚訝，惡意和高風險的Android應用程式數量將會在二〇一三年達到一百萬個。然而，如果想到我們在這一年來不停地上修二〇一二年底的Android惡意軟體數量，而現在已經有一百萬的四分之一了，那聽起來或許就不那麼遙不可及了。

這份報告總共提出了十項預測挑戰，有些全面性地檢視了技術發展趨勢和生活方式的改變，非常值得一讀。但我也想為你提供一些我自己的預測。

今年當然還是有些引人注目的惡意軟體出現，特別是Flame、Gauss及其家族。雖然這些單獨來看都很難說是2012年最大的威脅，但是他們所展現的方向和動能是很驚人的。在2012這一年，我們也證實了各個國家及政府單位意識到可以由數位秘密行動來進行軍事目的的可能性，可以說是已經被用來違反日內瓦公約和國際人道法。這是一個大問題，而所造成的影響，我相信得過一段時間後才會更加清楚。

跨平台漏洞攻擊包將會出現，這些攻擊包會包括針對行動系統的強制（drive-by）攻擊。這是有根據的，因為黑洞漏洞攻擊包（Blackhole Exploit Kit）已經在收集Win8和行動作業系統的統計資料。針對行動系統的強迫攻擊會改變整個行動惡意軟體世界。

惡意附加檔案再次興起 – 根據趨勢科技的最新研究發現，約有91％的目標攻擊是透過魚叉式網路釣魚郵件進入，其中有96％使用了惡意附加檔案。所以可以預計利用電子郵件附加檔案來做攻擊會再度興起，這是在近幾年內比較少在資安防禦中被討論到的部分。

沙箱閃避技術 – 安全技術的更新也意味著攻擊者將被迫花費更多時間來發展躲避沙箱自動分析的技術。自爆不再是個可行的作法。

繼續閱讀

多個零時差漏洞概念證明攻擊碼威脅MySQL伺服器

2012 年 12 月 31 日2012 年 12 月 20 日趨勢科技 TrendMicro

在這今年的最後一個月，MySQL被一組零時差漏洞攻擊碼給淹沒了。這些都是由Kingcope所發表，他也公布了這些安全漏洞的概念證明（PoC）攻擊碼。

最新被發現的零時差漏洞會用多種方式來影響MySQL，像是應用程式崩潰/阻斷服務、升級權限、身份驗證繞過、Windows系統上的遠端管理者權限和堆積區（Heap）/堆疊區（Stack）溢位。這些漏洞已經被軟體廠商確認，並被分配了CVE編號：CVE-2012-5611、CVE-2012-5612、CVE-2012-5613、CVE-2012-5614、CVE-2012-5615。

兩個嚴重的安全問題，ExploitDB：23073和23083在MySQL上允許遠端身份認證過的攻擊者透過發送特製請求來取得Windows系統權限。

以下是其他的嚴重問題：

（CVE-2012-5611）：經由發送超長參數給GRANT FILE指令來發動，接著會導致堆疊緩衝區溢位。它讓遠端攻擊者可以執行任意程式碼，甚至導致資料庫崩潰。不過，要利用這個漏洞，必須要有有效的用戶名稱和密碼。
（CVE-2012-5612）：一連串特製的指令可以導致堆積緩衝區溢出漏洞，像是USE、SHOW TABLES、DESCRIBE、CREATE TABLE、DROP TABLE、ALTER TABLE、DELETE FROM、UPDATE、SET PASSWORD等。如果漏洞攻擊成功，可以讓身份驗證過的低權限遠端攻擊者去更改一個目前使用者的密碼成一個未定義值。
（CVE-2012-5614）：可以透過SELECT指令和一個包含大量獨特、嵌入元素XML的UpdateXML指令來造成服務崩潰。要成功利用此漏洞也需要身分認證過的有效使用者名稱和密碼。
（CVE-2012-5615）：MySQL內的列舉（Enumeration）漏洞，可以讓遠端攻擊者根據所產生的錯誤訊息來獲取所有有效的用戶名稱。
（CVE-2012-5613）：這不被視為軟體的安全漏洞，因為它是因為設定錯誤而造成。但它可以讓遠端認證過的使用者獲得管理者權限。一個有FILE權限的攻擊者可以建立跟MySQL管理者完全一樣權限的新使用者。

MySQL資料庫是有名的高效能、高可靠性和易於使用。它可以運行在Windows和許多非Windows平台上，像UNIX、Mac OS、Solaris、IBM AIX等。它一直是成長最快的應用程式，也被許多大公司所選用，像是Facebook、Google和Adobe等等。也因為它的普及，網路犯罪分子和其他攻擊者也肯定會盯上這平台。

為了幫助使用者解決這些問題，趨勢科技Deep Security已經發布了更新 – 12-032，包含一套新的DPI規則。建議使用者更新以下的DPI規則。

Exploit DB	CVE編號	DPI 規則名稱
23076 MySQL (Linux) Heap Based Overrun PoC Zeroday	CVE-2012-5612	1005264 – Oracle MySQL Server Command Length Restriction
23081 MySQL Remote Preauth User Enumeration Zeroday	CVE-2012-5615	1005045 – MySQL Database Server Possible Login Brute Force Attempt*
23078 MySQL Denial of Service Zeroday PoC	CVE-2012-5614	1005265 – Oracle MySQL Server Denial Of Service Vulnerability
23083 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day		1005263 – Windows MySQL Server Remote Code Execution
23075 MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday	CVE-2012-5611	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23077 MySQL (Linux) Database Privilege Elevation Zero day Exploit	CVE-2012-5613	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23073 MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot)		1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability*

* 這些漏洞已經被包含在現有DPI規則內了。

趨勢科技的DPI規則可以保護使用者免受這些已知漏洞的攻擊。截至本文撰寫時，我們還沒看到任何利用這些概念證明碼進行的攻擊。

＠原文出處：Multiple Zero-Day POC Exploits Threaten Oracle MySQL Server作者：Pavithra Hanchagaiah（資深安全研究員）
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

假 Mac OS 安裝程式透過手機帳戶向使用者收錢

2012 年 12 月 28 日2012 年 12 月 24 日趨勢科技 TrendMicro

最近有些報導流傳著有假Mac OS安裝程式的出現，證明了Mac OS在網路威脅世界裡是不會缺席的。

使用者會在那些號稱提供正式軟體下載的網站上碰到一個假Mac OS X安裝程式OSX_ARCHSMS.A,一旦安裝完，會出現一個看起來像是安裝導引視窗的圖片。

這威脅讓令人好奇的地方在於OSX_ARCHSMS.A要求使用者提供手機號碼，並且用簡訊傳送驗證碼。完成之後，系統會提示使用者去同意該程式的使用條款，包括了會定期從他們的行動電話帳戶中扣款。不用說，不會安裝任何程式，而使用者卻要因為假（不存在）程式而付費。

如果你覺得這伎倆，尤其是會從使用者手機賬戶中扣款這點看起來很熟悉，你可能已經看過被稱為加值服務濫用程式的惡意Android應用程式的相關資訊了。通常會偽裝成正常的應用程式，以將使用者註冊到加值服務、在使用者不同意或不知情下傳送簡訊和通話而廣為人知，也因此讓使用者產生不必要的費用。一些有名的加值服務濫用程式包括Android上的惡意版本壞蛋豬及Adobe Flash Player。

不過這假安裝程式有兩個地方是前所未見的：第一個影響Mac使用者的加值服務濫用程式，也是第一個利用假安裝程式作為幌子的加值服務濫用程式。這是個有趣的組合，也證明了網路犯罪份子的確狡猾多變 – 特別是當他們想要使用者的錢時。

這假安裝程式當然不是Mac OS上所出現的第一次威脅。就在2012年初，Flashback造成新聞話題，不僅是因為它針對這平台，也因為它對使用者所造成的影響和範圍。我們之前還發現了其他Mac使用者也該知道的威脅。繼續閱讀

企業郵件伺服器處理電子郵件自動回覆的四個小提醒

2012 年 12 月 27 日2012 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技部落格在最近的兩篇文章（休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!和退信和讀取回條自動回覆的風險）中討論了關於電子郵件自動回覆所可能引來的威脅，從外出通知（Out-of-Office Notification）到未送達報告（Non-Delivery Notification）。這些都可能會洩漏資訊而遭到利用。所以管理者和使用者可以做什麼來應對這種威脅，幫助保護他們的環境？

雖然我們一直強調教育用戶的重要性，但在這裡，加強伺服器設定也是必須的。沒有道理只依賴於使用者設定，因為那有可能會失誤（而且經常發生）。

❶只送外出通知給企業內部人員。
企業郵件伺服器需要對是否發送外出通知做好精細的控制。一個很好的作法就是只送外出通知給企業內部人員。如果外部人士需要收到這些通知，可以視需要來加入白名單。不過預設應該是不送外出通知到企業外部。

❷郵件伺服器應該設定為不送退信通知到企業外部。
同樣的，郵件伺服器應該設定為不送退信通知到企業外部。

❸退信通知不該包含大量原始信件的內容
另一點很重要的是，退信通知不該包含大量原始信件的內容，因為這麼做就可能會被利用在垃圾郵件(SPAM)攻擊上。（RFC 3834明確地建議了這點。）繼續閱讀

駭客大哥我把駕照,身分證和信用卡都放網路上了,請隨意取用

2012 年 12 月 25 日2021 年 03 月 19 日趨勢科技 TrendMicro

在網路上可以輕易地搜尋到駕照,身分證,信用卡等照片,中外皆然,尤其是初次拿到駕照的朋友,總是迫不及待地拍照上傳,現在社交網站與智慧型手機大受歡迎,可以隨時拍照隨時上傳,更使得這個不經意的動作充滿個資外洩的危險性。

將信用卡和身份證件貼到 Facebook /Instagram/ Twitter上的風險

現在網路犯罪分子可能不再需要利用資料竊取木馬來取得使用者資料了,因為很多青少年者已經主動幫歹徒鋪好路了，他們將自己的身分證明和信用卡照片貼到Facebook、 Twitter和 Instagram上。

有好幾個年輕人（甚至是成年人）在Twitter上發布他們信用卡的照片，在 Instagram上也看到了一大堆這類照片。一些使用者甚至將自己的駕照上傳，渾然不覺已經將自己完整姓名、家庭住址等敏感資料攤在眾目睽睽之下。

只要在社群網站上做個簡單的搜尋，就可以很容易地找到這些文件。甚至還有一個特別的 Twitter 帳戶和列表（稱為NeedADebitCard）讓使用者發表自己的信用卡在這些平台上。

可悲的是，這趨勢並不僅侷限於Twitter和Instagram等網站。利用Google圖片搜尋，可以在網路上找到一大堆這種照片。

面對大量會張貼敏感資料的粗心者令人感到驚訝和擔心。大部分張貼駕照或信用卡的人，大約是十六歲到十八歲，還太年輕而不知道後果的嚴重性,根據觀察美國青少年喜歡貼出自己的駕照，亞洲年輕人則喜歡貼出自己的護照和身分證照片。

身份竊取一直是個安全問題，而發表這種照片的趨勢只會讓情況更加惡化。試想一下：網路犯罪份子只要做個簡單的搜尋，就可以得到大量的敏感資料，他們可以用來買東西、進行交易和掩蓋自己的踪跡等。另個危險是，這樣的行為也將自己暴露給跟蹤狂、性變態和其他網路上的有心人士。

更重要的是，這些貼文不僅侷限在特定的社群網站上。由於交叉貼文，將照片上傳到Instagram的使用者，同時也將一樣的資訊分享到他們的Facebook、Twitter、Flickr和Tumblr帳號上。

但為什麼這些年輕的網路使用者要貼出這些照片？可能是為了想要顯示自己的威風、社會地位和在同儕內被認為「酷」。但不管是何原因，這些過度分享都將使用者送到網路犯罪份子或惡霸面前。重要的是，每個人都該意識到自己在網上分享了什麼。他們可能會認為秀出這些資訊很「有型」、「潮」、「炫」或「時髦」。但實際上，真正的「有型」是如何聰明地在網路上分享。

想知道一些可以跟孩子們談談，幫助他們了解分享資料風險等的小秘訣，請參考Lynette Owens的「這是個分享的時節，如何透過手機聰明的分享」。

＠原文出處：The Dangers of Posting Credit Cards, IDs on Instagram and Twitter作者：Loucif Kharouni（資深威脅研究員）