ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。
圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

 

 

圖2:ProMediads惡意廣告範例
圖2:ProMediads惡意廣告範例

 

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 Continue reading “ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒”

SCADA 人機介面 (HMI) 漏洞的現況

檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告
檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告

經由 HMI 攻擊 SCADA

SCADA 是所謂的「監控與資料擷取」(Supervisory Control and Data Acquisition) 系統的縮寫。普遍用於全球的各種關鍵基礎架構,因此天生就很容易吸引各種駭客的覬覦。駭客可能駭入 SCADA 系統來蒐集一些資訊,例如:廠房設施配置圖、關鍵門檻值、裝置設定等等,來協助他們從事後續攻擊。駭客攻擊可能帶來的最壞情況包括服務中斷,或是駭客利用易燃物質或重要物資來製造威脅生命安全的危險狀況。

Stuxnet 病毒及烏克蘭發電廠遭受攻擊的案例讓趨勢科技見識到,真正有心從事破壞的駭客不僅對企業是一大威脅,更可能危及社會大眾的安全。駭客有許多可入侵 SCADA 系統的管道,其中之一就是經由其人機介面 (HMI) 軟體普遍存在的漏洞。由於 SCADA 系統大多透過所謂的 HMI 軟體來管理,而這類軟體通常安裝在具有網路連線的電腦上。因此,HMI 是 SCADA 系統遭受攻擊最主要的目標之一,最好安裝在隔離或獨立安全的網路上。但根據經驗,實際情況通常並非如此。

何謂 HMI?

所謂的人機介面 (HMI) 就是顯示資料與接受操作人員指令的介面。操作人員可透過該介面監控系統狀況並做出適當的回應。今日的 HMI 大多具備先進、可自訂的資料顯示功能,讓操作人員很方便地掌握系統的狀況。

HMI 常見的漏洞類型

趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫團隊特別針對今日 SCADA HMI 的安全性做了一番深入研究,仔細分析了 2015 至 2016 年間所有已揭露並修復的 SCADA 軟體漏洞,其中也包括 ZDI 計畫所接獲通報的 250 個漏洞。

趨勢科技發現,這些漏洞主要分成幾類:記憶體損毀、登入憑證管理不良、缺乏認證/授權機制與不安全的預設值,以及程式碼注入漏洞,全都是可以藉由安全的程式撰寫習慣來預防的漏洞。

 

記憶體損毀:這類問題在所有已揭露的漏洞當中約占 20%,這類漏洞是很典型的程式碼不夠嚴謹的安全問題,例如:堆疊和記憶體緩衝區溢位,以及超出範圍的記憶體存取動作。 Continue reading “SCADA 人機介面 (HMI) 漏洞的現況”

機器人如何變壞?

測試工業機器人的安全極限

今日智慧工廠工業機器人攻擊示範
今日智慧工廠工業機器人攻擊示範

 

今日世界在各方面都極度仰賴工業機器人,然而,目前的機器人生態體系在安全方面是否足以抵擋駭客的網路攻擊?

機器人可不可能遭到駭客入侵?

基於效率、準確與安全的理由,工業機器人在許多大型生產線上早已取代了人力。這些可程式化的機械裝置,幾乎已遍及各種工業領域:汽車、飛機零件製造、食品包裝,甚至提供重要的公共服務。

很快地,機器人將成為現代化工廠一項普遍的特色,因此,我們有必要停下來思考一下,當今的工業機器人生態體系在安全上是否足以抵擋網路攻擊?這是我們前瞻威脅研究 (FTR) 團隊以及我們的合作夥伴 Politecnico di Milano (POLIMI) 在檢視今日工業機器人攻擊面時所共同思考的一個問題。更重要的是,我們希望藉由這次的機會來證明這些機器人是否真的有可能被入侵。

以下影片當中的攻擊示範,是在實驗室環境下針對工廠實際會用的工業機器人所做的測驗。由於今日工業機器人在結構上大同小異,此外也有嚴格的標準,因此,本研究所用的機器人對於為數眾多的工業機器人來說,可算具有代表性。

所謂的工業機器人,就是一套「經由自動控制、可重複程式化、多重用途的操作手臂,具備三軸或更多軸可程式化,可固定於某地,也可四處行動,主要應用於工業自動化。」

機器人可能遭到什麼樣的攻擊?

一具工業機器人需要多個部位共同配合才能順利加以操作。程式化人員或操作人員通常透過遠端存取介面,如:教導盒 (teach pendant) 來經由網路來下達一些高階指令給控制器。控制器 (基本上就是一台電腦) 接著將指令轉換成低階的指令給機器手臂的各個部位去解讀並執行。 Continue reading “機器人如何變壞?”

< WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單!

WannaCry(想哭)勒索病毒/勒索蠕蟲」所利用的漏洞,是美國國安局 (NSA) 遭到外流的某項工具所攻擊的漏洞,同樣情況的還有另一個叫做「EwokFrenzy」的漏洞。EwokFrenzy 在 ZDI 資料庫中登記的漏洞編號為 ZDI-07-011,這是 10 年前的事了。難道這意味著該漏洞在廠商已經修正 10 年之後還有效嗎?看起來似乎如此。而這也是我們 20 多年來一直呼籲大家定期修補系統並做好備份的重要原因。

Zero Day Initiative (ZDI) 漏洞懸賞計畫機構對於修補漏洞的看法或許和大多數人不同。通常,我們會收到研究人員的第一手通報,然後我們會在內部驗證漏洞是否為真。接著,我們會通報給廠商。最後,當廠商釋出修補更新之後,我們會發布漏洞的一些詳細資訊。這些修補更新就是防範網路攻擊最好的方法。但最近,一個 Microsoft 在 2017 年 3 月即已修正的漏洞被一個叫做「Wanna」、「WannaCry(想哭)勒索病毒/勒索蠕蟲」或「Wcry」的勒索病毒所攻擊,使得全球都傳出災情。

怎麼會有 60 天前就已修正的問題會在全球造成這麼大的災情呢?人們為什麼不安裝修補更新呢?有時候,修補工作並不如您想像的容易,尤其對大型企業。

第一步:前置工作 

要建立一套完整的修補作業,企業首先必須掌握自己所有的資產。而這項工作聽起來容易,做起來卻相當困難。企業可選擇採用開放原始碼軟體或商用軟體工具來搜尋並登記其網路上的所有系統和裝置。就算他們用的是免費軟體,安裝建置仍需耗費成本。一旦企業找出所有需要保護的資產,接下來他們必須建立一套明確的流程來更新這些裝置,並且留下清楚的記錄。此時不光只有工作站和伺服器必須更新,一些網路裝置 (如路由器和交換器) 也要保持更新。所以,企業必須決定:是否該採用一套自動化系統?或是由系統管理員逐一到每台裝置上進行更新?由於早期的安全更新通常需要重新開機,或者可能打斷業務流程,因此,何時套用更新就很重要。此外,留下修補的記錄可以確保企業整體修補版本的一致性。

第二步:掌握最新修補訊息 Continue reading “< WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單!”

「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題

2017年至今被標記為重大的漏洞有637個而且還在增加中,這比2016年(共回報1057個)的速度更快,而且這些數字僅僅是用於遠端攻擊的漏洞!這些並不一定都會影響你的企業,但現實是你每個月都要面臨嚴重漏洞。

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

WannaCry攻擊活動使用的是已公開近 60天的已知漏洞。不幸的是,我們將會在未來,持續看到該漏洞被攻擊。

[編者按:關於趨勢科技產品與 WannaCry 相關的最新資訊,請參閱。]

作者:Mark Nunnikhoven(趨勢科技雲端研究副總)

2017年5月12日出現的 WannaCry勒索病毒被精心設計來充分利用今日大型企業所最常見的安全難題。從基本的網路釣魚開始,此變種利用最近的漏洞(CVE-2017-0144/MS17-010)在脆弱的內部網路散播,肆虐於大型組織。

來看看這則紐約時報的貼文,他們用我的資料作出一張很酷的動態地圖

– MalwareTech(@MalwareTechBlog)2017年5月13日

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

這並非最新的零時差漏洞,修補程式MS17-010在攻擊(或持續性攻擊)前59天就已經發布。今日安全社群所面臨的難題之一是如何在大量業務活動內有效的溝通網路安全。

 

馬上更新修補程式,不要再拖了 !

安全社群的共識是,更新修補是你的第一道防線。儘管如此,組織需要花上100天更久來部署修補程式的狀況並不少見。為什麼?原因很複雜。但大致可歸結到一個事實,就是IT對業務運作很重要。任何中斷都令人沮喪和代價高昂。

從使用者的角度來看,「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很想哭嗎?持續進行更新很累人也妨礙到了工作。更糟的是更新後無法預期應用程式會發生什麼事。

Continue reading “「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題”

《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?

我們經常會看到漏洞攻擊套件使用較舊的漏洞,因為這些漏洞仍然存在於被攻擊的系統上。另外,勒索病毒會去利用漏洞攻擊套件來作為主要的感染媒介。

趨勢科技2016年的資安綜合報告 – 「企業威脅創紀錄的一年」中,我們討論了這一年的漏洞發展形勢和所看到的趨勢。

讓我們來看看在2016年間發生的一些重點。

  1. 趨勢科技的零時差計畫(ZDI)在3,000多名獨立漏洞研究人員的支持下,披露了 678個漏洞。可以從下圖看出一些有意思的趨勢:

  • 首先是微軟產品的漏洞在持續減少中。這是個好消息,但對微軟來說不大好的消息是 Edge 漏洞增加了2,100%。這在 2017年的 Pwn2Own 大會中得到進一步的證明,因為 Edge 是競賽中被漏洞攻擊最多的瀏覽器。
  • 其次是整體 Adobe 的漏洞數量下降,不過 Acrobat Reader 在 2016 年被披露的漏洞最多。
  • 零時差攻擊(在修補程式發布前就有針對漏洞的攻擊出現)數量在 2016 年比 2015 年下降。這是個好消息,但我們最近也看到了美國中情局被駭事件,可能有許多零時差漏洞攻擊尚未被披露。
  • Android漏洞數量大幅地增加(206%)。趨勢科技研究人員在 2016 年向 Google 提交了 54 個安全漏洞。
  • 在2016年被披露的 SCADA(資料採集與監控系統)漏洞增加了421%,鑒於對這些設備進行更新的困難度,這對廠商來說會是件頭痛的事。

Continue reading “《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?”

世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗

 

 

在過去十年的世界駭客大賽Pwn2Own競賽中,不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺,雖然沒有真人倒地。它曾幫人開創自己的事業,或至少,幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地,在比賽史上沒有粉絲或黑特真的受傷,但內心就不敢保證了。

過去十年來,Pwn2Own已經成為安全研究的根源

更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀,但沒有真正出現什麼。但實際上恰恰相反。在過去十年來,Pwn2Own已經成為安全研究的根源。

不只是因為在Pwn2Own上所使用的漏洞都很複雜(當然它們也的確複雜)。這計畫所披露的幾個漏洞都得到社群的讚賞,如Pwnie大獎。除此之外,在Pwn2Own所出現的漏洞也驅動了其他研究,最終讓廠商提出了解決方案。例如在數年前,釋放後使用(UAF, use-after-free)漏洞被用來攻擊瀏覽器,特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫(ZDI)。UAF狂潮讓微軟引入了隔離堆積(Isolated Heap)和記憶體保護(MemoryProtection)等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty,並獲得了125,000美元的獎金(全部捐給了慈善機構)。

如果沒有Pwn2Own,UAF會如此熱門嗎?有可能,但被運用在競賽中肯定帶動了這方面的研究,結果就是更加安全的瀏覽器。當然,我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞,而這些漏洞都在比賽出現後變得更加常見(或至少更加流行)。像是沙箱逃脫(sandbox escape)、連接點竄改(junction point manipulation),繞過控制流防護(CFG bypass)和字體濫用(font abuse)都曾如此過。 Continue reading “世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗”

iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗

儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。

2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。

根據感染裝置的所在地點而調整其行為模式

2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能利用軟體漏洞來避開 iOS 的隱私權保護機制。 Continue reading “iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗”

《概念證明應用程式》即便手機設定成不接受來自Google Play以外的應用程式,竟也可以偷偷安裝應用程式!

新的 Dirty COW攻擊方式 可讓惡意程式碼直接寫入程序

Dirty COW(編號CVE-2016-5195)是在2016年10月首次被公開披露的Linux漏洞。這是個嚴重的提權漏洞,可以讓攻擊者在目標系統上取得root權限。它被Linus Torvalds描述為「古老的漏洞」,在披露後就迅速地被修補。多數Linux發行版本都已經盡快地將修補程式派送給使用者。

Android也同樣受到Dirty COW漏洞影響,雖然SELinux安全策略大大地限制住可攻擊範圍。趨勢科技發現了一種跟現有攻擊不同的新方法來利用Dirty COW漏洞。這個方法可以讓惡意程式碼直接寫入程序,讓攻擊者能夠對受影響設備取得很大的控制。目前所有的Android版本都受到此問題影響。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶

概念證明應用程式:即便手機設定成不接受來自Google Play以外的應用程式,也可以偷偷安裝應用程式

下面的影片顯示一個已經更新最新修補程式的Android手機安裝了我們所設計的概念證明應用程式且無須要求授予任何權限。一旦執行,就可以利用Dirty COW漏洞來竊取資訊和變更系統設定(在這展示中會取得手機位置,開啟藍牙和無線熱點)。它也可以偷偷安裝應用程式,即便手機設定成不接受來自Google Play以外的應用程式。

 

為什麼會這樣?當執行一個ELF檔案時,Linux核心會將可執行檔映射到記憶體。當你再次打開相同的ELF可執行檔時會重複使用這份映射。當利用Dirty COW漏洞來修改執行中的ELF可執行檔時,執行中程序的映像也會改變。讓我們想想這代表什麼:Dirty COW可以修改任何可讀的執行中程序。如果程序不可讀,則用cat /proc/{pid}/maps來找出是否有任何載入中的ELF模組可讀。

在Android上也可以應用相同的步驟。Android Runtime(ART)程序可以用相同的方式動態修改。這讓攻擊者可以在Android設備上執行應用程式來修改任何其他可讀程序。所以攻擊者可以注入程式碼並控制任何程序。

 

圖1、改進的Dirty COW攻擊

 

這種攻擊將攻擊能力延伸到不僅僅只是讀寫檔案,而是直接將程式碼寫入記憶體。可以取得root權限而無須重新啟動或造成系統崩潰。

在我們的概念證明影片中,動態修改libbinder.so讓我們的應用程式取得系統root權限。我們使用這能力繞過Android的權限控管來竊取資訊和控制系統功能。

 

解決方式和資訊披露

趨勢科技已經將此問題通報Google。Dirty COW最初是透過2016年11月的Android更新加以修補,但這直到2016年12月的更新才強制此項修補。使用者可以詢問行動設備廠商或電信業者來了解自己的設備何時可以取得更新。

我們現在正在監控使用此類攻擊的威脅。強烈建議使用者只安裝來自Google Play或可信賴第三方應用程式商店的應用程式,並使用行動安全解決方案(如趨勢科技的行動安全防護)來在惡意威脅進入設備或對資料造成危害前加以封鎖。

企業使用者應該要考慮如趨勢科技企業行動安全防護的解決方案。它涵蓋了設備管理、資料防護、應用程式管理、法規遵循管理、設定檔配置及其他功能,讓企業主可以在自帶設備(BYOD)計畫的隱私安全與靈活性、增加生產力之間取得平衡。

 

@原文出處:New Flavor of Dirty COW Attack Discovered, Patched 作者:Veo Zhang(行動威脅分析師)