< WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單!

WannaCry(想哭)勒索病毒/勒索蠕蟲」所利用的漏洞,是美國國安局 (NSA) 遭到外流的某項工具所攻擊的漏洞,同樣情況的還有另一個叫做「EwokFrenzy」的漏洞。EwokFrenzy 在 ZDI 資料庫中登記的漏洞編號為 ZDI-07-011,這是 10 年前的事了。難道這意味著該漏洞在廠商已經修正 10 年之後還有效嗎?看起來似乎如此。而這也是我們 20 多年來一直呼籲大家定期修補系統並做好備份的重要原因。

Zero Day Initiative (ZDI) 漏洞懸賞計畫機構對於修補漏洞的看法或許和大多數人不同。通常,我們會收到研究人員的第一手通報,然後我們會在內部驗證漏洞是否為真。接著,我們會通報給廠商。最後,當廠商釋出修補更新之後,我們會發布漏洞的一些詳細資訊。這些修補更新就是防範網路攻擊最好的方法。但最近,一個 Microsoft 在 2017 年 3 月即已修正的漏洞被一個叫做「Wanna」、「WannaCry(想哭)勒索病毒/勒索蠕蟲」或「Wcry」的勒索病毒所攻擊,使得全球都傳出災情。

怎麼會有 60 天前就已修正的問題會在全球造成這麼大的災情呢?人們為什麼不安裝修補更新呢?有時候,修補工作並不如您想像的容易,尤其對大型企業。

第一步:前置工作 

要建立一套完整的修補作業,企業首先必須掌握自己所有的資產。而這項工作聽起來容易,做起來卻相當困難。企業可選擇採用開放原始碼軟體或商用軟體工具來搜尋並登記其網路上的所有系統和裝置。就算他們用的是免費軟體,安裝建置仍需耗費成本。一旦企業找出所有需要保護的資產,接下來他們必須建立一套明確的流程來更新這些裝置,並且留下清楚的記錄。此時不光只有工作站和伺服器必須更新,一些網路裝置 (如路由器和交換器) 也要保持更新。所以,企業必須決定:是否該採用一套自動化系統?或是由系統管理員逐一到每台裝置上進行更新?由於早期的安全更新通常需要重新開機,或者可能打斷業務流程,因此,何時套用更新就很重要。此外,留下修補的記錄可以確保企業整體修補版本的一致性。

第二步:掌握最新修補訊息 Continue reading “< WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單!”

「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題

2017年至今被標記為重大的漏洞有637個而且還在增加中,這比2016年(共回報1057個)的速度更快,而且這些數字僅僅是用於遠端攻擊的漏洞!這些並不一定都會影響你的企業,但現實是你每個月都要面臨嚴重漏洞。

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

WannaCry攻擊活動使用的是已公開近 60天的已知漏洞。不幸的是,我們將會在未來,持續看到該漏洞被攻擊。

[編者按:關於趨勢科技產品與 WannaCry 相關的最新資訊,請參閱。]

作者:Mark Nunnikhoven(趨勢科技雲端研究副總)

2017年5月12日出現的 WannaCry勒索病毒被精心設計來充分利用今日大型企業所最常見的安全難題。從基本的網路釣魚開始,此變種利用最近的漏洞(CVE-2017-0144/MS17-010)在脆弱的內部網路散播,肆虐於大型組織。

來看看這則紐約時報的貼文,他們用我的資料作出一張很酷的動態地圖

– MalwareTech(@MalwareTechBlog)2017年5月13日

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

這並非最新的零時差漏洞,修補程式MS17-010在攻擊(或持續性攻擊)前59天就已經發布。今日安全社群所面臨的難題之一是如何在大量業務活動內有效的溝通網路安全。

 

馬上更新修補程式,不要再拖了 !

安全社群的共識是,更新修補是你的第一道防線。儘管如此,組織需要花上100天更久來部署修補程式的狀況並不少見。為什麼?原因很複雜。但大致可歸結到一個事實,就是IT對業務運作很重要。任何中斷都令人沮喪和代價高昂。

從使用者的角度來看,「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很想哭嗎?持續進行更新很累人也妨礙到了工作。更糟的是更新後無法預期應用程式會發生什麼事。

Continue reading “「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題”

《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?

我們經常會看到漏洞攻擊套件使用較舊的漏洞,因為這些漏洞仍然存在於被攻擊的系統上。另外,勒索病毒會去利用漏洞攻擊套件來作為主要的感染媒介。

趨勢科技2016年的資安綜合報告 – 「企業威脅創紀錄的一年」中,我們討論了這一年的漏洞發展形勢和所看到的趨勢。

讓我們來看看在2016年間發生的一些重點。

  1. 趨勢科技的零時差計畫(ZDI)在3,000多名獨立漏洞研究人員的支持下,披露了 678個漏洞。可以從下圖看出一些有意思的趨勢:

  • 首先是微軟產品的漏洞在持續減少中。這是個好消息,但對微軟來說不大好的消息是 Edge 漏洞增加了2,100%。這在 2017年的 Pwn2Own 大會中得到進一步的證明,因為 Edge 是競賽中被漏洞攻擊最多的瀏覽器。
  • 其次是整體 Adobe 的漏洞數量下降,不過 Acrobat Reader 在 2016 年被披露的漏洞最多。
  • 零時差攻擊(在修補程式發布前就有針對漏洞的攻擊出現)數量在 2016 年比 2015 年下降。這是個好消息,但我們最近也看到了美國中情局被駭事件,可能有許多零時差漏洞攻擊尚未被披露。
  • Android漏洞數量大幅地增加(206%)。趨勢科技研究人員在 2016 年向 Google 提交了 54 個安全漏洞。
  • 在2016年被披露的 SCADA(資料採集與監控系統)漏洞增加了421%,鑒於對這些設備進行更新的困難度,這對廠商來說會是件頭痛的事。

Continue reading “《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?”

世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗

 

 

在過去十年的世界駭客大賽Pwn2Own競賽中,不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺,雖然沒有真人倒地。它曾幫人開創自己的事業,或至少,幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地,在比賽史上沒有粉絲或黑特真的受傷,但內心就不敢保證了。

過去十年來,Pwn2Own已經成為安全研究的根源

更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀,但沒有真正出現什麼。但實際上恰恰相反。在過去十年來,Pwn2Own已經成為安全研究的根源。

不只是因為在Pwn2Own上所使用的漏洞都很複雜(當然它們也的確複雜)。這計畫所披露的幾個漏洞都得到社群的讚賞,如Pwnie大獎。除此之外,在Pwn2Own所出現的漏洞也驅動了其他研究,最終讓廠商提出了解決方案。例如在數年前,釋放後使用(UAF, use-after-free)漏洞被用來攻擊瀏覽器,特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫(ZDI)。UAF狂潮讓微軟引入了隔離堆積(Isolated Heap)和記憶體保護(MemoryProtection)等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty,並獲得了125,000美元的獎金(全部捐給了慈善機構)。

如果沒有Pwn2Own,UAF會如此熱門嗎?有可能,但被運用在競賽中肯定帶動了這方面的研究,結果就是更加安全的瀏覽器。當然,我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞,而這些漏洞都在比賽出現後變得更加常見(或至少更加流行)。像是沙箱逃脫(sandbox escape)、連接點竄改(junction point manipulation),繞過控制流防護(CFG bypass)和字體濫用(font abuse)都曾如此過。 Continue reading “世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗”

iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗

儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。

2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。

根據感染裝置的所在地點而調整其行為模式

2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能利用軟體漏洞來避開 iOS 的隱私權保護機制。 Continue reading “iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗”

《概念證明應用程式》即便手機設定成不接受來自Google Play以外的應用程式,竟也可以偷偷安裝應用程式!

新的 Dirty COW攻擊方式 可讓惡意程式碼直接寫入程序

Dirty COW(編號CVE-2016-5195)是在2016年10月首次被公開披露的Linux漏洞。這是個嚴重的提權漏洞,可以讓攻擊者在目標系統上取得root權限。它被Linus Torvalds描述為「古老的漏洞」,在披露後就迅速地被修補。多數Linux發行版本都已經盡快地將修補程式派送給使用者。

Android也同樣受到Dirty COW漏洞影響,雖然SELinux安全策略大大地限制住可攻擊範圍。趨勢科技發現了一種跟現有攻擊不同的新方法來利用Dirty COW漏洞。這個方法可以讓惡意程式碼直接寫入程序,讓攻擊者能夠對受影響設備取得很大的控制。目前所有的Android版本都受到此問題影響。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶

概念證明應用程式:即便手機設定成不接受來自Google Play以外的應用程式,也可以偷偷安裝應用程式

下面的影片顯示一個已經更新最新修補程式的Android手機安裝了我們所設計的概念證明應用程式且無須要求授予任何權限。一旦執行,就可以利用Dirty COW漏洞來竊取資訊和變更系統設定(在這展示中會取得手機位置,開啟藍牙和無線熱點)。它也可以偷偷安裝應用程式,即便手機設定成不接受來自Google Play以外的應用程式。

 

為什麼會這樣?當執行一個ELF檔案時,Linux核心會將可執行檔映射到記憶體。當你再次打開相同的ELF可執行檔時會重複使用這份映射。當利用Dirty COW漏洞來修改執行中的ELF可執行檔時,執行中程序的映像也會改變。讓我們想想這代表什麼:Dirty COW可以修改任何可讀的執行中程序。如果程序不可讀,則用cat /proc/{pid}/maps來找出是否有任何載入中的ELF模組可讀。

在Android上也可以應用相同的步驟。Android Runtime(ART)程序可以用相同的方式動態修改。這讓攻擊者可以在Android設備上執行應用程式來修改任何其他可讀程序。所以攻擊者可以注入程式碼並控制任何程序。

 

圖1、改進的Dirty COW攻擊

 

這種攻擊將攻擊能力延伸到不僅僅只是讀寫檔案,而是直接將程式碼寫入記憶體。可以取得root權限而無須重新啟動或造成系統崩潰。

在我們的概念證明影片中,動態修改libbinder.so讓我們的應用程式取得系統root權限。我們使用這能力繞過Android的權限控管來竊取資訊和控制系統功能。

 

解決方式和資訊披露

趨勢科技已經將此問題通報Google。Dirty COW最初是透過2016年11月的Android更新加以修補,但這直到2016年12月的更新才強制此項修補。使用者可以詢問行動設備廠商或電信業者來了解自己的設備何時可以取得更新。

我們現在正在監控使用此類攻擊的威脅。強烈建議使用者只安裝來自Google Play或可信賴第三方應用程式商店的應用程式,並使用行動安全解決方案(如趨勢科技的行動安全防護)來在惡意威脅進入設備或對資料造成危害前加以封鎖。

企業使用者應該要考慮如趨勢科技企業行動安全防護的解決方案。它涵蓋了設備管理、資料防護、應用程式管理、法規遵循管理、設定檔配置及其他功能,讓企業主可以在自帶設備(BYOD)計畫的隱私安全與靈活性、增加生產力之間取得平衡。

 

@原文出處:New Flavor of Dirty COW Attack Discovered, Patched 作者:Veo Zhang(行動威脅分析師)

 

Netis 路由器後門漏洞最新發展

還記得這篇大約 2014 年所發表的j文章嗎?

這篇文章指出了中國 Netis 品牌路由器在韌體當中暗藏了一個遭到嚴重利用的後門漏洞。以下是有關該漏洞情況的最新發展,以及一個您最近或許經常看到經常被觸發的 TippingPoint Digital Vaccine (DV) 數位疫苗過濾規則。

這個第 32391 號 DV 過濾規則是用來檢查是否有人試圖掃瞄這個後門漏洞,而這條規則直到最近都還經常被觸發,這顯示仍有大量試圖利用這個後門的網路攻擊。基本上,這條規則誤判的可能性為零。根據我們所的 ThreatLinQ 通報儀表板顯示,這條規則從 2016 年 8 月釋出以來已觸發了將近 290 萬次。不過,這數字只涵蓋了大約 5% 的客戶端觸發數量,因此可推算出我們全體客戶的觸發數量大約在 5,700 萬次之譜。

我們分析了一些從 TippingPoint 裝置擷取到的封包,到目前為止每一個樣本都沒有誤判,正如我們所料。以下是我們架設的 Lighthouse (燈塔) 誘捕環境所觀察到 IP 位址惡意掃瞄最頻繁的網域:

下圖是其中一個掃瞄封包在 Wireshark 工具中展開的樣子: Continue reading “Netis 路由器後門漏洞最新發展”

HID門禁控制器的遠端管理漏洞威脅更新

趨勢科技想要提醒客戶一些關於HID門禁控制器遠端管理漏洞的最新發展。

你可能還記得,在2016年3月30日,我們的零時差計劃(ZDI)發表了一篇關於Rocky “HeadlessZeke” Lawshae與我們DVLabs團隊所發現漏洞的公告。這是HID VertX和Edge門禁控制器的遠端管理漏洞。如果遭受攻擊,此漏洞可能讓攻擊者完全控制系統。就實際狀況而言,這代表攻擊者可以取得送至門禁控制器系統的網路封包,有效地攻破系統並進行包括開鎖在內的動作。

幸運的是,廠商在趨勢科技披露時已經提供了修補程式給受影響的系統。

但因為趨勢科技的披露,我們已經看到有研究人員做出可用來找出有漏洞系統的概念證明(概念驗證)程式碼。

我們尚未知道是否有針對這些系統的攻擊出現。但概念證明程式碼的出現的確會使攻擊此漏洞的可能性增加:惡意分子可能會利用概念證明程式碼所提供的資訊來開發出有害或惡意的程式碼。

任何尚未更新此漏洞修復程式的HID VertX或Edge系統使用者都應該馬上進行部署。如果你是趨勢科技的TippingPoint客戶,在測試與部署HID VertX或Edge門禁系統修補程式前,可以透過2015年9月22日就提供的數位疫苗過濾器20820來獲得保護。

 

 

@原文出處:Threat Update on Remote Root Vulnerability in HID Door Controllers作者:Christopher Budd(全球威脅交流)

 

Locky 勒索病毒利用 Flash 和 Windows 系統核心漏洞散布

今年四月初,Adobe Flash Player 出現了一個 零時差漏洞  (CVE-2016-1019)。此漏洞很快就被收錄到  Magnitude 漏洞攻擊套件 當中,Adobe 被迫緊急釋出修補程式。駭客利用此漏洞並搭配「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載. 網頁掛馬)技巧來散布 Locky勒索病毒(勒索軟體/綁架病毒)

Vulnerability 漏洞 勒索軟體 警告 安全

不過,使用者所面臨的威脅還不只這樣。最近,趨勢科技發現這項攻擊又增加了一個新的技巧。除了利用 Flash 漏洞之外,駭客更利用一個 舊的 Windows 權限升級漏洞 (CVE-2015-1701) 來躲避資安軟體的沙盒模擬分析技術。

隱匿的惡意行為

趨勢科技不僅分析了擷取到的網路流量,也分析了一個相關的檔案下載程式  (也就是 TROJ_LOCKY.DLDRA)。從網路流量可發現此威脅利用的是 CVE-2016-1019 漏洞。至於檔案下載程式,則是利用了一個罕見的 Windows 核心漏洞。檔案下載程式可藉此連上其幕後操縱 (C&C) 伺服器 (IP:202.102.110.204:80),並且下載Locky勒索軟體到系統上。這項技巧利用了多項核心層級的系統機制,包括:工作項目、系統執行緒以及非同步程序呼叫 (APC)。由於這些機制在使用時都不需要透過任何檔案,因此惡意程式可以在不被偵測的狀況下植入系統中。

檔案下載程式會將其惡意程式碼植入 Windows 用來執行各種服務的  svchost.exe 系統執行程序當中。此外,它還會檢查 Windows 的版本及 win32k.sys 檔案的日期來確認系統是否含有漏洞,藉此降低被偵測的風險。

這項漏洞可用於躲避偵測,尤其是能躲避沙盒模擬分析技術。此外,以這項核心漏洞為基礎的隱藏技巧,也讓分析和沙盒模擬技巧更難偵測這項威脅。我們在分析惡意程式檔案時發現它在遇到新版的 Windows 作業系統時可能會改用其他漏洞。 Continue reading “Locky 勒索病毒利用 Flash 和 Windows 系統核心漏洞散布”