零時差攻擊 - 資安趨勢部落格

什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法?

2019 年 12 月 26 日2021 年 07 月 20 日趨勢科技 TrendMicro

所謂零時差攻擊(zero-day attack)就是利用尚未修補的漏洞進行攻擊。通常，未修補的漏洞在廠商釋出修補更新之前，就是一場駭客與廠商之間的競賽，前者試圖開發漏洞攻擊手法，後者則試圖修補漏洞。

所謂零時差攻擊(zero-day attack)就是利用尚未修補的漏洞進行攻擊，因此企業若正在使用含有漏洞的系統，將深受影響。通常，未修補的漏洞在廠商釋出修補更新之前，就是一場駭客與廠商之間的競賽，前者試圖開發漏洞攻擊手法，後者則試圖修補漏洞。以下將詳細說明企業對於零時差漏洞所該知道的事，包括何謂零時差漏洞以及零時差漏洞如何運作，以協助企業更有效降低自身的風險，防範專門利用這類漏洞的威脅。

何謂零時差漏洞(zero-day vulnerability)？

所謂的零時差漏洞或零日漏洞（英語：0-day vulnerability、zero-day vulnerability）是指軟體、韌體或硬體設計當中已被公開揭露但廠商卻仍未修補的缺失、弱點或錯誤。或許，研究人員已經揭露這項漏洞，廠商及開發人員也已經知道這項缺失，但卻尚未正式釋出更新來修補這項漏洞。

這樣的缺失就是所謂的「零時差」漏洞，因為廠商及開發人員 (以及受此漏洞影響的企業和使用者) 才剛知道這個漏洞的存在。隨後，當廠商及開發人員針對這個漏洞提供了修補更新，那這漏洞就會變成「已知」漏洞 (有時亦稱為 N-day 漏洞)。

虛擬修補如何協助防範已知和未知的漏洞

當應用程式或企業 IT 基礎架構含有未修補漏洞會如何？這份圖文解說解釋了虛擬修補如何協助企業解決漏洞與修補管理的困境。

繼續閱讀

一個假外掛和三個零時差漏洞鎖定WordPress

2017 年 10 月 06 日2017 年 10 月 06 日趨勢科技 TrendMicro

假外掛程式會在每次管理員啟用時通知攻擊者

熱門的部落格平台WordPress最近出現後門和假Wordpress外掛程式，該後門程式偽裝成一個超過100,000次的安裝的防垃圾訊息工具:WP-SpamShield Anti-Spam;冒牌外掛則夾帶三個零時差漏洞。

標記為X-WP-SPAM-SHIELD-PRO的後門程式據報會停用其他安全相關工具、竊取資料並加入隱藏的管理員帳號。安全研究人員發現假外掛程式有看似正常的結構和檔案名稱，但它們其實都是假的。此外，後門程式可以讓攻擊者上傳任何東西到網站上。

假外掛程式會在每次管理員啟用時通知攻擊者。外掛程式中有一個檔案名為“class-social-facebook.php”，看起來似乎是用來封鎖可能的Facebook垃圾訊息。但進事實它會停用啟用中外掛,導致網站無法正常使用。另外兩個名為“class-term-metabox-formatter.php”和“class-admin-user-profile.php”則被攻擊者用來收集資料。

還有一個名為“plugin-header.php”的檔案則會新增一個管理員帳號，這可以讓攻擊者刪除漏洞攻擊檔案，同時還會顯示目標攻擊網站的使用者名稱、密碼和電子郵件。

繼續閱讀

世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗

2017 年 03 月 15 日2017 年 03 月 13 日趨勢科技 TrendMicro

在過去十年的世界駭客大賽Pwn2Own競賽中，不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺，雖然沒有真人倒地。它曾幫人開創自己的事業，或至少，幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地，在比賽史上沒有粉絲或黑特真的受傷，但內心就不敢保證了。

過去十年來，Pwn2Own已經成為安全研究的根源

更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀，但沒有真正出現什麼。但實際上恰恰相反。在過去十年來，Pwn2Own已經成為安全研究的根源。

不只是因為在Pwn2Own上所使用的漏洞都很複雜（當然它們也的確複雜）。這計畫所披露的幾個漏洞都得到社群的讚賞，如Pwnie大獎。除此之外，在Pwn2Own所出現的漏洞也驅動了其他研究，最終讓廠商提出了解決方案。例如在數年前，釋放後使用（UAF, use-after-free）漏洞被用來攻擊瀏覽器，特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫（ZDI）。UAF狂潮讓微軟引入了隔離堆積（Isolated Heap）和記憶體保護（MemoryProtection）等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty，並獲得了125,000美元的獎金（全部捐給了慈善機構）。

如果沒有Pwn2Own，UAF會如此熱門嗎？有可能，但被運用在競賽中肯定帶動了這方面的研究，結果就是更加安全的瀏覽器。當然，我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞，而這些漏洞都在比賽出現後變得更加常見（或至少更加流行）。像是沙箱逃脫（sandbox escape）、連接點竄改（junction point manipulation），繞過控制流防護（CFG bypass）和字體濫用（font abuse）都曾如此過。繼續閱讀

Watering Hole（水坑）水坑和零時差攻擊

2012 年 11 月 02 日2017 年 03 月 07 日趨勢科技 TrendMicro

「Watering Hole（水坑）」是用來描述針對性惡意軟體攻擊時，攻擊者入侵合法網站去插入一個「drive-by（偷渡式）」漏洞攻擊碼以攻擊網站訪客的流行用語。

當然，這種攻擊並不是新的。這項技術一直被網路犯罪份子用在無差別攻擊以及針對性惡意軟體攻擊上。我在二〇〇九年和二〇一〇年記錄了這種技術，而這裡有更多最近的例子。

雖然網路犯罪份子利用「drive-by（偷渡式）」漏洞攻擊碼是為了能夠不分對象地攻擊入侵越多的電腦，而使用這技術的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動被Shadowserver恰當地描述為「策略式網站入侵」。目標的選擇是針對攻擊對象會感興趣的特定內容。這種攻擊通常會結合新的「drive-by（偷渡式）」漏洞攻擊碼。

最近，一個影響微軟Internet Explorer的零時差漏洞攻擊碼被發現在跟Nitro攻擊活動有關的伺服器上，和最近用來提供Java零時差漏洞攻擊碼是同一台伺服器。它們的有效負荷（Payload）都是Poison Ivy。第二個放有Internet Explorer零時差漏洞攻擊碼的網站很快就被發現，不過它的有效負荷（Payload）是PlugX。

整體而言，我們已經發現了至少十九個網站包含IE零時差漏洞攻擊碼。雖然無法完全的確認，但至少有部分網站屬於「水坑」攻擊。

{BLOCKED}h2.mysoft.tw

{BLOCKED}tix.com

get.{BLOCKED}s.com

ie.{BLOCKED}1.co.uk

info.{BLOCKED}u.edu.tw

invitation.{BLOCKED}as.com

{BLOCKED}fessional-symposium.org

{BLOCKED}o.konkuk.ac.kr

service.{BLOCKED}a.com.tw

{BLOCKED}k.vip-event.info

update.{BLOCKED}alive.com

w3.{BLOCKED}u.edu.tw

www.as.{BLOCKED}e.edu.tw

www.{BLOCKED}news.in

www.{BLOCKED}gameshow.com

www.{BLOCKED}e.com

www.{BLOCKED}a.org.tw

www.{BLOCKED}sia.tv

www.{BLOCKED}in.com.tw

有趣的是，這十九個網站可以分成十四組。換言之，除了利用此漏洞的共同點外，他們之間沒有任何明顯的關連。從其中十一組中，我們發現了十一種不同的有效負荷（Payload）（其他三組，我們無法收集到有效負荷（Payload））。

除了和Nitro相關的Poison Ivy還有上面所提到的PlugX遠端控制木馬外，趨勢科技發現了其他熟悉的遠端控制木馬，和一些不熟悉的（至少對我來說）惡意軟體。其中一個被識別出的遠端控制木馬是invitation.{BLOCKED}as.com的有效負荷（Payload），被稱為「DRAT」遠端存取木馬，是由「Dark Security Team」所開發的遠端存取木馬，並且在網路上被廣泛使用。

繼續閱讀