零時差漏洞攻擊 - 資安趨勢部落格

趨勢科技與TippingPoint 併購案正式完成，新一代入侵防護系統 (NGIPS) 與 Zero Day Initiative 零時差漏洞懸賞計畫加入陣容

2016 年 03 月 10 日2016 年 03 月 10 日趨勢科技 TrendMicro

打造網路防護基礎，提升企業整體進階威脅防護能力

今天對於趨勢科技、TippingPoint 及我們的客戶來說，都是一個重大里程碑。因為從今天起，TippingPoint 將正式加入趨勢科技家族。未來，趨勢科技客戶將能享受 TippingPoint 專業技術及產品所帶來的好處，同樣地，TippingPoint 的客戶也將因趨勢科技而受益。

這一次，趨勢科技與 TippingPoint 的結合對雙方及客戶來說，都是一個真正雙贏的局面。

在 TippingPoint 方面，該公司擁有新一代入侵防護系統 (NGIPS) 與整合式網路防護解決方案，兩者在業界都享有盛名。此外，TippingPoint 也為趨勢科技帶來了 DVLabs 的威脅研究及專業技術，這是其產品背後的威脅情報後盾。不僅如此，TippingPoint 更帶來了另一項獨一無二的珍貴資產：Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫，這是資安業界第一個、也是最受尊崇、最多產的資安漏洞公平揭露平台。而 ZDI 同時也是 Pwn2Own 駭客競賽的贊助者之一，這是資安界歷史最悠久也最成功的漏洞鑽研競賽。

而在趨勢科技方面，我們擁有眾多得獎連連的產品，包括：趨勢科技 OfficeScan™ 、趨勢科技Deep Discovery進階網路安全防護及低普，全都提供了漏洞防護，可防止漏洞遭到攻擊。在威脅情報及研究方面，我們有 TrendLabs 及前瞻威脅研究團隊 (FTR)。而且，趨勢還有一個鮮為人知的漏洞研究單位 (Vulnerability Research)，該單位在 2015 年通報並修正了 50 多個漏洞 (其中包含 11 個用於零時差攻擊的漏洞)。此外，我們還有趨勢科技主動式雲端截毒服務 Smart Protection Network，這是業界最早建立的雲端威脅防護網之一。繼續閱讀

當心勒索軟體利用Hacking Team 外洩的 Adobe Flash漏洞發動攻擊

2015 年 07 月 10 日2015 年 07 月 14 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密（WikiLeaks）公布了Hacking Team內部超過100萬筆電子郵件，並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在過去幾天裡,備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式,此事件導致其資料被公開的事件已經有了許多的討論。而人們最需要知道的事情是此次攻擊讓另一個新的Adobe Flash漏洞被公諸於世（CVE-2015-5119）。

趨勢科技的研究人員已經發現有攻擊者將這新的漏洞加進漏洞攻擊包以做為攻擊的武器。最嚴重的風險是這種攻擊可能會被用來感染第三方廣告伺服器，與我們在2015年第一季所看到的趨勢相符合。

這個漏洞影響所及遍布所有版本的Adobe Flash。Adobe Flash遭到入侵後可能會當掉，駭客也可能取得受害系統的控制權。Adobe已經發布了一則安全公告並建議用戶儘速套用安全性更新。

談到針對此漏洞的攻擊，趨勢科技根據主動式雲端截毒技術的資料獲知，Angler攻擊套件與Nuclear攻擊套件皆已可攻擊此漏洞；此外，據信Neutrino攻擊套件也具備同樣能力。

最近對台灣造成重大影響的勒索軟體 Ransomware也可能透過此漏洞進行攻擊，並針對重要檔案進行加密。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵，利用此漏洞植入後門程式，趨勢科技用戶只要啟用網頁信譽評等服務，即可攔截這些受駭網站。

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助，請您聯絡趨勢科技技術支援部。

趨勢科技的客戶有三種方法來防護這種威脅：

趨勢科技Deep Discovery ：具備腳本分析引擎的沙箱技術可以偵測此一威脅的行為而無須更新任何引擎或特徵碼。
趨勢科技PC-cillin雲端版，趨勢科技企業安全套裝軟體和Worry-Free Business Security：瀏覽器漏洞防護功能可以在使用者連到帶有漏洞攻擊碼的網頁時加以封鎖，瀏覽器漏洞防護可以對抗針對瀏覽器或相關外掛程式的漏洞。
趨勢科技Deep Security和趨勢科技OfficeScan：漏洞防護功能現在能夠透過以下規則來防護此漏洞：
- 1006824 – Adobe Flash ActionScript3 ByteArray Use After Free漏洞

Adobe已經提供一個更新以解決此漏洞，所以任何使用Flash的人都該立刻升級。繼續閱讀

Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!

2015 年 07 月 09 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件與資料被公開。趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具，目前發現的3款攻擊程式中，有兩款鎖定Flash Player的安全漏洞，一款鎖定Windows核心漏洞。(詳情)

從趨勢科技主動式雲端截毒服務 Smart Protection Network回報的資料中發現，Angler 和 Nuclear 兩個漏洞攻擊套件已經收錄了最近 Hacking Team 資料外洩當中的 Flash 零時差漏洞攻擊。不僅如此，Kafeine 網站也指出，這項零時差攻擊也已收錄到 Neutrino 漏洞攻擊套件當中。

此漏洞的存在因為 Hacking Team 的資料外洩而曝光，而 Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中，編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。

所有 Flash Player 使用者皆應立即下載最新修正程式，否則將有危險。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高，而這樣的趨勢似乎沒有轉變的跡象。

圖 1：Angler 漏洞攻擊套件的 HTTP GET 標頭

繼續閱讀

從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現，這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文（美國）、簡體中文（中國）、繁體中文（台灣）、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告，微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護：

1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
1005301 – Identified Suspicious JavaScript Encoded Window Location Object
1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後（use-after-free）漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的，趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發，這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後，當頁面重新載入時，它的引用會被再次使用並指向無效的記憶體位置，讓當前使用者執行任意程式碼。微軟的IE6、IE7，IE8都會受到影響，但新版本 – IE9、IE10則沒有這個漏洞。

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上，早在二〇〇九年就有出現過這種技術，不過他們同時也認為水坑攻擊在未來將會更加普遍，並且將專門用在目標攻擊上。為什麼呢？

Raimund對二〇一三年的預測裡提供了一個可能的答案，他說，攻擊者將更加著重於如何去佈署威脅，而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊，以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的，我們會發現所使用的方法都非常熟悉。然而，這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上，就好像魚叉式網路釣魚（Phishing）郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法，因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點，攻擊者所利用的不再僅僅是軟體漏洞，還有使用者本身。繼續閱讀

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

2011 年 12 月 22 日2011 年 12 月 30 日趨勢科技 TrendMicro

又有一起APT進階持續性威脅（Advanced Persistent Threats, APT）（註）

上禮拜所報導的Adobe Reader零時差漏洞（CVE-2011-2462）已經被用在從11月開始的目標攻擊。惡意PDF檔案經由電子郵件發送給目標，而郵件內文還會引誘目標去打開看似員工滿意度調查的惡意附件檔。一旦開啟之後，惡意軟體BKDR_SYKIPOT.B就會被安裝到目標的電腦上。已知的受害目標包括美國國防工業和政府部門。

APT 進階性持續威脅:目標攻擊常用媒介之給員工的信件

目標攻擊通常是有組織有計劃的攻擊行動。這攻擊行動是從對各個目標做一連串攻擊開始，然後持續一段時間，並不是各自獨立的「破壞搶奪」攻擊。雖然每個單一事件的資料可能都不完整，但時間久了，我們也就能把每塊拼圖給組合起來（攻擊媒介、惡意軟體、工具、基礎網路架構、目標），就會對一次的攻擊行動有了全盤的了解。

Sykipot攻擊行動在這幾年來已經有了許多名稱，它的歷史可以被追溯到2007年，甚至是2006年。

一次跟這次類似的攻擊發生在2011年9月，它利用美國政府醫療給付文件做誘餌。而這次攻擊利用了Adobe Reader的零時差漏洞（CVE-2010-2883）。在2010年3月，則是利用Internet Explorer 6的零時差漏洞。所以在過去兩年內就用了三次零時差攻擊。

其他的攻擊還發生在2009年9月，利用漏洞CVE-2009–3957加上跟國防會議有關的資料，和使用一個著名的智囊團身份當做誘餌。在2009年8月，另外一次針對政府員工的攻擊用應急應變管理的劇情跟聯邦緊急事務管理總署（Federal Emergency Management Agency，FEMA）的身分當做誘餌。而這次攻擊裡所使用的命令和控制（Command and Control，C＆C）伺服器也被用在2008年的攻擊裡。

最後，則是發生在2007年2月的攻擊，它利用惡意Microsoft Excel檔案漏洞（CVE-2007-0671）來植入惡意軟體，這惡意軟體的功能跟BKDR_SYKIPOT.B很像，所以也很有可能是它的前身。而這次攻擊中所使用的C＆C伺服器的歷史則可以追溯到2006年。繼續閱讀