Hacking Team - 資安趨勢部落格

Hacking Team 資料外洩曝光的漏洞攻擊,仍影響 Android 用戶

2016 年 06 月 06 日2016 年 06 月 03 日趨勢科技 TrendMicro

專門提供駭客服務的Hacking Team自己也被駭了! 這是 2015 年備受矚目的資安事件。雖然，Hacking Team 資料外洩事件已經是好幾個月前的事了，但因漏洞攻擊程式碼的曝光而引發一連串的攻擊，至今仍持續影響著我們。

最近，趨勢科技發現了一批 Android 惡意程式很顯然是採用了 Hacking Team 事件當中的某項漏洞攻擊程式碼。這批在網路上發現的惡意應用程式一旦得逞，就能讓遠端駭客取得感染裝置的系統管理員 (root) 權限，所有 Android 4.4 (KitKat) 以及更早版本的行動裝置 (占了將近所有 Android 裝置的 57%)都受到此漏洞的影響。

攻擊細節

根據趨勢科技的分析，這批惡意應用程式含有一段稱為「reed」的漏洞攻擊程式碼，也就是 Hacking Team 的 kernel_waiter_exploit 漏洞攻擊程式碼，這段程式可藉由 TowelRoot 漏洞 (CVE-2014-3153) 在裝置上植入一個後門程式，TowelRoot 是 Linux 系統在 2014 年就已修補的一個舊漏洞。

有了這個後門程式，駭客就能到幕後操縱 (C&C) 伺服器 (hxxps://remote.ibtubt.com/phone/ )下載最新的惡意程式到裝置上，並以系統管理員權限執行程式。

圖 1：Hacking Team 事件所外洩的漏洞攻擊程式碼。

駭客將這段漏洞攻擊程式碼暗藏在多款遊戲和 Launcher (啟動器) 應用程式當中，並透過下列網站散布：hxxp://risechen.b0.upaiyun.com，例如：Maria’s Coffie Shop、酷酷斗地主、iLauncher、One Launcher 以及 Launcher IP Style 6s 等等。我們發現至少有 88 個應用程式含有這段漏洞攻擊程式碼，但目前我們尚未見到其任何一個惡意程式在第三方應用程式商店上架。

圖 2：含有漏洞攻擊程式碼的惡意遊戲範例。 繼續閱讀

竊聽,偷拍,窺簡訊,秘密錄音….RCSAndroid的10個間諜能力,威脅 Android 用戶

2015 年 09 月 11 日2016 年 10 月 21 日趨勢科技 TrendMicro

繼新聞報導指出 iOS 裝置可能遭到 Hacking Team 間諜程式監聽之後，現在 Android 裝置也將遭殃。趨勢科技在 Hacking Team 資料外洩的檔案當中發現其開放原始碼惡意程式套件 RCSAndroid (Android 遠端遙控系統) 的程式碼，這是該公司所販賣的一項間諜工具。

RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。程式碼的外洩已讓它成為一項公開的商業間諜利器。Android 用戶隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

有關 Hacking Team 資料外洩入侵事件的各種消息及後續漏洞報導都著重在Adobe方面，但有一小塊對Android使用者很重要的訊息卻被許多人給忽略掉。

我們從 Hacking Team 資料外洩中所發現的攻擊手法及工具裡面，有一個特別惡劣的Android 惡意軟體稱為 RCSAndroid（Remote Control System Android）。RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。其程式碼的曝光，讓網路犯罪集團又多了一項新的利器可強化其間諜行動。

此一惡意軟體被該公司出售作為監控目標的工具。不同於其他惡意軟體，此一惡意軟體可安裝到 Android 手機上且近乎無法察覺。

跟其他個人電腦或Android上的惡意軟體不同，這個惡意軟體是真正的間諜工具。它安裝後所能做到的功能包括收集Android螢幕上的資訊、收集簡訊、收集電子郵件、拍照,甚至可竊聽電話，並且會打開內建麥克風錄製談話。它會針對Android設備進行漏洞攻擊,直到成功安裝為止。

根據外洩的程式碼看來，RCSAndroid 應用程式具備下列10 個間諜能力：

透過「screencap」這個指令擷取螢幕抓圖，並可直接讀取螢幕緩衝區內容。
監看剪貼簿的內容。
蒐集 Wi-Fi 網路與各種網路帳號的密碼，如：Skype、Facebook、Twitter、Google、WhatsApp、Mail 及 LinkedIn。
利用麥克風錄音。
蒐集簡訊、多媒體簡訊與 Gmail 訊息。
蒐集定位資訊。
蒐集裝置資訊。
利用前、後鏡頭拍照。
蒐集聯絡人，解讀即時通訊訊息，如：Facebook Messenger、WhatsApp、Skype、Viber、Line、WeChat、Hangouts、Telegram 以及 BlackBerry Messenger。
攔截系統的 mediaserver 服務，即時錄下任何行動電話與 App 的語音通話。

※RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。程式碼的外洩已讓它成為一項公開的商業間諜利器。Android 用戶隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。看更多關於會竊聽電話的 Hacking Team RCSAndroid 間諜工具

此種威脅自2012年起就出現了，但在7月因為兩個原因而出現重要轉折。

首先，因為 Hacking Team 資料外洩事件所被披露的文件,讓研究人員可以深入研究惡意軟體。其次，這惡意軟體可以透過Google Play上看似合法的應用程式來植入。雖然惡意軟體本身沒有出現在Google Play上，但其他應用程式會附帶啟動並加以安裝該惡意軟體。

在所有的 Android 威脅裡，這是我們所看到手法相當高竿的,其實這也不難理解，因為它的買主包含國家情報機構。

雖然我們大多數人感覺起來不太可能成為如此複雜間諜軟體攻擊的攻擊目標，但現在此惡意軟體背後的工具和技巧已經被公布周知，在 Android 惡意軟體在 2015 年 3月已經衝過了 500萬大關之際,可以預期會更廣泛地被其他惡意軟體作者所利用。繼續閱讀

從Hacking Team 資料外洩,回顧目前為止的 2015漏洞

2015 年 08 月 24 日2015 年 08 月 25 日趨勢科技 TrendMicro

2015年到目前為止對資安研究人員來說普遍處在忙碌狀態,尤其是 Hacking Team 資料外洩事件,導致多個零時差漏洞披露,以及討論不法買賣漏洞攻擊碼與「工具」的電子郵件流出，為資安環境投下了震撼彈。

網路犯罪分子一直都在努力地整合這些新漏洞到自己的「產品」內以試圖加駭更多人；同時各家廠商也在努力地提供使用者安全更新,現在讓我們回顧目前為止的 2015漏洞。

到 2015年七月底止，趨勢科技研究人員發現並揭露了 26 個漏洞
8個零時差漏洞中有兩個已被 APT 攻擊利用

正如今年早些時候所提到，使用OS X、iOS、Android和Flash Player的風險已經增加。趨勢科技的研究加上 Hacking Team 資料外洩反映了此一趨勢。到2015年七月底止，趨勢科技的研究人員發現並揭露了26個漏洞；8個是零時差漏洞。

零時差漏洞中有兩個已被用來發動 APT攻擊，包括Pawn Storm攻擊活動及在韓國和日本的攻擊。透過監視熱門漏洞攻擊包和趨勢科技產品的反饋資料發現了兩個Flash零時差漏洞（CVE-2015-0311和CVE-2015-0313）。四個零時差漏洞被發現是 Hacking Team流出資料的一部分，後來證實至少有一個（CVE-2015-5122）很快就被整入漏洞攻擊包中。截至今年七月，各研究者在常用的桌面應用程式共發現了15個值得注意的零時差漏洞，其中有8個是由趨勢科技的研究人員所發現。

圖1、2015年趨勢科技所發現零時差和重大漏洞的時間軸

以下是趨勢科技在2015年至今所發現的漏洞列表，受影響軟體以及相關的廠商公告。以粗體顯示的為零時差漏洞：

繼續閱讀

Flash的威脅：不只是在瀏覽器

2015 年 08 月 06 日2015 年 08 月 19 日趨勢科技 TrendMicro

Flash目前也在瀏覽器之外的地方受到攻擊。這個「發現」來自於 Hacking Team 資料外洩。趨勢科技注意到這些零時差漏洞中的 CVE-2015-5119一直被用在APT攻擊。包含偽裝成來自台灣政府的電子郵件…..

七月對Adobe Flash Player安全來說是很糟糕的一個月。出現了三個零時差漏洞（都來自 Hacking Team 資料外洩流出的資料），讓許多人非常擔心Flash的安全性，也有許多人（包括本站）呼籲它要消失。

不可免地，Adobe做出了些回應來提升Flash的安全性。最新版本的Flash（18.0.0.209）加入了許多攻擊緩解技術。這些是由Adobe和Google的Project Zero團隊一同開發。

新的攻擊緩解技術為：

<*>長度驗證 – 加入長度cookie到Vector緩衝區。如果漏洞攻擊碼覆寫Vector長度，cookie檢查會失敗。因為今天的每一個Flash漏洞攻擊碼都會覆寫Vector長度，這方法可以增加Flash漏洞攻擊碼開發的難度，甚至能阻止尚未公開的零時差攻擊。

增加cookie長度檢查之後，攻擊者需要有兩個漏洞來進行攻擊 – 一個洩漏cookie長度，另一個覆寫長度。也可以使用既能洩漏和覆寫該位置的單一漏洞，但這種漏洞很少見。

<uint>緩衝堆積分區 – 這解決方法讓洩漏cookie和覆寫長度更加困難。現在需要特定的漏洞而非一般的資料洩露和覆寫漏洞。
Flash堆積更強大的隨機能力 – 這緩解機制讓洩漏cookie和覆寫vector長度更加困難，因為堆積佈局比以前更難預測。

繼續閱讀

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

2015 年 08 月 05 日2015 年 08 月 19 日趨勢科技 TrendMicro

Hacking Team 資料外洩相關的Flash漏洞攻擊，被發現入侵了台灣和香港的網站, 此一攻擊活動從 7月9日開始,也就是Hacking Team 資料外洩宣布被駭的幾天後隨即受駭。會下載 Poison Ivy遠端存取工具和其他惡意軟體到使用者電腦上。

PoisonIvy是個在地下市場中流行的RAT後門程式，通常被用在「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）攻擊中。這個後門程式已知會抓取螢幕截圖、網路攝影機影像和聲音；記錄按鍵和活動視窗；刪除、搜尋和上傳檔案並執行其他侵入性行為。

這一波攻擊入侵了台灣的電視台、教育單位、宗教團體及一知名政黨的網站；還有一個受歡迎的香港新聞網站。這些受駭的網站有著固定的使用者,比方說提供就業考試給政府僱員的教育單位,已經製作和進口電視節目和電影長達十年的台灣網路電視。

我們已經通知了受攻擊影響網站的所有者；然而到本文撰寫時，還有三個網站處在受駭狀態。

Hacking Team的痕跡仍然在那

攻擊者一開始傳送Hacking Team所流出的Flash Player漏洞（CVE-2015-5119）到預先入侵好的網站上，就在該公司宣布遭受駭客攻擊（7月5日）和Adobe修補漏洞（7月7日）的幾天後。攻擊者們進行另一波的攻擊，導致另一個Hacking Team相關的Flash零時差漏洞攻擊（CVE-2015-5122）。

圖1、Hacking Team相關Flash漏洞攻擊送至台灣和香港網站的時間表

值得注意的是，在第一波和第二波攻擊開始時，兩個台灣教育機構網站皆在攻擊目標中。

圖2、台灣受駭的宗教團體網站

PoisonIvy和其他惡意軟體

趨勢科技發現所有受駭網站（除了一知名台灣政黨官方網站）都被用iframe來注入一惡意SWF，會導致遠端訪問工具（RAT） Poison Ivy (BKDR_POISON.TUFW)。

而另一方面，該政黨網站會帶來嵌入在圖片內的不同惡意軟體，偵測為TROJ_JPGEMBED.F。政黨網站跟其他受駭網站一樣會將資料發送到同一伺服器（223[.]27[.]43[.]32），推測這是同一波攻擊活動的一部分。

圖3、Hacking Team Flash漏洞攻擊所嵌入的圖片

雖然分析工作仍在進行中，好確定這波攻擊活動是否為 APT攻擊，趨勢科技已經看到一個可疑網域wut[.]mophecfbr[.]com嵌入在惡意軟體中，它也出現在之前報導被稱為「Tomato Garden（番茄花園）」針對性攻擊所使用命令和控制（C&C）列表內。

建議

為了防止電腦遭受漏洞攻擊和惡意後門程式植入，使用者要更新Adobe Flash Player。你可以透過Adobe Flash Player網頁來檢查自己是否使用最新的版本。隨時了解常用軟體的最新消息也有幫助。參考我們的部落格文章 – 「Adobe Flash難題：積重難返」來了解更多最近的Flash相關事件，以及使用者和企業可以做些什麼。

趨勢科技可以偵測此事件中的所有惡意軟體和漏洞攻擊碼。SHA1值如下：