Java 零時差漏洞攻擊 - 資安趨勢部落格

分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施

2015 年 07 月 22 日2015 年 10 月 14 日趨勢科技 TrendMicro

過去，Java 一向是網路犯罪集團最愛的漏洞攻擊目標，不過近年來，這樣的情況已經不在。最近已修正的 Pawn Storm 攻擊行動 Java 零時差漏洞事實上是 Java 近兩年來被發現的第一個零時差漏洞。

這有一部分的原因要歸功於 Java 安全措施的強化。正如 Oracle 在 Java 首頁上所言，現在的主流瀏覽器在遇到過時的 Java 外掛程式時都會自動將它停用。此外，2014 年 1 月發表的Java 7 Update 51即限縮了可執行的 Applet 類型。在預設情況下，自我簽署和未經簽署 (也就是駭客最可能使用) 的 Applet 將無法在瀏覽器上執行。此外，JRE 還對所有的 Applet (不論是否簽署) 提供了點按執行 (click-to-play) 的功能。這兩點加起來，大大得降低了 Java 平台對駭客的吸引力。

既然這個 Java 零時差漏洞 (CVE-2015-2590) 現在已經修正，我們就來說明一下它的相關技術細節。此漏洞由兩部分組成：第一部份是略過 Java 的點按執行保護機制。這部分我們不能討論，但我們可以談談另外一部分。如前面所說，這個漏洞在最新的 Java 版本 (Java 8 Update 51) 當中已經獲得修正。

Java 提供了一個叫做 ObjectInputStream 的類別來執行反序列化 (decentralize) 作業，以便將記憶體緩衝區內的資料轉成物件。這個反序列化緩衝區當中包含了物件的類別資訊和檔案化的資料。如需該類別的更多詳細資訊，請參閱Java 官方文件。繼續閱讀

從Facebook、Twitter、Microsoft和Apple遭到水坑攻擊談Mac OS平台安全

2013 年 03 月 29 日2013 年 03 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

隨著越來越多的個人資訊會提供給Facebook、Twitter、Microsoft和Apple，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

作者：Jonathan Leopando

最近，我們看到了許多科技業知名品牌（如Facebook、Twitter、Microsoft和Apple）都遭到水坑（Watering hole）。這些受影響公司的員工瀏覽了受歡迎的iOS開發論壇，因為它被入侵淪陷了，所以也讓使用者遭受當時仍未知的Java漏洞攻擊。

毫無疑問地，Java首當其衝地被認為要為此事件負責。The Verge的一個頭條新聞甚至要對Java「消失」。類似想法已經出現在許多安全專家的腦海裡，不管他們是不是會公開地說出來。

但…Java並不是唯一的問題。所有受影響的系統都是Mac（這很自然，因為是針對iOS開發者的論壇）。現在的重點都一直放在是如何攻擊（Java），而非目標（Mac）上。

攻擊者會嘗試去攻擊目標所使用的平台，不管是哪一種。在整個作業系統的市場裡，Apple的市佔率仍然比較低，但在某些圈子（如矽谷）的比例則高得多。而這些被鎖定的目標恰恰就是因為是Mac電腦的使用者而變得不再安全。攻擊者會客製化他們的攻擊以符合他們目標的狀況。在這起事件裡，攻擊者顯然是要透過水坑（Watering hole）攻擊來針對iOS開發者，這也說明了這起攻擊有過相當程度的規劃。

去年的Flashback事件強調了Mac使用者也有遭受惡意軟體攻擊的風險，而這起事件讓人了解到Mac使用者也會成為精心設計的目標攻擊(APT-進階持續性滲透攻擊)對象。Java只是這次攻擊的載體，但Mac使用者已經不再比其他使用者更加免疫於社交工程( Social Engineering)攻擊。

隨著越來越多的個人資訊會提供給這些網路公司，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

使用者可以透過跨平台防護的PC-cillin 2013雲端版來防護Mac OS平台上所有已知的威脅影響。

＠原文出處：Barking Up The Wrong Tree

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)？

《APT 攻擊》南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺

當 APT 攻擊者擁有很大程度的控制權時，該怎麼辦？

《APT攻擊/威脅》水坑攻擊: 不是去攻擊目標，而是去埋伏在目標必經之路

Mandiant 提出的美國企業被 APT攻擊報告被當作社交工程信件誘餌

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

◎即刻加入趨勢科技社群網站,精彩不漏網

假Java零時差漏洞修補程式,真勒索軟體

2013 年 01 月 22 日2013 年 01 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者：確保從可靠的來源下載，不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞（CVE-2012-3174）的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而，趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11，這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案，其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe（這兩個檔案都被偵測為BKDR_ANDROM.NTW）。一旦執行，這個後門程式會連到遠端伺服器，讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

JAVA_DLOADER.NTW 會下載並執行Up1.exe（BKDR_ANDROM.NTW）和Up2.exe（TSPY_KEYLOG.NTW）。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV的%User Temp%\{random file name}.exe。經過趨勢科技的分析，這個勒索軟體 Ransomware會鎖定使用者螢幕，並且嘗試連上特定網站以顯示警告訊息給使用者。

繼續閱讀

重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動

2013 年 01 月 16 日2013 年 01 月 17 日趨勢科技 TrendMicro

日前（2013 年1 月10 日），針對Java系統弱點的零時差攻擊（Zero-Day Exploit）爆發。這起攻擊事件背後是由類似黑洞漏洞攻擊組織（Black Hole Exploit Kit, BHEK）所發起，並藉此散播惡意勒索軟體 Ransomware—Reveton。（關於勒贖軟體相關介紹，請參考線上小學堂。）

甲骨文官方已於2013 年1 月13 日發佈緊急更新Java 7 update 11。針對此次的零時差攻擊，趨勢科技產品Deep Security與Intrusion Defense Firewall（IDF）漏洞規則編號1005177 Restrict Java Bytecode File (Jar/Class) Download早就可為用戶提供完善的防護；更在2013年1 月11 日釋出更新檔DSRU13-002 加強防範針對Java弱點所有可能的攻擊。Deep Security也可透過以下的DPI規則防範網路攻擊：

規則編號	規則名稱	防範弱點編號
1004711	Identified Malicious Java JAR Files	CVE-2013-0422
1005331	Ruby On Rails XML Processor YAML Deserialization DoS	CVE-2013-0156
1005328	Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability	CVE-2013-0156

此外，趨勢科技PC-cillin 2013雲端版、WFBS、OfficeScan 等產品病毒碼更新至版本9.649.00 以上，也能取得完整的安全防護，並可偵測以下相關惡意程式/網站：

惡意程式/網頁偵測名稱	偵測描述
JAVA_EXPLOIT.RG	惡意程式碼
HTML_EXPLOIT.RG	藏有惡意程式碼的網站
TROJ_REVETON.RG	惡意程式
TROJ_REVETON.RJ	惡意程式

此次更新也特別包含以下防護功能：

防範針對Java弱點的攻擊；
防範藏有惡意程式碼的網站；
防範下載惡意程式（勒贖軟體）。

另外，Deep Discovery透過其規則編號616 TCP_REVETON_REQUEST也可偵測 TROJ_REVETON的網路流量。

針對Java弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受攻擊的可能性語因應措施；
企業可選擇弱點屏蔽（Vulnerability shielding）或虛擬補丁（Virtual patch）等防護措施作為解決方案，如Trend Micro Deep Security 及Trend Micro Intrusion Defense Firewall。

針對RDP弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
一般預料此項弱點將成為網路蠕蟲攻擊目標，更甚者攻擊行為可能已開始進化，在弱點主機間蔓延（如同網路蠕蟲）；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受大規模網路蠕蟲攻擊的可能性；
企業可選擇弱點遮蔽(vulnerability shielding)或虛擬補丁等防護措施作為解決方案，如趨勢科技Deep Security和Trend Micro Intrusion Defense Firewall。

@延伸閱讀

如果必要的話，該如何使用Java?
後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器《Java 零時差漏洞攻擊》

關閉Java而非JavaScript(含停用 Java 指南)

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚