2016年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。請參考:專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!
近日一名安全研究人員據報發現一隻Mirai的新變種(趨勢科技確定屬於ELF_MIRAI病毒家族)正在迅速擴散。在11月底觀察到了端口2323和23的流量顯著地增加,其中約10萬筆不重複的掃描IP來自阿根廷。
被公布在公開漏洞資料庫的概念證明(PoC)漏洞攻擊碼被認為引發了Mirai殭屍網路活動的增加。10月31日公佈漏洞攻擊碼後,這些掃描在11月22日就使用了概念證明(PoC)程式碼。這概念證明(PoC)程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。 繼續閱讀
最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本,純粹以 VBA 巨集所撰寫,這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式,會感染 Microsoft Word 的 Normal 範本 (normal.dot),也就是所有新增空白 Word 文件所使用的範本。
從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC),而非在外活躍的惡意程式。但儘管如此,qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出,其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如,當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時,它還沒有比特幣(Bitcoin)位址。但短短兩天之後就有了,而且還增加了一個會在特定日期和時間加密文件的行為。隔天,我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。
值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒
qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒,而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外,它也是少數使用巨集來撰寫惡意程式碼的病毒之一,其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。
qkG 採用巨集撰寫惡意程式碼的作法,類似 .lukitus 勒索病毒 (Locky 勒索病毒變種之一),後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過,qkG 只會將文件加密,但 .lukitus 的巨集卻會下載並協助執行勒索病毒,被下載的勒索病毒才會將感染系統上的目標檔案加密。
其他 qkG 值得注意的行為還有會將文件內容加密,但檔案結構及檔案名稱卻維持不變。此外,也不會在系統上產生勒索訊息檔案,因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument),換句話說,只有已開啟的文件才會被加密。
圖 1:qkG 內容中的字串顯示其名稱和作者。 繼續閱讀
英國典當公司Cash Converters發出警告電子郵件給客戶,坦承自己成為資料外洩的受害者,可能洩漏了包括客戶名稱、密碼、寄送地址、財務資料和其他個人詳細資訊的敏感資料。不過信用資料已經被證實沒有受到影響。
入侵已經退役的Cash Converters網站來竊取客戶資料
這家連鎖當鋪讓人們能夠拿珠寶和電子產品等物品換錢。該公司表示這起事件源於攻擊者入侵已經退役的Cash Converters網站來竊取客戶資料。這個在今年九月被新網站取代的舊網站可以讓使用者線上購買公司的產品。竊賊寄送了勒索郵件給Cash Converters,警告他們如不支付贖金就會公布資料。
Cash Converts公告他們現在正與英國執法單位合作來解決此資料外洩問題。還提到他們現在的新網站更加安全,同時在開發過程中也進行了安全漏洞測試。作為預防措施,該公司還強制替所有英國客戶進行密碼重置。此外,也通知使用者在發現任何可疑事項時要回報給Cash Converters或英國反詐騙組織Action Fraud。
徹底測試網站是否存在漏洞或安全缺陷,包含較舊的網站
雖然資料外洩攻擊和潛在資料暴露風險(特別是經由漏洞攻擊)最近變得越來越普遍,很大部分的原因是能夠用來獲利,組織還是可以利用經過驗證的方法來保護客戶資料。這包括了徹底測試網站是否存在任何可被犯罪分子利用的漏洞或安全缺陷。對於較舊的網站來說更是如此,因為其所使用的舊技術可能較不安全,或是在開發時就缺乏安全性考量。企業還必須制定緊急應變措施來以防萬一。這包括任命一位聯絡人,制定披露策略以及資料外洩事件發生時對內對外如何應對的動員計劃。
如何保護資料免於可能的攻擊?
更新及修補線上儲存資料的公司資產所有的相關軟體
最有效保護客戶資料的方法或許是更新及修補線上儲存資料的公司資產所有的相關軟體 – 無論是作業系統、網站開發工具還是網頁伺服器,更新有助於防止造成資料外洩事件的漏洞攻擊。
還依賴舊軟體和設置的組織可以考慮使用虛擬修補技術,它可以保護舊系統對抗漏洞攻擊。它具備入侵防禦技術,有助於防止漏洞攻擊。全面性的安全產品可以提供虛擬修補技術,就像是趨勢科技Deep Security,能夠為全球數百萬台的實體、虛擬和雲端伺服器提供安全防護。
@原文出處:Hackers Steal Information from UK-based Pawnbroker Cash Converters Website
許多Linux發行版都因為最近被披露的systemd的漏洞而面臨危險:DNS解析服務的一個漏洞可能讓系統遭受分散式阻斷服務攻擊 (DDoS)。攻擊這漏洞的方式是讓系統向攻擊者所控制的DNS伺服器進行查詢。DNS伺服器接著送回一個特製回應,讓systemd進入無限迴圈,也讓系統的CPU使用率持續在100%的狀態。這漏洞已經被分配編號CVE-2017-15908。
有許多方法可以讓使用者查詢惡意份子所控制的DNS伺服器,不過最簡單的作法是讓使用者系統連往攻擊者所控制的網域。這可以透過惡意軟體或社交工程完成。
解決這漏洞最有效的辦法是修補systemd的漏洞。趨勢科技在今年7月首先發現了這個漏洞,並在同月份通過零時差計畫(ZDI)回報給適當的廠商。獨立研究人員在今年10月也同樣發現了這個漏洞,並將其回報給Canonical。許多Linux發行版都已經推出修復程式,像Ubuntu也在10月底發布。幸運的是,到目前為止還沒有出現針對此漏洞的攻擊。
漏洞分析
隨著時間過去,DNS會持續加入新的功能,既是為了增加新功能也是為了讓其更加安全。一個定義在RFC 4034內,新加入域名安全擴展(DNSSEC)的資源記錄類型稱為NSEC(Next Secure)記錄。
這漏洞發生在處理表示NSEC位元圖(bitmap)中虛擬型態(pseudo-type)的位元時。下圖顯示了程式碼區塊和堆疊框架。反白的地方“continue”顯示“while迴圈”進入無限迴圈。dns_packet_read_type_window()出現在resolved-dns-packet.c內。 繼續閱讀
