《資安新聞周報》GhostCtrl 病毒偽裝Pokemon GO 竊聽襲擊安卓用戶對話/鎖定SambaCry 漏洞新威脅現身/全球逾5萬台主機可被EternalBlue程式攻擊

趨勢科技TrendMicro

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

本周焦點新聞:

鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統  資安趨勢部落格

 

資安趨勢部落格一周重點文章:

其他媒體:

無現金的荒謬!瑞典最大保全公司CEO 被駭客搞到破產還不知道 鉅亨網

勒索病毒再演變 彩虹小馬裝萌勒索比特幣 台灣蘋果日報網

研究:全球還有逾5萬台主機可被EternalBlue程式攻擊 iThome

FBI:小心連網玩具洩露你和孩子的親子隱私! iThome

CoinDash 眾籌被劫 770 萬美元,以太幣合夥人:ICO 就像定時炸彈 科技新報網

「俄」意!? 英國大選 駭客入侵發電廠電腦 中時電子報網

英國 Wi-Fi業者使壞,讓2.2萬名用戶無意中同意去掃流動廁所 IT Home

Google 增加新安全防護措施,以減少未經驗證應用程式帶來的風險 電腦王阿達

兩步驟驗證真能保護我們的帳號不被盜嗎? 科技新報網

Google 兩步驟驗證將以手機提示取代簡訊 iThome 繼續閱讀

SCADA 人機介面 (HMI) 漏洞的現況

趨勢科技 TrendMicro
檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告
檢視「駭機介面:SCADA 人機介面 (HMI) 漏洞的現況」報告

經由 HMI 攻擊 SCADA

SCADA 是所謂的「監控與資料擷取」(Supervisory Control and Data Acquisition) 系統的縮寫。普遍用於全球的各種關鍵基礎架構,因此天生就很容易吸引各種駭客的覬覦。駭客可能駭入 SCADA 系統來蒐集一些資訊,例如:廠房設施配置圖、關鍵門檻值、裝置設定等等,來協助他們從事後續攻擊。駭客攻擊可能帶來的最壞情況包括服務中斷,或是駭客利用易燃物質或重要物資來製造威脅生命安全的危險狀況。

Stuxnet 病毒及烏克蘭發電廠遭受攻擊的案例讓趨勢科技見識到,真正有心從事破壞的駭客不僅對企業是一大威脅,更可能危及社會大眾的安全。駭客有許多可入侵 SCADA 系統的管道,其中之一就是經由其人機介面 (HMI) 軟體普遍存在的漏洞。由於 SCADA 系統大多透過所謂的 HMI 軟體來管理,而這類軟體通常安裝在具有網路連線的電腦上。因此,HMI 是 SCADA 系統遭受攻擊最主要的目標之一,最好安裝在隔離或獨立安全的網路上。但根據經驗,實際情況通常並非如此。

何謂 HMI?

所謂的人機介面 (HMI) 就是顯示資料與接受操作人員指令的介面。操作人員可透過該介面監控系統狀況並做出適當的回應。今日的 HMI 大多具備先進、可自訂的資料顯示功能,讓操作人員很方便地掌握系統的狀況。

HMI 常見的漏洞類型

趨勢科技 Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫團隊特別針對今日 SCADA HMI 的安全性做了一番深入研究,仔細分析了 2015 至 2016 年間所有已揭露並修復的 SCADA 軟體漏洞,其中也包括 ZDI 計畫所接獲通報的 250 個漏洞。

趨勢科技發現,這些漏洞主要分成幾類:記憶體損毀、登入憑證管理不良、缺乏認證/授權機制與不安全的預設值,以及程式碼注入漏洞,全都是可以藉由安全的程式撰寫習慣來預防的漏洞。

 

記憶體損毀:這類問題在所有已揭露的漏洞當中約占 20%,這類漏洞是很典型的程式碼不夠嚴謹的安全問題,例如:堆疊和記憶體緩衝區溢位,以及超出範圍的記憶體存取動作。 繼續閱讀

鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統 

趨勢科技 TrendMicro

Samba的資安弱點即便經過修補,新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點(CVE-2017-7494)進行攻擊, 影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外,Linux作業系統只要啟用SMB服務,也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備(包含網路儲存設備 (NAS)IoT設備),一旦成功後即植入惡意程式。

企業環境(政府、製造業、金融業)大量使用 Linux 作業系統伺服器,且大部分均為關鍵業務系統。而Linux常被認為系統安全性高,較不會被入侵,因此較易疏於管理、更新、防護。駭客可能利用此情形,結合目標式攻擊與內網擴散手法攻擊此弱點,入侵至伺服器後加密檔案,進行勒索。因此,趨勢科技建議您,除了Windows作業系統需安裝修補程式外, Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件,極可能代表攻擊已進入到內網擴散階段,可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復,但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出,此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾,並促使伺服器載入並執行該程式庫。駭客一旦得逞,就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」,因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示,SambaCry 只被用來攻擊伺服器,且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料,駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A,發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例,它同樣也會在受害系統上開啟指令列介面。不過,ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先,它會攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置。其次,ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統,如:MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多,隨便上 Shodan 搜尋一下就能找到:指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾,含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。 繼續閱讀

什麼?又有新的高風險賣場入榜(7/10~7/16)

趨勢科技TrendMicro

「刑事警察局」與「趨勢安全達人」共同合作,將定期公布近期網路上風險高的線上平台,提醒消費者若於下述平台交易或購買時,請務必提高警覺,以免受騙上當!
以下的高風險賣場,是上週經民眾通報的危險賣場,請大家多留意交易的過程,切記不要誤信歹徒的詐騙話術因而使自己權益受損了!



趨勢科技旗艦服務(一通電話解決你全家的3C產品大小煩惱事)

趨勢科技TrendMicro

科技日新月異的時代,許多3C產品都已經深入家庭,但是卻也多了很多3C產品故障的問題無法即刻解決,尤其是長輩們,對3C產品的問題,可能就會一個頭兩個大。例如:手機、平版還是電腦…etc。
愛伯特之前的工作因為有相關經驗,所以在家裡還可以幫上忙,幫家人或者親友解決軟硬體方面的使用問題,但有時候因為在外面工作,無法即時提供協助,只能等到假日回家時再協助處理,而且有些問題也不是我有辦法解決的。
趨勢科技有聽到大家的心聲,推出一套「趨勢科技旗艦服務」,可以幫助協助你與解決家人的相關3C問題。因為它有提供專人、專線服務,不管平日假日都可以,只要你的家人有相關3C產品使用上的問題,不管是手機(Android、iOS)、電腦(PC、MAC)、平版電腦等等操作問題,還是Facebook、LINE等等使用上的問題,只要拿起電話撥打客服專線,就會有專業的客服人員協助你解決相關3C各種疑難雜症。

趨勢科技旗艦服務

趨勢科技-旗艦服務
電話諮詢專線:02/23783666轉7
官方網站趨勢科技官方FB粉絲團

繼續閱讀