一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)

趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞,攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。

這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式(佔 Google Play上所有應用程式的5.6%)都可能受此漏洞影響。

pache Cordova

該漏洞被存在於Cordova的一個功能內,讓Secondary Configuration Variables(也就是偏好設定)可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新(也就是Github的提交)的一部分,Cordova Android也更新為0.9.3。

我們的研究顯示,如果Base Activity沒有被適當的防護且偏好設定設成預設值,攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。

漏洞攻擊成功的先決條件

只要符合兩個條件就能成功地利用此漏洞:

  • 應用程式至少有一個元件延伸自Cordova的Base Activity:CordovaActivity或設定Cordova框架(像java)沒有被適當的防護,也就是說可以被應用程式外部存取。
  • 至少一個Cordova支援的偏好設定(除了LogLevel的和ErrorUrl)未在設定檔案(xml)中被定義。

 

它如何運作

要了解該漏洞如何運作,要先來看看應用程式的偏好設定如何設置。 繼續閱讀

DNS變更惡意軟體進入家用路由器

家用路由器可以被用來竊取使用者的認證憑據,只是大多數人並不知道。壞蛋們已經找到方法來用網域名稱系統(DNS)變更惡意軟體來將最不受注意的網路路由器變成他們惡意計畫裡的重要工具。

有路由器會在出貨時帶有惡意DNS伺服器設定。在這次的情況裡,惡意軟體被用來篡改路由器和其DNS設定。當使用者想連上正常的銀行網站或其他壞人設定的網頁時,惡意軟體會將使用者導到惡意版本的網頁。這讓網路犯罪分子可以竊取使用者的帳號認證憑據和密碼等資訊。

越來越多的相關惡意網站出現在巴西(佔了近88%的感染數量)、美國和日本。這些網站會在內部網路執行瀏覽器腳本來對受害者的路由器進行暴力攻擊。再藉由正確認證憑據連上管理界面,該腳本發送帶有惡意DNS伺服器IP地址的HTTP請求到路由器。一旦惡意版本設定替換掉目前的IP地址就完成了感染。除了瀏覽器暫存檔外,沒有檔案會在受害者電腦上建立,不需要使用持續性技術,沒有改變什麼。

修改DNS設定代表使用者不知道他們所要連上的是可信網站的山寨版。不變更預設密碼的使用者很容易遭受此類攻擊。

 

路由器 DNS惡意軟體使用暴力攻擊

DNS是轉換IP地址跟網路名稱的網際網路標準。就像是電話簿一樣將人性化的主機名稱轉換成電腦接受的IP地址。網路犯罪分子建立DNS變更惡意軟體來修改系統的DNS設定。我們在2011年就討論過DNS變更惡意軟體,當時的惡意軟體感染了400多萬台電腦來加入Esthost殭屍網路。我們參與了Ghost Click行動將這殭屍網路給剷除。 繼續閱讀

安裝竊聽器,落伍了! 你親手安裝的手機app,可能會自動幫你打開麥克風錄音(第一季資安綜合報告新戰術分析)

  • 惡意廣告會感染網站或廣告網路,使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡,使用者甚至不需要點擊廣告就會被感染
  • 在過去,間諜會在聚會的房間裡安裝竊聽器以記錄談話。如今,網路犯罪分子可以透過社交工程來在手機上安裝應用程式以打開麥克風,進而記錄任何談話。

趨勢科技最近的2015第一季資安綜合報告中,趨勢科技的威脅研究人員強調了許多正在影響我們的最新威脅。惡意分子在積極地尋找新方法來攻擊受害者並且尋找可以關注的新目標。讓我們來看看一些最近的威脅以及你可以如何加強防護來對抗它們。

手機 mobile

惡意分子在全球增長:中國和俄羅斯仍然佔了大宗

趨勢科技針對地下世界活動的研究中,找到許多網路犯罪分子所使用的新工具和技術,越來越多非傳統地區日趨活躍。中國和俄羅斯仍然佔了大宗,但我們現在也看到來自巴西和非洲的惡意分子。很大的原因是進行網路犯罪很容易,只需要有一台電腦跟連上網路。深層網路內讓人開始駭客生涯的工具也變得更加易用和便宜,讓新手很容易就可以變成網路犯罪分子。在今年,趨勢科技會繼續發表關於中國、俄羅斯和巴西地下市場的新數據,再加上美國及日本的資訊,好讓讀者對這些地下世界如何運作有深入的了解。我們利用這些資訊來開發產品所使用的新技術,保護客戶免受這些最新威脅的影響。

 

攻擊中所使用的新戰術

在第一季內我們看到一些新戰術被使用,讓惡意分子可以確保受害者更容易被攻擊成功。在這裡強調一些重點:

 

  • 惡意廣告:這些威脅很有挑戰性是因為它們會感染網站或廣告網路,讓受害人會連到惡意網站來遭受感染。使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡,使用者甚至不需要點擊廣告就會被感染。惡意分子也利用零時差漏洞來提高感染數量。
    針對此一威脅的最好防護是確保你啟用網頁/網域信譽為評比技術(如趨勢科技所提供)來在這些廣告或惡意網站感染使用者前先加以封鎖。我們的端點解決方案所使用的新漏洞防護技術也可以主動地封鎖帶有漏洞攻擊碼(甚至是零時差漏洞)的網站。
  • 勒索軟體 Ransomware和加密勒索軟體:這類威脅在黑洞漏洞攻擊包(被用來散布這類威脅)作者Paunch被捕後又捲土重來。我們看到很多加密勒索軟體的新變種和家族,同時看到網路犯罪分子開始針對企業團體(中小企業和大型企業)。受害者往往會支付贖金,因為其所用的加密技術無法被破解,惡意分子會在收到付款後送出解密金鑰。
    我們並不認可這種做法,並建議使用者要使用良好的備份解決方案,可以在中毒後重建系統。最好的防護是防止此威脅進入。幾乎所有的勒索軟體都是透過電子郵件散播,無論是透過附加檔案或內嵌的連結。
    趨勢科技建議要遵循良好的電子郵件實作,但我們同時也開發了新技術以提高偵測率。電子郵件沙箱技術(Deep Discovery Email Inspector,InterScan Messaging,ScanMail)可以在郵件遞送給使用者前先加以辨識。OfficeScan 11 SP1內建了新的勒索軟體 Ransomware偵測技術。InterScan Messaging具備社交工程(social engineering )防護以辨識攻擊所使用的網路釣魚(Phishing)郵件。

繼續閱讀

16-21歲中國青年做起行動勒索軟體生意,上千變種地下市場流傳

一群新生代網路犯罪集團正在中國崛起,他們比經驗老道的前輩們更膽大包天、更肆無忌憚。這些人都是 90 年之後出生,這群青年完全不怕被抓,不怕在網路上留下可被追查的聯絡資訊。他們會互相搜尋並分享現成的程式碼,然後再製作出屬於自己的惡意程式。正因為這一批人,中國地下市場一下子突然充斥著各種行動勒索軟體 Ransomware

 

鎖定Android 用戶的勒索軟體會在手機等行動裝置鎖定時將自己的程式畫面蓋在鎖定畫面上方,使用者將無法利用正常方式將它解除安裝。。。。(當心手滑小提醒:該勒索軟體經由「video」(視訊) 和「porn」(色情) 等字眼的網域散播…)

Posted by 趨勢科技 Trend Micro

行動勒索軟體版圖年輕化,千隻變種在地下市場散播

這群年輕的網路犯罪份子之所以敢大膽地踏入原本陌生的網路犯罪領域,或許是因為當地執法寬鬆,當然更可能的是因為年輕人無知的膽量。

趨勢科技第一次注意到這群網路犯罪新生代是在監控 Android 勒索軟體 Ransomware ANDROIDOS_JIANMO.HAT 的時候。此變種會將使用者的裝置螢幕鎖定,讓使用者完全無法進行任何操作。《推薦閱讀》勒索軟體轉戰行動領域

 

我們在地下市場搜尋了一下發現,此惡意程式大約有一千多個變種。其中約有 250 個含有惡意程式作者的相關資料,包括聯絡資訊,這些人的年齡從 16 至 21 歲不等。


圖 1:惡意程式作者的 QQ (中國流行的即時通訊軟體) 帳號個人檔案,其中也包含了年齡資料 (最後一行)。

在仔細研究過這些變種之後可以明顯看出,它們全都來自同一份原始碼,而這份原始碼在地下市場流通相當廣泛。下圖顯示兩種版本的勒索軟體鎖定畫面。左邊原始版本的畫面文字欄位當中含有一些開玩笑的話。右邊修改過的版本則是含有歹徒提供給受害者的聯絡資訊。此處歹徒留下了其 QQ 群帳號。


圖 2:右側惡意程式含有一段訊息:「想破解吧?千萬別扣我qq448 (紅色部分)」。

有可能原始版本只是個雛型,因為畫面上並未提供任何付款的資訊。但當這份原始碼在地下市場流傳時,就成了勒索軟體 Ransomware變種的範本。這些年輕的網路犯罪份子只需要將自己的聯絡資訊加入程式碼當中即可。

目前,這些網路犯罪份子所要求的贖金大約在 5-10 美元左右。相較於其他勒索軟體 Ransomware來說,這價錢看似一筆小錢,但歹徒未來很可能會獅子大開口,當然也有可能是他們的受害對象很多,因此不需要求太高的金額。

感染散布方式: 「師傅」吸收「學徒」,傳授詐騙教學;學徒以幫忙散布方式來繳「學費」

正如我們先前指出,中國網路犯罪地下市場提供了各種網路犯罪教學服務。一些所謂的「師傅」會吸收一些有興趣的「學徒」,然後傳授他們一些駭客知識和技巧等等。而這群年輕人也如法泡製。他們除了從事勒索軟體 Ransomware詐騙之外,也提供了這類教學服務。


圖 3:網路聊天室上張貼的惡意程式教學廣告。 繼續閱讀

新漏洞讓大部分蘋果電腦後門永遠敞開

距離第一個蘋果 Mac 電腦後門漏洞 Thunderstrike 被揭發的時間不過數月,現在又被發現了另一個漏洞,同樣也是後門漏洞。而兩個之間有何差異呢?此漏洞與 Thunderstrike 不同之處在於,歹徒不需實際接觸到電腦就能得逞。事實上,駭客可以遠在世界的另一端就能攻擊此漏洞。

這個由 OS X 作業系統資安研究人員 Pedro Vilaca所發現的最新漏洞,讓駭客可將惡意程式安裝到 Mac 電腦的 BIOS 中。它是透過作業系統使用者空間 (userland) 當中的一項功能來達成 (使用者空間就是應用程式和驅動程式所執行的空間)。一旦惡意程式進入了 BIOS,每次電腦開機時,惡意程式都能搶在作業系統「之前」預先載入,因此非常難以清除 (即使並非不行)。

新漏洞讓大部分蘋果電腦後門永遠敞開
新漏洞讓大部分蘋果電腦後門永遠敞開

這個漏洞如何運作?首先要在Mac 從睡眠中重新啟動時立即攻破 BIOS 保護機制。在正常情況下,BIOS 區域對於使用者空間的應用程式來說是唯讀的,因為 BIOS 受到一個名為 FLOCKDN 的機制所保護。但基於某些理由,當 Mac 從睡眠模式重新啟動時會暫時解除 FLOCKDN 機制,就在這段期間,BIOS 中的韌體對應用程式來說不再是唯讀狀態,因此讓惡意程式有機會將它改寫,這項韌體寫入動作一般稱為重刷 (Reflashing) BIOS,而網路上也有免費的現成應用程式可執行這項動作,例如:Flashrom。如同 Vilaca 在文章中指出,這項手法不需實際接觸目標 Mac 電腦就能做到。他在部落格當中詳細說明了這項漏洞,事實上根據他的說法,只需利用某個含有惡意程式的網站發動順道下載攻擊就能重刷 BIOS。

當然,情況也沒那麼糟,至少要成功感染電腦不是那麼輕而易舉。駭客若要成功,首先必須透過某個漏洞來讓他取得 OS X 系統管理員 (root) 權限,但其實網路上這樣的攻擊很少。此外,駭客還要想辦法讓系統進入睡眠,如此才能取得攻擊機會,不過根據 Vilaca 的看法,這算是整個過程當中較容易的環節,因為攻擊程式可以設計成當偵測到系統要進入睡眠時才啟動,或者強迫系統進入睡眠。

現在我們知道有這樣的漏洞,那到底哪些系統可能受到影響?Vilaca 指出,在 2014 年中期之前出廠的蘋果電腦都可能受到此漏洞影響。此外他還指出,他已在一台 MacBook Pro Retina、一台 MacBook Pro 8.2 以及一台 MacBook Air 上試驗成功,而這些電腦全都使用蘋果提供的 EFI 韌體。至於 2014 年中期之後出廠的電腦則對這項攻擊免疫,Vilaca 並未解釋箇中原因。據他猜測,有可能是蘋果暗自修補了這項漏洞,不然就是意外修正了這項漏洞。

這項漏洞是否有防範之道?答案是「有」也「沒有」。針對這項漏洞,使用者能做的不多,不過使用者還是可以設定系統在閒置時不要進入睡眠。此外,進階使用者也可以下載 Trammell Hudson (Thunderstrike 的作者) 所提供的軟體來將 BIOS 晶片上的內容傾印 (dump,也就是複製) 出來。然後再將傾印出來的內容與蘋果的原始韌體檔案比對一下,就可知道是否遭人植入惡意程式 (因為重刷過之後的 BIOS 一定會和原始韌體不同)。

隨著越來越多諸如此類的蘋果系統漏洞浮上檯面,歹徒遲早會開始將這些漏洞用於不良意圖,因此,Mac 使用者應盡速妥善保護自己的裝置。正如我們一開始所大聲疾呼的,想要藉由資訊不透明來保障系統安全,再也行不通了,尤其在今日的威脅環境下。

原文來源: New Vulnerability Leaves Most Apple Machines Vulnerable to Permanent Backdoor Badness

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接