2013年8月31日 星期六

思科修補Secure ACS伺服器內重大遠端指令執行弱點

思科修補Secure ACS伺服器內重大遠端指令執行弱點

思科系統(Cisco)發佈解決Windows版安全存取控制伺服器(Secure Access Control Server, Secure ACS)重大安全漏洞的安全更新修補程式,透過該安全漏洞,未經授權的惡意攻擊者得以遠端執行任意指令,並進而控制底層作業系統。

思科Secure ACS是一款允許企業能對各類型裝置與使用者的網路資源存取行為,加以集中控管的應用軟體。

根據思科相關文件指出,透過該軟體可針對VPN、無線網路及其他網路使用者實施存取控制政策,同時也能進行管理者的身分驗證、授權指令、以及對相關軌跡資料進行稽核。

思科Secure ACS支援2個網路存取控制協定:RADIUS(Remote Access Dial In User Service)與TACACS+(Terminal Access Controller Access-Control System Plus )。

全新修補的安全漏洞被列入公告編號CVE-2013-3466的安全公告之中,同時會在Cisco Secure ACS for Windows 4.0 – 4.2.1.15被設定成為支援EAP-FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling)驗證的RADIUS伺服器時,而造成Secure ACS的影響。

「該漏洞是因為採用EAP-FASP進行使用者身分驗證的不當解析所致,」思科於本週三發佈的安全公告中指出:「如此一來,惡意攻擊者可透過發送EAP-FAST惡意封包,到有安全弱點疑慮的裝置上,進行漏洞攻擊。」


「一旦成功發動漏洞攻擊,將會導致未合法授權的遠端惡意攻擊者,得以擁有執行任意指令的能力,並進而完全掌控底層作業系統,該底層作業系統會替運行Microsoft Windows上Secure ACS,系統使用者情境中Secure ACS應用之控管。」該公司表示。

資料來源:PCWorld
轉載自《網路資訊雜誌》

台灣 340萬次/天 網路攻擊

台灣 340萬次/天 網路攻擊

台灣成為國際駭客戰場!國家高速網路與計算中心監測分析,全球駭客每天平均對我國發動340萬次惡意攻擊,居世界之冠;全球新發現惡意程式中,每10隻就有1隻是台灣「特有種」,率先在台灣出現後,再擴散到其他地區。此現象意味台灣成為各國駭客新研發惡意程式攻擊測試中心。


台灣因資訊化普及,成為惡意程式最佳攻擊測試平台,吸引各國駭客把新發展惡意程式拿到台灣測試,確認可以成功入侵後,再放到全球作亂。

還有駭客利用惡意程式竊取民眾密碼、入侵網路銀行,或竊取《臉書》帳號,假冒身分進行網路社交,已使我國成為全球惡意程式流竄、攻擊與犯罪跳板。

國網中心結合台灣大學和交通大學等20個學研機構,耗時3年在全台部署超過6000個網路位址,偵測誘捕從國內外入侵的惡意程式,再「抓」到「惡意程式知識庫」,分析攻擊特性及入侵散播途徑。


國網中心副研究員蔡一郎指出,「惡意程式知識庫」可監測全球攻擊來源,結合google earth,就可追蹤惡意程式源頭,並透過比對資料庫中的惡意程式,瞭解掌握未來可能攻擊行為,即時通報相關資安與網管單位緊急應變,阻斷惡意程式與駭客攻擊。

「惡意程式知識庫」已累計誘捕超過20萬隻惡意程式,並以每月1200隻增加中。國網中心過去3年測試分析發現,台灣每天平均受到340萬次惡意程式攻擊,駭客來自全球四面八方,俄羅斯是境外攻擊主要來源,研判是中國駭客以俄羅斯當跳板,對台發動攻擊。

「惡意程式知識庫」昨日宣布正式啟用,並開放民眾免費下載使用,監測上網瀏覽網頁是否有惡意程式潛伏。蔡一郎強調,「惡意程式知識庫」啟用後,僅須5分鐘就可以把自己電腦中的惡意程式殲滅。民眾只要上網owl.nchc.org.tw線上申請加入會員,就可以使用惡意程式知識庫。

延伸閱讀:
國研院正式對外啟用惡意程式知識庫

轉載自《中時電子報》

2013年8月30日 星期五

國研院正式對外啟用惡意程式知識庫

國研院正式對外啟用惡意程式知識庫

國研院接受國科會補助經費,與教育部及國內20所大專院校合作建構偵測網路,蒐集分析國內的惡意程式建立知識庫,與國內外交流分享資訊,提昇我國資安預警及防禦,現在開放外界使用。

惡意程式知識庫可以Google Earth介面呈現全球各地攻擊分佈狀況,直線代表各地的攻擊次數,直線愈長代表愈頻繁。

國家實驗研究院(國研院)啟動國內首座惡意程式知識庫,該知識庫與教育部、20所大學院校合作架構偵測網絡,蒐集分析惡意程式建立知識庫,開放國人免費申請使用。

這座惡意程式知識庫由國家研究院國網中心資訊安全團隊負責,2010年即與教育部、台大、中正、交大、中興、東華等20所大學院校合作,3年時間共設置6000個誘補點,以即時分析惡意程式樣本、攻擊行為及攻擊來源,將這些資料建構成惡意程式知識庫。

國研院今天(8/29)宣佈正式啟動該知識庫,正式對外開放免費使用。民眾或相關單位需線上申請帳號,以帳號登入後可免費使用,瀏覽台灣地區前10大惡意程式、攻擊趨勢、發動攻擊來源地區分佈、背後關聯分析等等。除了網站版本還推出Android App,讓行動裝置也可以使用。

該知識庫現在每月蒐集1.5萬筆資安威脅事件,每天蒐集資料量約60GB,3年下來知識庫已累積超過20萬筆惡意程式資料,為加強國際合作共同防禦資安威脅,國研院將蒐集到的威脅資訊與國外單位分享互惠,在國內則與趨勢科技合作。

取得惡意程式樣本除了分析其攻擊行為,還追溯攻擊程式來源,分析不同的惡意程式攻擊行為關聯建立拓撲網路,為了以視覺化方式呈現,結合Google Earth使用者可以觀看全球各地攻擊次數高低,或是看到對台灣發動攻擊的來源。

民眾申請免費使用知識庫之後,除了查詢惡意程式資訊,也可以加裝知識庫工具列到瀏覽器,一旦連結到可能含有惡意程式的網站,便會自動跳出警示;民眾也可以將可疑的郵件提供給知識庫,由知識庫協助掃描檢查是否為惡意郵件,惡意程式知識庫也提供簡易的偵測工具,為使用者掃描偵測系統安全。

國網中心網路與資安組副研究員蔡一郎表示,知識庫蒐集的20萬惡意程式中約有9成5為PC版本,其餘為針對行動裝置的惡意程式,惡意程式攻擊逐漸擴大到行動裝置,知識庫下一目標是蒐集Android App,分析含有惡意程式的App,預計明年第三季左右推出。

在資安事件檢視中可以觀察到受害主機動態,圖中每個點都代表事件的現況。

轉載自《iThome》

開發人員逆向工程找到挾持Dropbox帳號的方法

開發人員逆向工程找到挾持Dropbox帳號的方法

不過Dropbox聲明,駭客必須要先取得使用者的個人電腦才能夠挾持成功。外界分析則指出,此一研究成果最吸引人的部份應該是他們利用反向工程解析了被嚴密保護的Dropbox Python程式。


兩名開發人員Dhiru Kholia與Przemysław Wegrzyn在本月舉行的USENIX 2013會議上公布一份研究報告,指出他們找到一種可以繞過Dropbox雙因素認證並挾持Dropbox帳號的方法。

Dropbox為目前最受歡迎的雲端儲存服務之一,全球使用人數已突破1億。Kholia與Wegrzyn以一些新的與一般技術,針對Dropbox或其他業者所使用的Frozen Python程式進行逆向工程分析,而且只要利用程式碼注入(code injection)技術與monkey patch就能竊聽Dropbox客戶端的SSL資料。

該研究揭露了Dropbox客戶端所使用的內部API,並使其可用來撰寫可攜式的開放源碼Dropbox客戶端,然後設計了用來攻破Dropbox的外掛程式,並展示如何繞過雙因素認證以存取使用者的資料。

不過Dropbox聲明,依據該研究的描述,駭客必須要先取得使用者的個人電腦才能夠挾持成功。這種情況下使用者所有資料都有曝光的風險,不只是Dropbox。

外界分析指出,此一研究成果最吸引人的部份應該是他們利用反向工程解析了被嚴密保護的Dropbox Python程式。Kholia與Wegrzyn也說他們最大的貢獻是讓Dropbox平台更透明化以供後續的安全分析與研究。

延伸閱讀:
Dropbox否認開發人員展示的駭客入侵弱點

轉載自《iThome》

敘利亞電子軍團攻擊 證實網際網路架構有多麼脆弱

敘利亞電子軍團攻擊 證實網際網路架構有多麼脆弱


對紐約時報、Twitter及其他公司網站的一連串駭客攻擊事件,突顯出網際網路在安全問題上長久以來存在的弱點,亦即Web版本的電話簿是由外部公司所控管。

儘管大型企業常會耗費數以百萬美元的經費,來對抗不斷激增的各種網路威脅,但對於其網址的關鍵,亦即以.com做為結尾的名稱,卻交由眾多的網域名稱伺服器註冊公司來掌控。

隨著週二在大型網站上發生的事件來看,原來這些網域名稱伺服器註冊公司也會被一封垃圾郵件所騙。

本週二,爆發了澳大利亞註冊公司Melbourne IT遭入侵的攻擊事件,並進而導致紐約時報停擺了數小時。據信這是敘利亞電子軍團的最新傑作之一,該網軍是一個專門支持敘利亞總統阿薩德(Bashar al-Assad)的駭客團體。

Twitter及AOL旗下哈芬登郵報(Huffington Post)的網站,由於也採用Melbourne IT的註冊服務,所以也發生了同樣的事件。

上述公司表示,網站已於週三恢復正常存取作業。同時敘利亞電子軍團也對外宣佈,其對Twitter帳號的最新駭客攻擊活動告一段落。

為了架設網站,企業必需向數以百計的公司付費進行名稱註冊。該程序會將特定網址分配至某電子郵件地址、實體位址與所有者身上。

一般而言,消費者較習慣像是GoDaddy.com這類,以火辣超級杯廣告著稱的註冊公司;至於大型企業則通常會選擇諸如Melbourne IT之類較專業的公司。

澳洲公司於本週三早些時候指出,某些駭客會透過惡意電子郵件,來獲取Melbourne IT經銷商的登錄存取憑證。

透過該資訊,再再顯示出駭客有能力取得許多網址的所有權,根據安全研究人員指出。其初始入侵行為,採用的是當前網際網路最普遍常見的魚叉式網路釣魚(Spear Phising)攻擊手法。

資料來源:THE WALL STREET JOURNAL
轉載自《網路資訊雜誌》

研究:駭客鎖定Java 6發動漏洞攻擊 盡快更新至Java 7才是上策

研究:駭客鎖定Java 6發動漏洞攻擊 盡快更新至Java 7才是上策

仍採用Java 6的使用者請務必小心!現在趕快升級到Java7,避免因受到主動攻擊,使電腦遭劫持。

該安全警告是由安全商F-Secure防毒軟體分析師Timo Hirvonen所發佈,其報告中發現一個已在網路上橫行的漏洞入侵活動,該活動專門鎖定未修補Java 6安全弱點的電腦,同時最近也出現相關概念驗證攻擊碼。

至於Java Runtime Enviroment (JRE)漏洞(公告編號CVE-2013-2463),已隨著Oracle於2013年6月公開釋出的Java 7 update 25而獲得修補,目前Java 7仍是當前最新版本的Java。

「針對CVE-2013-2463的概念驗證碼於上週釋出,如今該漏洞攻擊已在網路上廣為流行,」Hirvonen推文指出:「若沒有對JRE6進行修補,請趕快反安裝Java,抑或更新至JRE7 Update 25。目前名為Neutrino的漏洞攻擊套件已經將上述漏洞列入攻擊目標。」

Neutrino犯罪軟體套件於2013年3月首次曝光,同時確認其為一系列會對受害電腦發動Java漏洞攻擊,並植入勒索軟體的攻擊來源,一旦遭植入勒索軟體,使用者電腦會處於鎖定無法用的狀態,直到使用者付了贖金才會解鎖,據傳贖金是由美國聯邦調查局(FBI)與其他執法單位所徵收的。

根據安全方案商AVG指出,在過去幾天裡,Neutrino漏洞攻擊套件所發動的攻擊活動剛好達到了最高點。

由於官方在2月已正式宣佈Java 6退役,所以我們有理由相信只有Java 7,而非Java 6,有對該漏洞進行修補。

資料來源:InformationWeek
轉載自《網路資訊雜誌》

2013年8月29日 星期四

日本大型網路論壇2ch個資外洩,3萬會員信用卡資料不保

日本大型網路論壇2ch個資外洩,3萬會員信用卡資料不保

截至目前為止已確認流出的信用卡資料為2011年8/1至2013年8/11以信用卡付費的會員,個資包括電子郵件、2ch Viewer密碼、信用卡持有人姓名、信用卡類型、卡號與安全碼、有效期限、住址與電話號碼、IP登入位址等等。

負責營運日本大型網路論壇2ch付費服務「2ch Viewer」的N.T.Technology,週一(8/26)晚間正式對外證實,由於遭受網路外部攻擊,導致大量會員個資流竄至網路中,其中也包含信用卡號與安全碼。

由於在官方正式證實前,7月至8月初就已經有零星個資在網路上散布,當時就謠傳這些個資應與2ch Viewer有關,因此日本多家發卡銀行自8月初便陸續接到客戶以擔心2ch Viewer資安為由要求停用信用卡,至8/26停用申請更是突然暴增。

N.T.Technology的證實新聞稿一度發布又經刪除,至同日晚間才重新發布,該社會長Jim Watkins表示,當時還有很多事態無法釐清,包括是不是真的被攻擊等,因此才暫時撤去新聞稿,目前該社正在確認被攻擊的詳細事態、二次被害狀況等。


日本各媒體已於當天在各種點對點分享軟體上找到含有將近3萬2000筆2ch Viewer會員個資的TXT檔案BT Torrent,其他網路論壇亦出現檔案內容轉貼的討論串。日經新聞甚至指出,不含信用卡號的會員個資至少有4萬1000筆。

截至目前為止已確認流出的信用卡資料為2011年8/1至2013年8/11以信用卡付費的會員,個資包括電子郵件、2ch Viewer密碼、信用卡持有人姓名、信用卡類型、卡號與安全碼、有效期限、住址與電話號碼、IP登入位址等等。

N.T.Technology說明,8/25晚間11點25分接到客戶個資流出的通報時,就立刻於8/26凌晨0點10分停用信用卡交易服務,並暫時關閉2ch Viewer登入功能。同日晚間已將資安漏洞補強,但由於2ch Viewer並不提供修改密碼這項功能,因此該社目前也正在緊急追加可修改密碼的功能。

2ch Viewer是能夠更方便瀏覽論壇文章的付費服務,允許使用者瀏覽過去特定文章討論串、取消限制發文等待秒數、在存取人數限制下優先進入論壇等功能,每月費用300日圓。

轉載自《iThome》

2013年8月28日 星期三

密碼再長都不夠用 最新密碼破解器成功破解55個字元密碼長度

密碼再長都不夠用 最新密碼破解器成功破解55個字元密碼長度

今後即便我們選擇再複雜難解的密碼,來保護我們的帳號,恐怕都不足夠。


不可否認,當談到選擇一個難以猜解密碼的問題時,我們常常不會認真看待它,同時我們也經常忘記定期變更密碼。

令人擔憂的是,當前有極高比例的人們,採用非常簡單的句子,來保護他們的電子郵件以及社交媒體的帳號,甚至用這些密碼並存取公司系統,使用者不會試圖記住複雜的文字與數字組合。

在去年的調查中,安全軟體開發商SplashData指出,2012年最常使用的密碼包括「qwerty」、「12345678」及「Password1」,像這類密碼根本不需要透過密碼破解器,就能被猜解出來。

儘管如此,隨著最新版ocl-Hashcat-plus密碼破解套件的出現,使得即使採用再複雜的密碼組合,恐怕也無法保護目標資料的安全。

根據Ars Technica的報導,網上容易獲得的ocl-Hashcat-plus密碼破解套件,已經獲得一系列重大的改進,使得其密碼破解的最高字元數可達到55個字。其最新版本已發佈一個星期,具備破解最高64個字元密碼的潛力,這全賴被鎖定的雜湊(Hash)而定。

首席Hashcat開發人員Jens Steube在版本注釋中指出,支援破解超過15字元長度的密碼,是版本更新中「迄今為止最需要的功能」。

「我們堅持新增這個『功能』,雖然會迫使我們移除許多最佳化機制,並導致快速雜湊效能的降低,」Steube寫道:「實際的效能降低,取決於GPU、攻擊模式等多種因素而定,通常平均值約在15%左右。」

資料來源:ZDNet
轉載自《網路資訊雜誌》

AV-Comparatives 手機版防毒軟體排名、評比 (2013年8月排行榜)

AV-Comparatives 手機版防毒軟體排名、評比 (2013年8月排行榜)

智慧型手機的市佔率越來越高了,不管是工作、生活或休閒娛樂..越來越多人越來越離不開智慧型手機。不過每種裝置越普及、市佔率越高,被駭客或有心人士盯上、惡搞的機會也越來越高。不管是手機被入侵、竊取個資或竊聽、窺探隱私..甚至惡作劇等,風險越來越高。

如果你擔心手機被病毒木馬入侵,或手機遺失、資料被竊等各種問題與風險,不知道該選擇哪套防護軟體的話,可以參考看看以下 AV-Comparatives 所提供的調查、檢測報告。以下報告主要是針對 Android 平台上 16 家大大小小的安全防護、防毒軟體做測試(如果你用的是 iPhone 的話可以直接跳過),當然,以下的排名不代表永遠都會是這樣,病毒與攻擊手法會一直更新,安全防護軟體也會一直進化,至少選用前幾名的程式應該都不會有太大問題。

另外,大部分安全防護軟體都不只提供防毒、防火牆功能而已,可能還會有流量檢測、遠端鎖定、遠端追蹤(定位)、遠端刪除資料、網頁過濾..等各種功能,除了病毒木馬或惡意程式的檢測率排名之外,還可依照自己的需求參考各種功能的適用性。

AV-Comparatives-2013-08

其實 Android 類的病毒、木馬或惡意程式雖然越來越多,不過如果你平常很少安裝各式 App,或只從 Google Play 商店下載較多人用、較知名廠商所提供的應用程式來用的話,應該比較少有機會遇到有問題的程式。

除此之外,盡量不要從來源不明的網頁或控管不嚴格的第三方軟體商店下載 App,安裝應用程式時也要多多注意該程式取用了哪些資料與權限,若有可疑的權限要求則盡量不要使用。當然,看到一些色色的或標題寫得很誇張的網頁或內容也盡量不要點選,應該可避免掉大多數的攻擊與惡意程式。良好的使用習慣與適當的警覺性,比安裝什麼軟體更為重要。

測試時間:2013 年 8 月
報告內容:Mobile Security Review (August 2013)
完整報告:按這裡
檢測報告下載: 201308-Android-中文版.pdf (2.06 MB)
檢測報告下載: 201308-Android-英文版.pdf (1.41 MB)

轉載自《重灌狂人》

2013年8月26日 星期一

研究:曾讓RSA灰頭土臉的Poison Ivy間諜軟體再現蹤跡

研究:曾讓RSA灰頭土臉的Poison Ivy間諜軟體再現蹤跡

根據最新安全研究指出,以攻擊安全方案商RSA出名的Poison Ivy遠端存取木馬程式(RAT),被發現仍活得好好的。


在安全方案商FireEye的全新安全報告中,特別強調3個進階持續威脅(Advanced Persistent Threat, APT)團體的惡意活動,這些駭客團體從2012年開始,便透過該惡意程式,對全球各地的組織發動超過70起的惡意攻擊事件。

FireEye威脅情報經理Darien Kindlund,於週四貼文談論有關透過Poison Ivy來發動的持續間諜攻擊活動,他並解釋何以該免費間諜軟體工具,能在精緻的惡意軟體市場持續活躍的原因。

Poison Ivy最早出現於2005年,2011年特別被運用在知名的「Nitro」攻擊活動中,該活動專門竊取美國及其他國家內許多化學公司的智慧財產。同年,該惡意程式也被駭客用於入侵安全公司RSA的攻擊中,並竊得該公司旗下SecurID產品線的相關資訊。

根據Kindlund表示,Poison Ivy具備擊鍵記錄(Keylogging)、螢幕及影像擷取,以及檔案傳輸能力,其雖然是隻普通的惡意程式,但卻能發揮重大的攻擊效益。

Kindlund並指出:「由於採用相當普遍的遠端存取工具,所以更難知道攻擊者到底是誰。」

正由於使用在APT攻擊情境中的RAT遠端存取木馬很難被判定,為此FireEye特別發布一個稱之為「Calamine」的免費工具包,以協助企業在面對Poison Ivy攻擊時,能加以有效偵測。

資料來源:SCMAGAZINE
轉載自《網路資訊雜誌》

駭客攻擊銀行新手段 電匯系統成目標

駭客攻擊銀行新手段 電匯系統成目標

分析師指出,駭客攻擊銀行的手法出現一些新的轉變,有別於過去專門鎖定個人帳戶以盜取金額,如今出現的新手法是直接攻擊銀行電匯系統,藉此竊取更高金額,在過去三個月內,已經有至少3家美國銀行業者因為電匯系統遭受攻擊,導致數百萬美元的損失。

Gartner副總裁Avivah Litan說明,過去銀行攻擊事件中,駭客往往藉由取得帳號、密碼而入侵個人帳戶,然後再將帳戶中的錢轉出,並透過如錢騾(money mules)等手法,經由假帳戶把帳款轉到海外帳戶。然而,最近幾個月發生的攻擊案件中,駭客攻擊目標轉向電匯系統,攻擊者不用再像過去一樣一次入侵一個帳戶,而是直接控制主系統,同時從多個帳戶將錢轉出,不過Litan沒有指出是哪些銀行業者受到攻擊。

Litan分析,這種新的攻擊型態意味著,駭客攻擊正朝向更深入銀行系統的方向發展,而且可能為銀行業帶來更大的破壞和損失。此外,值得注意的是,駭客還藉由分散式阻斷服務攻擊(Distributed Denial of Service,DDoS)作為此行動的掩護,Litan表示,駭客在攻擊電匯系統時會同時發動DDoS攻擊以轉移銀行的注意力,讓他們可以盡可能地騙取更多的錢,直到行動受到注意。

此外,這種攻擊手法並非一朝一夕就可達到目標,在入侵電匯系統前,駭客可能採取了進階持續性滲透攻擊(Advanced Persistent Threat,APT)手法。一般而言,電匯系統會受到高度保護,僅有少數銀行員工擁有特殊的帳號才能進入系統,因此,駭客很可能先透過惡意軟體進入銀行內部的網路、並入侵這些特定帳號,有了精密的布局後才發動攻擊。

為了避免這種新式攻擊手法造成龐大損失,Litan建議,銀行應該建立一個機制,一旦系統遭受DDoS攻擊時,轉帳系統運作的速度就會減緩,以降低損失。此外,她也強調,分層的詐欺預防和安全機制是絕對必要的。

KPMG最新甫發布的一份銀行績效指標報告(Bank Performance Benchmarking Report)指出,銀行業未來要面對的最大衝擊,很可能是網路犯罪,而不再是經濟問題。這一波鎖定電匯系統的新型態攻擊,也許只是一個新的開端,銀行業者應放眼未來,為未來更多可能的網路威脅做準備。

轉載自《資安人科技網》

客戶資料外洩 金管會罰中信銀400萬元

客戶資料外洩 金管會罰中信銀400萬元

金管會昨(22)日處分中信金控子公司中信銀,因辦理網路銀行業務疏失,導致客戶在該行網頁留存資料外洩,認為中信銀未落實內部控制制度,違反銀行法,處以罰鍰400萬元。

金管會表示,中信銀辦理網路銀行業務時,發生作業疏失,而使一般網路使用者,可進入該行網銀瀏覽並取得該行特定內部網頁所留存的客戶資料,導致客戶個人資料外洩,並且該行也未能有效發現外部人士瀏覽該行內部網頁,顯示中信銀有未落實執行內部控制制度的缺失,違反銀行法第45條之1第1項規定。

金管會銀行局因此依銀行法第129條第7款規定,核處中信銀新台幣400萬元罰鍰。



延伸閱讀:
慘了!「中國信託」銀行網站五萬多筆個資外洩!
中信銀網銀資料外洩 金管會:若內控疏失,最重可罰千

原文出處:經濟日報
轉載自《聯合新聞網》

2013年8月24日 星期六

英雄聯盟遭駭,使用者資料外洩

英雄聯盟遭駭,使用者資料外洩

Riot Games已緊急通知受影響的使用者,要求北美用戶更改密碼,同時也決定部署更嚴格的安全登入功能,包括新帳號必須進行電子郵件認證,以及改採雙因素認證等。


網路遊戲《英雄聯盟》(League of Legends)發行商Riot Games周三(8/21)坦承被駭,表示駭客存取了使用者資料庫,內含使用者名稱、電子郵件、加密密碼,以及部份使用者的真實姓名,這起意外主要影響北美的使用者帳號。

更嚴重的是,Riot Games的調查發現,約有12萬筆2011年的交易紀錄被存取,當中含有加密的信用卡號碼,該支付系統在2011年7月就停用了。

Riot Games已緊急通知受影響的使用者,要求北美用戶更改密碼,同時也決定部署更嚴格的安全登入功能,包括新帳號必須進行電子郵件認證,以及改採雙因素(Two-factor)認證等。

《英雄聯盟》為一多人連線對戰遊戲,目前約有上百款英雄可供玩家選擇,同時支援Windows與Mac平台,截至去年10月,該遊戲吸引了7000萬名的註冊用戶,其中每天的活躍用戶高達1200萬名,最多達到500萬名的同時上線人數。

轉載自《iThome》

2013年8月22日 星期四

在 Android 手機利用 dSploit 連線劫持 Flickr 與 Amazon 網站

在 Android 手機利用 dSploit 連線劫持 Flickr 與 Amazon 網站

什麼是 dSploit ?官方網站說:dSploit is an Android network analysis and penetration suite which aims to offer to IT security experts/geeks the most complete and advanced professional toolkit to perform network security assesments on a mobile device.
實簡單講就是一個裝在 Android 雷同 Metasploit 的精簡版,經常會被拿來當作手機上進行滲透測試的工具。

主要功能:
WiFi Scanning & Common Router Key Cracking
Deep Inspection
Vulnerability Search
Multi Protocol Login Cracker
Packet Forging with Wake On Lan Support
HTTPS/SSL Support ( SSL Stripping + HTTPS -> Redirection )
MITM Realtime Network Stats
MITM Multi Protocol Password Sniffing
MITM HTTP/HTTPS Session Hijacking HTTP /HTTPS
MITM HTTP/HTTPS Hijacked Session File Persistance HTTP/HTTPS
MITM HTTP/HTTPS Realtime Manipulation HTTP / HTTPS

限制:Android 手機必須符合以下系統要求:
1.僅支援 ARM cpu
2.Android 2.3 以上的OS
3.已經 root
4.安裝 BusyBox

註:不當的操作及使用可能會損害 Android 系統與裝置。

媒體報導及介紹:
http://www.linuxuser.co.uk/tutorials/pentesting-with-android-using-dsploit


轉載自《網路攻防戰》

2013年8月21日 星期三

PCMAN FTP Server 2.0.7 緩衝區溢位漏洞

PCMAN FTP Server 2.0.7 緩衝區溢位漏洞

根據網路上搜尋 PCMan's FTP Server 好像是由國內知名 BBS 連線軟體 PCMan 作者所製作的 FTP 架站軟體,目前好像也已經停止更新了。
但我搜尋 PCMan 作者的部落格卻沒看到相關記載,所以只能發文提醒管理者注意。

連續於2013/6月~8月由國外不同的資訊安全專家,發現 PCMan's FTP Server 具有緩衝區溢位漏洞及遠端存取的漏洞,並且已經釋放出概念驗證程式(PoC)與攻擊程式。
所以有安裝此版本的管理者&使用者請盡速更新或改裝其它版本。

PCMan's FTP Server 漏洞搜尋:
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=PCMAN&filter_exploit_text&filter_author&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port&filter_osvdb&filter_cve

緩衝區溢位漏洞概念驗證程式(PoC):
http://www.exploit-db.com/exploits/27277/
http://www.exploit-db.com/exploits/27703/

遠端存取攻擊程式(整合於 Metasploit):
http://www.exploit-db.com/exploits/27007/

攻擊示範影片:



轉載自《網路攻防戰》

新版ISO 27001:2013最終草稿本出爐 企業轉版掌握4步驟

新版ISO 27001:2013最終草稿本出爐 企業轉版掌握4步驟

新版ISO 27001:2013於今年2月公開徵求大眾閱覽及意見,彙整相關意見後,ISO組織已於上(7)月3日發布國際標準最終草稿本(FDIS版)。FDIS版本的下一個階段就是正式版本的頒布,雖然FDIS版還是可能與正式版本有差異,但專家建議企業應及早從FDIS版中了解未來可能的改變及調整之處。

SGS國際驗證服務部ISO 27001產品經理林志明表示,新版調整方向朝領域(domain)的廣度增加,更精簡有效的控制目標及控制措施(control)發展。例如原本11個領域 (A.5 – A.15)變為14個領域(A.5 – A.18),但控制目標的數量卻由39個變成35個,控制措施也由133個變成114個,新增控制項重點請見下表。

BSI英國標準協會驗證部協理謝君豪則建議,企業在規劃ISO 27001轉版時應注意以下步驟:
1) 進行人員教育訓練以了解新版內容;
2)做新舊版落差分析;
3)啟動專案,定義角色與權責;
4)進行相關活動的調整,包含制度面要求及控制措施面要求等。關於新版ISO 27000更多內容請見

至於企業最關心的時程問題,林志明指出ISO組織可能會在今年11月才正式公告最後版本。而公告後的18~24個月是過渡期,已經導入的企業需在這段時間內完成轉版,若超過轉換期,原ISO 27001:2005證書就將自動失效,企業應把握時間進行轉版規畫。


資料來源:SGS提供(2013.08)
轉載自《資安人科技網》

個資安全維護計畫已有4個產業出爐

個資安全維護計畫已有4個產業出爐

個資法自去(2012)年10月上路以來,至今已將近1年,部份企業為了因應個資法而導入個資管理制度或資安解決方案(如:DLP、DAM、LM…等),即便企業都有因應準備,但對於法規第27條所規範,中央目的事業主管機關得訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,仍舊相當關心。

根據行政程序法規定,相關子法與配套措施應在母法施行後半年內完成,按照個資法上路時程來推算,上述27條規範的相關管理辦法應在今(2013)年3月完成,只不過實際進度並未如預期,目前已經公告通過並實施的產業個資安全維護計劃僅有下述4種:
1. 票據交換所個人資料檔案安全維護計畫標準辦法,由中央銀行訂定;
2. 人力仲介業個人資料檔案安全維護計畫標準辦法,由勞委會訂定;
3. 不動產經紀業個人資料檔案安全維護管理辦法,由內政部訂定;
4. 多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法,由及公平交易委員會訂定。

經濟部工業局副組長林俊秀指出,其實相關管理辦法皆已制定完成,至今仍未正式公告的原因在於,工業局主管的製造業規模落差很大,若是不分規模大小一體適用,對產業將帶來相當大的衝擊,因此傾向設立指定適用的標準,換言之,只有符合標準(如:擁有個資筆數超過多少筆…等)的業者,才適用相關管理辦法,至於標準該如何訂定,才能兼顧個資保護又不會帶來太大衝擊,目前正在與產業積極溝通中。

綜觀各產業的個人資料檔案安全維護計劃,其內容不脫以下三點,第一、個人資料蒐集、處理、利用的程序;第二、委外稽核原則;第三、相關的安全管理措施,前二點與個資法母法暨施行細則規範差異不大,但在安全管理措施上則有比較明確的規範,例如:要有加密機制來保護個資、要進行權限控管…等。

對於還未進行個資保護或是不知道怎麼做的企業來說,或許可以先參考上述4個計畫,訂定自身專屬的個資檔案安全維護計畫,待主管機關推出相關管理規範後再予以調整,倘若以「缺乏配套規範」為藉口沒有任何作為,萬一不慎發生個資違法事件,可就得不償失了。

註:上述4個產業之個人資料檔案安全維護計畫
- 票據交換所
- 人力仲介業
- 不動產經紀業
- 多層次傳銷

轉載自《資安人科技網》

Android手機的隱藏代碼

Android手機的隱藏代碼


不同廠商的手機都會隱藏獨特的代碼,用來查看系統及固件版本,或者進行硬件的測試,當然 Android 手機也不例外,除了好像電腦一樣能顯示更詳細的手機資訊外,更可重設為原廠設定,更新相機韌體等。但部份代碼要謹慎使用,因為可能令手機失去原有的功能, 筆者只是網絡轉載,出現問題一概恕不負責。

*#*#4636#*#*
顯示手機資訊、電池資訊、電池記錄、使用統計資料、WiFi 資訊

*#*#7780#*#*
重設為原廠設定,不會刪除預設程式,及 SD 卡檔案。

*2767*3855#
重設為原廠設定,會刪除 SD 卡所有檔案。

*#*#34971539#*#*
顯示相機相機韌體版本,或更新相機韌體

*#*#7594#*#*
當長按關機按鈕時,會出現一個切換手機模式的視窗,包括: 靜音模式、飛航模式及關機,你可以用以上代碼,直接變成關機按鈕。

*#*#273283*255*663282*#*#*
開啟一個能讓你備份媒體文件的地方,例如相片、聲音及影片等

*#*#197328640#*#*
啟動服務模式,可以測試手機部分設置及更改設定

WLAN、 GPS 及藍牙測試的代碼

*#*#232339#*#* 或 *#*#526#*#* 或 *#*#528#*#* – WLAN 測試
*#*#232338#*#* – 顯示 WiFi MAC 地址
*#*#1472365#*#* – GPS 測試
*#*#1575#*#* – 其他 GPS 測試
*#*#232331#*#* – 藍牙測試
*#*#232337#*# – 顯示藍牙裝置地址
*#*#8255#*#* – 啟動 GTalk 服務監視器

顯示手機韌體的代碼

*#*#4986*2650468#*#* – PDA、 Phone、 H/W、 RFCallDate
*#*#1234#*#* – PDA 及 Phone
*#*#1111#*#* – FTA SW 版本
*#*#2222#*#* – FTA HW 版本
*#*#44336#*#* – PDA 、Phone、 CSC、 Build Time、 Changelist number

各項硬件測試

*#*#0283#*#* – Packet Loopback
*#*#0*#*#* – LCD 測試
*#*#0673#*#* *#*#0289#*#* – Melody 測試
*#*#0842#*#* – 裝置測試,例如振動、亮度
*#*#2663#*#* – 觸控螢幕版本
*#*#2664#*#* – 觸控螢幕測試
*#*#0588#*#* – 接近感應器測試
*#*#3264#*#* – 記憶體版本

轉載自《APK.TW》

2013年8月20日 星期二

知名網路服務掃描程式 Nmap 發佈 6.40 更新版

網路服務掃描程式 Nmap 發佈 6.40 更新版

主題:美國駭客年會(Blackhat 2010)"掌握 Nmap Scripting Engine "演講影片

Nmap(Network Mapper)是一個相當受歡迎的網路服務掃描、主機分析工具,為一開放原始碼的免費軟體,可支援 Linux, Windows 與 Mac OS X 等平台。

Nmap 整個軟體裡面包含了可檢視掃描結果的 Zenmap 工具、資料傳輸重定向與除錯工具 Ncat、偵測結果比對工具 Ndiff 與訊息分析工具 Nping 等。支援多種進階網路掃描與偵測技術,可在各種防火牆、路由器等網路環境中運作,協助我們找出可能的網路安全漏洞並提供主機或伺服器的系統版本、應用程式名稱版本與所使用的服務與連接埠…等等各種資訊。

雖說 Nmap 是一款掃描工具,不過它的主軸不是用在弱點掃描這件事情上,而是作為一種針對目標網路架構、拓樸、系統版本與架構探索上。所以在多款整合式的掃描工具上,其掃描前之網路探索上也會呼叫 Nmap 來進行探索,作為後續要進行的弱點比對的前哨戰。

Nmap 在許多安全檢測光碟(例如:BackTrack、Kali Linux)套件中都有內建,如用套件請記得更新!

參考資料:
維基百科:http://en.wikipedia.org/wiki/Nmap
官方網站:http://nmap.org/

主要更新項目:
1.[Ncat] Added --lua-exec.
2.Integrated all of your IPv4 OS fingerprint submissions since January (1,300 of them). Added 91 fingerprints, bringing the new total to 4,118.
3.Integrated all of your service/version detection fingerprints submitted since January (737 of them)! Our signature count jumped by 273 to 8,979.
4.Integrated your latest IPv6 OS submissions and corrections.
5.[Nsock] Added initial proxy support to Nsock.
6.[NSE] Added 14 NSE scripts from 6 authors, bringing the total up to 446.
7.[NSE] Oops, there was a vulnerability in one of our 437 NSE scripts.
8.Unicast CIDR-style IPv6 range scanning is now supported, so you can specify targets such as en.wikipedia.org/120.
9. It's now possible to mix IPv4 range notation with CIDR netmasks in target specifications.
10.修正之前版本的 Bugs。

下載處:
http://nmap.org/download.html

美國駭客年會(Blackhat 2010)的 Mastering the Nmap Scripting Engine 議題:
http://blackhat.com/html/bh-us-10/bh-us-10-archives.html#Fyodor

參考資料下載處:
https://media.blackhat.com/bh-us-10/whitepapers/Vaskovitch/BlackHat-USA-2010-Fyodor-Fifield-NMAP-Scripting-Engine-wp.pdf

簡報下載處:
https://media.blackhat.com/bh-us-10/presentations/Vaskovitch/BlackHat-USA-2010-Fyodor-Fifield-NMAP-Scripting-Engine-slides.pdf



轉載自《網路攻防戰》

2013年8月19日 星期一

臉書創辦人馬克動態時報被駭,破解過程全記錄!

臉書創辦人馬克動態時報被駭,破解過程全記錄!


臉書創辦人馬克的動態時報上出現了一則陌生人的貼文!來自巴勒斯坦的駭客Khalil Shreateh破解了臉書的隱私設定,他曾多次向臉書資安小組反應,卻都得到「這不是Bug」的回覆。於是他採取了最直接的方式:到馬克的臉書頁面上貼文。雖然目前馬克的臉書動態時報已經不見這則貼文,不過,Khalil Shreateh把自己破解的過程錄製成影片,全程只花6分鐘不到的時間就破解了臉書的隱私設定。

Khalil Shreateh先是在8月14日破解了一位女性臉書用戶的頁面,在「未成為朋友」的情況下,於該位女性用戶的臉書頁面上貼文。



Khalil Shreateh曾向臉書資安小組提報Bug,希望能向臉書證明用戶的隱私權設定在圖片這一塊確實存在問題。不過根據hackernews的報導,僅管Khalil Shreateh 2度向臉書資安小組提報,但是因為資安小組無法再現這樣的Bug,因此給了一個「這不是Bug」的答案。

雖然臉書會提供「找到Bug」的開發者一筆賞金,不過屢次提報都得不到認可的Khalil Shreateh也許已不計較這些,而是使出殺手鐧,直搗馬克的個人動態時報發文,希望證明他真的找到了漏洞。這次臉書資安小組終於回應,不過是提出侵權的警告,而非發給賞金。


但是Khalil Shreateh或許不需再煩惱那筆獎金,因為他在個人動態時報上貼出了一張照片,顯示要聘請他工作的信件如雪花般飛來。Khalil Shreateh寫道,獲得了一些尊重,感覺很好。


由於臉書最近持續改版,社交圖表搜尋上線後將更加強化社群內成員的脈絡,建議大家先設隱私權限,總比沒有好啊!

消息來源:hacknewsmashableKhalil
轉載自《AppGuru》

如何檢查自己的網站是否為StealRat殭屍網路的一部分?

如何檢查自己的網站是否為StealRat殭屍網路的一部分?

StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路,它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作,並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統,像是WordPress、Joomla和Drupal

在本篇文章裡,我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷,變成StealRat殭屍網路/傀儡網路 Botnet的一部分。

第一步是檢查是否有垃圾郵件發送腳本的存在,通常會用sm13e.php或sm14e.php的名稱。不過要注意的是,這些腳本可能會改變檔案名稱,所以最好還是要檢查是否有任何陌生的PHP檔案存在。

已淪陷網站內的垃圾郵件發送腳本

另一個檢查是否有惡意PHP檔案存在的方法是搜尋程式碼中是否有包含以下字串:

die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)

在Linux環境裡,你可以利用grep指令來搜尋這些字串:grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321” /path/to/www/folder/。而在Windows上,它的內容會是:”die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321”

PHP 檔案內所提到的字串

這些字串是PHP檔案內「die」程式碼的一部分(例如,當某些參數不符合時)。我們在DeepEnd Research的同伴貼出了一份sm14e.php的副本。據我們所知,這是已知在外的最新版本。和sm13e.php比較起來,sm14e.php現在支援發送垃圾郵件給多個電子郵件地址。除此之外,它仍然是相同的PHP程式,接受以下的參數:

l → 電子郵件地址(發送垃圾郵件的對象)
e → 九個隨機生成的字元
m → 郵件伺服器(像是google mail)
d → 郵件範本

它的回應會根據所提供的參數還有發送垃圾郵件行為的結果而有所不同:

腳本回應會根據結果

我們建議網站管理員刪除類似上述的檔案,並更新其內容管理系統 – 特別是WordPress、Joomla和Drupal。想了解更多關於此威脅的資訊,跟此威脅還需要注意哪些組件的問題,請參考趨勢科技的報告 – 「Stealrat:深入了解一個新興的垃圾郵件發送殭屍網路」。

原文出處:How to Check if Your Website is Part of the StealRat Botnet
原文作者:Jessa De La Torre(資深威脅研究員)
轉載自《雲端運算與網路安全趨勢部落格》

2013年8月18日 星期日

2款在 Apple iOS (iPhone & iPad) 上的 APP 被挖掘出多重軟體漏洞(含驗證程式)

2款在 Apple iOS (iPhone & iPad) 上的 APP 被挖掘出多重軟體漏洞(含驗證程式)

發佈日期:
2013-08-08 & 2013-08-16:Public Disclosure (Vulnerability Laboratory)

漏洞影響等級:嚴重 (Critical)

漏洞類型:遠端竊取 iOS 上的資料

說明:
資安研究者發現 2款 在 Apple iOS (iPhone & iPad)上的 APP 日前被挖掘出多重的軟體漏洞,攻擊者可以在未經授權的裝置利用該漏洞改變名稱並植入惡意程式,並取得任何在裝置內檔案路徑的相關資料。
這有漏洞的2款 APP 分別是:

APP軟體名稱:Copy to WebDAV - Virtual WebDAV / HTTP Server
官網 iTunes 的說明:https://itunes.apple.com/de/app/copy-to-webdav-virtual-webdav/id505898859
概念驗證程式(PoC)下載:http://www.vulnerability-lab.com/get_content.php?id=1044

iPhone Screenshot 1iPhone Screenshot 2

APP軟體:Photo Transfer - Upload and download photos and videos
官網 iTunes 的說明:https://itunes.apple.com/us/app/photo-transfer-upload-download/id672205608
概念驗證程式(PoC)下載:http://www.vulnerability-lab.com/get_content.php?id=1047

iPhone 螢幕快照 1iPhone 螢幕快照 2

轉載自《網路攻防戰》

2013年8月17日 星期六

迅雷被曝製造並傳播病毒,數千萬用戶成肉雞

迅雷被曝製造並傳播病毒,數千萬用戶成肉雞


大陸網站指出,迅雷疑似利用植入名為 INPEnhSvc.exe 的後門程式進行下列工作:

1、獨立於迅雷的自動啟動後門程序,未經用戶允許植入Windows的系統目錄,開機時自動啟動。
2、根據雲端佈署檔案的指令,在用戶電腦上修改IE瀏覽器首頁,在IE我的最愛中加入網址。
3、病毒內建多種apk,會後台下載安裝adb(Android手機驅動),當用戶手機連接至電腦上,會在用戶手機上背景安裝若干種網際網路軟體。
4、後門會監測若干種系統管理工具和軟體除錯分析工具,一旦發現,後門會停止危險動作,以達到隱藏目的。

阿榮安裝最新版後並無發現該後門程式,請讀者檢查「C:\Windows\System32\」下是否有「INPEnhSvc.exe」,若有,請立即刪除之!




原文出處:IT之家
轉載自《阿榮福利味》

2013年8月16日 星期五

華盛頓郵報網站遭敘利亞網軍入侵 破壞新聞自由一大隱憂

華盛頓郵報網站遭敘利亞網軍入侵 破壞新聞自由一大隱憂


華盛頓郵報網站於週四早上,遭到同情敘利亞總統阿薩德(Bashar al-Assad)的駭客團體入侵而導致停擺,新一波針對美國新聞媒體的協同攻擊於焉展開。

自稱「敘利亞電子軍團」(Syrian Electronic Army, SEA)的駭客團體對外宣稱,已成功將華盛頓郵報網站(washingtonpost.com)相關報導的讀者,重新定向至SEA網站上。該組織力挺阿薩德,全因為他長期領導對敘利亞內部叛亂的血腥戰役。

整個入侵持續約30分鐘,並影響到許多國外新聞媒體。「我們已採取防禦措施,目前沒有任何會對網站造成影響的問題出現,」華盛頓郵報數位執行總編輯Emilio Garcia-Ruiz表示。

本週伴隨著不明來源網路釣魚攻擊而來的駭客入侵,專門鎖定華盛頓郵報記者郵件帳號的密碼與登錄資訊。發送電子郵件到該郵報信箱的攻擊來源,似乎源自於郵報內的同仁;該郵件引導收件人點取連結並提供登錄資料。該資訊接著會被外部來源用來獲得非法存取電腦網路的權限。

郵報主管認為,敘利亞電子軍團也就是釣魚詐騙攻擊的發起源頭。

於週四早上發佈的推文(tweet)中,SEA駭客團體宣稱,在一波攻擊行動中,該團體同時駭入華盛頓郵報、美國有線電視新聞網(CNN)與時代雜誌(Time Magazine)等媒體網站。

該推文並指出,郵報網站被駭是因為駭客透過郵報自家內容推薦平台Outbrain而發動的,該平台會自動依據使用者的基本背景資料,來推薦適合讀者口味的其他報導內容。

資料來源:WashingtonPost
轉載自《網路資訊雜誌》

修補程式凸槌,微軟緊急撤下Exchange 2013安全更新

修補程式凸槌,微軟緊急撤下Exchange 2013安全更新


MS13-061修補Microsoft Exchange Server的3個重大漏洞,不過,微軟很快就接到通知,部署該更新後使用者的郵件資料庫的內容索引就會失效,而且 Microsoft Exchange的搜尋代管控制器也被重新命名。

微軟於本周二(8/13)進行每月的例行性更新,釋出8個安全公告,其中的MS13-061修補了Microsoft Exchange Server的多個漏洞,相關漏洞可能導致遠端攻擊。不過,在MS13-061上線數小時後即被微軟撤下。

MS13-061修補Microsoft Exchange Server的3個漏洞,這些漏洞存在於WebReady文件檢視與避免資料遺失的功能中,可能會導致遠端程式攻擊,在各種Microsoft Exchange Server版本中都被列為重大(Critical)更新,包含Exchange 2007、Exchange 2010與Exchange 2013。

不過,微軟很快就接到通知,部署該更新後使用者的郵件資料庫的內容索引就會失效,而且 Microsoft Exchange的搜尋代管控制器也被重新命名,這影響了所有安裝Mailbox伺服器的使用者,讓微軟很快就決定暫時移除MS13-061。

此一更新失敗的問題並不影響Exchange 2007或Exchange 2010。針對已安裝該更新的Exchange 2013用戶,微軟提供了KB 2879739來引導用戶一步步地解決。

微軟上個月的例行性更新也出錯,這也讓一些媒體把微軟每月第二個周二的例行性更新稱為「黑色星期二」(Black Tuesday)。

微軟首席專案經理Ross Smith坦承,MS13-061在發表前並未於微軟內部進行部署,所以才沒被發現,並承諾未來所有的更新都會在內部環境部署並經實際測試後才會發表。

轉載自《iThome》

WeChat 微信暗藏木馬?收張圖…支付寶就空了!

WeChat 微信暗藏木馬?收張圖…支付寶就空了!

雖然Whatsapp 在早前加入與Wechat 相似的對講機功能,但Wechat 仍然有它的賣點,例如新增附近的朋友,或無壓縮傳送相片,但近日就有消息指Wechat暗藏木馬病毒,如果用戶錯誤按到病毒連結,就會出現一個安裝提示,只要用戶一旦安裝,病毒就會盜採你的資料,例如你的支付宝資金會全部失去。

根據消息透露,近日在網上不斷有人指出,利用 Wechat 聯絡賣家,這名賣家會發送產品資料的連結給事主,就會出現安裝授權提示,病毒就隨即入侵他的手機,支付寶賬戶的資金在非事主知情下用光了;另外亦有用戶聲稱,因為由朋友的Wechat 中收到一個二維碼圖,只要掃瞄就可以得到優惠,掃瞄二維碼圖後,同樣出現木馬連結,導致用戶的支付寶賬戶的資金被黑客非法盜用。

根據各種案例,發現駭客會偽裝好友,或是以網上購物的賣家身份,利用購物優惠等等,利誘事主安裝木馬程式,再盜取用戶的支付寶賬戶內的資金,雖然木馬病毒尚未得到證實,但在這裡呼籲各位,要小心不名來歷的圖片、網址、二維碼等等訊息,避免因為利益而誤中黑客陷阱,因為駭客不能直接入侵你的裝置,只要用戶小心,就可以避免被不法之徒盜取你的個人資料。


原文出處:New MobileLife
轉載自《T客邦》

2013年8月15日 星期四

Juniper 報告:行動平台的惡意程式一年增加 6倍

Juniper 報告:行動平台的惡意程式一年增加 6倍

Juniper Networks行動威脅中心(Mobile Threat Center, MTC)發現,去年三月到今年三月行動惡意程式成長 614%到達276,259 個,顯示網路罪犯對入侵行動裝置有極大興趣。

此外,從惡意程式作者設計攻擊及傳染策略來看,這顯然已成為一個可以營利的產業。
在MTC偵測到的威脅中,以Android作業系統裝置為目標的惡意程式,從 24%增加到 92%,這顯示駭客已集中火力在撰寫成為行動裝置平台的Android。

根據 IDC 資料顯示,Android佔智慧型手機作業系統的 59%,第二名 iOS則為 23%。

MTC並發現,73%的惡意程式為簡訊木馬。它們會誘騙使用者在不知情中傳送簡訊到駭客設立的付費簡訊號碼,藉此獲利。

Juniper 研究人員發現,全球至少500多個第三方軟體商店含有Android惡意程式,其中 3/5來自中國和俄羅斯。

免費行動軟體會追蹤使用者位置的程式成長三倍,會存取使用者通訊錄者成長2.5倍,而要求或成功存取個人資訊的軟體,也翻了近一倍,由5.9%增加為10.5%。


原文出處:中國IT視界網

轉載自《Weblisher 威旭數位》

Android行動廣告網路恐成為散佈惡意程式的幫兇

Android行動廣告網路恐成為散佈惡意程式的幫兇

根據Palo Alto Networks研究人員指出,他們發現了全新的Android安全威脅,Android行動廣告網路具備一個可提供Android設備惡意軟體服務的安全漏洞。


大多數行動開發者,為了增加營收,會將廣告框架嵌入到他們的應用程式中。不同於在Web瀏覽器內所顯示的廣告,行動應用程式所顯示的廣告,實際上是由這些應用程式自身一部分的程式碼所提供。

Palo Alto Networks的資深安全分析師Wade Williamson於週一在部落格貼文指出,行動開發者常常會透過將行動廣告網路程式碼植入到行動應用之中,來確保廣告能被追蹤,同時開發人員能獲得報酬,但儘管如此,這類第三方程式碼與植入到裝置中的惡意程式是一樣的。

「一旦行動廣告網路變成惡意淵藪,那麼即使原本完全良性的應用軟體,也會淪為將惡意內容散播到行動設備中的幫兇,」Williamson指出:「就這點來看,這無異是個現成的殭屍網絡。」

其實,已有這類型攻擊的前例可循。今年4月間,行動安全公司Lookout確認在Google Play應用商店上所發現的32個應用程式,竟然採用了稱之為「壞消息」(BadNews)的詐騙廣告網路。

這些應用程式原本是良性的,但該惡意廣告網路卻透過這些應用程式,來推動專門針對講俄羅斯語使用者的詐騙惡意程式與詐騙費用營收。其所採用的惡意程式會假冒成其他流行應用程式的更新程式。

資料來源:TechHive
轉載自《網路資訊雜誌》

利用 Kali Linux 內的 Metasploit 建立一個 DLL/FLV payload(影片示範)

利用 Kali Linux 內的 Metasploit 建立一個 DLL/FLV payload(影片示範)

這部示範影片原作者雖然只有錄製短短4分鐘,但說實在的沒有 Metasploit 操作及製作惡意程式的基本概念還真不好懂他在幹嘛!

先講結論;就是利用 Metasploit 的 Msfpayload 指令產出一個會呼叫惡意程式(DLL檔案)的FLV格式的影片。

重點說明與參考資料:
如何利用 Metasploit 產出 Payloads 的方法:
http://www.offensive-security.com/metasploit-unleashed/Generating_Payloads

利用 Metasploit 的 Msfpayload 指令產出 可攻擊漏洞的 Payloads/Shellcode:
http://www.offensive-security.com/metasploit-unleashed/Msfpayload

名詞解釋:
Shellcode : 取得系統控制權的攻擊程式之核心代碼,通常是由 16 進位的編碼所構成。但後來簡化描述成能取得系統控制權的惡意代碼就叫做 Shellcode 。

Payload : 這個名詞其實很難翻成中文解釋,硬要翻譯是叫作"有效載荷",我相信翻成這樣會有看沒有懂。其實就當成是廣義上的 shellcode 惡意代碼的統稱。

Injector : 為注入程序;換成植入惡意程式的程序這個說法可能會比較好懂。主要是掛載和發送 shellcode,提供回傳訊息等功能。

Exploit : 一個經典的 Exploit 是由 Payload/Shellcode 和 Injector 所組成,其中 Payload/Shellcode 負責取得系統的控制權,而 Injector 則負責將 Payload/Shellcode 植入到相對應漏洞的系統中,然後進行攻擊並得到目標系統控制權。


轉載自《網路攻防戰》

HTML5 的攻擊手法

HTML5 的攻擊手法

HTML5為HTML下一個主要的修訂版本,為了能夠更容易在網頁裡針對多媒體、圖片等內容作處理,它添加了許多語法特徵。也增加一些新元素跟屬性,以便於更易於被搜尋引擎的索引整理、視覺化設計使用和使用於行動裝置上。


大致上可以將HTML5中的安全威脅分為三大類:

1. 原有安全問題於HTML5中出現:如最常見的跨站腳本攻擊(XSS)與資料隱碼攻擊(SQL Injection)依舊會在HTML5的時代中繼續出現。

2. 因HTML5新功能所衍生之新問題:以 HTML5所提供的新功能來實作完成威脅手法。例如,以LocalStorage存放XSS攻擊程式與shell code、HTML5為基礎的殭屍網路(Botnet) 透過Web socket API功能達成C&C(Command & Control)以及資料傳輸等;利用HTML5 達到內部網路掃描,一般而言,駭客要進入到內部網路除了透過郵件攻擊方式外,多半需要耗費不少功夫,而透過HTML5就可以透過使用者瀏覽網頁時就發動對內部網路的掃描。此外,HTML5還可以在用戶授權下取得GPS位置資料,用戶隱私更容易暴露風險之中。

3. 因新平台所衍生之新問題:因為HTML5同時為許多新平台、新瀏覽器(browser)的內容規格,因此許多原先的平台與瀏覽器便需要更新其版本與功能。新平台的推出表示有更多的機會產生弱點,尤其是要處理HTML5這樣功能豐富、內容變異性高的內容規格,可以預期在新平台與新瀏覽器將有新一代的安全問題產生。

本文作者詳細介紹了 HTML5 的普及之後其所帶來的新安全威脅。
1. CORS (Cross Origin Resource Sharing) Attacks
2. Stealing CSRF Tokens
3. Accessing Internal Servers
4. New XSS HTML 5 Vectors
5. Offline Web Application Cache Poisoning

詳細內容請參閱原文出處!

原文出處:Demystifying HTML 5 Attacks
轉載自《網路攻防戰》

藉自動更新系統散佈惡意程式建立殭屍大軍(影片說明)

藉自動更新系統散佈惡意程式建立殭屍大軍(影片說明)

南韓最高政治中心青瓦台網站於 2013/6/25 爆發網站遭受駭客攻擊,導致網頁被置換並關閉事件,引起全球矚目。根據趨勢科技全球病毒防治中心Trend Labs的最新研究發現,韓國雲端儲存服務軟體「SimDisk 」伺服器在此波攻擊中疑似遭駭客攻擊並置入檔名為「SimDiskup exe.」的惡意程式,其透過自動更新系統散佈至使用者端,試圖造成大量的感染,成為受駭客控制的網路「殭屍大軍」,進一步發動DDoS 攻擊試圖癱瘓政府網站。



轉載自《網路攻防戰》

2013年8月14日 星期三

美國 BlackHat 大會上討論的三個行動漏洞:Android的「master key」漏洞,SIM卡和iPhone充電器漏洞

美國 BlackHat 大會上討論的三個行動漏洞:Android的「master key」漏洞,SIM卡和iPhone充電器漏洞

雖然大部分行動威脅都是以惡意或高風險應用程式的形態出現,行動設備還是會被其他威脅所擾。比方說三星Galaxy設備上所出現的臭蟲和OBAD惡意軟體可以利用漏洞來提升權限。不幸的是,這些並不是行動用戶所需要警惕的唯一漏洞。

就在最近的美國BlackHat大會上,有三個漏洞被討論著:Android的「master key」漏洞,SIM卡iPhone充電器的漏洞

「master key」漏洞最初被報導會影響99%的Android行動設備。這和Android應用程式如何被簽章有關,可能會讓攻擊者不用開發者的簽章金鑰就可以更新已安裝的應用程式。利用這漏洞,攻擊者可以將正常應用程式更換成惡意軟體。當我們的研究人員發現一起攻擊利用這漏洞的去更新並木馬化銀行應用程式。我們親眼看到這個影響會有多大

另一方面,第二個行動設備弱點是多數SIM卡所用的舊加密系統。想利用這漏洞,攻擊者只需發送會故意產生錯誤的簡訊。結果就是SIM卡會回應包含56位元安全金鑰的錯誤代碼。這金鑰可以讓攻擊者用來發送簡訊給設備,以觸發下載惡意Java程式,可以用來執行一些惡意行為,像是發送簡訊,監控手機位置。

跟「master key」漏洞不同的是,SIM卡漏洞可能會影響更多的使用者,因為它並不限定作業系統。此外,由於所述威脅是因為使用舊的解密方式,更新SIM卡以使用較新解密功能對電信業者來說可能會被認為不切實際而昂貴。

還有其他方法來防止針對此漏洞的攻擊。過濾簡訊會是個好開始,不過可能無法用在很基本功能的手機上。有些電信業者也在網路內提供簡訊過濾功能,不過這取決於行動業者。

第三個漏洞確認了即使是iPhone也不能免於漏洞。來自喬治亞理工學院的研究人員可以製造出一個惡意的充電器(也稱為Mactan),其中包含了微型電腦以用來發起USB指令。在最近的美國BlackHat大會上,研究人員展示了惡意充電器可以如何去感染iPhone和執行命令。Apple公司已經宣布了他們下一次軟體更新會解決用來進行攻擊的漏洞問題。

一個在未來更需關心的事情

到目前為止,像Google、Apple和三星等廠商都對這些安全問題迅速地作出回應。不過想想看,到目前為止,行動威脅最已知的形式是大量的惡意應用程式,行動運算漏洞的出現顯示了不同的可能性,也更加令人關注。

從我們在處理個人電腦威脅上所學到的,漏洞對威脅來說是非常有效的途徑。無論對使用者還是開發者來說,它們都非常地棘手。在個人電腦上如何處理漏洞問題還是有許多的討論在進行中,修補程式管理也是一個問題。而這問題在行動運算上可能不會有什麼不同,這趨勢可能會繼續下去。甚至可能會因為消費化和碎片化的關係而變得更加複雜。

行動用戶對於如何防護他們的設備免於威脅的需求比以往任何時候都還要大,也勢必會更加關鍵。不僅僅是因為新威脅或感染點的出現,已知威脅也變得越來越多,而且經過改良。正如我們最近所發表的二〇一三年第二季資安綜合報告裡所提到,攻擊Android的惡意和高風險應用程式已經達到了718,000個,在短短六個月內增加了350,000個。

現在使用者所可以採取的最佳行動就是確保他們的設備軟體是更新的。再加上安裝安全軟體,以及只從信任的來源下載,都有助於減少受攻擊的風險。

想了解更多關於這些漏洞和其他行動威脅趨勢的發展,請參考我們的二〇一三年第二季資安綜合報告 – 「行動威脅全速前進:設備漏洞形成危險之路」。

原文出處:Exploiting Vulnerabilities: The Other Side of Mobile Threats
原文作者:Gelo Abendan
轉載自《雲端運算與網路安全趨勢部落格》

2013年8月13日 星期二

BlackHat 2013搶先看:駭客善用雲端技術管理APT攻擊

BlackHat 2013搶先看:駭客善用雲端技術管理APT攻擊

APT攻擊事件頻傳,駭客是如何管理這些被控制的電腦與攻擊工具(即惡意程式)?在日前(7/19)舉辦的HITCON上,XecureLab研究員邱銘彰指出,他們在觀察APT攻擊事件時,曾經發現同一個攻擊來源使用不同的惡意程式,經過研究證實駭客會製造很多惡意程式並予以分門別類,各自肩負不同任務,而這份研究結果也會在7月底BlackHat 2013上公開發表。

邱銘彰將此次作為研究對象的攻擊事件命名為APT101,並提出以下幾個數據:
 - 受害者分佈超過30個國家/地區,以台灣、美國、韓國、及大陸最多
 - 最早的活動記錄從2007年開始,至今年7月都還在持續進行中;
 - 目前共有25名管理者、控制5800台以上的殭屍電腦及4種不同Botnet;
 - 在1.5年內使用產生器產生210隻後門程式,平均1.5天產生1隻惡意程式,而這些後門程式還會依據功能自動分類

傳統Botnet的資料蒐集模式為,殭屍電腦連到同一個C&C中繼站,駭客在此收取資料,然而在APT101的運作模式卻非如此,其管理採分層式架構(如下圖),且每個Botnet各自獨立運作,所使用的惡意程式、C&C中繼站皆不一樣,並由不同管理者來負責,而最高首領則在最末端監控所有Botnet的運作。

從下圖可以看出,下Command指令與資料傳送分為兩個不同線路,駭客會指派Botnet裡的某一台殭屍電腦擔任班長一職(每個Botnet都會設立一位班長),負責對其他殭屍電腦下達Command指令,而殭屍電腦收到指令後則走另外一條路,將資料傳送到C&C中繼站。


邱銘彰進一步指出,IT人員常常遇到一種情況:移除惡意程式、重灌電腦後,沒幾天又在電腦中發現同一隻病毒,就是因為沒有抓到在下command指令的班長,所以即便移除了惡意程式,駭客還是可以由後台派送指令給Botnet班長,班長就會將惡意程式再一次傳送到殭屍電腦中,而且駭客在派送指令還會保存Log,記錄上次那台殭屍電腦執行到哪個指令,因此邱銘彰強調,當惡意程式成功進入內網後,就不只是一台PC的問題,而是一群電腦都有危險。

值得一提的是,今年5月發生的政府電子公文交換系統被駭事件,當時負責處理事件的人員私下透露,駭客將惡意程式偽裝成電子公文系統更新檔,主動派送至有權利收發公文的電腦中,而且會選擇只派送至重要電腦(即有權接觸機密資料),不同單位、不同受駭電腦所連到的中繼站也不一樣,這情形恰好與邱銘彰的研究結果不謀而合。

另外,操控APT101的駭客集團會將後門程式分門別類,如:第一階段攻擊程式是用來識別環境是否安全,例如:是不是在沙盒環境裡,接著才會決定下一步動作要做什麼,假設識別出該環境就是目標電腦,才會再安裝第二波後門程式,也就是用來竊取資料。

最後,邱銘彰強調,雖然APT101受害者眾多,與以往APT事件一直強調的針對性似乎不太相同,但是從工具/武器本身來看的確是APT攻擊沒錯,而且受害者雖然散佈在不同地區,但彼此間可能有某種關聯,如:都是某單位的承包商…等,企業應該謹慎以待。

轉載自《資安人科技網》

網路入侵頻傳,日本IPA呼籲勿在不同網站使用相同帳密

網路入侵頻傳,日本IPA呼籲勿在不同網站使用相同帳密

日本最近發生多起網路服務遭非法登入的事件,多為有心人士將不明管道獲取的帳號密碼清單,以自動連續輸入程式一一到各個網路服務伺服器嘗試登入的結果。IPA指出,這種攻擊方式不論使用者在個人電腦上使用多麼強大的防毒軟體或防火牆都沒有辦法防堵。

日本資訊處理推進機構(IPA)發表8月份資安重點呼籲,指出不同網路服務應用不同帳號密碼才能保護個資,希望喚起日本民眾對自身帳號密碼的警覺心。

日本最近發生多起網路服務遭非法登入的事件,多為有心人士將不明管道獲取的帳號密碼清單,以自動連續輸入程式一一到各個網路服務伺服器嘗試登入的結果。在這之中只要有成功登入的帳號密碼組合,就會被選出來再嘗試登入其他網路服務,如果民眾習慣只用一組帳號密碼通行於網路世界中,個資很可能因此全部被竊取而不自知。

IPA指出,這種攻擊方式不論使用者在個人電腦上使用多麼強大的防毒軟體或防火牆都沒有辦法防堵,因為帳號密碼是由某個網路服務伺服器直接取得的,重要的是應該如何使用多組帳號密碼登入不同服務並妥善管理。

目前日本出現的被害狀況只是冰山一角,有心人士現在仍可能不斷的在嘗試以相同手法登入各個服務伺服器,因此絕不能因為沒有企業發表被害報告,就認為自己的帳號密碼是安全的。

一般民眾也許可以理解登入不同網站應該要使用不同的帳號密碼,但卻因為記不住、很麻煩等原因,仍然只使用固定的一兩組帳號密碼通行於網路世界中。因此,IPA提供可方便且安全管理多組帳號密碼的建議,例如將多組帳號密碼製作成列表式的檔案加密儲存,或是將檔案壓縮在附密碼的壓縮檔中。

如果帳號密碼登入的服務與金錢、信用卡資料有關,除了套用上述方式之外,IPA還建議進一步把帳號與密碼分開保存在不同檔案中,或是用手寫方式抄錄在個人筆記本中妥善保管,如此更加安全。

另外,當自己的帳號密碼證實遭非法登入後,為了防止被害狀況進一步擴散,民眾最好立刻變更密碼,並主動聯繫提供服務的企業了解後續相關賠償與處理狀況,若與信用卡或虛擬錢幣有關,也要立刻聯繫發卡銀行或負責的企業,與專業人士討論後續應對方法。

図1:利用者の観点から見た、パスワードリスト攻撃による被害のイメージ図

轉載自《iThome》

防禦APT從Log分析開始

防禦APT從Log分析開始

APT攻擊是近來最熱門的資安話題之一,不僅使用者關注如何才能防禦APT攻擊,資安市場上也在過去1~2年來推出相對應的解決方案,不過許多資安專家都建議,防禦APT攻擊應該從Log分析開始。

由於APT攻擊通常會潛伏一段時間才會開始行動(如:竊取資料),企業與其為了防禦APT攻擊而採購新的資安解決方案,不如培養內部Log分析人才,從Log中找出資料外洩前、駭客為了佔據內部電腦所留下來的蛛絲馬絲,倘若有不足之處再透過APT解決方案來補強。

資安專家Steven指出,今(2013)年5月底發生的政府電子公文系統被入侵事件,就是從Log中看出端倪,雖然在駭客植入惡意程式的當下,並沒有發現異常,但是當惡意程式開始對外傳送資料時,資料傳輸量大於平常水準,從Log中就可以看出這種異常。

而在前不久舉辦的HIT駭客年會上,中華電信研究所助理研究員游啟勝也表示,從Log中可以看出的資訊像是:
(1) 透過郵件伺服器Log找出潛在受害者;
(2) 透過DNS伺服器Log找出潛在受害者,舉例來說,IT人員可以追查Domail name的註冊者/更新頻率/記錄留存時間(TTL; Time to live)/IP更換頻率(不應該太頻繁);
(3) 從Proxy、AP或檔案伺服器檢查有沒有HeartBeat連線;
(4) 從辦公室內的PC可以找出,發出連線Threat或丟出惡意程式的電腦。

另外,游啟勝提醒企業在進行大量Log處理與分析,有幾個值得注意的點,像是:(1)套用軟體節省分析時間、(2)依照Log種類與嚴重程度進行組織的應用客製過濾、(3)針對重要的Log進行即時過濾與通知…等,惟有如此,才能發揮透過Log即早預警資安攻擊的效用。

轉載自《資安人科技網》

新殭屍網路攻擊,專找部落格與內容管理網站下手

新殭屍網路攻擊,專找部落格與內容管理網站下手

網路安全公司Arbor Networks最近發布一份報告指出,最近發現一個新的殭屍網路攻擊,稱為Fort Disco,專門鎖定部落格和內容管理系統(CMS)網站,一旦電腦不慎遭到感染,也將開始散布殭屍病毒並攻擊其他系統。

Arbor Networks的研究分析人員Matthew Bing指出,Fort Disco約從2013年五月底開始進行,目前仍在進行中。該殭屍網路由超過2.5萬台的Windows電腦組成,目前已經發現有六台用來控制殭屍電腦的C&C伺服器。

然而,別於過去許多殭屍網路鎖定一般個人電腦,Fort Disco專門鎖定部落格和CMS網站。以CMS網站為例,包括Joomla、WordPress等網站都已受害,截至目前為止,則有超過6千個Joomla、WordPress和Datalife Engine的安裝程式,成為密碼破解下的受害者。

報告中也進而分析,Fort Disco使用了至少四種的變種Windows病毒,而這些病毒似乎來自於被稱之為惡意軟體即服務(malware-as-a-service)的Styx Exploit kit攻擊套件中。被Fort Disco的殭屍病毒感染的電腦,會採取密碼暴力攻擊(brute-force)手法,入侵採用PHP的部落格和內容管理網站。至於惡意軟體安裝和感染的確切手法目前仍在調查中。

資安專家指出,約從去年開始,觀察到許多殭屍網路從家用電腦轉向商用伺服器。而Fort Disco之所以專門找部落格和內容管理網站的伺服器下手,很可能是基於以下三大理由:

第一,相較於一般家用電腦的網路其頻寬有限,部落格和內容管理網站多傾向採用資料中心的服務,因此,其網路頻寬較大,意即攻擊者只需感染較少的電腦,就獲得較大的網路流量,讓攻擊者具有更大的攻擊力道,而這種手法很適合用在大量的垃圾郵件和DDoS攻擊。

其次,這類型的網站主要都設計成互動性的模式,因此,一但網站被感染,該網站就可以被用向使用該網站的用戶進行偷渡式(drive-by)下載或水坑式(waterhole)攻擊。

最後,許多部落格營運商通常都不是安全專家,而且採用較弱的密碼保護機制,因此讓攻擊者較容易得逞。

轉載自《資安人科技網》

非典型APT

非典型APT

APT最重要的特性就是非典型,而面對APT攻擊最有效的方法就是強化資安鍊條的每一段強度。 

過去我們所面臨的資安威脅,都有特定的定義。不論是從一開始的電腦病毒,到演化為變種的電腦蠕蟲,以至近期的木馬程式,這些說法都代表著一種特定的威脅,也會衍生出相對應的防護措施,防病毒、防蠕蟲、防木馬等等的工具因應而生。

我們對於資安防禦的觀念,其實也在這種演化的過程中逐漸定型。中毒了,就裝防毒軟體;中木馬了,就裝防木馬的軟體。但是,APT(Advanced Persistent Threat)一被提出來之後,這個歷久不衰的觀念就踢到鐵板了。

或許是因為在這一路的演化過程中,大家聽過了太多的資安專有名詞了,所以再聽到一個APT,其實也不會有什麼值得大驚小怪的。反正就依照慣例,中了APT,不就是再裝個防APT的資安軟體罷了。然而,這回可就不是如此。

APT到底是什麼?光從它的名稱實在是看不出個所以然,也難怪我們很容易把它當成是病毒的同義詞。但是,在APT的攻防戰中,不再像過去應付資安威脅那樣好處理,沒有單一軟體能有效解決APT,目前也沒有單一廠商能提供完整方案。對APT的認知錯了,就會導致整個防禦策略的錯誤。

在本期的封面故事中,我們試圖以幾個真實的APT攻擊案例來說明,包括日前在全世界引起軒然大波的APT1調查報告,首度在臺灣揭露的APT101報告,以及日本資安研究員發現的多層次釣魚郵件攻擊。希望藉由深入描述APT攻擊內幕,幫助大家認識APT攻擊的特性。

以美國資安公司Mandiant揭露的APT1報告來說,他們多年持續追蹤的141起攻擊事件,一路引領他們到達位於中國上海的中國人民解放軍總參三部二局的61398部隊基地。原來,中國網軍確有其事,而且這141起攻擊事件橫跨20個主要的產業,所以不是只有政府機關會面臨網軍威脅,許多企業早已是網軍滲透、竊取商業情報的目標。其中有兩個被害組織就位於臺灣。

除了美國的報告,臺灣的資安研究團隊也不遑多讓,由中研院與資安公司艾斯酷博合作的研究團隊,首度對外公布了一個從2007年就開始攻擊臺灣,至今仍持續針對政府機關與民間企業發動釣魚郵件攻擊的駭客組織APT101。

臺灣的APT101調查雖未直接證實駭客組織是中國網軍,卻也突顯APT攻擊者是一群擁有嚴謹工作流程的精良部隊,執行著宛如導彈般精準的網路攻擊行動。臺灣的資安研究團隊發現,APT101駭客組織只有約25人,操縱著分散在4個不同傀儡網路的數千臺電腦。他們用於攻擊的惡意程式有統一的命名原則,而惡意程式又分好多種,在攻擊行動的不同階段,配合著自動產生器自動產出攻擊用的釣魚郵件。

第一波攻擊的惡意程式,可以不驚動防毒軟體而入侵電腦,在無聲無息地搶灘之後,開始以合法指令蒐集電腦與網路資訊,讓駭客決定第二波派出更具殺傷力的惡意程式。如此有層次的一波波展開攻擊,長期潛伏竊取資訊,可謂蠶食鯨吞。

日本的研究員則發現手法更精良的多層次釣魚郵件,駭客謊稱學校要訂購商品,要求廠商填寫校方要求的文件,廠商接著收到的文件檔案其實就挾帶第一波入侵的惡意程式,接下來駭客又謊稱第一次寄送的文件檔案格式不對,要求廠商再收一次信,第二封信就是挾帶著第二波攻擊所需的惡意程式。就在這樣的往返通訊過程中,駭客以社交工程手法來掩飾,逐一讓惡意程式依照其設定好的順序潛入企業。

上述案例中,不難發現APT攻擊有一些相似性,卻又不是完全相同。沒錯,APT最重要的特性就是非典型,它沒有特定的型式,因為駭客會想盡辦法攻下目標。所以面對APT沒有萬靈丹,有效的方法就是強化資安鍊條的每一段強度

轉載自《iThome》

日本大型社群網路公司GREE遭駭,近4萬用戶個資陷外洩風險

日本大型社群網路公司GREE遭駭,近4萬用戶個資陷外洩風險

GREE於8月5日發現伺服器出現大量登入錯誤的資訊,追溯後發現遭到惡意第三者大量的非法登入攻擊。調查後認為帳密並非從該公司伺服器外洩,可能自其他不明管道或網路服務取得的機率較高。


會員數超過3500萬人的日本社群網路服務與行動內容供應商GREE,日前證實公司伺服器遭非法登入攻擊,3萬9590個會員帳號密碼被成功登入,自今年7月25日起總計非法登入嘗試次數達774萬8633次。

GREE技術部門在8月5日發現伺服器出現大量登入錯誤的資訊,於是開始檢查是否遭到惡意第三者非法登入攻擊。同日查明從7月25日起伺服器就陸續產生大量登入錯誤的情形,於是立刻採取遮斷、封鎖路徑等方式阻止對方持續嘗試登入的動作。

8月8日起暫停所有遭非法登入的帳號功能,並發信通知這些受影響的會員,待伺服器與安全防護整備完畢後將立刻重啟功能,同時也希望會員能定時修改密碼、不要在多個網路服務使用相同的帳號密碼。

GREE調查後表示,帳密並非公司伺服器資料外洩造成,有鑒於日本近期非法登入事件頻傳,該社認為透過不明管道或從其他網路服務竊取帳密資料清單的機率較高。

目前已確認部份會員的個人資訊頁面與電子錢幣使用履歷已被瀏覽,姓名、暱稱、手機電子郵件信箱位址、居住地址、出生年月日與性別等個資可能外洩,截至目前為止尚未發現電子錢幣或個人資料遭非法利用的現像。另外,由於會員信用卡資料並不儲存於伺服器中,因此沒有洩密風險。

轉載自《iThome》

KMPlayer官方證實遭下毒,已交調查單位

KMPlayer官方證實遭下毒,已交調查單位

KMPMEDIA透過KMPlayer發佈緊急訊息,證實遭駭客攻擊散佈惡意程式,從7月26日到8月8日安裝軟體的用戶可能受到攻擊,建議用戶以防毒軟體掃毒,為打擊犯罪KMMEDIA已將資料交付調查。

KMMEDIA上週透過KMPlayer發佈緊急說明

韓國知名影音播放程式KMPlayer官方證實遭駭客攻擊,駭客利用程式更新向用戶散佈惡意程式,全案已送交相關單位進行調查。

國家資安通報上週公告,KMPlayer軟體更新遭駭,駭客透過假冒軟體更新向KMPlayer用戶散佈惡意程式,部份用戶可能被側錄鍵盤、連線到中繼站,政府已循管道向韓國方面反映。

KMPlayer官方上週透過該軟體向用戶發佈緊急說明,證實KMPlayer受到外部駭客攻擊散佈病毒,從7月26日到8月8日下載安裝KMPlayer的用戶,可能遭到感染,強烈建議這些用戶儘快以最新防毒軟體檢查電腦。

由於駭客入侵被認定為嚴重犯罪行為,KMPMEDIA已將相關資料交由國家調查單位進行調查,同時也對這起事件造成用戶的不便致歉,強調現在已加強軟體的安全,用戶可放心從官方來源下載安裝程式。

根據提出警告的國家資安通報說明,駭客利用KMPlayer軟體更新可能影響所有KMPlayer用戶,屬於高影響等級,用戶只要啟動KMPlayer將收到軟體更新通知,要求更新至3.7.0.87版本,實際上為散佈惡意程式至用戶電腦。建議用戶立即使用防毒軟體偵測,同時軟體更新時注意版本是否為官網上最新的3.6.0.87,以避免受害

延伸閱讀:
國家資安通報警告:KMPlayer更新程式疑遭駭客下毒

轉載自《iThome》

2013年8月12日 星期一

荷蘭DNS伺服器遭駭 數以千計網站淪為惡意程式發送站

荷蘭DNS伺服器遭駭 數以千計網站淪為惡意程式發送站

本週有數以千計的荷蘭網站發送惡意程式,初步判定的結果為,位於荷蘭.nl網域名稱頂層網域管理組織SIDN內的DNS伺服器遭駭所致。上週一,荷蘭大型線上電子零售商Conrad.nl網站,被通報發現有發送惡意程式的行為,該網站隨即遭下線。原本一開始看似單一個案的事件,很快地竟演變成棘手的大問題。

根據多家新聞報導指出,週一早上,駭客嘗試存取SIDN的網域註冊系統(Domain Registration System, DRS),並成功地將SIDN網域註冊系統的流量,重新路由至外部的網域名稱伺服器上。

根據對整起事件進行調查的荷蘭安全公司Fox-IT指出,該駭客入侵事件造成數以千計的網域受到影響,所有不知情的網頁到訪者,皆被轉發到畫面顯示「建構中」的網頁上,同時並藉由內嵌的iframe散發惡意程式。

這隻被討論的惡意程式,其實就是黑洞漏洞攻擊套件(Black Hole exploit kit),該套件能藉由Java與PDF安全弱點獲得存取PC的權限。一旦遭到植入,會隨即下載能透過Tor匿名網路系統而與C&C主控伺服器相溝通的惡意程式。


雖然上述惡意重導向的行為很快就被發現,但該問題所引發的漣漪效應卻不斷持續擴大中。由於網域名稱伺服器的DNS生效時間為24小時,這意味著許多網際網路服務供應商(ISP)會使用錯誤域名長達24小時之久。

資料來源:ZDNet
轉載自《網路資訊雜誌》

假防毒軟體詐欺手法 騙財並盜個資

假防毒軟體詐欺手法 騙財並盜個資

刑事局接獲報案得知,最近出現一種新型態的詐騙手法。歹徒利用釣魚網站造成被害人的電腦中毒,再以出現即時掃毒畫面的方式,誘騙被害人線上刷卡。警方指出,歹徒藉由一連串操作指示,搭配假的微軟開機畫面,讓使用者誤以為購買了防毒軟體,實際上不僅從中詐騙刷卡費用,也因此盜取了個人資料。


住在新北市的王同學,日前使用電腦時,誤觸了釣魚網站,造成電腦中毒,接著跳出了一個掃毒頁面,再顯示電腦中了多個病毒,如果要解毒,需要購買防毒軟體,被害人沒有多加查證,緊張的按照指示操作,並線上刷卡付費,結果還是無法解毒,才知道上當。

警方發現,王同學中毒是事實,歹徒再用中毒要解毒的理由,設計一套病毒程式佈下陷阱,不僅詐騙刷卡費用,也取得個資。刑事局預防科警官鄭加仁表示,由於歹徒還冒用微軟公司的開機畫面,加上付款後還給了軟體金鑰,讓被害人信以為真。

對於這種新的詐騙手法,警方呼籲,不要點選來路不明的郵件,對於跳出的掃毒頁面和自己使用的防毒軟體不符,不要任意線上付費,同時要提高警覺。

轉載自《中國廣播公司》

發現影響 99% Android裝置的漏洞

發現影響 99% Android裝置的漏洞

稍早資訊安全研究人員披露了一個新的 Android 手機漏洞,該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響,因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在,目前僅有 Samsung Galaxy S4 修正了這項問題。

手機病毒 ANDROID

什麼是「Master Key」金鑰漏洞?

此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章,用來證明該程式「的確」 來自於該廠商,並且在傳送的過程當中從未被竄改。當 App 有新的版本時,除非新的版本也有來自於同一開發廠商的數位簽章,否則就無法更新。

此漏洞正是和這最後一個步驟有關。研究人員發現,歹徒即使「沒有」原始開發廠商的簽署金鑰,也能更新系統已安裝的 App 程式。簡而言之,任何已安裝的程式都可能被更新成惡意版本。

請注意,就技術而言,並沒有所謂的金鑰遭到外洩。當然,任何 App 程式都可能被竄改並用於惡意用途,但這當中並不是因為「金鑰」外洩。

有何風險?

此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式,如手機製造商或電信業者提供的 App 程式,尤其容易成為目標。

這類程式一旦進入裝置,它們的行為就像任何惡意 App 程式一樣,只不過使用者會以為它們是完全正常的程式。例如,一個遭到竄改/木馬化的網路銀行 App 程式,還是能夠像往常一樣運作,但使用者輸入的帳號密碼可能就會被歹徒所竊取。

使用者如何保護自己?

趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。

Google 已經採取了一些措施來保護使用者。他們修改了線上商店的後端系統,任何想利用此漏洞的 App 程式都會被封鎖。因此,使用者只要不從其他來源下載 App 程式,也不要自行安裝 APK 檔案,就不會有此風險。該公司也提供了一個修正檔案來解決這項漏洞,並已提供給 OEM 廠商。

原文出處:Android Vulnerability Affects 99% of Devices – Trend Micro Users Protected
原文作者:Jonathan Leopando (技術通訊專員)
轉載自《雲端運算與網路安全趨勢部落格》

近千萬人下載的南韓知名網銀APP,遭Android的Master Key漏洞攻擊

近千萬人下載的南韓知名網銀APP,遭Android的Master Key漏洞攻擊

我們在部落格上說明了 Android 的 Master Key (金鑰) 漏洞,此漏洞可讓網路犯罪者將使用者裝置上所安裝的正常 App 程式「更新」為暗藏其惡意程式碼的版本。自從該漏洞出現以來,趨勢科技即一直密切觀察是否有任何利用此漏洞的威脅,現在我們發現了一個這樣的程式,其目標是南韓 NH Bank 網路銀行的 App 程式。

NH Nonghyup Bank (農協銀行) 是南韓最大的金融機構之一,其網路銀行 App 程式在行動裝置用戶之間使用頗為廣泛,目前安裝次數已達 500 萬至 1,000 萬之間。

歹徒看上該程式的熱門程度,在第三方 App 程式下載網站上提供了一份更新程式供人下載。當然,這份更新是惡意程式。此程式利用了 Android 的 Master Key 漏洞,在 App 程式內插入了一個惡意檔案,將它「木馬化」。

暗藏惡意程式碼的「classes.dex」檔案比正常的版本小,只有 205 KB。

網路犯罪者也製作了一個該銀行 App 程式的木馬化版本,目的是要在使用者裝置尚未安裝該程式時派上用場。惡意的 App 程式在執行時會顯示一個假冒的頁面,要求使用者輸入帳號資訊。

木馬化的銀行 App 程式執行時會顯示的頁面。

 一旦使用者輸入資料並確認,資料就會傳送至歹徒操控的遠端惡意伺服器。

這項發現突顯出 Master Key 漏洞對 Android 使用者的危險性。該漏洞遭木馬化銀行 App 程式所利用,其風險就如同今日我們所知道的網路銀行威脅,不僅會造成個人資料外洩,還可能造成財務損失。

此外,由於它是竄改使用者裝置上已有的 App 程式,因此不太容易看出異樣,等使用者發現時可能為時已晚。

*建議:使用者只從可信賴的來源下載 App 程式及更新,當然,最好是官方來源或官方應用程式商店。

原文出處:Master Key Android Vulnerability Used to Trojanize Banking App
原文作者:Peter Yan
轉載自《雲端運算與網路安全趨勢部落格》

反共駭客攻共媒網站 辦民調問共黨何時倒

反共駭客攻共媒網站 辦民調問共黨何時倒

8月9日深夜,「反共黑客網」攻破親共媒體「鳳凰網」網站,在該網發起投票調查民眾希望共產黨垮台的時間,並顯示了在被關閉投票調查系統前幾分鐘的投票結果。

「反共黑客網」在7月28日攻克中國電信集團公司網站英文版,說並不是要駭網站,而是要幫忙檢測網站安全性。(取自反共黑客網)
「反共黑客網」在7月28日攻克中國電信集團公司網站英文版,說並不是要駭網站,而是要幫忙檢測網站安全性。(取自反共黑客網)

8月9日深夜,被「反共黑(駭)客網」攻破的「鳳凰網」頁面出現「作為炎黃子孫和龍的傳人,您希望中國共產黨何時垮台?監票員:反共黑客」的標題,調查的問題包括希望立刻馬上垮台、不要讓它活過今年年底,以及最好今年10月1日前完蛋等3條,被關閉前的投票結果顯示,共有10,338人參與調查,各問題獲得票數分別為4,598票、1,953票及3,787票。

對此,有民眾評論,非常好!我看了,投了,希望更多人看到。

據悉,「反共黑客網」自2012年4月成立以來,至今共攻克了147個中國大陸各類網站,平均每月攻克10個,以中共政府網站為主,被駭客們攻克的政府網站頁面,最常出現的就是「打倒共產黨」、「推翻共產黨」等標語。

進入2013年,該網站對中共政府網站的攻擊更加猛烈,據不完全統計,去年18大後,中共各級政府、政法委、公安局、高校等網站已出現80餘次反共標語,一些民眾認為這是中共即將滅亡的象徵,順天意、合民心。

轉載自《大紀元電子日報》

2013年8月10日 星期六

微軟漲價了!Windows Server 2012 R2 Datacenter價格調漲28%

微軟漲價了!Windows Server 2012 R2 Datacenter價格調漲28%

微軟悄悄公布Windows Server 2012 R2產品的授權價目表。壞消息是,Windows Server 2012 R2 Datacenter版將較現有的R2版貴28%。

g1oHyWK.jpg

Windows Server 2012 Datacenter要價4,809美元(用戶存取授權另計)。Windows Server 2012 R2 Datacenter 則漲到6,155美元(用戶存取授權另計)。(這些都是Open NL版本的價格,是最貴的大量授權版本)。

Windows Server 2012 R2 其他三個版本則維持原價。以下是Windows Server 2012 R2 四版本(Datacenter、Standard、Essentials及Foundation)的價格:


簽下軟體授權合約(Software Assurance, SA)的使用者升級到R2版則不需收費。Windows Server 2012用戶(不論是不是有簽軟體授權合約),無需升級CAL,Server 2012及Server 2012 R2可以使用相同CAL。

「但沒有購買Windows Server軟體授權合約的,若想升級就必須重新購買伺服器授權。」微軟工作人員Aiden Finn說。因此,如果企業想把Windows Server 虛擬化,不管跑哪種管理程序,都需要考慮購買軟體授權合約。

但Datacenter版可提供Windows Server 不限人數授權,因此比Windows Server 2012及 R2 Standard版便宜,微軟表示,這也是Datacenter版調價的原因。

資料來源:ZDNet
轉載自《網路資訊雜誌》