在駭客攻擊事件方面,於金融領域部分,印度Debit金融卡資料三百二十萬筆遭洩;在資料外洩部分,中國駭客企圖竊取美台國防工業會議資訊;在攻擊手法部分,新款勒索軟體DXXD 2.0,登入系統前就看到勒索畫面,另美國遭大規模DDoS,主因是物聯網裝置遭感染Mirai成殭屍網路,亦有新型惡意手法可以秘密存取 Mac 的網路攝影機和麥克風。
在軟硬體漏洞部分,Adobe、GE、Cisco、Microsoft、Google、OSIsoft、Moxa、Siemens、Oracle、Joomla及Linux皆存在漏洞,並需進行安全更新。
在本月專題彙整分析部分,就黑護士:防火牆/路由器癱瘓攻擊手法進行分析探討,分別介紹攻擊原理、影響範圍、防禦措施及 ICMP攻擊歷史,供讀者能對相關技術能有進一步了解。
1、日本旅遊業指出必須建立業內共用ISAC
日本於本月舉辦旅遊業「情報共享會議」,會中則有企業指出,旅遊業必須共享因應網路攻擊的策略。業者指出,網路攻擊不以得到現金為目的,而是要竊取個人資料。另一方面,隨著現今使用網路進行旅遊預約的數量增加,相關風險更是不斷上升。
為了防止攻擊者利用漏洞進行攻擊,業者間的情報共享是十分重要的,因此建立旅遊業ISAC(Information Sharing and Analysis Center)有其必要性,以對抗複雜的網路攻擊,共享業界特有的情資及對策,並將攻擊造成的損害最小化,另若是確認情報外洩,須在一個月內提供報告並廣 發至媒體,以加速後續處理事宜。
為了防止駭客入侵,業者提出下列數點注意事項:
- 若公司內系統包含重要個資,則應避免可經由系統連入網際網路閱覽網頁或收發電子郵件
- 若系統包含預約或結帳功能,則須確保資安對策,並能即時針對弱點進行應變。
- 提供適當的員工資安訓練
- 設立旅遊業ISAC
- 將重要系統與網路實體隔離,以盡量減少損失
- 存在資料庫中的個人資料須加密儲存,特別是信用卡號碼等絕對不能以明文儲存。
- 加強對公司內系統及系統log檔案的監控
- 假設公司遇到了最壞的狀況時,整體體制及系統應如何因應
(資料來源:日本TRAVEL VOICE)
2、嬌生警告旗下胰島素幫浦有漏洞,恐影響正常胰島素注射擊
嬌生集團(Johnson and Johnson)對其胰島素幫浦產品Animas OneTouch Ping在美國與加拿大的11.4萬名用戶發出聲明信,表示該公司推出供糖尿病患使用的胰島素幫浦存在資安漏洞,駭客可能透過該裝置未加密的無線通訊系統 非法連入該設備,讓病患無法正常接受胰島素注射。胰島素幫浦是供第一型糖尿病患使用,隨身配備於病患身上,透過導管注射胰島素至病患體內的一種醫療設備。 而嬌生發現資安漏洞的這款產品,則配備了無線遙控器,讓通常可能被放置在衣物內或不易碰觸位置的幫浦,仍能透過遙控器操控。
嬌生強調,雖然發出聲明信件,但由於該設備並未設計網際網路連線,駭客並無法透過網路操控,此外,要成功駭入該設備,需要特殊儀器,也必須配置在患者附 近,因此實際發生攻擊事件的可能性相當低。不過資安研究人員已經證實,非法連線並控制幫浦注射胰島素的確可行。這很可能是史上第一次有醫療器材公司針對病 患發出資安弱點通報,儘管當前危險度不高,但專家認為,隨著這類居家醫療裝置與手機、網際網路連線的趨勢持續發展,未來此類裝置的安全性將更受重視。
(資料來源:臺灣IThome)
3、土耳其封鎖GitHub、Google Drive及Dropbox以監控駭客組織所洩漏的資料
根據土耳其反網路監控Turkey Blocks組織指出,自從能源與自然資源部長Berat Albayrak的個人信箱被RedHack駭客組織外洩後,土耳其從10/8起陸續封鎖了國內連網數個大型雲端服務的連線,包含Microsoft OneDrive、Dropbox、Google Drive及GitHub,其中Google Drive已在10/9解除封鎖,其他線上服務至今仍被封鎖中。
Turkey Blocks指出,封鎖這些服務是為了防止這些已經外洩的信箱在網路上被他人使用,可能導致被有心人士濫用或在不法用途使用。土耳其之前也曾為了資料外洩事件而封鎖Facebook及Twitter。
(資料來源:美國The Hacker News)
4、俄駭客無孔不入,英首相禁戴Apple Watch開會
由於俄羅斯駭客無孔不入,官員擔心駭客利用智慧型手錶的裝置竊聽,盜取機密,英國首相梅伊最近發布命令,禁止內閣成員佩戴蘋果智慧型手錶Apple Watch開會,以免俄羅斯間諜竊聽會議內容。據英國《每日電訊報》引述消息人士指出。英國當局先前就已禁止官員帶智慧型手機,及平板電腦參加內閣會議,以防機密外洩。報導也指出,目前消息僅提到蘋果Apple Watch,雖然沒有提到三星、摩托羅拉等公司出產的智慧型手表,但未來也很可能被列入內閣禁戴名單內。
(資料來源:臺灣蘋果日報)
5、台灣安全監控系統商遭國外揭露長期存有漏洞未修補
匈牙利資安公司公告 CCTV 設備商陞泰科技(AVTECH)產品存有漏洞且經過一年以上的通知卻未見改善。該系統經分析其韌體約有14個安全漏洞,影響其所有產品包括網路攝影機、NVR和DVR等,且已超過13萬個設備在線上且暴露在危險之中。根據公告列表之漏洞,可能允許攻擊者透過網際網路遠端接管AVTECH產品,且根據發現的漏洞類型和整體代碼品質,可能包含更多的問題。資安公司建議系統管理員更改 AVTECH 設備預設的管理員密碼,以避免這些設備成為DDoS攻擊的殭屍網路。
(資料來源:美國softpedia)
駭客攻擊事件及手法
1、中國駭客企圖竊取美台國防工業會議資訊
美國網路安全公司Volexity執行長艾達爾10月26日表示,10月初在維州舉行的美台國防工業會議,有分別來自美、台國防工業的與會者收到從台灣寄出意圖釣魚的惡意軟體,與會議主題相關的郵件及附件吸引與會者點選,如果收到的人打開附加程式,這個惡意程式可進入微軟控制受害者的系統,進一步透過這些受害者侵入他們工作的單位,竊取電郵名單及密碼。
雖然惡意程式由台灣的Hinet.net發出,但艾達爾經追查表示是來自中國的駭客。美台商會副會長馬珞丹(Lotta Danielsson)證實遭網駭的說法,她說當自己看到這封寄給委員會和數名與會者,以及其他台灣國防工業業者,「立刻意識到這是不合法的郵件」。
編註:TWCERT/CC提醒用戶:駭客會瞄準攻擊對象,精心製作受攻擊對象感興趣的電子郵件,以提高用戶點選網路連結或附件的機會,此外根據《Check Point 2016安全報告》以及《取得端點控制權:SANS 2016威脅現況研究》,75%的攻擊事件都是透過電子郵件而來。因此平時除了讓作業系統、應用程式及防毒軟體擁有最新的安全更新之外,應隨時保有危機意識勿隨意點選不合理的郵件內容及附件。
2、美國遭大規模DDoS,主因是物聯網裝置遭感染Mirai成殭屍網路
駭客在10月21日控制了美國大量的網路攝影機和相關的DVR攝影機,操縱這些「肉雞」對美國域名服務器管理機構 Dynamic Network Service(Dyn)進行DDoS攻擊,美國多個知名網站,包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify在內,被迫中斷服務。
DynDNS是重量級的網路服務公司,在聲明中表示,有大量攻擊來自物聯網裝置,例如路由器、網路攝影機等。參與此次調查的 Flash Point 公司發現,部分參與攻擊的聯網裝置還包括中國杭州的DVR生產商雄邁科技(XiongMai Technologies)生產的網路攝影設備,這些設備的預設密碼(root/xc3511)被寫入到了韌體中,用戶無法修改密碼。
本次攻擊是使用Mirai的殭屍網路所造成,而該攻擊手法也在2016年9月下旬攻擊了美國資安情報網站Krebs on Security及法國的網站代管服務供應商OVH。
3、印度Debit金融卡資料三百二十萬筆遭洩
印度面臨史上最大的資料外洩事件,多家銀行及金融機構合計約三百二十萬筆Debit金融卡資料遭竊取,包含State Bank of India(SBI),HDFC Bank,Yes Bank,ICICI Bank和Axis。
Debit金融卡在台灣稱之為Visa金融卡或萬事達卡Debit金融卡,意即可以在商店刷卡消費,刷卡時直接由存款帳戶扣款的複合式金融卡,根據thehackernews的報導,駭客透過惡意程式感染Hitachi支付平台,該平台經常使用在ATM與point-of-sale(POS)交易系統,遭駭取的用戶金融資料則在中國大陸多個地方被發現有未授權的交易紀錄,目前印度相關單位正在調查這起資料外洩的原因。
編註:TWCERT/CC提醒用戶,若發現帳戶有未經授權的交易應立即通報銀行單位,並且立即修改網路銀行的PIN碼及帳戶密碼等資訊,此外切勿多個帳戶使用同組密碼。
4、新款勒索軟體DXXD 2.0,登入系統前就看到勒索畫面
最近一款名為DXXD 2.0的勒索病毒十分活躍,受感染的電腦會在登入前的登錄畫面看到索取贖金訊息,是首次有駭客利用此畫面,手法相當囂張。這款 DXXD 2.0 是DXXD的後繼版,早前國外電腦資安討論區Bleeping Computer上,研究員Michael Gillespie 已成功破解它的第一版(如下列參考連結),並免費提供解密工具。而這次新版的 DXXD 2.0,除了在登入畫面看到訊息外,受感染的檔案會被加上「dxxd」副檔名,用戶無法開啟檔案。製作 DXXD 2.0 的駭客並在Bleeping Computer討論區上開設帳戶,向廣大資安研究員挑戰,並稱掌握 1個 0Day 漏洞,可作更大規模攻擊。
駭客透過修改Windows registry key顯示勒索畫面
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText
編註:TWCERT/CC提醒用戶,若疑似發現遭感染勒索軟體,務必採取:立即行動、處理病毒及復原電腦等三階段的處理作業,詳情請參考以下連結:
https://drive.google.com/open?id=0B8oCQC6r_SnsN0VZYTE4a21Ra0U
5、新型惡意手法可以秘密存取 Mac 的網路攝影機和麥克風
資安專家警告一種惡意手法以新型的技術暗地監控內建的鏡頭和麥克風。在2013年時有一批專家展示過無需管理員權限或物理存取,也可以關閉網路攝影機的LED。然而新型的惡意手法可以在 Mac 使用者開啟如 Skype, Google Hangouts 或 FaceTime等視訊軟體時,同時存取Mac的網路攝影機和麥克風。資安專家表示,當上述應用程式啟用內建網路攝影機,用戶不會對 LED 起疑,然而其實可能被其他惡意軟體監控。
開發並研析出這樣技術的前國家安全局的專家 Patrick Wardle 同時也設計一個稱為 OverSight 的工具,以檢測這種類型的攻擊。該工具可以監控透過用戶模式在背景運行的麥克風和鏡頭 API,當其中被開啟時,會分別跳出提示訊息,並註明嘗試存取該裝置的程序名稱,讓使用者決定是否同意開啟。
軟硬體漏洞資訊
1、Adobe發佈Flash Player和Creative Cloud Desktop Application安全更新
本次安全更新修補了Adobe之安全漏洞,漏洞包含類型混亂、use-after-free、安全繞過、內存損壞等漏洞,可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。
2、GE發佈Bently Nevada 3500/22M安全更新
本次安全更新修補了Bently Nevada 3500/22M安全漏洞,該漏洞是由於某些開放的port,未經身分驗證就可以訪問該設備,駭客可以利用此弱點取得與目前使用者相同的使用者權限。攻擊者接下來將能安裝程式,檢視、變更或刪除資料等。
3、Cisco發佈多項產品安全更新
本次安全更新修補了多項產品之安全漏洞,部分漏洞是由於某些參數的不當處理,在SSH連接時傳遞到受影響的設備,導致認證繞過,駭客可能利用這種漏洞攻擊方式,在登錄過程中傳遞惡意值發送給受影響系統即可觸發此漏洞,繞過AAA限制,並在設備命令行界面(CLI)上執行應限制為不同特權用戶角色的命令。
另有部分漏洞是由於是由於XMPP服務使用已棄用的驗證格式,導致認證繞過‧,駭客可能利用這種漏洞攻擊方式,透過XMPP服務在登錄過程中即可觸發此漏洞,繞過限制並訪問設備。
4、Microsoft發佈10月份安全性公告
本次安全更新修補了Microsoft漏洞,部分漏洞是由於Windows 圖形裝置介面 (GDI) 處理記憶體中物件的方式中,存在資訊洩漏弱點,該弱點允許攻擊者從目標系統擷取資訊。成功利用此弱點的攻擊者可以使用擷取的資訊,規避 Windows 的位址空間配置隨機載入 (ASLR) 功能,而此功能可協助防禦廣泛類別的弱點侵擾,成功利用此弱點的攻擊者可以在核心模式下執行任意程式碼。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
5、Google發佈Chrome安全更新
本次安全更新修補了Google Chrome(21個)漏洞,Google Chrome存在高風險漏洞,惡意人士可透過讓使用者瀏覽事先建立之惡意網頁後,便可觸發漏洞、規避部份安全限制,導致瀏覽器無預警關閉等。
6、OSIsoft發佈PI Web API 2015 R2安全更新
本次安全更新修補了PI Web API 2015 R2之安全漏洞,目前該產品的弱點,可能允許攻擊者沒有適當的權限即可訪問PI系統,駭客可能利用這種漏洞攻擊方式,透過該服務登錄帳戶,即可觸發此漏洞,導致權限提升並訪問設備。
7、Moxa發佈ioLogik E1200系列安全更新
本次安全更新修補了ioLogik E1200系列之安全漏洞,該漏洞是由於web應用程式未過濾用戶之輸入,導致駭客可以注入指令碼,駭客可能利用這種漏洞攻擊方式,在web應用程式中注入惡意指令碼,並誘使用戶點選觸發該漏洞,進而達到特殊目的。。
8、Siemens發佈ALM安全更新
Siemens發佈Automation License Manager安全更新,該漏洞是由於某些合理的訊息發送至(Port 4410/TCP) 中,可能導致SQL injection等情況,駭客可能利用這種漏洞攻擊方式,發送特製的指令至Port4410,觸發該漏洞,導致可以上傳文件,更改配置設置,或創建阻斷服務的情況。
9、Oracle發佈2016年十月份安全更新
Oracle發佈2016年十月份安全更新,修補253個漏洞,部分漏洞可能導致遠端取得受害系統控制權,請使用者盡速更新。
10、Joomla含有零時差漏洞
研究人員發現Joomla組件中的ja-k2-filter-and-search含有SQL injection漏洞,惡意的使用者只要透過SQLMAP工具,就可輕易取得網站之機敏資訊,有使用Joomla架設網站的用戶可使用下列方式確認網站是否含有此漏洞,如有顯示錯誤訊息,表示網站暴露於風險中。TWCERT/CC建議用戶暫時將網站下架,等待更新後再上線,以免資料遭有心人士竊取,造成不可挽回的過失。
(WhateverSite)/index.php?category_id=(select%201%20and%20row(1%2c1)%3E(select%20count(*)%2cconcat(concat(CHAR(52)%2cCHAR(67)%2cCHAR(117)%2cCHAR(117)%2cCHAR(82)%2cCHAR(57)%2cCHAR(71)%2cCHAR(65)%2cCHAR(77)%2cCHAR(98)%2cCHAR(77))%2cfloor(rand()*2))x%20from%20(select%201%20union%20select%202)a%20group%20by%20x%20limit%201))&Itemid=135&option=com_jak2filter&searchword=the&view=itemlist&xf_2=5%27
11、Linux修補COW漏洞
Linux發現一個嚴重的安全漏洞。這漏洞名為Dirty COW,為安全專家Phil Oester發現,是一個存在已經有9年歷史的特權升級漏洞,駭客能利用Dirty COW漏洞,通過Linux內核記憶體子系統處理,與唯讀記憶體映射寫入時的競爭條件等缺陷,來使低權限用戶訪問「ROOT伺服器」,從而獲得寫入特權的權限。
專題彙整分析 – 黑護士:防火牆/路由器癱瘓攻擊
1. 重點摘要
- 丹麥的資安業者 TDC Security Operations Center (TDC-SOC-CERT) 展示了「黑護士」 (BlackNurse)的攻擊,只要利用一台筆電就能阻斷知名防火牆/路由器的服務,包含思科(Cisco)、合勤(Zyxel)、SonicWall 及 Palo Alto Networks 等廠牌。
- 攻擊手法為向防火牆送出 ICMP 封包,指令如下:
hping3 -1 -C 3 -K 3 -i u20 [目標 IP 位址]
hping3 -1 -C 3 -K 3 --flood [目標 IP 位址] - 大多數防火牆可設定關閉 ICMP 服務以避免此攻擊手法,但 Cisco ASA firewall 55xx 系列的產品即使將 ICMP 關閉,還是只需 4Mbps 的流量即可癱瘓該防火牆
2. 攻擊原理
ICMP 的全稱是 Internet Control Message Protocol 為一 "錯誤偵測與回報機制",其目的為檢測網路的連線狀況,功能包括﹕
- 偵測遠端主機是否存在。
- 建立及維護路由資料。
- 重導資料傳送路徑。
- 資料流量控制。
ICMP 在溝通之中,主要是透過不同的類別 (Type) 與代碼 (Code) 讓機器識別不同的連線狀況。常用的類別 (如表3-1)、常用代碼 (如表3-2)﹕
表 2-1 常用類別
類別(Type)
|
名稱
|
代表意思
|
0
|
Echo Reply
|
是一個回應信息。
|
3
|
Distination Unreachable
|
表示目的地不可到達。
|
4
|
Source Quench
|
當 router 負載過時﹐用來竭止來源繼續發送訊息。
|
5
|
Redirect
|
用來重新導向路由路徑。
|
8
|
Echo Request
|
請求回應訊息。
|
11
|
Time Exeeded for a Datagram
|
當資料封包在某些路由現象中逾時﹐告知來源該封包已被忽略忽略。
|
12
|
Parameter Problem on a Datagram
|
當一個 ICMP 封包重複著之前的錯誤時﹐會回覆來源主機關於參數錯誤的訊息。
|
13
|
Timestamp Request
|
要求對方送出時間訊息﹐用以計算路由時間的差異﹐以滿足同步性協定的要求。
|
14
|
Timestamp Replay
|
此訊息純粹是回應 Timestamp Request用的。
|
15
|
Information Request
|
在
RARP 協定應用之前﹐此訊息是用來在開機時取得網路信息。
|
16
|
Information Reply
|
用以回應 Infromation Request 訊息。
|
17
|
Address Mask Request
|
這訊息是用來查詢子網路 mask 設定信息。
|
18
|
Address Mask Reply
|
回應子網路 mask 查詢訊息的。
|
表 2-2 常用代碼
代碼(Code)
|
代表意思
|
0
|
Network Unreachable
|
1
|
Host Unreachable
|
2
|
Protocol Unreachable
|
3
|
Port Unreachable
|
4
|
Fragmentation Needed and DF set
|
5
|
Source Route Failed
|
6
|
Destination network unknown
|
7
|
Destination host unknown
|
8
|
Source host isolated
|
9
|
Communication with destination network administraively prohibited
|
10
|
Communication with destination host administraively prohibited
|
11
|
Network unreachable for type of service
|
12
|
host unreachable for type of service
|
而 TDC-SOC-CERT 對多款防火牆進行不同 Type 與 Code 的 ICMP 封包測試,發現當 Type 為 3,Code 為 3 時,許多防火牆的 CPU 使用率遠高於其他 Type與 Code 之設定。例如執行以下指令:
hping3 -1 -C 3 -K 3 -i u20 [目標 IP 位址]
hping3 -1 -C 3 -K 3 --flood [目標 IP 位址]
根據測試,若防火牆存在該弱點,平均而言只需送出 15~18 Mbps 之Type3Code3 ICMP 封包,即可造成防火牆癱瘓無法服務。而以一般筆電進行測試,最大可送出 180 Mbps 的流量,遠超出具該弱點防火牆之最大可承受量。但若以Nexus 6 智慧型手機進行攻擊,僅能產生 4Mbps 之攻擊流量。
3. 影響範圍
該弱點尚未發布 CVE 編號。影響範圍包含以下產品:- Cisco ASA 5506, 5515, 5525 , 5540 (default settings)
- Cisco 6500 routers with SUP2T and Netflow v9 on the inbound interface - 100% CPU load
- Cisco ASA 5550 (Legacy) and 5515-X (latest generation)
- ASA Still surprises
- Cisco Router 897
- SonicWall - Misconfiguration can be changed and mitigated (Enable Anti-DDOS)
- Some unverified Palo Alto - SEE ANSWER FROM PALO ALTO
- Palo Alto 5050 Firewalls with firmware 7.1.4-h2
- Zyxel NWA3560-N (Wireless attack from LAN Side)
- Zyxel Zywall USG50
- Fortinet v5.4.1 - One CPU consumed
- Fortigate units 60c and 100D (even with drop ICMP on)
其中,大多數防火牆/路由器可設定關閉 ICMP 服務以避免此攻擊手法,但Cisco ASA firewall 55xx 系列的產品即使將 ICMP 關閉,還是只需 4Mbps 的流量即可癱瘓該防火牆。
4. 防禦措施
TDC-SOC-CERT 提供以下 SNORT 入侵偵測系統規則,加入後可防範黑護士攻擊(如表3-3):
表 4-1 入侵偵測系統規則
alert
icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC - Possible
BlackNurse attack from external source "; itype:3; icode:3;
detection_filter:track by_dst, count 250, seconds 1; reference:url,
soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016;
priority:3; sid:88000012; rev:1;)
alert icmp
$HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC - Possible
BlackNurse attack from internal source"; itype:3; icode:3;
detection_filter:track by_dst, count 250, seconds 1; reference:url,
soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016;
priority:3; sid:88000013; rev:1;)
|
此外,針對具該弱點之防火牆/路由器,建議將 ICMP 關閉,或將防火牆/路由器更換為不具該弱點之產品。
5. ICMP攻擊歷史
ICMP攻擊歷史如下表3-4所示:
表5-1攻擊歷史
時間
|
名稱
|
Type
|
Code
|
Jan 1997
|
Ping of death
|
8
|
3
|
April 1997
|
Ping
flooding
|
8
|
0
|
Nov. 2016
|
Blacknurse
|
3
|
3
|
6. 參考文獻
[1] http://blacknurse.dk/
[2] http://www.ithome.com.tw/news/109565
[3] http://www.pcnet.idv.tw/pcnet/network/network_ip_icmp.htm
[4] http://www.netresec.com/?page=Blog&month=2016-11&post=BlackN urse-Denial-of-Service-Attack
[5] https://en.wikipedia.org/wiki/Ping_of_death
[6] https://en.wikipedia.org/wiki/Ping_flood
沒有留言:
張貼留言