摘要
為提升我國民眾資安意識,TWCERT/CC於每月發布資安情資電子報,統整上月重要資安情資,包含TWCERT/CC近期動態、資安政策、威脅與趨勢、駭客攻擊事件、軟硬體漏洞、資安研討會活動及資安事件通報統計分析等資訊。
第1章、TWCERT/CC近期動態
1.1、參與FIRST Annual Conference 2018
TWCERT/CC 於 6 月 24 日至 29 日前往馬來西亞吉隆坡,參與資安事件應變小組論壇(Forum of Incident Response and Security Teams, FIRST) 2018 年會,於會中參與各項議程及會員大會,與各國 CERT、CSIRT、PSIRT 資安專家進行交流,探討國際資安政策、威脅及趨勢,增進與各國組織之熟稔程度,並參與惡意鑑識、逆向工程、情資分享平台實作等教育訓練,並參與網路奪旗競賽(Capture the flag, CTF),另因 TWCERT/CC 為亞太區電腦緊急事件回應小組(Asia Pacific Computer Emergency Response Team, APCERT) 會員,因此於會中參加 APCERT 成員午餐會談,了解亞太地區各國 CERT/CSIRT 最新動態。
TWCERT/CC 於今年擔任 FIRST 會員推薦人,協助我國群暉科技之PSIRT 成為 FIRST 會員,並輔導其熟悉 FIRST 中各項活動及事務,以利群暉科技能於國際資安組織中取得更多資訊,有效增進我國廠商之資安能量,後續亦將持續協助國內有意加入 FIRST 之組織,除使我國於 FIRST 會議中有更多代表席次及發言權,提升我國於國際資安組織之能見度,並可達到國際資安聯防之效益。
1.2、參與TiEA資安講座-資安防禦最前線
6月27日台灣網路暨電子商務產業發展協會(TiEA)於AppWorks Open Space舉辦一場TiEA資安講座-資安防禦最前線,此次TWCERT/CC分析師沈紀威出席會議擔任講師,講題為「資安聯防新思維-民間企業資安通報面面觀」,針對企業內部如何自主建立CSIRT團隊,並逐步建立起資安聯合防禦體系進行相關分享。
1.3、參與The Honeynet Project Annual Workshop 2018
7月9日至10日The Honeynet Project Taiwan Chapter 於集思台大會議中心舉辦THE Honeynet Project Annual Workshop 2018。Honeynet Project是一個致力於提升網路安全性的國際非營利研究機構,過去17年來,已經開發了許多開源工具,並發布與網路攻擊相關的網路安全研究。
今年的會議重點將會放在網路詐欺、Honeypot、機器學習、工業控制系統與物聯網等相關安全議題,此次TWCERT/CC分析師羅文翎亦於會中分享「Development of Honeynet Projects in APCER」講題,針對APCERT內部實行的Honeynet相關專案進行介紹。
1.4、協辦2018國際資訊安全組織台灣高峰會
7月11日至12日雲端安全聯盟(Cloud Security Alliance) 、The Honeynet Project台灣分會及OWASP台灣分會於集思台大會議中心舉辦2018國際資訊安全組織台灣高峰會,會議上將呈現國際資訊安全組織最新研究成果,有來自國內外的專業講師帶來的精彩分享,提供與會人員掌握全球資訊安全發展脈動與趨勢,會議內容涵蓋雲端服務安全、誘捕資安技術、網站應用程式安全、事件掌握與應變等議題,可接軌國際資安社群並有助於掌握全球發展趨勢。
TWCERT/CC亦於此次會議設立攤位進行TWCERT/CC業務及資安意識推廣,此外,於7月12日TWCERT/CC分析師羅文翎於會中分享講題「個資外洩一瞬間」,介紹TWCERT/CC如何協助個資外洩的電商業者解決問題,透過鑑識實例,以及防護做法進一步說明,以免資安事件重蹈覆轍。
1.5、預計參展HITCON Community 2018研討會
7月27日至28日HITCON將於台北南港展覽館一館5樓舉辦HITCON Community 2018研討會,此次會議是第一場台灣導入數位貨幣的會議,會眾將可輕鬆使用數位錢包及HITCON Token來交易及兌換週邊商品,亦規劃區塊鏈遊戲,讓與會者可從中更了解區塊鏈及數位貨幣。另一個有趣的活動為HITCON Hackdoor,以一種新型態的密室逃脫形式,結合解謎、教學和競賽,由淺入深地帶領大家學習和挑戰生活中各種物聯網裝置,如IP CAM、WIFI、印表機、門禁系統或任何資安系統可能存在的資安問題。
TWCERT/CC將於此次會議設立攤位進行TWCERT/CC業務及資安意識推廣,和以往不同的是,TWCERT/CC攤位特別規劃「挖掘受駭IP CAM,通報TWCERT/CC」活動,會眾通報內容經TWCERT/CC審核通過後,即有機會獲得HITCON Token。
第2章、國內外重要資安新聞
2.1、國內外資安政策、威脅與趨勢
2.1.1、國家通訊傳播委員會與經濟部舉辦「物聯網資安標準認驗證制度公開說明會」
國家通訊傳播委員會與經濟部於6月11日假台大醫院國際會議中心舉辦「物聯網資安標準認驗證制度公開說明會」,公布物聯網設備資安認驗證標章制度及未來政策推動方向。
資料來源:
https://www.moea.gov.tw/MNS/populace/news/News.aspx?kind=1&menu_id=40&news_id=78782
2.1.2、歐盟聲稱卡巴斯基實驗室軟體「確認為惡意」
反卡巴斯基實驗室的言論在歐洲繼續升溫,歐洲議會通過動議將莫斯科防毒公司的軟體標示為「被確認為惡意軟體」。目前沒有證據表明公開支持這些主張,歐盟委員會4月份也曾聲明沒有跡象表明該防病毒引擎存在任何危險。
作為回應,卡巴斯基實驗室表示,在收到歐洲議會的澄清之前,它已停止與包括歐洲刑警組織在內的歐洲機構在內的所有工作,也暫停了與No More Ransom計畫的合作。另他們亦否認它與任何政府合作,且與任何政府都沒有關係,並且該公司從未幫助過,也不會幫助世界上任何政府的網路間諜活動。
資料來源:
https://www.bankinfosecurity.com/eu-claims-kaspersky-lab-software-confirmed-as-malicious-a-11080
2.2、駭客攻擊事件及手法
2.2.1、售票服務Ticketfly遭網頁置換,駭客竊取客戶與員工資料庫
美國售票技術公司的網站Ticketfly負責出售美國許多主要夜總會的門票,包括「Brooklyn Bowl」和華盛頓特區的「9:30 Club」。
近日Ticketfly網站遭駭客掌控並聲稱竊取該公司的客戶資料庫,駭客更傳了一份檔案給Motherboard,聲稱是從Ticketfly網站所竊取的員工和客戶資料作為佐證。
根據 Twitter 上張貼的截圖,該公司遭駭客以一張V怪客的圖片對其網頁進行置換攻擊,並在網頁上留下「Ticketfly HacKeD By IsHaKdZ」以及「Your Security Down im Not Sorry」的字樣。
由Eventbrite公司所擁有的Ticketfly將該網站暫時下架並發布消息稱該公司確曾遭受網路攻擊,並表示在下架網站後正持續研究這個問題。將努力儘快使系統重新上線,但並沒有說明是否有任何活動門票被盜竊或其他損害,也拒絕回應駭客是否與該公司聯繫。
在與Motherboard的電子郵件對話中,駭客聲稱已經向Ticketfly發出了一個漏洞警告,該漏洞允許他掌控Ticketfly及其網站的「所有資料庫」。駭客分享他和一些Ticketfly員工提到這個漏洞的兩封電子郵件表示,他們向該公司要求1比特幣以分享漏洞的細節,但沒有得到回應。
駭客更指明已上傳了一系列疑似被駭客入侵的檔案至一台伺服器,其中包含幾個CSV檔,似乎含有Ticketfly客戶和員工的個人詳細資訊,包括姓名、住宅和電子郵件地址以及電話號碼。每個電子表格都包含數千個姓名。
Motherboard嘗試確認這些檔案的真實性,發現其中一些名稱與使用Ticketfly員工的真實姓名和電子郵件地址相對應,目前已確認6個使用者的個人資訊,表示被駭客攻擊的資料是有效的。
●TWCERT/CC建議,Ticketfly客戶近期若接獲來自Ticketfly的電郵或任何媒介之訊息,務必確認來源,不要隨意開啟附件或連結等,以免遭有心人士利用。
資料來源:
https://motherboard.vice.com/en_us/article/mbk3nx/ticketfly-website-database-hacked-data-breach
2.2.2、美國DHS與FBI公布北韓駭客組織HIDDEN COBRA所利用的惡意程式Joanap及Brambul,請大家注意防範(轉行政院技服中心資訊)
美國國土安全部(DHS)與聯邦調查局(FBI)公布最新北韓駭客組織HIDDEN COBRA所利用的惡意程式:Joanap遠端存取後門程式與Brambul網路檔案分享系統蠕蟲。
若資訊設備遭受感染會有以下風險:
1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過下列方式檢查感染與否:
1.路徑「%WINDIR%\system32\」下存在檔案「mssscardprv.ax」。
2.嘗試寄信至redhat@gmail.com。
3.嘗試寄信至misswang8107@gmail.com。
4.嘗試連線至HIDDEN COBRA-IP黑名單,如參考連結。
影響平台:微軟作業系統。
建議措施:部署黑名單於防護設備進行偵測,監控是否有資訊設備已遭入侵。
若確認資訊設備已遭入侵,建議處理措施:
1.重新安裝作業系統,並更新作業系統及相關安裝軟體。
2.更換系統使用者密碼。
3.安裝及啟用防毒軟體防護。
4.安裝及啟用防火牆防護。
日常資訊設備資安防護建議:
1.持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。
2.系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
3.安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
4.安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
資料來源:
https://www.us-cert.gov/ncas/alerts/TA18-149A
https://www.us-cert.gov/ncas/analysis-reports/AR18-149A
https://twcert-official-file.s3.hicloud.net.tw/HIDDEN_COBRA-IP.csv
2.2.3智利銀行SWIFT系統遭駭,近千萬美元失竊
智利知名銀行Banco de Chile於5月底遭受駭客透過SWIFT系統進行攻擊,導致鉅額損失。
智利銀行先後於5月24日及5月28日發出聲明表示分行機構故障以及確認遭受病毒感染攻擊,兩則公告都聲明只影響到銀行本身及其服務品質,而客戶資金、客戶紀錄的安全性以及資料的完整性皆受到保障,並未在此次攻擊中遭受影響。
據Bleeping Computer報導指出,認為駭客是利用磁碟抹除惡意軟體KillDisk的變種破壞智利銀行的數百台電腦,以分散員工的注意力,同時試圖透過銀行的SWIFT轉帳系統竊取資金,且根據銀行員發布在網路上的圖片,惡意軟體使受感染的PC系統崩潰,導致處於無法啟動狀態,表示它硬碟的主開機紀錄(MBR)受到影響。
而據當地新聞指出,智利銀行高層表示,此次攻擊屬針對SWIFT系統之零時攻擊,使用的惡意軟體名稱為swaqp.exe,目前相關線索仍不多。另經研判,進行攻擊的搶匪可能來自東歐或亞洲,攻擊者透過Luksic Group(Grupo Luksic)和Citibank竊取美金1000萬,最後證實得手的金額為美金867萬2000元,且這些交易大多是將金額匯款至香港。
此次攻擊事件發生後,銀行高層迅速反應,並與Microsoft和Dreamlab合作以確認事件狀況,而銀行方面也強調純粹此次事件造成的損失只影響了銀行本身,客戶權益則無損。
資料來源:
http://www.latercera.com/pulso/noticia/gerente-general-banco-chile-eduard=o-ebensperger-ciberataque-evento-fue-destinado-danar-al-banco-no-los-clie=ntes/198912/
https://www.bleepingcomputer.com/news/security/hackers-crashed-a-bank-s-computers-while-attempting-a-swift-hack/
https://ww3.bancochile.cl/wps/wcm/connect/nuestro-banco/portal/sala-de-prensa/noticias-y-comunicados/declaracion-publica
https://ww3.bancochile.cl/wps/wcm/connect/nuestro-banco/portal/sala-de-prensa/noticias-y-comunicados/declaracion-publica2
https://blog.trendmicro.com/trendlabs-security-intelligence/new-killdisk-variant-hits-financial-organizations-in-latin-america/
2.2.4歐洲電子零售商Dixons Carphone遭駭客攻擊,10萬筆用戶信用卡資料外洩
英國老牌電器與消費電子零售商Dixons Carphone發現有「未經授權的存取」該公司持有的某些資料,並迅速展開調查且聘請一家外部公司來釐清案件。
該零售商解釋,有人試圖在Currys PC World和Dixons Travel商店的其中一個處理系統中侵入590萬張卡。但是,這些卡中有580萬張具有芯片和PIN的保護功能。
在這種情況下,針對這些卡片存取的資料既不包含PIN碼、卡片驗證值(CVV),也不包含任何能夠進行持卡人識別或購買的驗證資料。迄今為止沒有證據表明由於駭客行為而導致資料遭到濫用。
然而對客戶來說壞消息是遭侵入的資訊包括信用卡資料,大約有10.5萬張非歐盟發行的信用卡,由於缺少晶片和PIN,已經處於被盜用狀態,立即通過信用卡供應商通知相關發卡公司,以便可以採取適當措施保護客戶。
另外,除信用卡之外,入侵者還存取包含非財務120萬筆的個人資料紀錄,例如姓名、地址或電子郵件地址。
這不是公司第一次遭遇資安洩漏,Dixons Carphone旗下的移動部門Carphone Warehouse,在2015年也遭遇了一次重大駭客攻擊。此次資料外洩影響了大約300萬人。
針對此次事件該公司沒有透露其系統是何時遭受入侵的;沒有提供確切發現入侵的時間;也沒有透露過了多久才展開調查。
●TWCERT/CC建議,受影響的客戶可能暴露在網路釣魚攻擊的風險中,如近期接獲相關信用卡有關之電郵或交易,請務必保持警惕,以免遭有心人士利用。
資料來源:
https://securityaffairs.co/wordpress/73479/data-breach/dixons-carphone-hacked.html
https://www.bloomberg.com/news/articles/2018-06-13/dixons-says-almost-6-million-cards-breached-in-cyberattack
http://www.dixonscarphone.com/~/media/Files/D/Dixons-Carphone/documents/pr-investigation-into-unauthorised-data-access.pdf
2.2.5Trik 垃圾郵件殭屍網路洩漏 4300 萬有效電郵地址
Vertek 公司的一位威脅情報分析師在研究最近發布的 Trok 木馬版本時,發現 Trik 垃圾郵件殭屍網路的伺服器存在洩露情況。
而來自Proofpoint公司的惡意軟體專家最近也開始在追蹤Phorpiex / Trik殭屍網路,這殭屍網路近十年來相當活耀,被許多高端的駭客用來散發一系列惡意軟體。
這兩種惡意軟體都會從位於俄羅斯IP地址的伺服器上下載惡意檔案,然而由於該伺服器配置錯誤,導致任何人都可以直接訪問該 IP,進而獲取儲存資訊。
這台伺服器上一共有 2201 個文字文件,依照 1.txt 到 2201.txt 的順序標記,每個文件包含大約 20,000 份電子郵件地址資訊,總量超過 4300 萬。
研究人員認為,該伺服器的運營商一直在使用這些電郵地址列表來為其他攻擊者提供服務,透過惡意垃圾郵件散播各種惡意軟體。
研究人員證實這些電郵地址都是有效電郵地址,且在44,020,000筆地址中,有43,555,741筆是唯一的,這些龐大的電子郵件地址來自世界各地,專家統計了460萬個獨特的電子郵件域名,絕大多數電子郵件地址都很舊(Yahoo:1060萬筆、AOL:830萬筆)。
特別的是,儘管洩漏的列表中包含了很多自定義電子郵件域名,但包含的Gmail地址非常少,這表示電子郵件地址資料庫不完整,或者此惡意軟體活動有意針對使用舊電子郵件服務的用戶。
以下為外洩資料中統計前10名電子郵件網域
1.yahoo[.]com:8907436筆
2.aol[.]com:8397080筆
3.comcast[.]net:788641筆
4.yahoo[.]co[.]in:433419筆
5.sbcglobal[.]net:432129筆
6.msn[.]com:414912筆
7.rediffmail[.]com:316128筆
8.yahoo[.]co[.]uk:294427筆
9.yahoo[.]fr:286835筆
10.verizon[.]net:282279筆
●TWCERT/CC建議,惡意釣魚郵件在網路上甚為氾濫,平時務必建立良好接收電郵習慣:
1.不要輕易相信標題聳動的電郵。
2.點選郵件內任何連結前要確認。
3.確認來源前,不要任意開啟任何附件。
4.不明來源信件未確認前不要輕易開啟。
5.即使是已知信任來源,也要有再確認的動作。
資料來源:
https://securityaffairs.co/wordpress/73488/cyber-crime/spam-botnet-leak-data.html
https://www.bleepingcomputer.com/news/security/trik-spam-botnet-leaks-43-million-email-addresses/
https://www.proofpoint.com/us/threat-insight/post/phorpiex-decade-spamming-shadows
2.2.6航班追蹤服務Flightradar24遭受資料洩露,用戶儘速更改密碼
Flightradar24是一家提供實時航班飛行狀況的網際網路服務商。網站提供航班的飛行軌跡、出發地、目的地、航班號、註冊編號、飛行器型號、當前位置、高度和空速等。
近期Flightradar24會員可能會收到來自Flightradar24要求會員更改密碼的電子郵件,因為Flightradar24發現一台伺服器遭到入侵以及非法存取。
據Flightradar24稱,駭客可能存取過在2016年3月16日之前註冊的帳戶相關的電子郵件地址和密碼hash值。
該公司透過電子郵件向用戶通報此事件並要求他們更改密碼,受影響的用戶密碼已重置。最初,收到該郵件的許多用戶以為資料洩露的通知可能是網路釣魚攻擊,因為沒有來自Flightradar24的官方消息,但後來該公司承認該事件並確認該電子郵件是合法的。
Flightradar24表示確認伺服器漏洞可能導致此事件,安全漏洞只限於一台伺服器,在確定遭受入侵當下,即立刻關閉該伺服器,並對此事件受到影響客戶造成之不便感到抱歉。
該公司同時強調確認沒有跡象表明任何個人和財務資訊暴露,也沒有付款資訊被洩露。Flightradar24既不處理也不儲存付款資訊。
壞消息是,該公司承認當初是以舊的hash演算法保護密碼,因此攻擊者可能輕易破解,Flightradar24自2016年起才推出更安全的hash演算法。
目前尚不清楚有多少用戶受到影響,該公司報告說,事件只涉及「小部分」用戶。然而FlightRadar24聲稱每月用戶數超過4000萬,這意味著受影響的用戶數量可能不容小覷。
FlightRadar24迅速向瑞典數據保護局報告此事件,以符合歐盟的「通用資料保護條例」(GDPR)。
●TWCERT/CC建議,FlightRadar24用戶除儘速更改密碼,且如接獲疑來自FlightRadar24的要求更改密碼信件之電郵信件,請確認來源,並儘可能僅透過官網服務變更密碼,不論來源合法與否,不要輕易點選信件連結,以免遭有心人士利用。
資料來源:
https://securityaffairs.co/wordpress/73740/data-breach/flightradar24-data-breach.html
https://forum.flightradar24.com/threads/11945-Security-breach-email?p=106525
2.2.7Necurs 殭屍網路的 CSE 惡意軟體 ZLab-Ursnif 銀行木馬新變種襲擊義大利公司
從6月6日開始,惡名昭彰的銀行木馬Ursnif其新變種攻擊義大利幾間公司。這種惡意軟體在資安界眾所周知,Ursnif銀行木馬病毒是2016年金融領域最活躍的惡意代碼,這樣的趨勢一直持續到2017年。
在之前的攻擊活動中,Ursnif銀行木馬專門針對日本、北美、歐洲和澳大利亞的用戶,後來作者改進了他們的規避技術,以針對世界各地的用戶,特別是在日本。
該惡意軟體能夠竊取用戶的憑證,如本地webmail、雲儲存、加密貨幣兌換平台和電子商務網站的憑證。
該惡意軟體能夠竊取用戶的憑證,如本地webmail、雲儲存、加密貨幣兌換平台和電子商務網站的憑證。
CSE Cybsec ZLab研究人員對最新版本的惡意軟體進行分析,在發現可疑檔案後開始調查,該檔案用於針對其客戶的目標式攻擊。
該攻擊活動中使用的是針對義大利公司的一個武器化的微軟Word檔案附件,並使用社交工程技術誘騙用戶啟用巨集來查看內容。
此外,一旦Ursnif感染過一台新機器,將試圖傳播給受害電子郵件帳戶的地址簿中的任何其他用戶,且為了誘騙其他受害者打開惡意郵件,電郵訊息會以回覆受害者過去來往信件的方式呈現。
在調查涉及義大利公司最近一次釣魚活動的域名時,研究人員發現,其中許多域名是透過相同的電子郵件地址註冊的:「whois-protect [@] hotmail [.] com」。
這個電子郵件地址直接連接到臭名遠播的Necurs殭屍網路,這是過去幾個月用來推送許多其他惡意軟體的惡意體系結構,包括Locky、Jaff、GlobeImposter、Dridex、Scarab和Trickbot。
ZLab研究人員發布的報告中提供了針對義大利公司的Ursnif惡意軟體變體的更多細節,包括IoC和Yara規則。
完整的ZLaB惡意軟體分析報告可透過以下URL下載:http://csecybsec.com/download/zlab/20180621_CSE_Ursnif-Necurs_report.pdf
資料來源:
https://securityaffairs.co/wordpress/73865/malware/ursnif-banking-hits-italy.html
2.2.8、訂房系統FastBooking資料遭竊,上百家已知飯店受到影響
據Bleeping Computer報導,數百家飯店的客戶的個資和信用卡資料6月遭不明身分的攻擊者竊取。
這些資料來自於一家總部設在巴黎的法國訂房系統供應商 FastBooking,該公司在其網站上聲稱高達100個國家的4,000多家飯店使用其飯店預訂軟體。
事件發生在6月14日,攻擊者利用伺服器上託管的應用程式中的漏洞安裝惡意工具(惡意軟體),這個工具允許入侵者遠端存取伺服器,並用來竊取伺服器的資料。直到FastBooking的員工在其伺服器上發現這個惡意工具,事件才曝光。
事件時間表:
2018年6月14日,下午8:43 UTC – 攻擊者入侵FastBooking的系統。
2018年6月19日,下午3:40 UTC - FastBooking發現入侵。
2018年6月19日,下午9:02 UTC - FastBooking遏止洩漏事件。
根據FastBooking表示,入侵者竊取了飯店客人姓名、國籍、郵政地址、電子郵件地址和飯店預訂相關資訊(飯店名稱、入住和退房細節)等資訊。
在某些情況下,入侵者甚至也獲得了信用卡的詳細資訊,例如信用卡上印的名稱、卡號和截止日期。
在針對日本市場的新聞稿中,FastBooking表示,事件影響了380家日本飯店。Bleeping Computer認為,全球受影響的飯店數量要比日本的數量多,可能超過1000家。
該公司目前尚未公開受影響飯店的總數,被盜私人細節的客人數量以及從FastBooking伺服器獲取信用卡細節的客人人數,第一家向客戶通報FastBooking外洩事件的飯店是日本的Prince Hotels&Resorts。該連鎖飯店表示,此次事件影響了124,963名入住其82家飯店的客人。
●TWCERT/CC 建議,FastBooking客戶近期如收到來自FastBooking信件,務必確認真偽,並切勿輕易點選附件或連結,並注意近期信用卡交易狀況,以免遭駭客利用。
資料來源:
https://www.bleepingcomputer.com/news/security/hundreds-of-hotels-affected-by-data-breach-at-hotel-booking-software-provider/
http://www.princehotels.com/news/notice-of-unauthorized-access-to-or-acquisition-of-prince-hotels-resorts-reservations-system/
2.2.9、上億造訪人次之票務服務Ticketmaster系統之套件遭駭
知名的票務服務Ticketmaster是美國經營線上售票的網站,是很多美國大型運動賽事和多個美國一級場館的獨家合作售票業者,擁有上億的造訪人次。
Ticketmaster公告一項資料洩露事件,該事件影響整體客戶群約5%,並導致姓名、地址、電子郵件地址、電話號碼付款詳細資訊以及Ticketmaster登錄詳細資訊等客戶資料被盜。
洩漏事件並非出自Ticketmaster本身,而是Ticketmaster在全球各地網站上部署提供人工智慧即時聊天套件的供應商Inbenta。
Ticketmaster稱,6月23日星期六,它發現這個即時聊天套件被用來向Ticketmaster用戶傳送惡意軟體。惡意軟體正在收集紀錄和洩露客戶詳細資訊。
該公司表示,並非所有網站訪問者都受到影響,因為並非所有用戶都登錄到網站或進行購買,主要以2017年9月至2018年6月23日期間購買或試圖購買機票的國際用戶將受到影響,北美用戶除外。
英國用戶也受到影響,但程度較輕,Ticketmaster表示,該惡意資料收集僅在2018年2月至6月23日期間影響其英國網站。
Ticketmaster仍在調查事件。且向其認為受到影響並收集其個人資料的用戶發送了電子郵件,並在發現外洩事件後,週六在其所有網站上禁用了Inbenta小套件。該公司已經為其英國用戶發布了一個網站,提供關於客戶如何請求免費的12個月身分監控服務的資訊。
Inbenta沒有提出意見。Bleeping Computer詢問此事件是否會影響Inbenta的其他客戶。該公司在其網站上列出了Groupon、Change.org、Schlage和Ticketbis等客戶。
英國國家網路安全中心(NCSC)的一名發言人稱,該組織在知曉此次攻擊事件後,正在與各方夥伴合作展開調查。
●TWCERT/CC 建議,Ticketmaster客戶近期如收到來自Ticketmaster信件,務必確認真偽,並切勿輕易點選附件或連結,如欲更改密碼務必使用官網提供之變更密碼服務,避免使用信件密碼變更連結,並注意近期信用卡交易狀況,以免遭駭客利用。
資料來源:
https://www.bleepingcomputer.com/news/security/ticketmaster-announces-data-breach-affecting-5-percent-of-all-users/
2.2.10Gentoo Linux 的 Github帳號遭駭,內容可能遭惡意竄改
如果使用者近期從Gentoo的GitHub託管的儲存庫中提取了任何內容,請務必注意,因為駭客已經干預該開源專案的資料。
Linux官方發行機構在星期四發出警告,揭露6月28日,UTC時間20:20左右,未知的個人已經獲得了 Gentoo組織的Github控制權,並修改了儲存庫的內容以及頁面的內容,並表示在努力確定該組織及其儲存庫的確切範圍並重新獲得控制權前,所有託管在GitHub上的Gentoo代碼現在都應視為被駭侵。
基本上,如果您透過GitHub從Gentoo下載並安裝了素材,那麼可能會因此引入惡意代碼而受到威脅。直到威脅清除前,建議避免從專案的中心組織帳戶中獲取任何內容。
另外,Gentoo不認為程式碼的主副本被篡改,因Gentoo將主版本與GitHub託管的版本分開存放在未被駭客入侵的伺服器上,GitHub上只是mirror。因此,使用者應能夠透過Gentoo.org網站獲得沒有太多問題的軟體乾淨副本。
所發布之警告沒有揭露篡改代碼的來源、如何做到以及事件長達多久。
資料來源:
https://www.theregister.co.uk/2018/06/28/gentoo_linux_github_hacked/
https://archives.gentoo.org/gentoo-announce/message/dc23d48d2258e1ed91599a8091167002
2.3、軟硬體漏洞資訊
2.3.1、區塊鏈平台EOS新漏洞,有遭探勘接管之虞
EOS.IO本身是加密貨幣的代幣與區塊鏈平台,而開放原始碼的EOS,視作Blockchain 3.0,使軟體工程師能在區塊鏈基礎上發展去中心化應用程式,由block.one公司以c++開發的EOS tokens乃全球第5大加密貨幣,排名在Bitcoin、Ethereum、Ripple、Bitcoin Cash之後,近期EOS被披露數項新弱點,其binaryen.cpp函數出現buffer out-of-bounds write弱點,若node解析惡意WASM格式的智慧合約檔案時,將覆寫緩衝區,並避開DEP、ASLR等防禦技術,啟動反向shell回連攻擊方,駭客能逐步控制整個EOS網內全部node設備,甚至操縱supernode,製造botnet軍團或挖礦大隊;block.one於5月29日修復,然中國大陸資安研究單位Qihoo 360表示該修復措施僅針對64位元,32位元node作業系統仍具風險,block.one後於5月30日更新檔案。另外EOS區塊鏈node被瑞士IP為185.169.231.209發動掃描,試圖搜尋線上EOS的RPC API終端設備,試圖從port 8888挖掘list_keys密鑰資訊,官方表示該API非標準規格,僅供測試,停用即可。
資料來源:
http://blogs.360.cn/blog/eos-node-remote-code-execution-vulnerability/
https://thehackernews.com/2018/05/eos-blockchain-smart-contract.html
2.3.2、硬碟感震設計成破綻,聲波攻擊能促發DoS
人類聽覺領域之外的超音波,或是有聲訊號,都可能成為現代硬碟的剋星,原音共鳴(acoustic resonance)本是普通的物理現象,然聲音本身即是震動能量,在特定頻率與距離,可持續刺激硬碟防震感震結構,觸發shock sensor-driven feedforward機制,進而強制讀寫頭(head)停宕,斷絕本機OS資料來源。據實際探勘證明,現行主流廠牌硬碟,受到音頻21~31 kHz之超音波,竟於8秒內失能,一般聲波亦能於2分鐘內瓦解硬碟運作,音波攻擊技術,對目前DVR監控設備極為致命,且聲波攻擊採證不易,無論源頭從外部喇叭或內部喇叭,皆難以分析攻擊過程,鑒於此弱點在於結合物理特性與硬碟韌體,故發展防禦技術,應從回饋控制、ultrasonic wave辨識、抗噪材料等方面入手,降低硬碟結構對聲波敏感度,始得專注偵測實體震動。
資料來源:
https://www.youtube.com/watch?v=v0yh9fG00zo&feature=youtu.be
https://thehackernews.com/2018/05/hard-drive-failure-hack.html
2.3.3、鎖定Blue Coat安全閘道ASG & ProxySG瑕疵,駭客硬闖SAML認證
Symantec併購Blue Coat後,發展整合式安全產品,Blue Coat推出企業級Web安全閘道器,賣點在安全與加速,旗下Advanced Secure Gateway、ProxySG兩款商品,經研究具安全認證迴避漏洞,因為錯誤解析SAML response,無法正確處理帶有註解資料的XML節點,導致遺失註解之後的本文資訊,若遠端駭客攔截變造SAML response,不會造成加密簽章失效,藉此規避SAML安全控管,冒充合法用戶存取設備,然此漏洞不影響管理者連線控制台時身分認證,僅評為中度危險,或許因威脅不大,官方網站目前仍無解決方式。
資料來源:
https://support.symantec.com/en_US/article.SYMSA1450.html
https://securitytracker.com/id/1040993
2.3.4、威聯通升級Proxy Server,消彌CSRF等4項弱點
國內NAS第二大廠威聯通,技術能力包含硬體製造和軟體開發,以QNAP品牌行銷世界,專屬作業系統QTS平台,支援Proxy Server軟體建置,利用NAS扮演代理伺服器,達成效率與節約,近日公布Proxy Server弱點4項但保留技術細節,駭客實行CSRF及XSS攻擊手段,可送出特製URL及Javascript程式碼,憑藉受害者帳號身分,控制瀏覽器介面;或者恣意執行QTS作業系統指令,甚至透過惡意request竄改Proxy Server設定值,影響系統安全,QNAP Systems已針對相關瑕疵升級Proxy Server,可直接下載。
資料來源:
https://www.qnap.com/en/security-advisory/nas-201806-01
https://securitytracker.com/id/1041025
2.3.5、今年第二波Flash Player 0-Day攻擊,瞄準中東Office用戶
今年2月初,北韓藉Flash Player弱點發動首波0-Day攻擊,入侵南韓人士,6月初證實波斯灣國家卡達,爆發第二波Flash Player 0-Day在野攻擊,去年因卡達與四鄰國雪崩式斷交,政經局勢不穩,疑似因此遭駭客鎖定,自2月起籌備C&C server,部分網域為people.doha(杜哈,卡達首都),並設計阿拉伯語系試算表(salary.xlsx),嵌入惡意Flash Player內容,此一武器化xlsx檔案經email散布,採取魚叉式釣魚手法,一旦惡意試算表開啟則連線C&C server,依序下載惡意swf(Shock Wave File)及shellcode,先觸發堆疊緩衝區溢位,再以受害者身分權限,執行駭客準備之程式碼,全程攻擊階段可謂典型APT,此項Flash Player弱點極為嚴重,Adobe已火速發布更新版本,順便修補另外3個重要漏洞(Type Confusion、Integer Overflow、越界讀取記憶體),改善資訊洩漏、執行任意碼等負面影響。
資料來源:
http://blogs.360.cn/blog/cve-2018-5002-en/
https://securityaffairs.co/wordpress/73291/hacking/cve-2018-5002-zero-day.html
2.3.6、三項漏洞曝光,令Foscam IP Camera無法承受連鎖攻擊
安全研究團隊VDOO專攻IoT資安領域,據其分析,Foscam監控設備使用Linux平台,存在3種嚴峻瑕疵能形成連鎖攻擊,駭客只要以掃描或越權存取等手段,獲得IP Camera位址,可藉strncat()函數合併URI路徑元件字串與根路徑 /tmp/www,取得完整路徑,濫用lighttpd web server客製化程式碼刪除暫存快照之功能,毀掉關鍵檔案,繞過身分驗證;再塞入大量字元當成callbackJson字串參數,讓prepare_reply_func()串接callbackJson與其他資料時觸發Buffer Overflow,導致程式功能crash,迫使watchdog自動重啟程序,從而盜取管理者憑證;擁有管理者身分後,惡意改變NTP伺服器URL內容,換成 ;mal_command; 之類分號包夾惡意指令之格式,經setSystemTime指令處理變造之NTP伺服器URL,完成惡意指令注入,且以root身分執行有害的Shell Command;究其原因在於軟體設計缺陷,過多程序採用root身分,嚴重違反權力分割概念;外部程序替代既有API執行shell commands引進風險;輸入值過濾能力欠佳;及韌體檔案僅採AES 128加密區塊鏈保護,加密演算過弱,令駭客得以快速窺探軟體架構全貌,目前仍未察覺在野攻擊事例,已確認相關漏洞影響18種韌體與55款機型,Foscam已修補所屬弱點韌體。
資料來源:
https://blog.vdoo.com/2018/06/06/vdoo-has-found-major-vulnerabilities-in-foscam-cameras/
https://www.bleepingcomputer.com/news/security/patches-available-for-dangerous-bugs-in-popular-brand-of-ip-cameras/
2.3.7、高階腳本語言Perl測出directory traversal破綻,面臨檔案覆蓋風險
Perl是高階、通用、直譯、動態的腳本程式語言,師法眾多語言特性(C、sed、awk、shell),廣泛應用於各領域,囿於其Archive::Tar模組具目錄遍歷瑕疵,遠方駭客製作惡意tar格式壓縮檔,內藏同名之一般檔案與symlink(符號鏈結),受害者解壓縮後,將突破Archive::Tar模組保護機制,能產生任意路徑與檔案,或者覆蓋既有路徑與檔案,破壞原始資料,新版Perl已釋出並修補缺陷。
資料來源:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=900834
https://securitytracker.com/id/1041048
2.3.8、Intel CPU再爆預測執行式旁道分析威脅 — Lazy FP state restore
自今年1月以來,全球裝配CPU的資訊產品,無論行動裝置或個人電腦,幾乎都難免有鬼魅(Spectre)和熔毀(Meltdown)兩類漏洞,且陸續衍生Variant 4、Variant 3a等弱點變體,此皆源於CPU結構設計為追求運算效率所衍生之副作用,如今Intel再度公開微處理器產品設計瑕疵,牽涉到Lazy FP state restore硬體機制,因浮點運算單元(Floating Point Unit)狀態資料量大,進行task切換時速度慢,FPU使用率低,僅必要時調用,鑑此,延遲FPU state save&restore作業,直至呼叫次個FP指令之前,然延遲期間資料仍置舊task儲存區原位,駭客利用晶片上處理單元設計失策,得窺探FPU註冊值,形成side-channel分析式攻擊,挖掘AES密鑰及其他輸入資料與計算結果。若主機裝配弱點處理器,影響軟體包含kernel 4.9之前版本之Linux、Red Hat Enterprise Linux 5、6、7、MRG 2,以及Windows Server 2008、Google chrome OS、Xen全數系統版本,根本解決方式為啟用Eager FPU restore。
資料來源:
http://www.theregister.co.uk/2018/06/13/intel_lazy_fpu_state_security_flaw/
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00145.html
2.3.9、佳能6款印表機測出管理者認證bypass缺失
日商佳能株式會社(Canon)所生產印表機,部分機型遭測試出認證機制可被繞開,就LBP6650、LBP3370、LBP3460、LBP7750C四款機型,對web介面送出內藏frame.cgi?page=DevStatus字串之惡意請求,可迴避Administrator Mode密碼驗證階段;而MF210、MF220二機型之System Manager Mode亦有類情,以 /portal_top.html字串加工request後送出,能直接進入System Manager Mode介面,經由上述手法,駭客得以獲得設備狀態且全權更改系統設定,Canon無相關安全更新訊息,僅回應,用戶未按手冊最佳作法且保留出場預設值,始具備弱點條件。
資料來源:
https://nvd.nist.gov/vuln/detail/CVE-2018-11692
https://imgur.com/a/QE3GfLw
2.3.10、更新加密工具GnuPG,阻止偽造簽章事件
GNU Privacy Guard簡稱GnuPG,係完整且免費的OpenPGP標準建置,以萬能鑰管理系統保護簽章資料,眾多前端應用程式均借重其現成加密技術,可謂是全球最普及的email用戶端數位簽章軟體,經分析因其程式mainproc.c瑕疵,未對妥善檢查檔名參數,遠端攻擊者得以伺機注入多種控制符號,並偽造status message交由其他程式解析,若負責解析的程式採用--status-fd 2選項,則偽冒攻擊生效,詐騙者訊息被用戶程式解析且信任,與一個月前禍及Thunderbird、Apple Mail、Outlook的加密工具漏洞「eFail」相較,本次SigSpoof更為嚴重,影響電郵安全、備份安全、更新檔部署等工作領域,亦衝擊如Git般的source code版本控制系統,GnuPG Project已更新版本,可公開下載。
資料來源:
https://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000425.html
https://neopg.io/blog/gpg-signature-spoof/#proof-of-concept-ii-signature-and-encryption-spoof-enigmail
2.3.11、零號字ZeroFont釣魚術等待全球Office 365用戶上鉤
以色列雲端安全公司Avanan指出,Office 365所搭配之natural language processing引擎,雖為反釣魚AI技術,但面對ZeroFont釣魚攻擊則束手無策,因ZeroFont會在正常文章內插入隨機字串,形成無文章結構的垃圾篇幅,讓人工智慧找不出邏輯,無從警告用戶,然而該等隨機字串以HTML語法<span style="FONT-SIZE: 0px">控制,不在GUI顯示,收信者所見均為正式內容,誤導受害者深信詭計,接受駭客來信指示,恐衍生後續勒索軟體、木馬程式、洩露機密等實質損失,已證實出現ZeroFont案例且正持續圖謀全球弱點用戶,然確切受害數量不明,據悉微軟已著手解決該演算法缺失,但官方暫無公開訊息。
資料來源:
https://www.avanan.com/resources/zerofont-phishing-attack
https://sensorstechforum.com/zerofont-phishing-attack-bypasses-office-365-security/
2.3.12、Splunk企業版權限控管失誤,將暴露系統資訊
營運決策支援系統Splunk® Enterprise,能蒐集IT建設、安全系統、商務程式各類log格式,產生分析報表,經測試REST終端存在權限控管破綻,遠端駭客於URL直接對設備IP之port 8000,附加__raw/services/server/info/server-info?output_mode=json之請求,竟可獲得設備OS、硬體、Splunk license key等資訊,所幸核心商務資料無外洩之虞,Splunk已升級版本修補瑕疵,並建議REST endpoint需要搭配適合的叢集裝置始得避免風險。
資料來源:
https://www.splunk.com/view/SP-CAAAP5E#announce1
https://securitytracker.com/id/1041148
2.3.13、iOS瑕疵忽略密碼錯誤上限,令暴力破解攻陷iPhone
甫於6月初,Apple發布最新版本iOS 12新聞,本月尚未結束,Hacker House成員Matthew Hickey就挖掘出各版iOS共通破綻,當然iOS 12也名列其中。蘋果所開發Secure Enclave Processor(SEP),安全飛地處理器,具備獨立硬體、韌體、啟動程序,與隔離資料交換管道,以貫徹全面資料保護機制,包括Erase Data功能,可偵測密碼登入失敗次數,達上限時悉數自毀隱私資料,避免外洩,然iOS介面缺點在於,忽略重複及過快pin碼不檢查,若iPhone外接鍵盤之類實體裝置,可bypass密碼錯誤次數上限,連續輸入6碼pin進行brute force破密,取得iPhone控制權,蘋果暫無修補方案。
資料來源:
https://vimeo.com/276506763
https://securitytracker.com/id/1041177
2.3.14、硬體漏洞RAMpage衝擊6年內生產Android設備
來自學術界與科技公司的8人小組,研究出最新Rowhammer變體,稱作RAMpage,該嚴重瑕疵專門針對6年內出廠Android行動裝置,駭客操縱惡意程式,可突破ION次系統之記憶體管控,闖入memory page界限,越權觸及其他程式專用隱密內容,如同管理者般存取密碼、照片、電郵、商務文件等,研究團隊提供測試工具俾供檢查設備是否具有RAMpage徵兆,亦開發今年獲獎之修補工具GuardION,藉著隔離政策防止資料結構遭變更,儘管Google認同RAMpage能干擾Android裝置,然對GuardION一事感到過度反應,迄今仍無官方安全更新。
資料來源:
https://rampageattack.com/
https://vvdveen.com/publications/dimva2018.pdf
2.4、資安研討會及活動
第3章、2018年06月份事件通報統計
本中心每日透過官方網站、電子郵件、電話等方式接收資安事件通報,2018年6月收到通報計4415筆,以下為各項統計數據,分別為通報來源統計圖、通報對象統計圖及通報類型統計圖。
通報來源統計圖為各國遭受網路攻擊事件,屬於我國疑似遭利用發起攻擊或被攻擊之IP,向本中心進行通報之次數,如圖1所示;通報對象統計圖為本中心所接獲之通報中,針對通報事件責任所屬國家之通報次數,如圖2所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數,如圖3所示。
圖1、通報來源統計圖
圖2、通報對象統計圖
圖3、通報類型統計圖
本月通報案件中,有網頁的任意檔案下載(Arbitrary File Download)漏洞,可經由該漏洞取得後端系統中的任意資料。
建議網頁程式中,檢查允許下載的路徑、檔名及副檔名。並於系統管控檔案可存取的系統權限,以免遭任意下載、存取資料,其中包含主機之敏感檔案。於事前修補相關弱點及漏洞,事發時立即處理,後續本中心仍持續提醒相關用戶,對於所收到之事件通報進行相關處理,以減少駭侵事件發生時所造成的損害。
