2018年12月24日 星期一

107 年 12月份 TWCERT/CC資安情資電子報

1. 摘要

為提升我國民眾資安意識,TWCERT/CC於每月發布資安情資電子報,統整上月重要資安情資,包含TWCERT/CC近期動態、資安政策、威脅與趨勢、駭客攻擊事件、軟硬體漏洞、資安研討會活動及資安事件通報統計分析等資訊。


2. TWCERT/CC近期動態


2.1. 參與中華航空保安緊急應變處置研討會


11月29日中華航空舉辦「中華航空保安緊急應變處置研討會」,除了中華航空自己內部的地勤人員參與外,亦邀請與航空業務相關單位與會,此次TWCERT/CC主任 陳永佳受邀分享「網路安全威脅趨勢與實務案例」,針對TWCERT/CC服務、航空公司系統影響等級、系統可入侵途徑等進行分享。


2.2. 參展107資訊月


11月28日至12月3日台北電腦公會於台北世貿主辦107資訊月,資訊月活動成立於民國69年,是台灣最大型的消費性電子展,也是資訊教育的重要舞台,且免費入場,每年都吸引幾十萬人前往參觀。
TWCERT/CC今年首度參與資訊月的活動,攤位設在政府館的「養成好習慣,資安威脅Out!」,本次攤位展出項目除了推廣TWCERT/CC服務項目、遇到資安事件如何通報,及宣導生活中常見的資安攻擊及防範作為,包含「網路消費潛藏危機、E-Mail信件潛藏危機及免費的最貴,公用WiFi背後的真相」三大主題,詳細請見TWCERT/CC電子版手冊 (http://surl.twcert.org.tw/79ErJ) 。
本次亦於攤位上推廣資安電子報訂閱活動,只要現場訂閱資安電子報,即可有機會玩娃娃機夾贈品,因此當天吸引千人以上的參觀者前來參觀,以及將近八百位民眾訂閱資安電子報,亦於攤位播放資訊安全宣導短片。


2.3. 參與HITCON Pacific


12月13日至14日社團法人台灣駭客協會主辦HITCON Pacific,今年主軸為「Transforming: Cybersecurity and Resilience」,重點在企業在面對多元化的駭客攻擊下,應採取何種應變措施,來抵抗源源不斷的攻擊,以及遭受攻擊時如何能快速復原,降低損害。
此場研討會主要參與對象為企業內部負責資安業務、管理階層以及工程師等,亦有少部分來自國外的與會者,以日本及韓國較多,此次於會場上除了推廣TWCERT/CC業務及資安電子報外,亦與來自各國資安專家交流。


3. 國內外重要資安新聞

3.1. 國內外資安政策、威脅與趨勢


3.1.1. 國NCSA及Intel合作UpdateMeow專案,提醒系統更新重要性


美國國家網路安全聯盟 (National Cyber Security Alliance, NCSA) 與英特爾公司 (Intel) 共同召開#UpdateMeow專案,以貓就算有九條命也需要保護作為比喻,以提醒民眾不應因僥倖而忽略系統或應用程式的更新通知,並定期進行系統更新,才能避免網路威脅安心使用系統。
此專案提供許多宣導圖片供民眾下載應用,可至網址https://staysafeonline.org/updatemeow/ 頁面下載 ,另亦可在各社群網站使用活動專屬Tag「#UpdateMeow」,將資安意識分享出去。


3.1.2. 新加坡發出警告,大量釣魚簡訊假冒銀行名義竊取民眾資訊


新加坡警方近期發現,在過去兩個月中,有大量民眾通報了冒充星展銀行 (DBS) 及 郵政儲蓄銀行 (POSB) 名義所發送的釣魚簡訊,該簡訊內聲稱在接收者的帳戶中偵測到異常行為,並包含一個釣魚連結。點選該釣魚連結後,將會連至一釣魚網站,並誘使受害者輸入網路銀行帳號密碼等資料,受害者指出,因未察覺異狀並如實輸入資訊,後續在銀行帳戶中發現一個新的收款人,而且也發現了非經受害者本人授權的轉帳紀錄,這些被轉帳出去的款項,稍後發現已存進比特幣ATM中。
不法分子將贓款存進比特幣ATM的方法有兩種:
(1) 不法分子在合法且廣為人知的徵才網站中張貼徵才廣告,職缺包含問卷測試者或餐館工作人員等,並等待不特定的應徵者前來應徵,應徵者隨後會收到來自「directwarehousestock@gmail.com」或「derbysinfo@gmail.com」的信件,告知應徵者已被錄取,而不法分子會向應徵者詢問銀行帳戶,並將來自釣魚連結受害者帳戶的款項匯至應徵者戶頭中,接著要求應徵者將此筆款項存入比特幣ATM中。
(2) 不法分子在遊戲平台以友善的態度徵求幫忙不知情受害者購買比特幣,協助者自己可以留下一部分的款項,剩餘的則存入比特幣ATM中。若有受害者同意協助購買,不法分子會要求其提供銀行帳戶,並將來自釣魚連結受害者帳戶的款項匯至該戶頭中,再由受害者將贓款存入比特幣ATM中。
星展銀行的合法官方網址為「www.dbs.com.sg」,而郵政儲蓄銀行的合法官方網址為「www.posb.com.sg」,不論是否為此兩間銀行,請民眾在點選宣稱銀行所提供之連結前必須再次確認。
目前發現之惡意網域清單請至以下連結觀看:https://www.twcert.org.tw/subpages/securityInfo/securitypolicy_details.aspx?id=776。
TWCERT/CC建議:
若欲操作網路銀行,請由銀行官方網站點選網路銀行進入
釣魚連結常利用與原網域相似之名稱來欺騙受害者,因此在輸入機敏資料前請再次確認連結之正確性
請勿點選來源不明之電子郵件或連結


3.1.3. Honeywell警告,USB仍為造成工控系統中毒之重要威脅


通用序列匯流排 (Universal Serial Bus, USB) 為一輸入輸出埠的技術規範,被廣泛地應用於個人電腦和行動裝置等訊息通訊產品,例如隨身碟及攝影器材等。Honeywell於11月1日發布USB對工業造成之威脅報告,其中分析其布於美國、南美、歐洲及中東等地區的油、氣、電、化工及造紙等產業中之感應器,並觀察所偵測到的惡意檔案,而結果證明USB對於工控系統仍有顯著的威脅。
經分析,有11%的病毒尚未能被一般防毒軟體偵測,26%可能導致嚴重資安問題;16%的病毒對工控系統或是IoT系統進行攻擊;15%的病毒則為已知的高風險病毒,包含gStuxnet (2%) 、Mirai (6%) 、TRITON (2%) 及WannaCry (1%) ,且大部分由USB儲存裝置試圖進行感染;9%則是被設計專門攻擊USB埠漏洞,例如讓主機誤以為正在使用USB埠的是一台鍵盤,進而輸入惡意指令。
經分析所有病毒,發現有55%為木馬程式 (Trojan) 、11%為殭屍 (Bot) 、6%為駭客工具 (Hacktool) 、非必要之灰色軟體 (PUA) 、3%為病毒 (Virus) 、3%為廣告程式 (Adware) 、2%為Rootkit、1%為蠕蟲 (Worm) 、其他則為間諜軟體 (Spyware) 及其他惡意程式。
對於維護工控系統安全的建議如下:
應儘量宣導USB相關裝置之安全使用,並制定完善使用政策,但僅依靠宣導USB使用意識及管理政策並不足以抵擋USB威脅,仍須搭配其他防護方式。
應嚴格管制連接工控系統之網路,並由網路交換器、路由器及防火牆端強制執行。USB常作為攻擊初始的感染管道,隨後駭客才會進行遠端控制或下載更多惡意軟體至系統中。
布建在工控系統內的防毒軟體應每日更新,但防毒軟體並無法偵測未知型威脅,因此應搭配額外偵測方式避免惡意威脅。
修補與強化端點防護是必要的。
勒索病毒是工控系統所面臨的嚴重威脅,但系統可以透過定期維護、備份及規畫完善的恢復程序來減緩風險。若是不幸中勒索病毒,付贖金是最不理想的選擇,付贖金並不代表可以取回被加密的檔案,也等於鼓勵勒索病毒背後的駭客繼續利用這樣的方式來賺取贖金。更多關於勒索軟體的資訊請參考:https://www.nomoreransom.org/zht_Hant/index.html。


3.1.4. 美國網戰司令部開始將惡意樣本傳至VirusTotal


美國網戰司令部 (United States Cyber Command, USCYBERCOM) 下屬之國家網路任務部隊 (Cyber National Mission Force, CNMF) 於11月6日宣布,他們已在國際惡意樣本檢測平台VirusTotal上建立帳號 (https://www.virustotal.com/zh-tw/user/CYBERCOM_Malware_Alert/) ,而後續美國國防部會將其發現的非機敏性惡意樣本以該帳號分享至VirusTotal上,同時也會將最新消息公告在官方Twitter帳號 (https://twitter.com/CNMF_VirusAlert) 中。
目前CNMF已經上傳了兩筆樣本,分別為來自LoJack病毒的「rpcnetp.dll」及「rpcnetp.exe」,VirusTotal亦指出其中「rpcnetp.dll」是先前在VirusTotal資料庫中未曾見過的樣本。
資安專家表示對此舉動之認同,並期待其他政府可效法此舉,讓民眾及廠商皆有機會觀察這些惡意樣本,亦可阻擋同樣類型之威脅,且也可以讓VirusTotal的資料庫內容更加豐富。此外,部分專家指出,他們正在觀察這樣的舉動是否會影響駭客組織的攻擊行為,由於有些駭客組織傾向使用同樣的駭客工具,這樣的模式會迫使他們必須精進工具功能才能繼續攻擊,另若是政府能一併釋出惡意樣本相關的技術及完整攻擊流程等資訊,勢必對於駭客會有更嚴重的影響,並迫使他們放棄現有的攻擊策略。

3.2. 駭客攻擊事件及手法


3.2.1. 歐洲之星系統遭未授權存取,已重置客戶密碼


歐洲之星是一種高速鐵路服務,透過英吉利海峽隧道直接連接英國與法國和比利時,該公司10月30日向所有客戶發送一封電子郵件,宣布在可能的駭客攻擊後重置所有用戶密碼。
歐洲之星在電子郵件通知上表示當客戶嘗試登錄eurostar.com時,系統會要求客戶重置密碼,因為該公司確認有未經授權的自動程式嘗試使用客戶的電子郵件地址和密碼存取eurostar.com帳戶,因此該公司採取此行動作為預防措施。
歐洲之星表示,在調查未經授權的存取其客戶帳戶的企圖後,確認襲擊發生在10月15日至10月19日之間,該公司在電子郵件通知中聲明客戶的信用卡或付款細節尚未受到損害,因為該公司從未在eurostar.com帳戶上儲存這類資訊。
此外,歐洲之星鐵路公司除了透過電子郵件提醒要求其客戶重置其帳戶密碼以確保其帳戶不會發生異常情況,也建議所有聯繫的客戶更新在其使用相同密碼的任何其他網站上的登錄資訊,可能是在檢測到的資料洩露嘗試期間有帳戶密碼被盜的疑慮。
由於除了發送給客戶的警報之外,鐵路公司沒有發布任何有關此事件的公開新聞稿或聲明,因此很難估計此次資料洩露事件中受影響客戶的確切數量,歐洲之星已向資訊專員辦公室 (ICO) 報告了這一事件,並在ICO的幫助和參與下繼續調查此事件。
●TWCERT/CC建議,客戶近期如收到該公司信件,務必確認信件來源,並應透過該公司官方修改密碼服務,切勿隨意點擊信件連結以及附件,並應保持不同網路服務使用不同密碼之習慣,以免遭有心人士利用。


3.2.2. 美國匯豐銀行遭駭,緊急通知客戶個資外洩


美國匯豐銀行 (HSBC bank USA) 全國協會遭到入侵,攻擊者設法竊取了客戶的全名、電話號碼、電子郵件、出生日期、帳號及收款人帳戶資訊等。
根據美國匯豐銀行2018年11月2日向受影響客戶發送的資料洩露通知,總部位於英國的匯豐銀行美國子公司在2018年10月4日至2018年10月14日期間,發現未經授權的用戶存取許多線上的帳戶。
在通知信上提到,當匯豐銀行在發現線上帳戶受到影響時,便暫停了線上存取,以防止進一步未經授權進入客戶帳戶,客戶若收到該銀行的電話或電子郵件,該銀行可以協助客戶更改線上銀行憑據來存取帳戶。
通知信還提到攻擊者可能存取過客戶的全名、郵寄地址、電話號碼、電子郵件地址、出生日期、帳號、帳戶類型、帳戶餘額、交易歷史紀錄、收款人帳戶資訊和帳單歷史紀錄。
作為對此安全事件的回應,匯豐銀行美國公司表示,匯豐銀行個人網上銀行平台的認證流程已透過增加額外的安全保護來增強,以保護其客戶免受未來的攻擊。
而鑑於攻擊背後的參與者能夠存取每個受影響客戶的大量個人和財務資訊,因此受到帳戶洩露的客戶可能成為未來身分盜竊攻擊的目標。
匯豐銀行美國公司表示,所有帳戶遭到入侵的客戶都將獲得免費訂閱Identity Guard、信用監控和身分盜竊保護服務,Identity Guard不僅提供必要的信用資料監控和保護,而且還會提醒客戶某些可能表明潛在身分被盜的活動。


3.2.3. 巴基斯坦多家銀行遭駭,約8000多名帳戶資料遭黑市兜售


巴基斯坦聯邦調查局 (FIA) 網路犯罪主管Capham Mohammad Shoaib於10月6日表示,根據最近收到的報告,幾乎所有巴基斯坦銀行的資料都遭到駭客入侵。
該官員表示,來自該國經營的「大多數銀行」的資料已經遭到駭侵,來自巴基斯坦境外的駭客侵入幾家當地銀行的安全系統,並從客戶的帳戶中竊取大量資金。
Shoaib表示最近對銀行的攻擊使該國很清楚發現銀行的安全系統需要改進,銀行負責人和安全管理層正在召開會議研究如何加強銀行的安全基礎設施,該機構正在調查100多起與駭侵行為有關的案件,何時發生安全漏洞並不是很清楚。
但該機構已經逮捕了許多參與網路犯罪的共犯,並從他們手中追回了被盜資金。該官員補充說,其成員過去常常偽裝成軍隊官員,並在收集到人們的資料後從銀行取錢。
由於銀行界對信用卡和簽帳金融卡資料遭駭侵的擔憂,大約有10家銀行封鎖了所有國際交易,巴基斯坦國家銀行 (SBP) 也通知幾家商業銀行,阻止簽帳金融卡和信用卡上的國際付款作為對其客戶帳戶進行網路攻擊後的預防措施。
根據數位安全網站krebsonsecurity.com,大約10家巴基斯坦銀行的8000多名帳戶持有人的資料在駭客市場上被出售。巴基斯坦一家大型銀行向其客戶發送消息稱,從11月3日起,由於「技術原因」,線上移動銀行服務將暫時終止。
BankIslami銀行於10月27日回報了第一次網路攻擊。該銀行表示,從國際支付卡中被盜取了260萬盧比,之後即停止此類交易,並僅允許在巴基斯坦境內的ATM卡上進行經生物識別核實的付款。
第二天,SBP向所有銀行發出指令,確保所有資訊技術系統的安全措施,包括卡片操作相關的措施,並不斷更新以應對未來的挑戰,確保卡片操作相關系統和交易的實時監控,並立即協調所有綜合支付方案、交換運營商和媒體服務提供商。


3.2.4. 硬頸!馬來西亞首要媒體遭勒索軟體攻擊,果斷系統轉移並拒付贖金


Media Prima Berhad(首要媒體)是一家在馬來西亞證券交易所上市的媒體集團,經營全國性報紙(New Straits Times,Harian Metro和Berita Harian),是新海峽時報出版社(馬來西亞)Berhad出版社的一部分,以及四個廣播電台(Fly FM、Koo FM、Hot FM和One FM)和多個免費電視台(ntv7、8TV、TV3和TV9),還參與內容製作和發行、戶外廣告和家庭購物的公司,使其成為馬來西亞領先的媒體公司。
11月8日時Media Prima的一些電腦系統遭受勒索軟體攻擊後被鎖定和加密,完全關閉了公司的電子郵件系統。
The Edge Financial Daily的消息指出,根據Bitfinex加密貨幣交換,攻擊者要求Media Prima Berhad支付1000比特幣的贖金,這些比特幣時價達5,820,000美元,每比特幣價值5,820美元。
據「馬來西亞洞察」報導,Media Prima的核心業務並未受到勒索軟體攻擊,唯一受影響的系統是該公司的電子郵件系統,其他作業未受此事件影響。
該集團聲明表示其核心業務運營包含廣播、平面廣告、戶外廣告、內容製作和數位出版等從未中斷過。
在媒體Prima Berhad勒索軟體事件發生後,沒有關於可能的資料洩露的資訊,有鑒於勒索軟體攻擊的工作方式,威脅攻擊者在鎖定它們之前,從伺服器中洩漏任何資料的可能性非常小。
據Edge Markets引用的其他消息來源報導,Media Prima決定不支付攻擊者提出的贖金,而是選擇將他們的電子郵件系統遷移到G Suite,其聲明上表示:「我們的辦公室電子郵件受到影響,但我們已遷移到G Suite。他們(攻擊者)要求比特幣,但我們不付錢。」


3.2.5. 義大利遭受境外大規模針對認證電子郵件帳戶的網路攻擊


據路透社報導,義大利羅馬一位高級官員於11月19日表示,未知的駭客在本月早些時候的重大網路攻擊中獲得了數千個義大利認證的電子郵件帳戶,包括地方法官和安全官員。
認證電子郵件可確保寄件者身分的有效性,以及發送和接收電子郵件的日期和時間,使他們具有明確的法律地位。
負責該國網路安全的羅伯托·巴爾多尼表示這是該國今年1月以來遭受的最嚴重的攻擊,並且已經產生了重大影響,但局勢得到了控制。
該攻擊於11月12日發起,目標是羅馬附近的一家伺服器,負責處理公共管理部門的認證電子郵件帳戶。
駭客可存取到大約50萬個帳戶的資料,包括大約9,000名地方法官以及一個政府間高級安全機構的成員。
巴爾多尼在新聞發布上表示,目前尚不清楚任何部長、情報首長或軍事首長的帳號是否遭到外洩,唯一確切知道的是,這次襲擊並非來自義大利。
由於網路攻擊,義大利上訴法院使用的IT系統被暫停,巴爾多尼敦促義大利人透過認證電子郵件的帳戶立即更改密碼。
然而巴爾多尼表示,即使從技術角度乍看而言,攻擊似乎並不太細緻,然而仍是一次嚴重的攻擊。


3.2.6. 知名歐洲眼鏡商VisionDirect遭駭,駭客利用Google Adwords和Google協作平台傳播惡意軟體


VisionDirect是歐洲最大的線上眼鏡零售商之一,負責處理隱形眼鏡和眼部護理相關產品,該公司宣布,其許多網域名稱遭遇資料洩露,駭客竊取了客戶的信用卡和銀行資料。
根據VisionDirect的安全建議,資料洩露事件發生在11月3日至11月8日期間,在上述期間購買或登錄該網站的客戶都是受害者。但是在此期間使用PayPal購物的客戶不受影響。
被駭客竊取的資料包括全名、電子郵件地址、密碼、帳單地址、電話號碼、支付卡資訊以及卡號、有效期和信用卡安全碼 (CVV) 。
對VisionDirect的攻擊似乎相當複雜,因為駭客在網站放置了一個惡意的 javascript 代碼來竊取財務資料,這種類型的攻擊稱為MageCart攻擊,在這次攻擊中,駭客放置了冒充Google Analytics的惡意代碼。
在攻擊期間,駭客使用的網域名稱g-analytics[.]com類似於Google Analytics的官方網站,這可能是該公司似乎不知道其網域名稱中存在惡意腳本的原因。
此前,Newegg和Oneplus的網站也因MageCart攻擊而受到損害。在這兩次攻擊中,駭客都能夠竊取客戶的信用卡資料。最近,駭客在英國航空公司的資料洩露事件中採用了相同的策略,其中38萬客戶的財務資料被盜。
WhiteHat Security的應用安全研究員Bryan Becker表示,雖然無法確認歸因,但這次攻擊具有「Magecart」攻擊的所有特徵。
Becker補充表示,一些關鍵指標包括攻擊者在頁面上插入假代碼(以虛假的Google分析腳本的形式);偽造的代碼在結帳時抓取了客戶的詳細資訊,並將其發送到駭客控制的網域,攻擊者利用虛假但合法的網域名稱發送資料,以減少懷疑。

3.3. 軟硬體漏洞資訊


3.3.1. 威聯通NetBak Replicator無法承受鉅量字串輸入


國內NAS大廠威聯通開發之應用工具NetBak Replicator,適用Windows電腦用戶,執行全硬碟檔案備份還原作業,支援WebDAV (Web-based Distributed Authoring and Versioning) 和FTP協定的異地備份,經西語人士Yair Rodríguez Aparicio於Windows XP Profesional SP3環境測試,NetBak Replicator 4.5.6.0607版的WebDAV網址輸入欄位,其演算法無字串量限制,塞入5000字內容即肇生DoS,目前QNAP官網公開之NetBak Replicator版本係4.5.7.1004(數位簽章日2018年10月4日),然未說明是否修補上述缺點。


3.3.2. 網路電台業者速升級Icecast,抑制buffer overflow干擾


非營利性組織Xiph.Org基金會致力創作開源多媒體格式及程式,其中音訊串流媒體伺服器軟體Icecast,支援影音資料處理公開標準,經Semmle Security研究團隊以LGTM工具發掘出後台程式缺陷,auth_url.c內某段迴圈在接收用戶request內HTTP header後,以snprintf()運算回傳輸出資料byte長度,以遞增緩衝區位址指標,然相關算式缺乏安全設計,將造成越界寫入,破壞其他堆疊內容,該項記憶體區段錯誤 (segfault) ,恐造成Icecast伺服器 2.4.x系列(且定義為mount以啟動URL驗證)出現DoS狀態,更嚴重者將觸發RCE,對於安裝Icecast之網路電台,有營運中斷風險,建議儘速取得Xiph.Org基金會新版軟體。


3.3.3. 急報4GEE HH70VB無線Modem暗藏後門


英國研究員James Hemmings,挖掘出4GEE HH70VB型wifi路由器竟內建寫死帳密root/oelinux123,在區域網段內任何帳號,均能藉該帳密連線至設備SSH伺服器,且完全迴避AP Isolation(基地台隔離)模式,無視多網段管控功能,此一高風險後門恐讓攻擊者接管全機,甚而劫持DNS lookups或安裝間諜程式,瓦解C.I.A,據悉行動網路電信業者EE (Everything Everywhere) 已推出升級韌體,然改良方式並非消除預設帳密,而是停用SSH,儘管能達到安全效果,但寫死的帳密總是不符資安期待,另EE多項產品由Alcatel代工出廠,故持有Alcatel產品又恰巧是HH70系列,請檢測是否有類似後門。


3.3.4. 引導程序U-Boot缺乏邊界檢查,開機瞬間即觸發Memory Corruption


由DENX發行的Universal Boot Loader(簡稱U-Boot),係結合C和組合語言所發展之嵌入式設備開機引導程序,U-Boot支援Power PC、ARM、AVR32、MIPS等CPU架構,且具備Verified Boot功能,此功能合乎電腦工業Secure boot安全標準,能檢查Kernel Image數位簽章,防禦惡意檔案被載入,經F-Secure首席硬體安全分析師 Andrea Barisani指出,U-Boot忽略檢查載入Image檔案大小,即使超過設備RAM,仍直接寫入資料,甚至Bootloader專屬記憶體區段亦恐遭覆蓋,因載入時間點發生在Verified Boot之前,故駭客以惡意Image訛詐受害者開機,必直接造成Memory Corruption,可能引發RCE,此際Verified Boot生效也是徒然,因為探勘早已得手,目前尚無修補方案,且至少有網路或檔案系統二種假造Image來源,可對U-Boot設備發動入侵,判斷尚有其他探勘途徑,危及所有U-Boot版本。


3.3.5. 小蟻家用攝影機27US型驚現一打嚴重漏洞


小米旗下小蟻系列家用智慧攝影機,具遠端影像、語音傳送功能,經思科Talos分析出12個嚴重弱點,其QR Code受部分參數影響,掃描惡意圖形後易觸發Overflow;且因手機APP對攝影機多採明文傳輸,與既有中繼IP連線時,恐遭受中間人攻擊而竄改資料,或者在時間同步時以過大回應封包造成溢位;藉由操縱UDP封包流量,駭客能導致p2p_tnp程序耗盡記憶體,並持續關閉攝影機,使設備無法使用;另雲端OTA (Over-the-air) 缺乏安全防護,cloudAPI SSID被偽造可引發command injection;雖有設計Nonce清單以防止重放攻擊,但駭客靠竊聽掌握有效Nonce,可騙過驗證機制建立新的TNP_Session;最後韌體從SD卡更新時,無法精確辨識版本,可能降級舊版而喚回更多漏洞,甚至攻擊者放置假韌體檔,利用rsa_pub_dec()程式設計瑕疵,執行惡意程式,上述分析成果適用於美國境內販售之小蟻商品,目前已改善韌體並釋出,至於台灣地區銷售之小蟻攝影機是否具類情,尚須專業單位鑑定。


3.3.6. 伺服器軟體Nginx兩模組瑕疵恐衍生DoS


2004年由Igor Sysoev以C語言開發Nginx,其為異步架構Web伺服器,也可用於反向代理或負載平衡,此款免費開源軟體,至2018年初已遍及全球30.46%網站,常見於Linux環境,Nginx特色是模組化設計,其中兩模組易遭遠距觸發DoS,ngx_http_v2_module設定為守聽http2協定流量時,處理惡意request將導致CPU及記憶體消耗殆盡,掏空硬體資源;而ngx_http_mp4_module接收到偽冒mp4檔案亦將導致無限迴圈,甚至暴露資料,NGINX, Inc於11月6日釋出更新版,改善前述缺失,網站營運業者請關注設備修補進度。


3.3.7. 交換機系統Asterisk配置記憶體不足,肇生存取衝突


以C語言開發的Asterisk,是首個輕量級軟體式交換機 (PBX) ,具備語音信箱、線上會議、互動應答等功能,可運行於Linux、NetBSD、OpenBSD、FreeBSD、Mac OS X、Solaris、Windows等平台,據Jan Hoffmann研究,Asterisk在計算Domain Name字串所需緩衝區時出錯,僅獲得壓縮資料長度,即經由dns_srv_alloc()、dns_naptr_alloc()兩函數配置記憶體,然實際儲存資料卻是展開後域名字串,若遭遇偽冒Response探勘手法,即可能發生越界寫入,引發記憶體區段錯誤 (segfault) ,干擾其他程序運行而中斷服務,Digium已公告改良版本,使用單位請儘速升級。


3.3.8. 外掛AMP for WordPress易遭注入惡意碼


Google設計的加速行動網頁 (Accelerate Mobile Pages) ,簡稱AMP,是開源專案項目,WordPress亦開發專屬外掛程式AMP for WordPress,讓行動裝置用戶能更快速瀏覽網頁,目前安裝應用逾十萬次,據資安公司WebARX分析指出,該plugin潛藏嚴重破綻,原因是函數ampforwp_save_steps_data()原始設計缺乏連線帳號鑑定機制,未判斷操作者是否具相應授權,即儲存所作設定變更,故任何用戶無論其帳號角色為何,皆能直接使用AJAX hook功能,比照admin user,惡意插入HTML / JavaScript程式碼,竄改外掛表現,添加廣告或頁首、頁尾內容(探勘實務詳影片),官方已更新AMP for WordPress,WordPress架站網管應儘速安裝,尤其是無防火牆保護之伺服器。


3.3.9. 提高警覺,中控式Wifi熱點管理軟體CWM-100將成惡意掃描跳板


CWM-100係D-Link開發之Central Wifi-Manager工具,以網頁介面監控管無線網路設備,具備多種用戶認證與頻寬優化技術,經John Page(代號aka hyp3rlinx)分析列出3項弱點,駭客從本機劫持quserex.dll換成惡意檔,將於CaptivelPortal.exe啟動後以最高權限執行惡意作為;而FTP伺服器因使用port 9000且結合預設帳密admin/admin,容易被利用進行FTP彈跳式攻擊,以Nmap工具掃描大量IP及port,掌握網路設備狀態;而MailConnect元件更因不限制TCP流量送至任意IP和port,成為伺服器端請求偽冒 (SSRF) 突破點,經由特定URI格式,可規避防火牆發動port scan,上述行動皆暴露網路設備詳細資訊,恐帶來勒索程式、botnet等隱憂,而D-Link表示修補計畫仍在進行,預計12月中旬有結果,CWM-100使用者請關注官方FTP站台檔案陳列。


3.3.10. Gmail APP用戶謹防幽靈郵件以假亂真


軟體設計師Tim Cotton近期致力於挖掘Android版Gmail app瑕疵,發覺偽造信件表頭"From"欄位內容,注入<object>、<script>、<img>之類html tag,將真正寄件郵箱地址埋藏於訊息末端,可送入Gmail伺服器且不被攔截,加諸Gmail使用者體驗 (User Experience: UX) 介面缺乏安全檢查設計,故收信人在處理收信清單、郵件內文、加入通訊錄、轉寄等基本功能時,均無從得知信件來源,即使Show original友善介面亦於事無補,此類無來源信箱郵件,常見於系統自動通告或ISP官方通知,故老練資訊工作者也可能一時不察而誤判,更遑論一般用戶,Gmail服務遍及全球,一旦駭客將此種難辨真偽的幽靈信件,加以裝飾成高階釣魚攻擊武器,則災情不易收拾,Tim Cotton已於一年半前知會Google,迄今音訊杳然,Google於今年兩度更新Gmail版本,甚至推出行動App人工智慧信件排序與主動取消訂閱服務,但未曾著力解決上述缺失。


3.3.11. 電子學習平台Moodle登入介面具嚴重CSRF缺陷


Moodle™原名Modular Object-Oriented Dynamic Learning Environment,即模組化物件導向動態學習環境,係開放原始碼的線上學習管理系統,以PHP開發前台,後台相容MySQL、PostgreSQL、MS SQL等資料庫,跨Linux、Windows平台支援全球150餘國、70種語系、1.27億用戶,如此份量的軟體,經分析其登入表單具存取控制破綻,因authenticate_user_login()函數雖包含安全設計,然未實際驗證Token,無法攔截Cross-site Request Forgery入侵,官網自評該漏洞為嚴重程度,目前國內至少卅七所大學使用Moodle輔助課務,若遭駭客發動跨站台請求偽造,可能破壞選課、評分、學籍等資料可信度,近期Moodle Project已開發新版(3.6、3.5.3、3.4.6、3.3.9、3.1.15)改善上述瑕疵,建議各級學校計算機中心儘速部署適合版本。


3.3.12. 注意Kitten of Doom!鉅量表情符號癱瘓商務型Skype


資安諮詢業者SEC Consult,分析出企業常用通訊工具Skype for Business存在一項DoS漏洞"Kitten of Doom",據實驗結果,單次發送表情符號800個,足以造成接收端聊天視窗凍結數秒,持續發送則Skype程式維持癱瘓狀態無法回應,另該瑕疵僅影響聊天功能,無涉影音串流,蓋因分屬不同執行緒運算,故不干擾視訊會議。因Skype已廣泛應用,深入眾多企業商務活動,上揭手法輕則成為惡作劇,重則成為同業競爭、部門惡鬥伎倆,恐頹喪組織風氣與企業產能,確有更新必要,微軟本計畫於10月份釋出,因當月更新出紕漏,順延至11月,若IT部門仍對月例更新有戒心,或者處於封閉環境,可先採取臨時設定,停用表情符號並以黑白名單限制通訊對象,再評估Skype個別修補安裝,Office 365內含Skype,亦屬更新範圍。


3.3.13. 合勤科技修補VMG1312-B10D無線閘道器Directory Traversal破綻


網路設備業者合勤科技,旗下Zyxel VMG1312-B10D係4-port無線Gateway,以定向技術減低VDSL (Very-high-bit-rate digital subscriber line) 線路串音干擾,經Numan Türle測試,發現其韌體Web伺服器存在目錄遍歷缺陷,攻擊者可逕送入探勘URL(如:http://192.x.10.254/../../../../../../../../../../../../etc/passwd),直接閱讀重要系統資料,不限於帳號密碼,若暴露資訊過多足以推測用戶概況,Zyxel前於10月釋出5.13 (AAXA.8) C0版韌體,其官方文件VMG1312 -B10D Generic雖未明述上揭漏洞修正事宜,然提及「Data content is displayed in plaintext on browser developer tool」異常事件已獲解決,故請持有者速至官網下載最新韌體。


3.3.14. 音訊解碼器FAAD2可能帶來記憶體區段錯誤


免費開源的音訊解碼器Freeware Advanced Audio Decoder (FAAD) ,已發展至第2代FAAD2,程式本身以C語言撰寫,故測試者使用Address-Sanitizer (ASAN) ,此工具專門對C/C++程式記憶體偵錯,目前FAAD2最新2.8.8版被分析出多項Memory Corruption,如mp4read.c、syntax.c、sbr_hfadj.c原始設計有瑕疵,造成部分變數相互干擾記憶體配置區內容;而filtbank.c之ifilter_bank()函數則是定址失敗而參考空指標,鑑此,操作FAAD2處理音訊檔時,極有可能發生緩衝區溢位及DoS現象,無法輸出完整檔案格式,FAAC暫無安全更新。


3.3.15. 鎖定Samba缺陷,能終止網路服務或猜測密碼


考量同網段上相異作業系統 (Windows、Linux、UNIX、IBM System 390) 資源共享便利性,便催生開源的Samba,Samba建基於NetBIOS (Network Basic Input/Output System) 通訊協定,可連接Windows的SMB (伺服器 Message Block) 與CIFS (Common Internet File System) ,讓PC間破除OS的隔閡,分享資料夾及印表機。近日公布漏洞訊息,資源紀錄CNAME loops運作時,可能觸發無限遞迴或偽造網址,導致用戶無法上網;金鑰部署伺服器 (KDC) 兩度呼叫talloc_free()函數將造成Double-free,且請求S4U2Self票證失敗後,均迫使KDC程序停擺;另LDAP搜尋工作階段,暫將紀錄存放於256MB記憶體區間,一旦資料過量則觸發null pointer而停止運作;尚有DLZ外掛啟動後,凡操作dnsZone object寫入作業,必干擾DNS management RPC伺服器、DNS伺服器、BIND9等基本應用;至於Samba預設錯誤登入記數時限為30分鐘形同虛設,僅累計3分鐘以內猜測密碼行為,並啟動帳號鎖定,攻擊者仍可伺機暴力破解,Samba Team已公布各版修補檔,並升級相關軟體。


資料來源:
https://www.samba.org/samba/security/CVE-2018-14629.html
https://www.net-chinese.com.tw/nc/index.php/MenuLink/Index/171
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16841

3.4. 資安研討會及活動

時間
研討會/課程
名稱
研討會相關資料
107/10/24-12/23
全民資安素養自我評量網路活動開跑!
活動網站:https://isafeevent.moe.edu.tw/
活動方式:
依據參加者所選取的身分別,由電腦自動選出10個題目,只要答對7題(含)以上,留下正確的抽獎資訊,即可參加抽獎。
每位參加者最多可累積300次抽獎機會。

抽獎獎項:
頭獎1名:15吋筆記型電腦
貳獎1名:掃地機器人
參獎1名:靜音碎紙機
肆獎20名:藍牙耳機
參加獎105名:實用禮券300

抽獎方式:
🦀本活動預計於中華民國1071231日前以電腦方式進行抽獎,屆時將安排律師進行見證,以確保本活動的公平性。
🦀每位參加者只有1次中獎機會,若抽中2個以上獎項,以市價高者為準。
詳細活動辦法:https://isafeevent.moe.edu.tw/rule

活動概要:
教育部為提升民眾的資訊安全素養與在網路世界的自我防護能力,自即日起至1071223日,舉辦「全民資安素養自我評量網路活動」 (https://isafeevent.moe.edu.tw/) ,歡迎大家至活動網站自我挑戰,不僅可以快速瞭解自己的資安素養認知程度,還有機會抽中筆記型電腦及掃地機器人等豐富獎品。
108/01/03
政府資安戰略論壇
日期:201913日(六)13:00-16:30
地點:台北君悅酒店1F 君寓一 (台北市松壽路二號)
主辦單位:台灣數位安全聯盟
線上報名連結:
https://kktix.com/events/csa190103/registrations/quickly

活動概要:
今年立法院通過資安管理辦法,明確規範,除平常具備的防禦性資安設備的建置,更必須背負通報與處理的責任。這代表政府機關在面對資安的防護上,必須全面考慮,當組織發生資安事件後,需要通報主管單位,及採取相關應變策略。

駭客攻擊手法多元化,政府機關應如何應對各種網路威脅,如何採取相關資安防禦措施,提升組織內部防禦能量,已是現今各機關所關注的重點。
108/01/05
ISDA 白帽入門讀書會 黑帽python入門

日期:201915日(六)13:30-17:30
地點:台北市中正區重慶南路一段773-4
線上報名連結:
https://reg.shield.org.tw/info.php?no=45
報名時間:2018121日至1231
報名費用:200

活動概要:
1. 沒了netcat,只剩下python怎麼辦
2. scapy的監聽也可以變成非常有用的工具
3. 如何在windows上監看一些簡單的木馬動態
4. 如何將程式碼射入注入到目標檔案

適合對象:
偏向於對python有興趣入門者、專業資訊人員可不用參加

其他需求:
本課為實作課程,請參加的學員自行準備VMware PlayerKali Linux VMWindows VM (Windows XPWindows 7) ,最好是裝32-bit版本,python版本為2.7

4. 2018年12份事件通報統計

本中心每日透過官方網站、電郵、電話等方式接收資安事件通報,201811月通報總計2987筆,以下為各項統計數據,分別為通報來源統計圖、通報對象統計圖及通報類型統計圖。
通報來源統計圖為各國遭受網路攻擊事件,屬於我國疑似遭利用發起攻擊或被攻擊之IP,向本中心進行通報之次數,如圖1所示;通報對象統計圖為本中心所接獲之通報中,針對通報事件責任所屬國家之通報次數,如圖2所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數,如圖3所示。
圖1、通報來源統計圖
圖2、通報對象統計圖

圖3、通報類型統計圖
本月接獲多筆通報為「釣魚網頁 (phishing Site) 」及「網路詐騙 (Internet fraud) 」。有心人士常透過假冒知名網頁騙取民眾個人資料,或是利用一頁式的廣告詐騙。
由於電子商務盛行,網路上有愈來愈多的電子商務平台成立。為達商品廣告效益,許多商品利用社群媒體(如FacebookLine等)的高點閱率,進行網路行銷。近期網路上出現大量的惡意賣家,利用上述特性建置一頁式商品廣告頁面,並向社群媒體購買廣告,進行網路行銷詐騙。
此類一頁式網路詐騙廣告頁面通常未含惡意程式碼,亦不具資安威脅,但以強調低價、免運費、7天試用期與貨到付款等極具誘惑之優惠宣傳字眼,吸引消費者下單購買商品,造成受騙民眾財務損失。
為遏止一頁式網路詐騙廣告,使用者應修改社群媒體的廣告偏好設定、檢舉或取消追蹤不法之惡意賣家經營之粉絲專頁,並安裝廣告阻擋外掛程式,以減少接收惡意廣告的機會,而社群媒體則應重視並審核廣告提供商之內容合法性。
TWCERT/CC提供以下防護建議:
l  使用者可利用第三方支付機制,確認貨品無誤再付款,並選擇評價良好、具有實體店面的賣家,以增進交易安全之保障。
l  使用者應詳閱社群媒體所宣告之隱私權政策,修改個人之廣告偏好,並減少以社群媒體帳號登入其他服務。
l  使用者可於瀏覽器安裝廣告阻擋外掛程式,例如 Adblock Plus[1]AdGuard[2],以阻擋已知的惡意廣告連結。
l  使用者若發現不法臉書粉絲團散布詐騙廣告,應該主動取消追蹤該粉絲團,或者進一步向臉書檢舉該頁面散布不實廣告,以減少接收惡意廣告的機會。

參考連結:
[1]     Adblock Plus. “Adblock Plus”, Retrieved April 7, 2018, from the World Wide Web: https://chrome.google.com/webstore/detail/adblock-plus/cfhdojbkjhnkl bpkdaibdccddilifddb?hl=zh-TW 8 TWCERTCC-ANAR-2018004

[2]     AdGuard. “AdGuard 廣告阻擋器”, Retrieved April 7, 2018, from the World Wide Web: https://chrome.google.com/webstore/detail/adguard-adblocker/bgnkhh nnamicmpeenaelnjfhikgbkllg?hl=zh-TW