資安廠商指出,一支極難移除的 Android 惡意軟體 xHelper,目前正透過非官方的 App Store 大量擴散。資安廠商卡巴斯基(Kaspersky)日前發表研究報告,指出有一支極難移除的 Android 惡意軟體 xHelper,目前正透過非官方的 App Store 大量擴散,受害者日漸增加中。
這支 xHelper 和一般惡意軟體相同的地方,是偽裝成系統清理工具軟體,誘使用戶安裝;一旦受害者下載安裝之後,它就會開始收集用戶手機上的各種機敏資訊,同時下載更多的惡意軟體,甚至取得手機的 root 權限。
但 xHelper 與眾不同的特色,在於會建立極深的巢狀目錄,使得真正的系統工具很難將之完全清除;它甚至會利用其 root 權限開啟 Android 系統目錄的寫入權限,把自己掛載到系統目錄中。
xHelper 甚至還會改寫 mount() 函數,以防用戶和防毒軟體進入系統目錄內將之刪除;這也能確保每次手機重開機後,都會自動執行 xHelper 與其他的惡意軟體;甚至在重新安裝手機系統時,也無法清除惡意軟體程式碼。
據卡巴斯基的研究人員表示,這種作法確實非常厲害,即使用戶將手機清空至出廠預設狀態,xHelper 仍然不動如山,極難移除。
目前 xHelper 主要的受害者分布在俄羅斯、歐洲和東南亞,主要攻擊對象為仍然使用舊版 Android 6、7 的Android 手機;這些尚未或無法升級作業系統的手機,仍然佔 Android 整體市場的 15%。
卡巴斯基說,要徹底移除 xHelper,只有一個方法:除了進行手機還原至出廠預設值外,也要把整個 Flash 記憶體完全清空;如果手機支援 Android Recovery 模式,還要手動將 libe.so 檔案從原始韌體檔案中取出,再替換到手機內,再清除整個系統分割區才行。
twcert 發表在
痞客邦
留言(0)
人氣()
近期因疫情影響,企業開始實施或模擬在家辦公的應變措施,以下為員工在家遠距工作指南:
時時保持警覺:隨時對惡意郵件或軟體保持警覺心,看見有疑慮的郵件或連結,請勿點擊。如遇可能的資安問題即時警示相關人員進行確認與處理。
使用安全的網路設備:使用安全的家用網路以及無已知漏洞的網路連線設備。
避免被竊取資訊的可能:設定裝置閒置時鎖定並進行磁碟資訊加密,線上會議結束後,務必將相關設備關閉(ex:麥克風、視訊鏡頭)。
及時更新軟體避免漏洞:及時更新使用之系統與各應用軟體的版本。
使用強密碼:相關密碼設定使用強密碼,含英文大小寫數字,建議不使用生日、電話等易破解之資訊作為密碼。
twcert 發表在
痞客邦
留言(0)
人氣()
擁有一千四百萬用戶的數位錢包服務 Key Ring,日前傳出因為雲端資料庫設定錯誤,造成四千四百萬筆各種用戶個資在網路上曝光。
資安廠商 vpnMentor 日前發表研究報告,指出在北美極受歡迎,擁有一千四百萬用戶的數位錢包服務 Key Ring,因為其 AWS 雲端資料庫安全設定有誤,造成四千四百萬筆各種用戶個資在網路上曝光。
Key Ring App 提供的服務,主要是讓用戶掃描拍攝各種會員卡或點數卡,存放在手機上,免去攜帶多張實體卡片的麻煩;很多用戶因為這個 App 的便利性,也會將存有各種敏感個資的其他政府核發身分證明卡片、就醫卡等卡片掃描上傳。
據 vpnMentor 指出,Key Ring 在 AWS 上共有五個設定錯誤的 S3 雲端資料庫,而且全都沒有使用密碼保護;只要知道網址,任何人都能隨意存取資料庫內的大量個資。
據 vpnMentor 統計指出,在這五個資料庫中至少有四千四百萬筆各式資料,包括政府核發的身分識別資訊(包括姓名、生日、性別等)、各式會員卡、點數卡、美國步槍協會會員卡、藥用大麻使用執照、醫保卡等,甚至連信用卡的卡號、用戶姓名、到期日、安全檢查碼等大量個人身分可辨識資訊都包括在內。
vpnMentor 甚至還找到屬於 Key Ring 的其他雲端檔案,包括上述資料庫的快照備份檔案,以及 Key Ring 公司內部資料庫,記錄了用戶姓名、Email、家戶住址、使用裝置名稱、IP 位址、加密的密碼資訊等。
vpnMentor 在發現這批資料的二月中旬,就通報 Key Ring 公司。
twcert 發表在
痞客邦
留言(0)
人氣()
近期因疫情影響,許多企業開始提出遠距辦公的因應措施,以下為企業應為員工遠距工作所需的準備:
使用高安全性的設備、系統與軟體:企業須選用安全之設備、系統與軟體,提供員工遠距作業使用,並留存日誌以檢核異常使用。使用安全的網路連線(ex:VPN)和安全的遠端會議系統進行討論,可避免機敏資訊外洩。
多重認證機制:建立多重認證,並要求員工在遠距工作時,透過多重身份認證後,方能操作企業內部系統。
定期審核授權狀況:企業需定期確認使用者帳號及其權限,避免有陌生帳號或不當被利用之帳號竊取內部資訊。
強化資安政策,提高資安警覺:強化企業既有的資安政策,設定資安問題處理流程以利快速處理各種突發的資安狀況,減低損害。且定期提醒員工在家工作資安相關注意事項,提升企業全體人員的資安警覺。
定期更新與備份:定期更新系統版本,以獲得最新資安防護,並需定期備份資料於安全設備中,減少資安事件發生時的損失。
twcert 發表在
痞客邦
留言(0)
人氣()
開放源碼瀏覽器 Mozilla Firefox,其開發維護單位 Mozilla Foundation 於日前宣布,修復兩個可能讓駭侵者得以遠端執行任意程式碼的嚴重等級 0-day 資安漏洞。
Mozilla 表示,這兩個漏洞都是屬於「use-after-free」漏洞,而且可能已經大量遭到駭侵者用以發動攻擊。
其中 CVE-2020-6819 這個漏洞和 Firefox 瀏覽器中的「nsDocShell destructor」組件相關,瀏覽器用以讀取 HTTP 檔頭資訊;這裡的程式錯誤可導致駭侵者藉以執行任意程式碼。
另一個漏洞編號為 CVE-2020-6820,問題出在 StreamsAPI 中的 ReadableStream 組件;駭侵者同樣也可利用這個錯誤來遠端執行任意程式碼。
所有受到影響的 Firefox 版本,包括 Firefox 74.0.1 先前所有版本,以及企業用戶的 Firefox Extended Support Release 68.6.1 先前所有版本,作業系統平台包括 Windows、macOS、Linux。
Mozilla 指出,由於已經傳出有駭侵者利用這兩個 0-day 漏洞發動攻擊,因此強烈建議所有 Firefox 用戶立即更新到最新版本,以修補這兩個漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
資安組織 Center of Internet Security 日前發表研究報告,指出 Google Chrome 有八個嚴重資安漏洞,最嚴重者可導致駭侵者用以遠端執行任意程式碼;Google 隨即發表這些漏洞的修補程式,並將在近期向用戶推送更新。
在這八個得到修補的資安洞中,有三個比較嚴重的資安漏洞。其中 CVE-2020-6450 和 CVE-2020-6451 的問題出在 Chrome 的 WebAudio 組件,用以處理 web 應用中的聲音合成;這兩個漏洞都屬於「use-after-free」錯誤,也就是試圖存取已釋放記憶體時發生的錯誤。駭侵者可以利用這個錯誤造成程式停止執行,甚至執行任意程式碼。
另一個嚴重錯誤出在 Chrome 的 Media 組件,用以在瀏覽器中呈現畫面與聲音;這個錯誤為記憶體緩衝區溢位錯誤,造成駭侵者的可乘之機,用以竄改資料或進行其他攻擊。
這些錯誤發生在 Google Chrome 80.0.3987.162 先前的各平台版本,包括 Windows、macOS、Linux 等;目前尚未傳出有駭侵者利用這批漏洞進行大規模駭侵攻擊。一般用戶請注意近日的 Chrome 更新訊息,以更新至最新版本,杜絕這批資安漏洞帶來的駭侵風險。CVE編號:CVE-2020-6450、CVE-2020-6451、CVE-2020-6452 等影響版本:Google Chrome 80.0.3987.162 先前所有版本解決方案:更新至最新版本
twcert 發表在
痞客邦
留言(0)
人氣()
全球肺炎疫情日益擴大,遠距工作者人增,社會對 Zoom 之類的視訊會議軟體需求大增;資安廠商指出,假冒或針對 Zoom 等知名視訊會議服務的駭侵攻擊活動也大為增加。
肺炎疫情日益擴大,世界各國均有大量工作者採行遠距上班方式,對 Zoom 之類的視訊會議軟體需求大增;然而據資安廠商 CheckPoint 指出,該公司觀察到許多假冒或針對 Zoom 視訊會議的駭侵攻擊活動。
CheckPoint 指出,該公司觀察到近來域名中含有「Zoom」的新域名註冊量大幅增加;一月初每天約有十到二十個,到了三月中旨之後暴增到每日一百個以上;自 2020 年至今累計新增 1700 個含有「Zoom」的域名,但其中有四分之一以上,是在上個星期才註冊的。
更值得注意的是,在這些含有 Zoom 的新網域中,有約 4% 的域名內含有特殊字元,明顯是駭侵者打算用來混淆一般大眾視聽,造成誤判之用。除了 Zoom 之外,最近大幅用於遠距教學的 Google Hangout Meet,也遭駭侵者假冒其名義註冊惡意網域;CheckPoint 發現有兩個域名「googloclassroom\.com」和「googieclassroom\.com」,試圖假冒官方的 classroom.google.com 網站進行惡意詐騙。
另外,這些駭侵者也會透過各種方式,誘使受害者安裝執行假冒的 Zoom 或其他協作軟體的連線程式;CheckPoint 就觀察到名為「Zoom-us-zoom-#########.exe」或「microsoft-teams_V#mu#D_#########.exe」的惡意軟體執行檔;受害者一旦執行這些檔案,惡意軟體 InstallCore PUA 就會安裝至電腦系統中,可能導致更多其他惡意軟體也入侵系統。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商偵測到各國駭侵團體,利用全球對COVID-19(新冠肺炎、武漢肺炎)大流行的恐慌,以提供防疫說明文件形式,夾帶惡意軟體的大量攻擊案件。
資安廠商 Check Point 發表監測研究報告,指出該公司觀察到有APT 駭侵組織利用偽造的蒙古國外交部說明COVID-19防治的新聞稿,在其中夾藏惡意軟體並透過社交工程與釣魚攻擊,試圖駭侵蒙古國各政府部門。
無獨有偶,另一家資安廠商 Red Drop 也在日前發現另一個駭侵組織,以類似的手法,用偽造印度政府新聞稿的方式,試圖攻擊印度軍事與情報單位。
資安廠商 Malwarebyte 指出,駭侵團體 APT36 鎖定的是透過 RTF 夾檔,利用已知的 Windows 漏洞 CVE-2017-0199,讓駭侵者可以遠端執行任意程式碼。
英國國家資安中心(NCSC)則警告大眾,有愈來愈多國家的一般人民,最近開始收到內含惡意軟體的COVID-19病毒相關釣魚信。NCSC 指出,這些信件中多半以內含重要更新訊息為餌,誘使用戶點按惡意連結;大眾應該特別提高警覺。
據富比士報導,這些被發現利用疫情恐慌發動的攻擊,不過只是冰山一角;未來還會有更多駭侵者利用這波疫情,向急於獲悉情報或解方的大眾發動各式駭侵攻擊,用以取得機敏資訊或牟取不法利益。
twcert 發表在
痞客邦
留言(0)
人氣()
廣受喜愛,基於 Linux 的開放源碼路由器韌體 OpenWrt,日前修復一個可用於遠端執行任意程式碼的嚴重資安漏洞。
這個資安漏洞編號為 CVE-2020-7982,問題出在 OpenWrt 處理程式套件包裝 opkg 檔案時,未事先對下載回來的 .ipk 檔案進行必要的資安檢查;這個錯誤可讓駭侵者透過特意撰寫並置入惡意軟體的 ipk 檔案,取得路由器的 root 權限;不但可存取整個檔案系統,當然也能執行任意程式碼。
不過,駭侵者必須先在路由器下載程式套件的 OpenWrt 官方網站與攻擊目標的路由器間進行中間人攻擊,透過未加密的 http 連線,傳送合法且經過簽署的惡意程式套件給被攻擊目標路由器。
發現此漏洞的資安專家 Fuido Vranken 指出,駭侵者可以先以 DNS 挾持的方式,將原本要連向 OpenWrt 官方下載網站的連線,誤導到含有惡意軟體的網站,即可大幅簡化攻擊流程。
這個 CVE-2020-7982 的嚴重程度分數為 8.1 分,嚴重程度評級為「高」。
受此漏洞影響的 OpenWrt 版本,從 18.06.6 到 19.07.0 之前的各版本,更新版已在 2020 年 2 月 1 日推出;用戶如果在自己的路由器上安裝過舊版 OpenWrt,應依照 OpenWrt 組織的建議,立即更新至最新版本,以加強資安防護。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現新型駭侵手法,駭侵者駭入國內與美國網通大廠家用路由器,竄改 DNS 設定,以提供COVID-19(新冠肺炎、武漢肺炎)資訊為由,誘使用戶下載惡意軟體。
資安廠商 Bitdefender 的研究團隊發表最新報告指出,該公司發現新型駭侵手法;駭侵者駭入國內與美國網通大廠家用路由器,竄改 DNS 設定,將用戶的部分網路連線重新導向至不明網站,並以提供COVID-19資訊為由,誘使用戶下載惡意軟體。
據 Bitdefender 的報告,這波駭侵攻擊首先以暴力嘗試法,試圖找出家用路由器的管理者帳密,登入成功後會進入 web 管理界面,將 DNS 伺服器設定更改為 109.234.35.230 與 94.103.82.249,接下來利用這兩台假的 DNS 伺服器,將部分特定網路瀏覽流量導向至存有惡意軟體 Bitbucket 的網站。
為了防止用戶發現網址有異,駭侵者也利用 TinyURL 縮址服務,隱藏 Bitbucket 的真實網址,等用戶按下下載按鈕後,即讓用戶安裝 Oski 資訊竊取惡意軟體。
會被劫持至惡意網站的 URL,包括 aws.amazon.com、gog.gl、bit.ly、disney.com、pubads.g.doubleclick.net 等,含蓋一般用戶常去的網站,或是網頁元件的常用 hosting 網址等。
據 Bitdefender 表示,一星期以來約觀測到千餘起攻擊事件;建議路由器用戶,請務必檢視自己路由器的 DNS 設定,如果發現被改為上述 IP,請立即更正。
twcert 發表在
痞客邦
留言(0)
人氣()
美國因疫情實施大規模遠距工作,各種資安威脅的壓力也隨之升高;包括資安防護、防範數位犯罪的需求也大為增加。
美國因疫情實施大規模遠距工作,資安官員與專家紛紛指出,各種資安威脅的壓力也隨之升高;包括資安防護、防範數位犯罪或網路攻擊的需求,也大為增加。
據美國之音報導,美國聯邦調查局(FBI)和多家資安廠商都已觀察到愈來愈密集的網路攻擊行動,包括假冒防疫單位寄出的釣魚郵件、試圖趁亂進行的社交工程詐騙等。
不少釣魚信件會偽裝成像是由美國疾病管制中心(U.S. Centers for Desease Control and Prevention)或世界衛生組織 WHO 發布的警訊,利用社會大眾的恐慌心理,誘使受害者點擊信件中的惡意連結,或含有惡意程式碼的附件。
資安廠商 ProofPoint 的資深研究主任 Sherrod DeGrippo 指出,該公司觀察到的最大宗釣魚郵件攻擊行動,一口氣就寄發了三十萬封攻擊郵件;他預期很快就會出現不同的變種攻擊案例。
DeGrippo 也指出,在家遠距工作者,經常是使用個人的電腦設備,透過 VPN 連上各公司的內部網路;通常這類個人設備的資安防護能力,較一般辦公室內的資訊設備為低,因此也比較不易阻擋各種資安威脅。
另外,由於大量工作者遠距上班時,係透過自己家中的寬頻網路或手機無線上網,也對電信基礎設施造成連線壓力;駭侵者只要攻擊這些基礎設施,就能造成比平常更大的破壞,讓大量遠距上班者無法透過網路工作。
twcert 發表在
痞客邦
留言(0)
人氣()
一個全無保護,由一家英國資安公司擁有,含有五十億組登入資訊的 Elasticsearch 資料庫,在網路上被發現。
今年二月時,有一組內含22億組登入資訊的未受保護資料庫在網路上被發現;事隔僅一個月,資安專家再次發現一個更大的登入資訊資料庫,同樣未受保護,可供人任意存取。
涉及洩露這個龐大資料庫的,是一家位在英國的資安公司,名為 Keepnet Labs;發現這個資料庫的,是著名的獨立資安研究人員 Bob Diachenko。他根據這個資料庫的 DNS 記錄與 SSL 憑證資訊,追出 Keepnet Labs 這場資安事件。
資料庫中收集的登入資訊,主要來自從 2012 年到 2019 年間,針對 Twitter、Tumblr、Adobe、Vk、LinkedIn、Last.fm 等服務的各項大規模攻擊駭侵事件中流出的帳號密碼,共分成兩個檔案;第一個檔案含有五十億筆記錄,第二個檔案雖然只含一千五百萬筆記錄,但卻有即時更新。
資料庫中的欄位,主要包括加密過與未加密的密碼、雜湊類型、Email 網域、Email 地址、資料洩漏日期與來源等。
Diachenko 指出,雖然這個資料庫中的登入資訊,大多是以前就已洩露過的,但對資料失主來說,是又一次的傷害,因為這對意圖進行釣魚攻擊的駭侵者來說,是難得一見的極佳資料來源。
Diachenko 在發現這個資料庫後,第一時間就向 Keepnet Labs 發出通報,而這家公司也立即撤下資料庫。
twcert 發表在
痞客邦
留言(0)
人氣()
