高通DSP晶片有重大安全漏洞，將允許駭客竊取裝置資訊、執行服務阻斷攻擊，或植入惡意程式，波及全球超過40%的手機，包括Google、三星、LG、小米或OnePlus高階機種

文/陳曉莉 | 2020-08-07發表

資安業者Check Point近日揭露，高通（Qualcomm）的數位訊號處理器（Digital Signal Processor，DSP）含有重大的安全漏洞，將允許駭客竊取裝置資訊、執行服務阻斷攻擊，或植入惡意程式，恐將波及逾40%的手機。Check Point準備在本周末舉行的DEFCON虛擬安全會議上，公布研究細節。

DSP為一整合軟體與硬體設計的系統單晶片，可用來支援裝置上的多種功能，包括充電能力、多媒體經驗，或是語音功能等，所有現代化手機都至少含有一個DSP，而高通所開發的Hexagon DSP則被應用在全球超過40%的手機上，包括由Google、三星、LG、小米或OnePlus打造的高階手機。

Check Point安全研究人員Slava Makkaveev表示，他們在Hexagon SDK上發現有許多嚴重的漏洞，使得不管是高通本身的Hexagon DSP或是嵌入客戶自製程式的DSP出現了逾400個潛在的安全漏洞，基本上，Hexagon SDK的漏洞幾乎讓所有高通的DSP函式庫都存在著安全風險。

位於Hexagon SDK上的安全漏洞包括CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 與CVE-2020-11209，它們造成DSP晶片上，出現了超過400種易受攻擊的程式碼。

Check Point表示，相關的漏洞與脆弱性將允許駭客在不需使用者的互動下，把手機變成完美的間諜裝置，可自手機汲取照片、影片、通話紀錄、即時麥克風資料、GPS或位置資訊；而且駭客還可執行服務阻斷攻擊，讓手機失去能力，而永遠無法再存取裝置上的資料；或是直接在手機上嵌入無法移除的惡意程式。

Makkaveev則準備在DEFCON會議上展示，如何利用一個Android程式來繞過高通的簽章，並於DSP上執行程式碼，以及可能因此而衍生的其它安全問題。

Check Point已將漏洞與技術細節，轉交給高通及相關的製造商，Bleeping Computer則取得了高通的回應。高通表示，他們正努力確認此一問題並提供適當的緩解措施予製造商，目前並無證據顯示相關漏洞已遭到開採，但用戶也應在更新程式出爐後儘速部署，且只自可靠的程式市集上下載行動程式。

資料來源：Check Point：高通DSP晶片含嚴重安全漏洞，逾40%手機遭波及

這款後門程式先傳送魚叉式釣魚郵件誘使用戶點入連結下載LNK檔，並啟動一連串使用合法工具的攻擊行為，以躲避安全偵測，過去二年來已在南美洲以及歐洲造成資料竊取災情。

微軟周一警告駭客近日利用無檔案（fileless）或離地攻擊手法，以高明手法躲避防毒軟體偵測散佈後門程式以便從受害電腦竊取重要資料。

微軟Windows Defender ATP研究小組成員Andrea Lelli，發現到名為Astaroth的後門程式展現高超的離地攻擊（Living off the Land，LoL）手法，在其複雜的攻擊鏈當中完完全全只使用系統工具，使防毒軟體偵測難上加難。

他是在一次電腦遙測（telemetry）訊號的檢查中，發現有程式使用WMIC（Windows Management Instrumentation Command-line）工具跑一段腳本程式（XS Script Processing），顯示為無檔案攻擊。經過分析發現攻擊者直接在電腦記憶體中執行Astaroth後門程式。Astaroth 2017年首先被發現出現在南美洲一帶，是知名的資料竊取惡意程式，它會蒐集登入憑證、按鍵點擊紀錄等敏感資訊再傳送給遠端攻擊者，後者再以這些資訊在網路橫向移動、竊取財物、或在暗網上出售。

Astaroth攻擊最值得注意的是，所有執行檔案都是系統工具。這波攻擊一開始，駭客是傳送魚叉式釣魚郵件誘使用戶點入連結下載LNK檔，並啟動一連串使用合法工具的攻擊行為。首先，當用戶雙擊後，LNK檔會引發帶有/Format參數的WMIC工具執行，進而下載並執行JavaScript程式，後者之後再利用Bitsadmin工具下載惡意程式酬載。

所有酬載程式都是以Base64 編碼，並以合法的Certutil工具解碼。其中兩個酬載程式載入明碼的DLL檔（其他都經過加密），接著利用Regsvr32工具載入其中一個DLL檔，這個檔案再解密、下載其他檔案，直到最後的大魔王Astaroth被悄悄注入到Userinit程序中。

Astaroth 2018年初也擴及歐洲。去年10月再被發現於南美洲蔓延，短短一周即感染了8000多台電腦。

資料來源：微軟警告竊密程式Astaroth來襲，攻擊過程完全使用合法工具

裝置明明可以連上網路，但是Windows 10 的網路連線指示卻顯示沒有的問題，會影響某些仰賴Windows 10連線的App，包括Cortana、Windows Store與 Spotify會因此進入離線狀態

Windows 10 2004釋出後，有各種一直未解決的問題，像是明明可以連網，但是Windows 10 的網路連線指示卻顯示沒有。微軟最近終於承認並著手調查。

早在5月底前Windows 10 2004釋出前，就有使用者透過Insider Program測試並反映當他確認有Wi-Fi網路時，工作列上的Wi-Fi圖示卻顯示「沒有網路連線」，開啟Cortana語音助理也說Windows 10無法連網而無法使用。此外連固網連線Windows 10也出現錯誤顯示。這個問題一直到7月初都還有人反映。

雖然顯示不能連網，但這問題並不影響瀏覽一般網頁。但是某些仰賴Windows 10連線的App卻會受到影響。除了Cortana、Windows Store外，若App本身不會偵測網路連線，這時即會因錯誤的Windows 10顯示而無法使用，如Spotify會進入離線狀態。

微軟表示已經得知這個問題，目前尚未解解，公司現在正在調查。諷刺地是，有用戶試圖透過Windows意見反應中樞（Feedback Hub）反映這些問題，卻因為被告知「Windows 10沒有連線」而無法使用。

在微軟釋出新版本解決臭蟲前，仍有方法可以暫時解決。Windows Latest建議利用Windows搜尋功能輸入「regedit」叫出登錄編輯程式，找到「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\
Parameters\Internet」找到「EnableActiveProbing」，將值由0改為1，完成後重啟電腦即可。

資料來源：微軟調查Windows 10出現錯誤顯示沒有網路連線的臭蟲

收到免費贈送USB裝置的包裹要有所警覺，駭客利用有毒隨身碟發動攻擊的手法雖然不多見，卻是實際存在的

文/陳曉莉 | 2020-03-30發表

資安業者 Trustwave 近日警告，人們經常聽到社交工程攻擊，手法從網釣攻擊、誘導使用者開啟惡意的連結或附加檔案，但也得留心實體的「邪惡USB」（BadUSB）攻擊，這樣的例子雖然不多，卻是實際存在的。

Trustwave最近發現的一個例子是，一個客戶收到了一個偽裝成來自Best Buy的包裏，內含提供給忠實客戶50美元的禮券，並附上一個USB隨身碟，表示當中含有可用禮券購買的商品。

然而該USB隨身碟卻是一個邪惡USB，它其實是個USB鍵盤，一旦安裝後就會自動注入惡意命令，連結遠端的C&C伺服器，回傳裝置資訊，從電腦型號、硬體資訊、作業系統資訊，到執行程序等，繼之下載其它的命令或惡意程式。

簡單地說，一旦USB的控制晶片被重新程式化以執行其它功能，它就可能被駭客用來發動攻擊，最終控制受害者電腦。

Trustwave表示，外界早就知道邪惡USB的存在，而且這些USB在坊間就能以低價購得，對於不論是送到家中或辦公室的USB裝置應該要有所警覺。

在Trustwave提出警告後，旋即收到其它類似的意外通報，指稱FIN7駭客集團自2015年就採用此種模式發動攻擊，而且鎖定了美國的旅館與零售產業。

資料來源：駭客新招術，送有毒的USB隨身碟到你家

文/林妍溱 | 2019-06-20發表

美國奧勒岡州健保署（Department of Human Services，DHS）年初遭網釣攻擊，造成64.5萬名居民個資外洩。該部門本周三以郵件通知受影響的民眾。

奧勒岡州健保署今年一月遭網釣攻擊，有9名員工不慎開啟郵件，點入郵件挾帶的惡意網站連結。這些員工於隔天起分別通報，健保署並在1月28日前確認所有受影響帳號並予以關閉。根據安全小組調查，雖然沒有惡意程式植入到員工桌機或筆電，但確認網釣攻擊已經造成資料外洩。

在外部安全公司的協助下，奧勒岡州健保署調查從1月8日到28日，估計有200萬筆電子郵件及報告附件遭駭，影響64.5萬人。外洩資訊包括居民姓名、住家地址、生日、社會安全碼、案號、個人健康資訊和其他DHS計畫使用的資訊。其中外洩的個人健康資訊，包括健康保險可攜及責任法案（HIPAA）涵括的受保護健康資訊（Protected Health Information）。至於這些資訊是否被存取或遭非法使用則不得而知。

奧勒岡州三月底曾公佈此事，不過當時只估計有35萬。本周三（6月19日）的公告則是個別通知受影響的民眾，DHS並為這些民眾提供身份盜竊外洩監控服務及受害保險。

資料來源：美奧勒岡州健保署員工誤點網釣信件，害64萬人個資外洩

文/李建興 | 2019-05-31發表

VirusTotal顯示目前沒有病毒引擎發現過HiddenWasp

資安公司Intezer發現了一種名為HiddenWasp的惡意軟體，讓駭客得以遠端控制受感染的系統，HiddenWasp專門感染Linux平臺，由使用者模式Rootkit、木馬以及初始部署腳本組合而成，研究人員表示，這個惡意軟體疑似由中國駭客創造。

Intezer指出，HiddenWasp與其他常見的Linux惡意軟體不同，HiddenWasp目的不是將用戶的電腦變成挖礦機開採加密貨幣，或是進行DDoS攻擊，而是單純用於遠端控制。HiddenWasp可以操作本機檔案系統，上傳、下載並執行檔案，執行終端命令等動作。

HiddenWasp組成複雜，作者從各種公開可用的開源惡意軟體中，像是Mirai和Azazel rootkit等專案借來大量程式碼，並且與其他中國惡意軟體存在一些相似之處，特別是與近期Alphabet旗下的資安子公司Chronicle，發現的Winnti惡意程式Linux變種類似，而這個Winnti變種則是中國駭客的著名工具。

雖然有不少惡意軟體也會拼湊使用來自於其他專案的程式碼，但研究人員從中找到一些線索，發現HiddenWasp與名稱為Adore-ng的Linux中文開源Rootkit存在一些關聯，而且雖然HiddenWasp可能由中國駭客開發，但是惡意軟體本身卻是在中國境外創建與營運，有趣的是HiddenWasp檔案曾被上傳至惡意軟體分析網站VirusTotal中，使用的路徑包含了一間中國鑑識公司的名字。

HiddenWasp的植入載體（Implant）被託管在ThinkDream位於香港的伺服器中，研究人員提到，HiddenWasp是整個攻擊手法的第二階段工具，用來感染受害者已經受損的系統，他們無法得知駭客傳播HiddenWasp的方法。現在有證據顯示，可能已經有受害者受到HiddenWasp控制，且進行過大規模偵查活動，目前HiddenWasp正處於活躍的狀態，而且所有主要的防毒軟體都檢測不出來。

研究人員提到，HiddenWasp看起來是有針對性的惡意軟體，但無法肯定是受到國家資助的攻擊計畫，但可以確定的是，HiddenWasp的目的，不是執行採礦或是DDoS攻擊這種可以快速獲取利潤的短期目標。

要防止Linux系統受到HiddenWasp的攻擊，可以封鎖Intezer提供的C&C IP位置，而他們也提供了YARA規則，讓系統檢測在記憶體中執行的程序是否包含HiddenWasp植入載體。另外，研究人員也提供了一個快速檢查系統是否遭到感染的方法，就是搜尋系統中的ld.so檔案，當系統中不存在任何包含/etc/ld.so.preload字串的檔案，則系統可能受到感染，因為HiddenWasp的植入載體會對ld.so實例進行補丁，以便從任意位置執行LD_PRELOAD機制。

資料來源：瞄準Linux平臺的惡意軟體HiddenWasp現身