收到免費贈送USB裝置的包裹要有所警覺，駭客利用有毒隨身碟發動攻擊的手法雖然不多見，卻是實際存在的

文/陳曉莉 | 2020-03-30發表

資安業者 Trustwave 近日警告，人們經常聽到社交工程攻擊，手法從網釣攻擊、誘導使用者開啟惡意的連結或附加檔案，但也得留心實體的「邪惡USB」（BadUSB）攻擊，這樣的例子雖然不多，卻是實際存在的。

Trustwave最近發現的一個例子是，一個客戶收到了一個偽裝成來自Best Buy的包裏，內含提供給忠實客戶50美元的禮券，並附上一個USB隨身碟，表示當中含有可用禮券購買的商品。

然而該USB隨身碟卻是一個邪惡USB，它其實是個USB鍵盤，一旦安裝後就會自動注入惡意命令，連結遠端的C&C伺服器，回傳裝置資訊，從電腦型號、硬體資訊、作業系統資訊，到執行程序等，繼之下載其它的命令或惡意程式。

簡單地說，一旦USB的控制晶片被重新程式化以執行其它功能，它就可能被駭客用來發動攻擊，最終控制受害者電腦。

Trustwave表示，外界早就知道邪惡USB的存在，而且這些USB在坊間就能以低價購得，對於不論是送到家中或辦公室的USB裝置應該要有所警覺。

在Trustwave提出警告後，旋即收到其它類似的意外通報，指稱FIN7駭客集團自2015年就採用此種模式發動攻擊，而且鎖定了美國的旅館與零售產業。

資料來源：駭客新招術，送有毒的USB隨身碟到你家

文/林妍溱 | 2019-06-20發表

美國奧勒岡州健保署（Department of Human Services，DHS）年初遭網釣攻擊，造成64.5萬名居民個資外洩。該部門本周三以郵件通知受影響的民眾。

奧勒岡州健保署今年一月遭網釣攻擊，有9名員工不慎開啟郵件，點入郵件挾帶的惡意網站連結。這些員工於隔天起分別通報，健保署並在1月28日前確認所有受影響帳號並予以關閉。根據安全小組調查，雖然沒有惡意程式植入到員工桌機或筆電，但確認網釣攻擊已經造成資料外洩。

在外部安全公司的協助下，奧勒岡州健保署調查從1月8日到28日，估計有200萬筆電子郵件及報告附件遭駭，影響64.5萬人。外洩資訊包括居民姓名、住家地址、生日、社會安全碼、案號、個人健康資訊和其他DHS計畫使用的資訊。其中外洩的個人健康資訊，包括健康保險可攜及責任法案（HIPAA）涵括的受保護健康資訊（Protected Health Information）。至於這些資訊是否被存取或遭非法使用則不得而知。

奧勒岡州三月底曾公佈此事，不過當時只估計有35萬。本周三（6月19日）的公告則是個別通知受影響的民眾，DHS並為這些民眾提供身份盜竊外洩監控服務及受害保險。

資料來源：美奧勒岡州健保署員工誤點網釣信件，害64萬人個資外洩

文/李建興 | 2019-05-31發表

VirusTotal顯示目前沒有病毒引擎發現過HiddenWasp

資安公司Intezer發現了一種名為HiddenWasp的惡意軟體，讓駭客得以遠端控制受感染的系統，HiddenWasp專門感染Linux平臺，由使用者模式Rootkit、木馬以及初始部署腳本組合而成，研究人員表示，這個惡意軟體疑似由中國駭客創造。

Intezer指出，HiddenWasp與其他常見的Linux惡意軟體不同，HiddenWasp目的不是將用戶的電腦變成挖礦機開採加密貨幣，或是進行DDoS攻擊，而是單純用於遠端控制。HiddenWasp可以操作本機檔案系統，上傳、下載並執行檔案，執行終端命令等動作。

HiddenWasp組成複雜，作者從各種公開可用的開源惡意軟體中，像是Mirai和Azazel rootkit等專案借來大量程式碼，並且與其他中國惡意軟體存在一些相似之處，特別是與近期Alphabet旗下的資安子公司Chronicle，發現的Winnti惡意程式Linux變種類似，而這個Winnti變種則是中國駭客的著名工具。

雖然有不少惡意軟體也會拼湊使用來自於其他專案的程式碼，但研究人員從中找到一些線索，發現HiddenWasp與名稱為Adore-ng的Linux中文開源Rootkit存在一些關聯，而且雖然HiddenWasp可能由中國駭客開發，但是惡意軟體本身卻是在中國境外創建與營運，有趣的是HiddenWasp檔案曾被上傳至惡意軟體分析網站VirusTotal中，使用的路徑包含了一間中國鑑識公司的名字。

HiddenWasp的植入載體（Implant）被託管在ThinkDream位於香港的伺服器中，研究人員提到，HiddenWasp是整個攻擊手法的第二階段工具，用來感染受害者已經受損的系統，他們無法得知駭客傳播HiddenWasp的方法。現在有證據顯示，可能已經有受害者受到HiddenWasp控制，且進行過大規模偵查活動，目前HiddenWasp正處於活躍的狀態，而且所有主要的防毒軟體都檢測不出來。

研究人員提到，HiddenWasp看起來是有針對性的惡意軟體，但無法肯定是受到國家資助的攻擊計畫，但可以確定的是，HiddenWasp的目的，不是執行採礦或是DDoS攻擊這種可以快速獲取利潤的短期目標。

要防止Linux系統受到HiddenWasp的攻擊，可以封鎖Intezer提供的C&C IP位置，而他們也提供了YARA規則，讓系統檢測在記憶體中執行的程序是否包含HiddenWasp植入載體。另外，研究人員也提供了一個快速檢查系統是否遭到感染的方法，就是搜尋系統中的ld.so檔案，當系統中不存在任何包含/etc/ld.so.preload字串的檔案，則系統可能受到感染，因為HiddenWasp的植入載體會對ld.so實例進行補丁，以便從任意位置執行LD_PRELOAD機制。

資料來源：瞄準Linux平臺的惡意軟體HiddenWasp現身

從洩密的服務類型來看，從SMB伺服器曝險的資料比例最大，占了近5成，FTP及rsync伺服器各佔20%和16%。（圖片來源／Digital Shadows）

安全專家發現組態不當的伺服器、雲端服務及儲存系統，包括SMB檔案共享、Amazon S3等，導致高達23億份薪資、信用卡、醫療資訊等極端機密資訊公開於網路上，可能使用戶遭身份濫用、惡意程式攻擊或財務損失等風險。

安全廠商Digital Shadows的Photon 研究小組，偵測到的曝光資料分佈於SMB檔案共享、組態不當的網路儲存（NAS）裝置、FTP與rsync伺服器，以及Amazon S3 儲存貯體（bucket）。研究人員說，這次發現的曝險規模，要比去年4月發現的還要高出7.5億份。

從洩密的服務類型來看，從SMB伺服器曝險的資料比例最大，FTP及rsync伺服器各佔20%和16%。若以地區來看，美國受害最嚴重，有超過3.26億份檔案曝光，居次的法國和日本，則各以1.51億及7,700萬份檔案分居歐亞之冠。

這些資料許多可不是普通資訊，而是極敏感的資料，包括470萬份醫療檔案，如DICOM 醫療影像檔，其中的440萬筆資料可能已經曝光。有些X光及掃瞄檔案還附有患者個人姓名、出生日期與保險資料，可讓駭客讀取隱私資訊、竊取身份、甚至從事網路犯罪。

研究人員還發現一家英國IT顧問公司讓21萬筆用戶檔案不慎曝光，當中包括用戶全名及密碼。另有個人用戶存放相片、護照掃瞄檔、銀行明細單等資訊的伺服器，也公開於網路上。

這些資料不僅是曝光，有的更已經遭到駭客染指。研究人員發現有1,700萬筆檔案已被勒索軟體加密，當中還有不少備份資料。而其中有200萬份是遭到5月間肆虐的MegaLocker變種NamPoHyu的毒手。

不過安全公司也發現業者今年在資料控管表現上，比起去年也有所進步。例如去年11月Amazon推出Block Public Access功能後，使S3資料外洩的檔案數由1,600萬份降到2000份以下。此外，在GDPR上路後，荷蘭及盧森堡資料曝光率也大幅減少。研究人員並指出，若缺乏良好的使用者教育，再好的安全技術也是枉然。

資料來源：伺服器、儲存、雲端服務組態不當，23億份高敏感資料檔曝光

文/何維涓 | 2019-01-25發表

AWS推出安全連接內部網站服務WorkLink，讓員工透過移動裝置在安全情況下，連接公司內部網站和應用，不需透過VPN或定製的瀏覽器，終端使用者只要下載AWS的WorkLink應用程式，就能連接管理員授權的內部網站，AWS是透過自家的運算和網路基礎架構，傳送無暫存但是功能健全的網頁，提供終端使用者使用，收費方式為每個活躍使用者每月5美元。

AWS認為，現在許多員工需要在外工作，但缺乏方便的連接內網管道，現有的解決方案需要管理員部署VPN，再搭配移動裝置管理軟體，來配置終端使用者的存取權限，而對使用者而言，連接的過程相當麻煩，每次登入都需要一次性密碼和定製的瀏覽器，而降低了工作效率。WorkLink應用程式可以省去企業在防火牆外，為了建立安全連線的建置和維護工作，此外，WorkLink服務也減少了資料遺失或失竊的風險，因為網站內容無法在終端裝置儲存或是暫存。

WorkLink服務的核心是由AWS雲端託管的安全網路瀏覽器，將網頁內容轉換為以可縮放矢量圖形（Scalable Vector Graphics，SVG）表示的完全可互動式圖像，保留了滑動、點擊等常見手勢的互動，WorkLink接收到連線請求後，會將該圖像傳送到終端使用者裝置，使用者關閉頁面後，不會有任何資料留在終端裝置中。

目前WorkLink服務先於北美和歐洲推出，今年會陸續擴展至更多區域，支援iOS 12以上的版本，幾周後將會支援Android 6以上的版本，瀏覽器目前支援Safari，接下來幾周將支援Chrome。

資料來源：免VPN，AWS發布安全連接內部網站服務WorkLink

最近有兩隻令人矚目的勒索病毒,繼媒體報導專瞄準大企業,半年獲利近400萬美元的 Ryuk 勒索病毒後,新一波的勒索病毒MongoLock變種更狠, 會直接刪除特定目錄內的檔案, 中毒電腦在離線後仍會繼續刪除檔案，讓檔案無法回復。甚至會格式化並格式化可用的備份磁碟。

趨勢科技一直在關注新一波的MongoLock勒索病毒攻擊，這波攻擊會在感染時刪除檔案而非進行加密，並且會進一步掃描可用資料夾和磁碟來進行檔案刪除。此波勒索病毒從2018年12月開始出現，會要求受害者在24小時內支付0.1比特幣來取回據稱保存在駭客伺服器內的檔案。我們的監控資料偵測到200多個樣本，台灣、香港、韓國、英國、美國、阿根廷、加拿大和德國,是中毒數量最高的地區。趨勢科技的機器學習(Machine learning,ML)和行為偵測技術能夠主動地封鎖此勒索病毒。

與一般先加密的勒索病毒不同，直接刪除重要資料，備份硬碟，再發勒贖通知

2018年9月的MongoLock攻擊也是針對安全設定較弱的資料庫。此外，我們發現這勒索病毒被放在PythonAnywhere上，這是基於Python的線上整合開發環境（IDE）和網頁託管服務。連到hxxp://update.pythonanywhere.com/d會下載可執行檔 （update.exe），同時連到hxxp://update.pythonanywhere.com將使用者導到中文編寫的遊戲網站模擬頁面（PythonAnywhere已經了移除此網站）。駭客會經常地更改網站上的勒索病毒,使用hxxp://{user-defined}.pythonanywhere.com的主機可能都容易被濫用。

與一般看到的勒索病毒加密行為不同，此變種會刪除在磁碟A和D內找到的重要資料並將勒贖通知加入資料庫。

圖1、MongoLock留在中毒資料庫的勒贖通知。

勒索病毒會掃描和移除「 文件 」、「 桌面 」、 「 最近 」、「 我的最愛 」、「
音樂 」、「 影片 」和「 資源回收筒 」等特定資料夾內的檔案，並格式化可用的備份磁碟。根據勒贖通知，被刪除檔案的副本會用加密的HTTPS協定上傳到一個網址，我們追蹤電子郵件找到託管在ToR網路內的命令與控制（C&C）伺服器。中毒電腦在離線後仍會繼續刪除檔案，讓檔案無法回復。我們透過沙箱分析沒有發現資料庫掃描和搜尋的跡象，這可能代表資料刪除只針對特定目錄內找到的實體檔案。

勒索病毒持續覬覦能夠獲取最大利潤的產業

在最近的Ryuk勒索病毒攻擊據報讓美國主要報紙印刷業務停擺之後，我們繼續地關注並調查此攻擊活動。我們懷疑網路犯罪分子仍在研究能夠獲取最大利潤的產業，建議企業該重新審視並確保自己部署了該有的安全政策和軟體。建議管理者檢查線上資料庫和伺服器設定以做好防護。為了抵​​禦此威脅：

• 更新你的系統和軟體來避免成為讓網路犯罪分子可用的進入點或感染管道。
• 實作3-2-1 備份原則。
• 使用能夠掃描和封鎖惡意網址的多層次安全解決方案。

趨勢科技解決方案

趨勢科技的XGen安全防護為資料中心、雲端環境、網路和端點，提供能夠對抗各類威脅的跨世代威脅防禦技術。它融合了高保真機器學習(Machine learning,ML)與其他偵測技術和全球威脅情報，能夠全面性地抵禦進階惡意軟體。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技一系列的防護解決方案：Hybrid Cloud Security（混合式雲端防護），User Protection（使用者防護）和Network Defense（內網防護）。

入侵指標

惡意網域/網址：

• Hxxp://update.pythonanywhere.com/d（病毒載體）
• Hxxps://s.rapid7.xyz / 104.27.178.191（C&C）

@原文出處：Ransomware MongoLock Immediately Deletes Files, Formats Backup Drives

資料來源：勒索病毒MongoLock變種不加密，直接刪除檔案，再格式化備份磁碟,台灣列為重大感染區

資安業者Check Point揭露了知名工具程式WinRAR的重大安全漏洞，一旦成功開採，駭客就能將惡意程式植入使用者的開機程序中，而且該漏洞起碼自2005年便已存在。

WinRAR是一款專為Wndows打造，可用來壓縮資料與歸檔打包的工具軟體，它能建立RAR及ZIP檔案格式，也能解壓縮涵蓋ACE、CAB、ISO、XZ、ZIP及7z等十多種檔案格式，是個有試用期限的共享軟體。WinRAR官網則宣稱它是全球最受歡迎的壓縮工具，用戶超過5億人。

Check Point的安全研究團隊是利用WinAFL模糊測試工具來檢測WinRAR的安全漏洞，總計找出CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253等4個安全漏洞，當中的前3個漏洞與壓縮檔案格式ACE有關，CVE-2018-20253則是越界寫入（out of bounds write）漏洞。

根據研究人員Nadav Grossman的說明，用來解析ACE檔案的unacev2.dll存在一個路徑穿越（Path Traversal）漏洞，允許駭客將檔案解壓縮到任何的路徑上，完全無視於目的資料夾，並將解壓縮的檔案路徑視為完整路徑。

駭客只要打造一個惡意的ACE檔案，誘導WinRAR用戶開啟，就能把暗藏的惡意程式解壓縮到Windows上的啟動資料夾（ Startup Folders），一旦使用者啟動系統便會隨之執行。

已被知會的WinRAR則說，unacev2.dll是個用來解壓縮ACE格式的第三方函式庫，且從2005年迄今一直未更新，由於WinRAR無法存取它的原始碼，因此決定從5.7 Beta起放棄對ACE檔案格式的支援，以保護WinRAR用戶的安全。目前WinRAR最新的正式版為WinRAR 5.61，5.7Beta版亦已於1月28日釋出。

資料來源：WinRAR含有超過10年的重大漏洞，5億用戶恐遭波及