[ 安全通報 ] 26 三月, 2013 14:16

   幾個星期前,在加拿大溫哥華所舉辦的CanSecWest安全大會上,Google舉辦的第三屆Pwnium大賽中,Chrome OS展現了固若金湯的安全性能,即使大會應參賽者要求,將比賽截止時間延長3小時,仍讓所有參賽的駭客們無功而返,而由HP主辦、Google贊助的駭客大賽Pwn2Own 2013,Google Chrome瀏覽器則遭駭客入侵成功,也證明了Google Chrome確實有安全性的問題。至於其它的瀏覽器像是Firefox 和 IE10一樣在幾小時內就被攻陷,Apple的Safari雖然本屆幸免於難,不過那是因為沒有參賽者報名破解它。

接下來我們就來研究一下,Google Chrome 瀏覽器是哪裡不安全?

 

   Chrome瀏覽器為Google所開發,是現在最受歡迎的瀏覽器之一。它結合了Google search、youtube等眾多的Google自家service,使其在速度方面有不錯的表現,在個人化部分,Chrome Web Store有豐富的Extensions (擴充功能),提供給使用者依個人喜好或習慣,去改變瀏覽器的功能或操作!

Chrome extension由manifest.json、圖片、js和CSS等網頁檔案所組成,結構大致上會像這樣:

 

   

manifest.json它定義了extension的內容屬性,包括extension的名稱、描述、版本、語言及需要的permission等,如下圖(圖片來源:http://developer.chrome.com/extensions/manifest.html)

 
 
 
   由以上資料可以看出,extension的name、version、manifest_version是必須要有的,其它屬性則可有可無。這邊特別挑出content_scripts、permissions、update_url三個屬性來做簡單說明:

content_scripts:定義在網頁上運行的javascript,可以透過DOM來獲取使用者瀏覽頁面的內容,甚至還可以改變內容。

update_url:用來定義檢查更新的URL設定檔。

permissions:要使用Chorme的API,皆必須定義相對應該有的permission,如:檢查Gmail是否有新信件的Google Mail Checker,就必須有以下2個permission
 
1.存取您存放於*google.com的資料
2.存取您的分頁和流覽活動。 
 
 
 
 
   
 
   當使用者在安裝一個extension時,會跳出詢問的視窗,視窗上可以看到此extension所要求的可用permission。如果一個extension有了過高不該有的permission時,配合content_scripts裡的code,即能執行一些惡意行為,如:在Facebook上自動發文或散播連結等惡意行為(http://blog.aegislab.com/index.php?op=ViewArticle&articleId=236&blogId=2),而update_url則能自動去更新extension,所以能不斷更新不同的惡意行為內容!


   Chrome自4.0版起,開始支援extension的功能,由於Chrome extension的開發方便,Chrome extension security就一直是個令人擔心的問題。舊版本的Chrome允許用戶在安裝Windows程式時可順便在Chrome上新增相關的extension,卻遭到第三方業者濫用,在未經使用者同意下安裝Chrome extension,衍生了許多問題。因此,Chrome在25.0版改進了extension的安全管理,需為Chrome Web Store的extension才可安裝,另外,關閉了extension自動安裝功能,安裝前必須經過使用者同意才行。
 
   但是,道高一尺、魔高一丈,事實證明從Chrome Web Store下載extension並不能保證它安全無虞,最新的惡意Chrome extension攻擊手法,結合social engineering,先在Chrome Web Store放置惡意extension,然後在最熱門的社交平台Facebook上,分享了一些吸引人的連結(還會使用當地的語系),因為是朋友分享的連結,減低了警覺性,再利用人的好奇心,點擊連結後,都會要你安裝extension,使用者不疑有他的安裝了extension,也因為社交平台的特性,受害的狀況很快就會傳播開來。受害的使用者會誤以為是帳號被盜取,但發現改完密碼問題並沒有解決,因為問題出在Chrome的extension上,必須將惡意的extension解除安裝方可解決問題!

以下列出2個之前義集思實驗室發現的例子來說明:

1.安全通報 2012-01-05: 在 FB 看見周韋彤、全智賢的視迅連結不要亂點!
舊版的Chrome可安裝Chrome Web Store上的extension,故對hacker來說只需要製作一個有吸引力的主題,吸引人去點擊自己所設計的惡意extension,如此即能達成攻擊的效果!

2.安全通報2013-02-20: 有毒勿點...又是Facebook
而新版的Chrome得安裝Chrome Web Store上的extension,且必須經過使用者同意才行,故hacker想達成攻擊效果就沒那麼容易了!這個例子,hacker利用網頁不斷跳出安裝和警告視窗來誘使並脅迫你安裝這個extension,也可以發現這個extension的URL就在Chrome Web Store裡!


   瀏覽器的plug-in是為了協助處理特殊類型的網頁內容,常見的有Adobe Flash Player、Java等plug-in!其中,Java因為其跨平台特性,是許多網頁開發人員所使用的程式語言和運算平台。近來,Java不斷的被爆出0-day漏洞,且在資安業者或Oracle發現前,就已被駭客透過瀏覽器針對漏洞展開攻擊,也由於有利可圖(安全通報2012-12-05: 最近0-Day漏洞和自動化攻擊工具的收費行情),這些漏洞很多都被包進了自動化攻擊程式裡,並在地下論壇等地方販售,一旦有了這些自動攻擊程式,傷害很快的就會散佈開來!最近最有名的新聞就是:Facebook、蘋果及微軟的工程師都因以支援Java的瀏覽器造訪被掛馬的網站,遭利用Java的漏洞成功入侵,導致資料可能外洩的情況發生,許多專家更呼籲使用者立即停用瀏覽器Java的plug-in!
 
 
以上不難看出,Chrome 瀏覽器的兩大罩門: ExtensionsPlug-ins,若要提升Chrome 瀏覽器的安全性,除了Google必須加強對Chrome Web Store的安全審查之外,使用者則避免安裝來路不明或過少使用者的extension,安裝時更要特別注意是否有不尋常的permission要求。另外,Chrome plug-in方面,如果沒特殊需求,盡量不要安裝過多或不需要的plug-in,已經安裝的plug-in則必須保持最新的版本,以防因為plug-in本身軟體的漏洞,導致不小心造訪惡意網頁時受害。
 

 
by AegisLab
 
 
[ 安全通報 ] 21 三月, 2013 14:11

   昨天下午南韓幾家電視台銀行同時遭到強烈的網路攻擊,造成幾百台主機無法開機,經搶修後才陸續恢復. 據說公家單位的電腦未受波及,南韓政府還因此緊急將「情報作戰防禦態勢」提升至等級3. 

  受駭的電視台節目雖能正常播出,但公司內部數百台電腦死當,無法運做. 銀行的災情就比較嚴重,電子金融交易被迫中斷,銀行大門、ATM提款機都被緊急貼上暫停使用的封條.

  

   

 

最後他們的電腦畫面就像這樣,重新開機還是一樣... 

 

 

AegisLab也隨即取得此次事件的病毒樣本,當這隻病毒被執行後,首先它會用"HASTATI" 字元來複寫MBR (Master Boot Record),讓受害系統開不了機.

 

除了MBR 外, Partition Table 也砍了,有夠狠~

 

 

分析發現,這隻病毒包含下列指令:

1taskkill /F /IM pasvc.exe  => 終止「安博士防毒軟體」(安博士是南韓最大的防毒軟體)

2taskkill /F /IM Clisvc.exe  => 終止「ViRobot」 防毒軟體(ViRobot 是南韓 Hauri 公司的防毒軟體) 

3shutdown -r -t 0  => 立即重開機 

 

很明顯,這次就是衝著南韓而來...  

 

當執行  shutdown -r -t 0 之後,會出現這個藍色死亡畫面

 

 

接著重新開機後,就出現災情了...

 

 

提醒AegisLab Anti-Virus用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab

 

[ 安全通報 ] 20 三月, 2013 15:50

最近很夯的Facebook惡意連結 -- "幹!太失望了,你看看", 其實我們更失望,因為藉由Facebook散佈病毒也不是什麼新鮮事了,我們也一再的提醒,但災情還是不斷發生。

 

 

 

這次會引起廣大的"回響"最主要的原因在於攻擊者使用了大家熟悉的語言,如果換成其他外文很容易引起被害者的警覺,而這也是社交工程中的一環,使用口語化的用字配合吸引人的主題引人上當,例如去年李宗瑞案爆發時,Facebook上也曾出現引此為題的釣魚訊息。

其實這類的facebook連結履見不鮮,AegisLab也時常撰文提醒讀者,像是先前的: 

安全通報2013-02-05: 點閱Facebook粉絲團的連結前請三思

         安全通報2013-02-20: 有毒勿點...又是Facebook  

         安全通報2013-02-20: 有毒勿點...又是Facebook (續)  

 

 

簡單回顧一下之前常見的手法:

◆惡意的粉絲團連結:

      執行惡意連結的檔案後會先去讀取你的朋友名單並加入的粉絲團,接下來針對這些對象去留言或散播連結等惡意行為!接下來你就會發現Chrome瀏覽器多了一個extension。 

  

 

 

           若是發現自己的Chrome有此extension請將其停用移除。而最好的保護方法就是在點閱任何連結前,善用"瀏覽器下方的狀態列",如果連結的原意是指向一個網頁,但此時卻是指向一個檔案,那通常就有問題囉.所以在點閱任何連結前,不要只想著有什麼精彩好看的,一定要先檢查!

 

◆tag好友並張貼惡意連結

     與惡意粉絲團連結所使用的方法最大的差別在於"無法在extension"中察覺。   此法會將chrome://extensions自動導到Chrome web store,如此使用者便無法看到裝了哪些extension,   也不能直接去對extension做disable的動作!!

          要移除這個extension並不難,首先打開Chrome的"工作管理員"接著把

Flash Player V15.0結束掉,但此病毒版本不只一個在無法確定名稱時建議先把全部的extension結束掉,如此一來就能正常進入擴充功能管理的介面接下來只要把Flash Player V15.0刪除即可。

 

言歸正傳,這次的病毒跟之前不一樣的是,它並不會安裝惡意的Chrome extension,而是透過記錄有FB帳密的cookie來進行留言攻擊。

當您收到任何有超連結(linkee.com真是躺著也中槍)的留言不要隨意點選並向留言者確認。萬一您已經中毒的話,解決方法為刪除cookie重新登入Facebook更換密碼刪除FB上的病毒留言

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

義集思實驗室會持續觀察最新發展並針對Chrome security 進行探討。 敬請期待~

 

by AegisLab