[ 安全通報 ] 16 四月, 2013 10:26
TP-LINK是國內用戶最喜愛的路由器之一,近日被爆存在著嚴重的漏洞。根據研究報告(http://sekurak.pl/tp-link-httptftp-backdoor/)指出,多個型號的TP-LINK 路由器存在一個後門漏洞,可讓攻擊者完全控制路由器,對用戶構成嚴重的威脅!
 
這些有漏洞的路由器,存在一個無需授權認證的頁面:
http://(IP)/userRpmNatDebugRpm26525557/start_art.html,瀏覽這個頁面之後,路由器會從發出請求的TFTP伺服器下載nart.out文件,並以root的權限執行該文件。
如此一來,攻擊者即能利用此漏洞做各種的惡意行為,如監聽路由器上網的封包來取得你機密的個人帳戶資訊!
 
 
 
(圖片來源:http://sekurak.pl/tp-link-httptftp-backdoor/)

 
爆出來有問題的三種型號為:TL-WDR4300、TL-WR743ND、TL-WR941N,而經過AegisLab的測試,TL-WR741N與TL-WR841N也有類似的問題,影片是AegisLab實作的測試過程: 
 
   

1.測試機器TL-WR741N的一些資訊,其中無線網路功能是啟用的。

2.2323 port是不通的,另外用tcpdump -n port tftp指令觀看封包的傳輸情形。

3.連接到後門網址:http://192.168.120.254/userRpmNatDebugRpm26525557/start_art.html。

4.自動到連線端,以TFTP的方式上傳mdk_client.out 和art_modules/art_ap99.ko這兩個檔案,並以root身分執行mdk_client.out(我們是上傳一個shell後門上去)。


5.連線到2323 port:
(a)看一下cpu資訊
(b)lsmod 確認無線網路模組被自動卸載
(c)insmod 無線網路模組,確認無線網路模組已被載入,也證實了確實有 root 權限。 
 
 
 
 
另外,Linksys路由器在市場上廣受歡迎,根據官方表示,目前全球已售出高達7,000萬台以上,今年1月Linksys WRT54GL路由器被資安公司DefenseCode發現存在0-day漏洞(http://blog.defensecode.com/2013/01/defensecode-security-advisory-upcoming.html,DefenseCode公布的漏洞攻擊影片:http://www.youtube.com/watch?feature=player_embedded&v=cv-MbL7KFKE),可讓攻擊者獲取遠端控制路由器的存取權。
 
 
(圖片來源:http://www.maximumpc.com/article/features/get_your_hack_on?page=0,5)
 

在上週,security researcher Phil Purviance公佈了5個Linksys路由器的漏洞(https://superevr.com/blog/wp-content/uploads/2013/04/linksys_vulns.txt)。

1. Linksys WRT54GL Firmware Upload CSRF Vulnerability
2. Linksys EA2700 XSS Vulnerability
3. Linksys EA2700 File Path Traversal Vulnerability
4. Linksys EA2700 Password Change Insufficient Authentication and CSRF Vulnerability
5. Linksys EA2700 Source Code Disclosure Vulnerability


在市面上廣受歡迎的TP-LINKLinksys路由器皆被爆出嚴重的漏洞問題,而也因為其受歡迎,影響層面之廣可想而知。在現在沒有網路不可的時代裡,路由器已經是必備的產品之一,如果使用者一些線上交易或認證的網路行為,皆因為路由器的漏洞問題,被駭客所看光並擷取重要的個人資訊,那是多恐怖的一件事,因此,路由器的安全性絕對是個必須重視的問題!
 
 
by AegisLab
 
 
 
[ 安全通報 ] 26 三月, 2013 14:16

   幾個星期前,在加拿大溫哥華所舉辦的CanSecWest安全大會上,Google舉辦的第三屆Pwnium大賽中,Chrome OS展現了固若金湯的安全性能,即使大會應參賽者要求,將比賽截止時間延長3小時,仍讓所有參賽的駭客們無功而返,而由HP主辦、Google贊助的駭客大賽Pwn2Own 2013,Google Chrome瀏覽器則遭駭客入侵成功,也證明了Google Chrome確實有安全性的問題。至於其它的瀏覽器像是Firefox 和 IE10一樣在幾小時內就被攻陷,Apple的Safari雖然本屆幸免於難,不過那是因為沒有參賽者報名破解它。

接下來我們就來研究一下,Google Chrome 瀏覽器是哪裡不安全?

 

   Chrome瀏覽器為Google所開發,是現在最受歡迎的瀏覽器之一。它結合了Google search、youtube等眾多的Google自家service,使其在速度方面有不錯的表現,在個人化部分,Chrome Web Store有豐富的Extensions (擴充功能),提供給使用者依個人喜好或習慣,去改變瀏覽器的功能或操作!

Chrome extension由manifest.json、圖片、js和CSS等網頁檔案所組成,結構大致上會像這樣:

 

   

manifest.json它定義了extension的內容屬性,包括extension的名稱、描述、版本、語言及需要的permission等,如下圖(圖片來源:http://developer.chrome.com/extensions/manifest.html)

 
 
 
   由以上資料可以看出,extension的name、version、manifest_version是必須要有的,其它屬性則可有可無。這邊特別挑出content_scripts、permissions、update_url三個屬性來做簡單說明:

content_scripts:定義在網頁上運行的javascript,可以透過DOM來獲取使用者瀏覽頁面的內容,甚至還可以改變內容。

update_url:用來定義檢查更新的URL設定檔。

permissions:要使用Chorme的API,皆必須定義相對應該有的permission,如:檢查Gmail是否有新信件的Google Mail Checker,就必須有以下2個permission
 
1.存取您存放於*google.com的資料
2.存取您的分頁和流覽活動。 
 
 
 
 
   
 
   當使用者在安裝一個extension時,會跳出詢問的視窗,視窗上可以看到此extension所要求的可用permission。如果一個extension有了過高不該有的permission時,配合content_scripts裡的code,即能執行一些惡意行為,如:在Facebook上自動發文或散播連結等惡意行為(http://blog.aegislab.com/index.php?op=ViewArticle&articleId=236&blogId=2),而update_url則能自動去更新extension,所以能不斷更新不同的惡意行為內容!


   Chrome自4.0版起,開始支援extension的功能,由於Chrome extension的開發方便,Chrome extension security就一直是個令人擔心的問題。舊版本的Chrome允許用戶在安裝Windows程式時可順便在Chrome上新增相關的extension,卻遭到第三方業者濫用,在未經使用者同意下安裝Chrome extension,衍生了許多問題。因此,Chrome在25.0版改進了extension的安全管理,需為Chrome Web Store的extension才可安裝,另外,關閉了extension自動安裝功能,安裝前必須經過使用者同意才行。
 
   但是,道高一尺、魔高一丈,事實證明從Chrome Web Store下載extension並不能保證它安全無虞,最新的惡意Chrome extension攻擊手法,結合social engineering,先在Chrome Web Store放置惡意extension,然後在最熱門的社交平台Facebook上,分享了一些吸引人的連結(還會使用當地的語系),因為是朋友分享的連結,減低了警覺性,再利用人的好奇心,點擊連結後,都會要你安裝extension,使用者不疑有他的安裝了extension,也因為社交平台的特性,受害的狀況很快就會傳播開來。受害的使用者會誤以為是帳號被盜取,但發現改完密碼問題並沒有解決,因為問題出在Chrome的extension上,必須將惡意的extension解除安裝方可解決問題!

以下列出2個之前義集思實驗室發現的例子來說明:

1.安全通報 2012-01-05: 在 FB 看見周韋彤、全智賢的視迅連結不要亂點!
舊版的Chrome可安裝Chrome Web Store上的extension,故對hacker來說只需要製作一個有吸引力的主題,吸引人去點擊自己所設計的惡意extension,如此即能達成攻擊的效果!

2.安全通報2013-02-20: 有毒勿點...又是Facebook
而新版的Chrome得安裝Chrome Web Store上的extension,且必須經過使用者同意才行,故hacker想達成攻擊效果就沒那麼容易了!這個例子,hacker利用網頁不斷跳出安裝和警告視窗來誘使並脅迫你安裝這個extension,也可以發現這個extension的URL就在Chrome Web Store裡!


   瀏覽器的plug-in是為了協助處理特殊類型的網頁內容,常見的有Adobe Flash Player、Java等plug-in!其中,Java因為其跨平台特性,是許多網頁開發人員所使用的程式語言和運算平台。近來,Java不斷的被爆出0-day漏洞,且在資安業者或Oracle發現前,就已被駭客透過瀏覽器針對漏洞展開攻擊,也由於有利可圖(安全通報2012-12-05: 最近0-Day漏洞和自動化攻擊工具的收費行情),這些漏洞很多都被包進了自動化攻擊程式裡,並在地下論壇等地方販售,一旦有了這些自動攻擊程式,傷害很快的就會散佈開來!最近最有名的新聞就是:Facebook、蘋果及微軟的工程師都因以支援Java的瀏覽器造訪被掛馬的網站,遭利用Java的漏洞成功入侵,導致資料可能外洩的情況發生,許多專家更呼籲使用者立即停用瀏覽器Java的plug-in!
 
 
以上不難看出,Chrome 瀏覽器的兩大罩門: ExtensionsPlug-ins,若要提升Chrome 瀏覽器的安全性,除了Google必須加強對Chrome Web Store的安全審查之外,使用者則避免安裝來路不明或過少使用者的extension,安裝時更要特別注意是否有不尋常的permission要求。另外,Chrome plug-in方面,如果沒特殊需求,盡量不要安裝過多或不需要的plug-in,已經安裝的plug-in則必須保持最新的版本,以防因為plug-in本身軟體的漏洞,導致不小心造訪惡意網頁時受害。
 

 
by AegisLab
 
 
[ 安全通報 ] 21 三月, 2013 14:11

   昨天下午南韓幾家電視台銀行同時遭到強烈的網路攻擊,造成幾百台主機無法開機,經搶修後才陸續恢復. 據說公家單位的電腦未受波及,南韓政府還因此緊急將「情報作戰防禦態勢」提升至等級3. 

  受駭的電視台節目雖能正常播出,但公司內部數百台電腦死當,無法運做. 銀行的災情就比較嚴重,電子金融交易被迫中斷,銀行大門、ATM提款機都被緊急貼上暫停使用的封條.

  

   

 

最後他們的電腦畫面就像這樣,重新開機還是一樣... 

 

 

AegisLab也隨即取得此次事件的病毒樣本,當這隻病毒被執行後,首先它會用"HASTATI" 字元來複寫MBR (Master Boot Record),讓受害系統開不了機.

 

除了MBR 外, Partition Table 也砍了,有夠狠~

 

 

分析發現,這隻病毒包含下列指令:

1taskkill /F /IM pasvc.exe  => 終止「安博士防毒軟體」(安博士是南韓最大的防毒軟體)

2taskkill /F /IM Clisvc.exe  => 終止「ViRobot」 防毒軟體(ViRobot 是南韓 Hauri 公司的防毒軟體) 

3shutdown -r -t 0  => 立即重開機 

 

很明顯,這次就是衝著南韓而來...  

 

當執行  shutdown -r -t 0 之後,會出現這個藍色死亡畫面

 

 

接著重新開機後,就出現災情了...

 

 

提醒AegisLab Anti-Virus用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab

 

[ 安全通報 ] 20 三月, 2013 15:50

最近很夯的Facebook惡意連結 -- "幹!太失望了,你看看", 其實我們更失望,因為藉由Facebook散佈病毒也不是什麼新鮮事了,我們也一再的提醒,但災情還是不斷發生。

 

 

 

這次會引起廣大的"回響"最主要的原因在於攻擊者使用了大家熟悉的語言,如果換成其他外文很容易引起被害者的警覺,而這也是社交工程中的一環,使用口語化的用字配合吸引人的主題引人上當,例如去年李宗瑞案爆發時,Facebook上也曾出現引此為題的釣魚訊息。

其實這類的facebook連結履見不鮮,AegisLab也時常撰文提醒讀者,像是先前的: 

安全通報2013-02-05: 點閱Facebook粉絲團的連結前請三思

         安全通報2013-02-20: 有毒勿點...又是Facebook  

         安全通報2013-02-20: 有毒勿點...又是Facebook (續)  

 

 

簡單回顧一下之前常見的手法:

◆惡意的粉絲團連結:

      執行惡意連結的檔案後會先去讀取你的朋友名單並加入的粉絲團,接下來針對這些對象去留言或散播連結等惡意行為!接下來你就會發現Chrome瀏覽器多了一個extension。 

  

 

 

           若是發現自己的Chrome有此extension請將其停用移除。而最好的保護方法就是在點閱任何連結前,善用"瀏覽器下方的狀態列",如果連結的原意是指向一個網頁,但此時卻是指向一個檔案,那通常就有問題囉.所以在點閱任何連結前,不要只想著有什麼精彩好看的,一定要先檢查!

 

◆tag好友並張貼惡意連結

     與惡意粉絲團連結所使用的方法最大的差別在於"無法在extension"中察覺。   此法會將chrome://extensions自動導到Chrome web store,如此使用者便無法看到裝了哪些extension,   也不能直接去對extension做disable的動作!!

          要移除這個extension並不難,首先打開Chrome的"工作管理員"接著把

Flash Player V15.0結束掉,但此病毒版本不只一個在無法確定名稱時建議先把全部的extension結束掉,如此一來就能正常進入擴充功能管理的介面接下來只要把Flash Player V15.0刪除即可。

 

言歸正傳,這次的病毒跟之前不一樣的是,它並不會安裝惡意的Chrome extension,而是透過記錄有FB帳密的cookie來進行留言攻擊。

當您收到任何有超連結(linkee.com真是躺著也中槍)的留言不要隨意點選並向留言者確認。萬一您已經中毒的話,解決方法為刪除cookie重新登入Facebook更換密碼刪除FB上的病毒留言

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

義集思實驗室會持續觀察最新發展並針對Chrome security 進行探討。 敬請期待~

 

by AegisLab 

 

[ 安全通報 ] 20 二月, 2013 15:35

接續上一篇我們提到會針對這些chrome的惡意extension的行為持續追蹤.

以下是我們遇到的case:

前半段的動作都一樣,利用讀者的好奇心,暗地裡下載安裝惡意的extension.

之後如果瀏覽器開啟了Facebook,接著就會去GET:hxxp://goo.gl/iiWeL? 也就是hxxp://fastotolike.com/yeni.php!

extension裡的son.js內容

 

hxxp://fastotolike.com/yeni.php的一段內容,可以看到abonesayfa 2個function及一些 facebook profile_id 

 

 

function abone就是去追蹤一些人

 

 

在個人的活動紀錄上可以看到去追蹤了多個人

 

 

function sayfa則是針對一些粉絲團按讚

 

 

一樣可以在活動紀錄上看到按讚的情形

 

 

按讚的其中一個粉絲團,加入facebook不到一個月,且沒有什麼訊息發布
就有25萬個粉絲,很明顯就是用程式按讚的結果...

 

 

PCWorld有提到俄羅斯的黑市,用程式幫忙按讚的"價碼":"On underground forums in Russia, a page with 100,000 likes sells for about $150 to $200,"

http://www.pcworld.com/article/2028614/rogue-chrome-extension-racks-up-facebook-likes-for-online-bandits.html 

 

義集思實驗室已將 fastotolike.com 加入特徵資料庫.

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab  

 

[ 安全通報 ] 20 二月, 2013 13:28

最近又收到讀者回報惡意的Facebook連結 hxxp://www.facebooksistem.net/izle/

也許大家乍看會覺得跟上一篇差不多,但是這次的惡意行為已經有了進化,變得無法在extension (擴充功能)中察覺.

詳細的分析如下:

 

 

頁面是土耳其文, Google的翻譯是:

 

這頁面就是要誘騙你, 如果想要觀賞影片, 必須先download plug-in!

 

頁面部分原始碼如下:

 

 

可以看到它會先判斷你的瀏覽器是否為chrome, 並且會一直跳出安裝和警告視窗!

 

 

跳出的警告視窗, 要你趕快安裝Extension!

 

 

 

如果瀏覽器不是chrome, 則是下載:hxxp://www.expertcoder.nazuka.net/topluca.xpi

chrome的extension內容如下:

 

 

manifest.json 裡可以看到執行的js檔和要求的permission!

 

 

get.js 有以下的惡意行為:

1.會將chrome://extensions自動導到chrome web store如此使用者便無法看到裝了哪些extension, 不能直接去對extension做disable的動作! (這個部分已經進化,不像先前的那般容易檢查,請參考我們前一篇的分析.)

2.如果瀏覽器有開facebook的網頁,會去GET:hxxp://goo.gl/FN0Ld? 

 

 

瀏覽器有開facebook, 導到的頁面目前沒有惡意的行為, 我們會持續的觀察及追蹤! 

 

 

先前網路上已有網友分享,提醒大家安裝了這個惡意extension的使用者,會去tag你的好友,並繼續張貼這個惡意網站!

所以即使是Facebook裡朋友的分享或其它連結,點閱前還是要保持戒心,不可不慎~ 

 

 

義集思實驗室已將www.facebooksistem.net、www.expertcoder.nazuka.net 加入特徵資料庫.

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab 

 

 

[ 安全通報 ] 05 二月, 2013 18:38

義集思實驗室最近發現一些類似手法內藏惡意連結的Facebook粉絲團.

像是: 

hxxp://www.facebook.com/pages/Videos-choquantes/115875135259062?sk=app_208195102528120

hxxp://www.facebook.com/pages/Videos-choquantes/116032281910520?sk=app_208195102528120 

我們執行惡意連結的檔案後,發現他會先去讀取你的朋友名單並加入的粉絲團接下來針對這些對象去留言或散播連結等惡意行為

詳細的分析過程如下:

  點擊上述的連結後,將會開啟如下瀏覽器視窗:

 

頁面是法文,標題經Google翻譯:This girl has a spider under the skin and makes it removed!

 

 

而跳出的視窗,經翻譯後 

  

Update Needed
to watch the latest videos on Facebook, you must install this update package.

To begin, click on the button below:

 

這頁面就是誘騙你如果想要觀賞這部影片,那就得按下OK去做更新的動作!

但其實它只是張圖片:https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4 /485988_418802871533399_741659011_n.png

而當你按下OK後,會download一個有問題的安裝檔:hxxp://dl-b.uni.me/updates/fr_FR /fb13.4.4_fr.exe

VirusTotal(14/46)  

 

 

 

執行後,會顯示更新成功的訊息

  

法文:mise a` jour de'ja` effectue'

英文:update already done

 

   

接下來就會發現Chrome瀏覽器多了一個extension 

  

 

extension的內容 

  

 

Chrome是用manifest.json來定義該extension,以下是此有問題的extension其manifest.json內容 

  

 

由此manifest.json可以看出:

1.permission允許連結任何的URL

2.extension的主程式為call.js

3.update的URL:http://du-pont.info/updates/fr_FR/update.xml,內容如下

可以看出update惡意extension的URL為:hxxp://du-pont.info/updates/fr_FR/chrome-france.crx

 

 

 

主程式call.js的其中一段內容

  

 

這些惡意的extension會先去讀取你的朋友名單並加入的粉絲團接下來針對這些對象去留言或散播連結等惡意行為

最好的保護方法就是在點閱任何連結前,善用瀏覽器下方的狀態列,如果連結的原意是指向一個網頁,但此時卻是指向一個檔案,那通常就有問題囉.所以在點閱任何連結前,不要只想著有什麼精彩好看的,一定要先檢查!  

義集思實驗室提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab

 

 

 

[ 安全通報 ] 04 元月, 2013 09:21

AegisLab 發現一些山寨版的騰訊週年挖寶的活動頁面.

他們會用盡各種方法誘騙你連結到這些網頁 hxxp://100.42.234.187、 hxxp://sympc.org、 hxxp://9871qq.com

1.連進去後就會看到中獎頁面:用戶將獲得三星筆記型電腦一部和58000元現金,並給你一組驗證碼! 

 

 

2.點選登錄領取獎項後,會進到活動的首頁:「QQ用戶13周年慶典之騰訊周年挖寶行動」

,並且註明100%中獎!

 

 

3.填完驗證碼後,會出現系統正在驗證的頁面!

 

 

4.接著可以看到獎品為三星筆記型電腦一部和58000元人民幣!

 

5.最後即為填寫資料頁面,重點就是要你的「證件類型」及「證件號碼」等重要個資!!

 

綜合以上,套一句老話「天下沒有白吃的午餐」,很明顯的這是一個釣魚網站!

經過AegisLab的追蹤及確認,確實有新聞在報導此類似詐騙事件:  http://www.9999999999999999999.com/Html/?291.html


有趣的是在尋找騰訊官方客服時,還找到掩飾這釣魚網站的"假"騰訊官方客服:   http://www.8888tz.com/kf.htm  真是假的有夠徹底...

,讓您誤以為此為真實的活動,來增加詐騙的成功性! 

 

 

 

假的騰訊客服還提到他們最近有在舉辦《QQ在線好禮大派送》《騰訊13週年慶典》《QQ歡樂送》《週年挖寶》等...抽獎活動,還叫你不要輕易相信其它假冒電話,以免上當受騙!

但是跟正版的騰訊客服比較,就很明顯的露餡了:

1.處理方法
    假的:要你到銀行繳納費用
    正版:強調不會像中獎用戶索取任何費用

2.連絡電話不同
    假的:0755-33304017
    正版:0755-83765566

AegisLab提醒您,天底下絕對沒有這麼好康的事,不要因一時貪心,而送上了您的個人資料!

我們已將100.42.234.187、sympc.org、9871qq.com、www.8888tz.com加入rule中阻擋!

請WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab

 

[ 安全通報 ] 03 元月, 2013 14:35

AegisLab 發現一個URL:hxxp://gokush.com/tmp/pers/plenty-of-fish-dating-d5

帶著Google search的referer,會導到一個假的browser update的website.

Google search:Plenty of fish dating

 

hxxp://gokush.com/tmp/pers/plenty-of-fish-dating-d5(帶Google搜尋 referer)
    →hxxp://goo.gl/gpWMY
        →hxxp://mytds.s33.webhost1.ru/go.php?sid=1
            →hxxp://ultra.design46.ru/update/index.php

接下來會判斷你的瀏覽器類型,導到該瀏覽器的頁面,URL如下

IE:hxxp://ultra.design46.ru/update/ie/index.htm
Firefox:hxxp://ultra.design46.ru/update/ff/index.htm
Chrome:hxxp://ultra.design46.ru/update/chrome/index.htm
Opera:hxxp://ultra.design46.ru/update/opera/index.htm
Safari:hxxp://ultra.design46.ru/update/safari/index.htm

附上IE的圖(其他browser如附件),頁面是俄文的,經Google翻譯後

可以看出是要誘騙你去更新browser

 

 

點選下載後會有不同的link

Firefox、Opera和Safari:hxxp://ultra.design46.ru/update/update.exe
IE和Chrome:hxxp://ultra.design46.ru/update/update.rar

而update.rar其實解開就是update.exe

 

VT(8/46):update.exe

WebGuard已將ultra.design46.ru加入rule中阻擋! 

 

其它版本的誘騙畫面...

 

 

 

 

 

 

 

 

by AegisLab

 

[ 安全通報 ] 05 十二月, 2012 15:25

  上星期爆出新Java Zero-Day漏洞在地下論壇販售的新聞,其實沒有很意外,這不是第一件,也不會是最後一件,就跟黑市軍火販賣一樣,隨時都在"暗地裡"發生. 只是一把槍多少錢?一顆手榴彈多少錢... 嗯,其實我也很想知道.

  言歸正傳,我們來分享最近幾個0-day漏洞的價碼:

  Security Writer Brian Krebs在他的blog上指出,一個先前未公開的Java Zero-Day漏洞在地下論壇上販售. 受害的對象是未修補漏洞的Java JRE 7,根據販售者的說法,Java 6或是更早的版本並不受影響!這個漏洞存在於Java控制音訊輸入和輸出的class:"MidiDevice.Info"裡,攻擊者可以利用這個漏洞遠端控制系統上運行的惡意程式,販售者並沒有給一個特定的價格,但希望能有"5位數"的價錢,單位當然是美金!

 

  上上星期被發現的Yahoo XSS漏洞,一旦受害人點擊了mail中的惡意連結,攻擊者能竊取cookie並監控受害人的所有瀏覽過程,這將威脅到數以百萬計的Yahoo信箱使用者的隱私安全,此漏洞販賣的價錢為700美金

 

  在11月初被發現的Adobe Reader Zero-Day漏洞可繞過內部的sandbox設計,此漏洞販賣的價錢約為3萬~5萬美金! (影片示範)

 

  另外還有知名的Blackhole Exploit Kit,還分成向他們租借server及使用自己server等不同的費用!真是設想週到.

 

  不久前我們blog也才針對自動化攻擊工具Blackhole Exploit Kit報導過. 其實最令人擔心的是當這些漏洞被包進了Blackhole或其他的exploit kits裡,畢竟這些買主花了大錢買了重裝軍火不會只用在山裡打獵,他們攻擊對象通常都是鎖定政府、軍事大型企業或工業等重要大型組織,影響層級及範圍無法想像!

 

by AegisLab 

 

[ 安全通報 ] 30 十一月, 2012 15:55
根據近日US-CERT消息指出,
三星的印表機(包含一些由三星製造的DELL 印表機)被發現漏洞,可以讓駭客完全控制印表機! CVE-2012-4964

這批有漏洞的印表機含有寫死的SNMP讀寫權限的community string,
也就是firmware 程式裡寫了一組預留的帳號,被駭客發現並用來去存取有這個漏洞的印表機,更改印表機的設定,甚至是獲取設備和網路資訊來達到更進一步的攻擊行為!

三星表示,在2012年10月31日之後生產的產品不存在此問題,他們也將在2012年11月30日推出修補程式來解決此問題!

此事件更印證了AegisLab一直以來對嵌入式系統安全性的質疑與高度重視!
印表機,WebCam,Monitor,電視機...甚至以後的冰箱,洗衣機...等使用Embedded system的Devices也都有被駭的機會.
 
不是不爆,只是時機未到! 
 
 
by AegisLab 
 
 
[ 安全通報 ] 30 十一月, 2012 10:15

   Piwik是一個開放原始碼的網站流量分析工具,是由PHP+MYSQL開發的,只要將檔案上傳並設定資料庫,就能夠架設一個屬於自己的網站流量分析統計網站,可以用來取代Google Analytics!

  根據Ars Technica(http://arstechnica.com/security/2012/11/malicious-code-added-to-open-source-piwik-following-website-compromise/) 和 Official Piwik Blog(http://piwik.org/blog/2012/11/security-report-piwik-org-webserver-hacked-for-a-few-hours-on-2012-nov-26th/)的消息: 

  在11/26的15:45 ~ 23:59間下載的piwik 1.9.2版程式被發現有後門! Hacker利用了Piwik網頁(Piwik.org)所使用的WordPress plugin的漏洞,駭進了他們的webserver,並植入了malicious code,受害的使用者會發送資料到prostoivse.com!


以下是解析出來會執行的code, 可以看到資料會被發送到hxxp://prostoivse.com/x.php!

 

 

要如何判定所使用的版本是否有問題?

打開"piwik/core/Loader.php",檢查是否被加入了以下幾行malware code:

 

Piwik官網對此也提供了建議的處理方式:

   1.備份 piwik/config/config.ini.php

2.刪除整個piwik目錄

3.下載最新版本的Piwik版本

4.解壓縮並上傳piwik目錄到server上

5.把備份的config.ini.php複製到/piwik/config/

6.完成後,確認Piwik是否能正常運作 

 

我們的WebGuard用戶,請隨時保持最新WG特徵碼,以防止不當的惡意連結. 

by AegisLab 

 

 

[ 安全通報 ] 15 十一月, 2012 15:27

昨天印度一位安員研究人員Shubham Upadhyay (暱稱 Cyb3R_Shubh4M )發現eBay拍賣網頁有XSS漏洞,而且到現在都還沒修復.

AegisLab也隨即測試,果然漏洞還存在. 因為驗證成功用的 alert 小視窗跳出來了.

 

 

因此只要有eBay帳號,就可以在自己的拍賣頁面裡,例如物品簡介的地方植入XSS code,就像這樣:

 iframe:hxxp://vi.raptor.ebaydesc.com/ws /eBayISAPI.dll?ViewItemDescV4&item=181023275832&t=1352728321000&tid=20310&category=172602&seller=pevjack&excSoj=1&rptdesc=1&excTrk=1&tto=1500

 

 

上面的 alert 小視窗就是再插一段:<script>alert('CybeRShubhaM Here \m/ >>>>> XSS');</script>  

 

 

XSS 攻擊並不是什麼新手法,甚至已經是老生常談,最常見的危害就是可竊取瀏覽者的cookie,進而偽冒受害的瀏覽者身分去作任何事,例如:下標,購物,付款,資料設定...很可怕的.  

 

 by AegisLab WG Team.

 

[ 安全通報 ] 12 十一月, 2012 16:42

最近AegisLab發現一個URL:www.hv20.com/payroll/djia-finance.php 已經被汙染.

從Google搜尋的結果開啟這連結(Blackhat SEO),

將會download一個有問題的PDF檔.

整個流程是這樣的: 

Google search -> djia finance

-> hxxp://www.hv20.com/payroll/djia-finance.php

www.hv20.com是無辜的,也完全無害,只是這個URL被利用來當障眼法,整個惡意連結的操作過程都沒經過它,連結會直接跳轉到

-> hopping site:hxxp://78.159.118.51/in.cgi?10

最後的download site:hxxp://proddingappsumo.info/guaranteeing/means_phone- pool_occurs.php?tjn=33:2v:1h:2w:1m&wrgglxs=38&ciooh=33:30:32:2w:30:1n:31:1f:1m:1i&zuhy=1n:1d:1g:1d:1h:1d:1f 

根據AegisLab的分析經驗,此download site的規則,可以判斷這就是Blackhole Exploit Kit 2.0 搞的鬼! 

我們把這個經由惡意連結下載的pdf,送到VirusTotal掃描的結果: 

virustotal(3/44):https://www.virustotal.com/file/e7c42a18ff9a8acdd4eb9f5808ec5bd5cafac1cd8ca6ac1ef6b71cdfe2106f67/analysis/1352442238/

 

截至目前,Google safe browsering都還沒對這個惡意連結標註警告.

 

 

 

WebGuard已將最後的download site:proddingappsumo.info加入rule中阻擋!

在此提醒我們的客戶,隨時保持最新的WG特徵碼.

 

by AegisLab WG Team  

 

[ 安全通報 ] 26 十月, 2012 18:33

AegisLab最近發現一個跟twitter很像的網站,網址是:hxxp://www.tvvjtter.com/k/verify/

   

 

整個網頁看起來幾乎一模一樣,除非你發現了其網址並不是我們熟知的www.twitter.com

如果你沒發現異狀,輸入了你的email和password後,會把你導到hxxp://www.tvvjtter.com/404/

但你剛剛輸入的email和password已經悄悄的送給了人

  

 

 過了3秒,會自動再把你導回真正的Twitter登入頁面

 

 

 

當你發現要再次登入時,通常已經為時已晚,但是趁帳號密碼還沒被盜用前,趕快登入正版的twitter網頁並更新密碼,也許還能亡羊補牢.

WebGuard已經將www.tvvjiter.com 加至rule中阻擋!

 

by AegisLab WG team 

1 2 3 4 5 6  下一篇»