不要错过 - 頁面 18

資安廠商 Norton 旗下研究單位 Norton Labs 的資安專家，近期發表研究報告指出，有超過 80% 的大型網站，會將網友在其網站上搜尋站內資訊時輸入的關鍵字，透露給如 Google 之類的網路廣告業者；這種行為可能造成用戶隱私侵害問題。 Norton Labs 為研究用戶瀏覽網站受到阻礙的情形，開發出一個網頁爬蟲程式，首先模擬真人用戶進行站內搜尋，並在搜尋框內輸入「JELLYBEANS」當做搜尋關鍵字，然後收集網站所有網路流量進行分析，結果發現分析目標的 100 萬個網站中，有高達 81.3% 網站與第三方網站之間的連線要求的後續傳送資料中出現了「JELLYBEANS」這個關鍵字，足證用戶輸入的站內搜尋關鍵字，被傳送到第三方網站中；而這些第三方網站中，絕大多數都是網路廣告相關業者的伺服器。 藉由分析這些連線要求封包標頭中的資訊，Norton Labs 可以掌握取得「JELLYBEANS」關鍵字的，是哪些第三方網站；Norton 同時也發現用戶輸入的站內搜尋關鍵字，有 75.8% 透過 Referer header 來傳送，也有高達 71% 透過 URL 的後綴參數來傳送。 Norton 指出，雖然各大網站都備有大篇幅的隱私保護政策，但真正有在其隱私保護政策中明確說明會將用戶的搜尋內容傳給第三方的網站，僅佔 13%；其他 75% 網站都只用概括性的描述「與第三方分享用戶相關資料」輕輕帶過。 針對網站把用戶輸入的關鍵字傳送給第三方網站的做法，目前沒有太多防範措施；不過為了避免這些輸入資訊與個人可追蹤身分連結起來，導致用戶隱私進一步的侵害，建議用戶可使用工具來阻擋網頁中埋入的跨站追蹤機制，或使用具備跨站追蹤阻擋功能的瀏覽器，例如 Safari、Firefox 等。

獨立資安研究人員 Bobby Rauch 近期發現一種針對工作社群討論軟體 Microsoft Teams 的全新攻擊手法，可利用 Microsoft Teams 的一系列資安漏洞，透過特製 GIF 圖檔來發動釣魚攻擊、資料竊取等多種駭侵攻擊。 專家指出，這種攻擊手法主要是利用一個稱為 GIFShell 的惡意軟體組件，利用 Microsoft Teams 一系列資安漏洞，在受害電腦中建立起「反向殼層」（Reverse Shell），並以此反向殼層來傳送夾帶惡意指令，以 base 64 編碼的 GIF 檔案。 為建立這種攻擊模式，駭侵者首先要設法讓 Microsoft Teams 工作群組中的某個成員，在其電腦中安裝一個可用以執行駭侵指令的惡意 stager，同時在該工作群組中設立一個駭侵者自己控制的帳號。 接下來，駭侵者可以利用 GIFShell 將含有惡意指令的特製 GIF 檔傳送到群組中，受害者電腦上的 Microsoft Teams 會將該圖檔存在 log 檔中；由於任何低執行權限的人都可以查看該 log 檔，因此 stager 也會監視並接收存在 log 檔 GIF 圖檔內的惡意指令，並將之解碼成文字指令，再交由 GIFShell 惡意軟體來執行；駭侵者便可以此流程發動各種駭侵攻擊，包括釣魚攻擊、資料竊取等等。 Bobby Raush 是在今（2022）年 5 月到 6 月之間發現這種攻擊手法，並立即通報  Microsoft，不過根據資安專業媒體 BleepingComupter 的報導，Microsoft 並未立即修正可導致這種攻擊手法的一系列資安漏洞，而是指出這種攻擊手法的運用必須先要有用戶遭駭入，只要用戶能夠提高自己的資安防護能力與意識，該公司認為沒有立即危險，將會在未來的版本再行修復相關漏洞。 不論一般用途或工作使用的社群溝通軟體，建議用戶都應避免自不明連結下載安裝任何應用程式，也勿輕率點按不明連結，以降低遭這類攻擊鎖定的機率。

美國西北大學的資安研究人員團隊，近來發現 Linux 核心中有一個存在長達 8 年未被發現的漏洞「Dirty Cred」，可能導致駭侵者提升執行權限，並可遠端執行任意程式碼。 該漏洞的 CVE 編號為 CVE-2022-2588，存於 Linux 核心內對於 cls_route 篩選器的實作中，屬於已釋放記憶體漏洞（use-after-free）。駭侵者如果取得本機的 CAP_NET_ADMIN 權限，即可利用此漏洞以進一步提升執行權限，造成系統崩潰或執行任意程式碼。 同一組研究人員，日前在於 Black Hat 資安研討會上揭露另一個存於 Linux 核心版本 5.8 及後續版本的「Dirty Pipe」漏洞（CVE-2022-0847），可輕易繞過 Linux 諸如隨機核心位址與指標完整性檢查等安全機制，利用 Linux 核心的管線機制，在任意檔案中注入資料；而新發現的 Dirty Cred 則不需利用 Linux 核心管線機制，因此使用更加簡便，破壞能力也更大。 研究人員指出，Dirty Cred 的運作原理，是將無權限的核心登入資訊更換成有權限者，無需在核心 heap 中覆寫任何重要資料欄位，只要利用 heap 記憶體重新使用機制，即可取得更高的執行權限。 研究人員也已透過概念證實程式，在 Linux 與 Android 系統上成功實作利用 Dirty Cred 的駭侵攻擊手法。 目前 Linux 開發團隊仍在針對此漏洞發展修補方式，尚未釋出更新；研究人員指出，在虛擬記憶體中將具備權限的登入資訊與不具備權限的登入資訊隔開，以防止跨快取攻擊，可能可以防止駭侵者利用 Dirty Cred 漏洞發動攻擊。

使用者眾多，功能與 Google Authenticator 相似的二階段驗證碼產生器 Authy，經證實在本（2022）年 8 月初 Twilio 遭到駭侵攻擊時，有部分帳號資訊遭到駭侵者竊走；因此駭侵者將可取得這些用戶在各種網路服務在使用時須輸入的二階段驗證碼。 Authy 是由 Twilio 公司於 2015 年併購的服務，主要服務是一種簡單好用的二階段驗證碼產生器，由於可以方便地跨平台同步用戶須產生驗證碼的服務帳號，不必逐一輸入或掃瞄二維條碼，因此相當受到歡迎。 Twilio 最近開始針對該公司在 8 月初遭到的駭侵攻擊事件進行調查，調查證實共有 93 名 Authy 用戶的帳號遭到駭侵者不當存取；這也表示駭侵者將可取得這些用戶在登入各種服務時使用的二階段驗證碼，這樣即可輕易竊取這些服務的帳號控制權。 Twilio 表示為了減低影響層面，該公司立即撤銷了未授權裝置上的 Authy 驗證相關資訊，並與受影響的使用者聯絡，建議採取以下策略： 檢查利用 Authy 產生驗證碼的帳號與服務，是否出現不正常的存取或使用情形。 移除任何未經授權裝置的 Authy 連結，阻止其使用 Authy 產生驗證碼。 設定一台備份裝置，然後暫時停用 Authy 的跨裝置使用功能。 雖然此次受影響的 Authy 使用者人數相對較少，但類似攻擊事件仍有可能再次發生；為避免自己的二階段驗證碼遭駭侵者取得，用戶可依上列建議策略操作，隨時注意保護自己的二階段驗證碼不會外洩。

資安廠商 PT SWARM 日前發表研究報告，指出該公司發現一種利用憑證透明度（Certificate Transparency, CT）機制發動攻擊的手法，可以利用「時間相關性」攻擊，可以一次取得大量網域。 報告指出，當代的網站為了避免安全憑證過期而造成網站無法存取，多會利用自動化的 TLS 憑證核發與更新機制，例如企業用的 DigiCert、民用的 Let’s Encrypt 與 ZeroSSL 等。 PT SWARM 發現在這種憑證核發的過程中，存有弱點可進行攻擊；任何人都可以利用這種方法，大量取得登記在同一台伺服器上的所有網域名稱；由於許多憑證核發單位都在同一時間更新憑證，該公司因而發現可以利用這種「時間相關性」弱點來發動攻擊。 該公司的研究人員，是在追蹤駭侵者大量設立的多個釣魚網站的網址設立流程中，意外發現這種攻擊方法：研究人員利用工具查詢某個惡意網站獲得 Let’s Encrypt 核發 SSL 憑證的時間戳記，然後以此戳記在 Censys 網站上查詢在同一時間獲得 SSL 憑證核發的網站，就能獲得大量公開甚至未曾公開的網域名稱。 研究人員雖然用這種方法，找出由單一駭侵者設立，將用於惡意釣魚網站的網域名稱，但這種方法同樣也能用來發現一般正常網站使用的網址；駭侵者也有可能利用這種簡單的方法，來找出目標網站擁有的所有網址，並且伺機發動攻擊。 建議網站管理員應勤於檢查 CT 記錄檔，就有機會發現遭受這類攻擊的跡象，並且及早因應。

美國 Johns Hopkins 大學的兩位資安研究人員，近來在今（2022）年度的 Usenix Security Symposium 資安研討會上發表論文，指出該研究團隊利用全新開發的圖像式分析工具 ODGen 進行分析，發現廣為網頁開發人員使用的 JavaScript 開發框架 Node.js 開源程式庫內的程式碼，存有 100 個以上的 0-day 漏洞。 這類圖像分析工具的運作原理，是分析程式碼，建立一個圖像架構，反映某應用程式中各種不同的單元及其執行分支，可以用來找出程式碼中的漏洞。這種分析工具能夠有效找出以某些程式語言撰寫程式碼內含的漏洞，例如 Code Property Graph (CPG) 即可有效運用於 C/C++ 與 PHP 程式碼的漏洞分析。 有鑑於 CPG 的運用成功，Johns Hopkins 大學的研究團隊也運用該原理，開發出運用於 JavaScript 程式語言的漏洞分析工具 ODGen，並且以此工具掃瞄 Node.js 這個廣受全球數百萬名開發人員歡迎，其程式庫已有數百萬種不同套件的開源程式開發框架，結果發現了 180 個 0-day 漏洞。 該團隊提報這些 0-day 漏洞後，已經有 70 個漏洞取得 CVE 編號。 據研究團隊表示，ODGen 可以準確發現 13 種不同的漏洞類型，包括 XSS、SSRF/CSRD、SQL 指令注入、原型污染（Prototype Pollution）、指令注入等等。該團隊也利用此工具分析廣受使用的 30 萬種 NPM 開發套件，結果發現超過 3,000 種資安漏洞，其中有 264 種存於每周下載次數超過 1,000 次的熱門套件。 研究團隊表示，接下來將延伸 ODGen 支援的程式語言種類，以便支援其他經常用於網站開發的程式語言，包括 PHP 與 Java 在內。 由於近年來在開源程式庫中發現的惡意與非惡意漏洞逐漸增加，開發人員在下載開源程式套件使用前，必須先確認該套件為最新版本，且未遭駭侵者修改並注入惡意程式碼。

資安研究單位 CYFIRMA 旗下的研究人員，近日發表研究報告，指出有超過 80,000 台海康威視監視攝影機，因內含一個嚴重的指令注入資安漏洞 CVE-2021-36260，使得駭侵者可輕易取得其影像資料，並且取得裝置控制權。 報告指出，駭侵者可利用此漏洞，傳送一個特製的訊息給含有此漏洞的海康威視裝置內的 web 伺服器，從而控制受駭裝置。 據 CYFIRMA 的報告指出，受此漏洞影響而存有弱點的 80,000 多台海康威視攝影機，普遍分布在全球多個國家，其中以中國、美國、越南、英國、烏克蘭、泰國、南非、法國、荷蘭、羅馬尼亞等國的數量最多。 CYFIRMA 說，雖然該漏洞在 2021 年 9 月就由海康威視於新版韌體中予以修復，但由於多數用戶都沒有經常更新 IoT 裝置韌體的習慣，導致至今仍有超過 100 國、2,300 以上使用該品牌產品的單位，其裝置都還在使用有漏洞的舊版韌體，造成極大的資安風險。 在 2021 年 12 月，一個使用 Mirai 惡意木馬程式碼的 Moobot 僵屍網路，就曾利用此漏洞與過去在海康威視裝置中發現的其他漏洞，發動大規模的 DDoS 攻擊；而在 2022 年 1 月，美國資安主管機關 CISA 也將 CVE-2021-36260 列為近來最常用於攻擊的資安漏洞之一。 建議採用各種連網 IoT 裝置的用戶，應經常注意資安單位與原廠發布的資安通報與更新消息，一但有相關的軟硬體更新發布，即應立即更新；切勿在設備安裝完成後就棄之不顧，這些裝置就很容易成為遭到各式駭侵攻擊的進入點。 CVE編號：CVE-2021-36260 影響產品(版本)：請見海康威視資安通報網頁。 解決方案：更新至最新版本韌體。

Google 旗下資安研究團隊 Threat Analysis Group （TAG）旗下的研究人員 Ajax Bash，日前發表研究報告指出，駭侵團體 APT35（又名「Charming Kitten」）利用一種新開發的駭侵工具 Hyperscrape，能夠竊取目標對象的 Gmail、Yahoo! Mail、Outlook 等網路信箱的登入資訊，並且竊取信箱內部的郵件內容。 研究人員指出，該團體專門針對所謂「高度危險用戶」做為駭侵目標，一共鎖定約二十多名伊朗境內人士或單位，自 2020 年起就開始利用 Hyperscrape 來對這些目標進行監控。 研究人員也說，Google 長期監控 Charming Kitten 的駭侵行為，發現該組織多年來針對特定目標進行帳號竊取、植入惡意軟體等駭侵監控行動；且 Hyperscrpae 工具的開發工作也持續不斷。 報告指出，Hyperscrape 會利用先前竊得的登入資訊，登入受害者的 Email 信箱，先將用戶選擇的界面語言改為英文，接著開始下載用戶信箱收件匣內的郵件，以 .eml 檔案格式一封一封下載，並將原本未讀的郵件重新設定為未讀狀態；然後將界面語言還原為用戶的原始設定，最後再刪除 Google 寄發的帳號活動異常警告信件。這樣用戶就難以查覺信件已經遭竊。 Google 的報告中指出，雖然 Hyperscrpae 在技術上並無任何創新之處，但卻能有效配合 Charming Kitten 的駭侵行動而持續開發。 雖然 Hyperscrape 本身只針對鎖定的監控對象，但類似的個資竊取手法可能由其他駭侵團體用來攻擊任何人，因此網路信箱用戶應特別提高警覺，務必使用強式密碼，並啟用二階段登入驗證，以防範駭侵者輕易取得登入資訊。

資安廠商 Cleafy 近日發表研究報告，指出該公司發現 SOVA Android 金融木馬惡意軟體，在最近推出的「新版本」第 5 版中，加上了針對 Android 手機的勒贖功能，除了原本的金融詐騙功能外，還加上將 Android 手機內部資料加密的勒贖功能，以進一步強化其攻擊能力。 據 Cleafy 指出，SOVA 在 2011 年 9 月首次出現時，該公司就將其列入觀察清單之列，發現該惡意軟體的開發十分有節奏且快速，且開發能量有愈來愈強大的趨勢。 SOVA 於 2022 年 3 月時推出第 3 版，加上了攔截二階段驗證碼、竊取 Cookie 等功能，同時擴大其詐騙覆疊的針對銀行數量，有更多銀行網頁或 App 會遭其使用畫面覆疊手法「蓋台」，用以竊取用戶輸入的登入資訊。 2022 年 7 月時 SOVA 的第 4 版已能透過覆疊，竊取 200 家銀行用戶的登入資訊，甚至加上 VNC 遠端遙控功能，也能擷取用戶手機畫面、複製貼上檔案、執行點按與滑動動作，甚至重構其 Cookie 竊取程式碼，能竊取 Gmail、GPay、Google Password Manager 的密碼；對抗防毒軟體掃瞄的能力也大幅提高。 最近出現的第 5 版，則加上了勒贖程式碼，能以 AES 演算法加密用戶手機內的檔案，加上 .enc 的副檔名。 雖然據 Cleafy 的報告指出，SOVA 第 5 版尚未傳出大量發動攻擊的案例，但對所有 Android 用戶來說，都是必須嚴防的資安威脅，因此 Android 用戶應避免在官方 Play Store 之外的地方下載軟體，更不要任意安裝 apk 檔案，以免遭到惡意軟體植入，蒙受重大損失。

資安廠商 Check Point 近日發現，廣受 Python 開發者愛用的程式庫 PyPI，遭駭侵者植入多種惡意軟體套件供人下載安裝；用戶如果將之安裝在自己的電腦上，駭侵者即可輕易竊得電腦中的各種機敏資訊，包括登入資訊或 API 金鑰，開發者不可不慎。 Check Point 在近日發表的專文中指出，由於 PyPI 可以很容易的透過單行指令來安裝各種軟體套件，非常便捷，因此近來成為駭侵者的攻擊目標。 Check Point 說，這類具攻擊的具體手法是，駭侵者上傳一些含有惡意程式碼的套件，並偽裝成安裝者眾多的熱門 Python 套件，以魚目混珠的手法，誘使開發者下載安裝在自己的開發用設備上，駭侵者即可得逞。 Check Point 的資安團隊，一共在 PyPI 中發現 10 個含有惡意程式碼的程式套件，分別如下： Ascii2text Pyg-utils Pymocks PyProto2 Test-async Free-net-vpn Free-net-vpn2 Zlibsrc Browserdiv WinRPCexploit Check Point 指出，近期這類利用惡意程式開發套件，來進行供應鏈攻擊的案例，有愈來愈多的趨勢；發生在本（2022）年 6 月的 Pygrata 攻擊事件，即是駭侵者利用這種手法來竊取用戶 AWS 登入資訊與多種環境變數的案例。 建議開發者在利用 PyPI 這類程式庫安裝套件時，應詳細閱讀文件，確認套件名稱、版本、發行者的真實性，以免誤安裝到惡意程式庫。