資安網站連結
*TACERT 網站
*教育機構資安通報
平台
*教育部全民資安素
養網
*TANet 系統安全與
惡意程式偵測技術
研發建置計畫
TACERT 資安電子季報由臺灣學術網路危機處理中心(TANet Comput-
er Emergency Response Team,簡稱 TACERT)中心負責編撰,自 2012
年度起,每季將匯整當季學術網路資安事件類型趨勢、安全性公告、
資安事件個案分析、重要資安新聞回顧等資訊,期能提供學術網路使
用者學習資安知識與能力,共同加強學術網路的防護。
T A C E R T 資安電子季報簡介
最新消息
◆ 臺灣學術網路危機處理中心(TACERT)為加強臺灣學術網(TANet)
網路安全防護能力,謹訂 103 年 5 月 20 日辦理「資安趨勢分析及
個案分享暨集中式管理 LOG 分析系統研討會」,本研討會重點在
於推廣使用開放原始碼集中式管理 LOG 分析系統來強化校園的網
路安全防護能力。
T A C E R T 資安電子季報 - 1 0 3 年第一季
T A C E R T 資 安 電 子 季 報 - 第 一 季
目錄 :
最 新消息 1
本 季資安 事件類
型 趨勢 2
安 全性公 告 2
個 案分析 - F B 常 見
惡 意網址
「line.com」報告
3
個 案分析 -偽裝成
Outlook 更新 的惡意
程 式分析 報告
5
本 季重點 新聞回 顧 7
資 安新知 -蠕蟲
「Linux.Darlloz」簡介 8
T A C E R T 組 織介紹 8
近期資安活動
◆ 2014/05/20 資安趨勢分析及個案分享暨集中式管理 LOG 分析系統
研討會(TACERT)
教育機構資安通報平台自 103 年 1 月至 3 月,共成立
3,258 張資安事件單資安事件類型大致可分為 INT
(Intrusion ,入侵攻擊)與 DEF (Deface,網頁攻擊)兩種類
型。本季 INT 類型佔所有資安事件類型中的98%,其 INT
類型(圖 2)又以「系統被入侵」、「對外攻擊」及「殭屍
網路 BOT」的子類型比率最高,觀察本季學術網路資安
事件有較下降的趨勢。
DEF 類型(圖 3)以「惡意網頁」、「網頁置換」及「釣魚
網站」的子類型佔前三名。目前只要於 TANet 中偵測到
有釣魚網站、嚴重的mail spam 或其他嚴重影響網路資源
的資安事件發生,教育部電算中心會先進行封鎖作業,
以避免造成更大之危害,待受害單位完成資安事件通報
應變處理後,並通過教育部電算中心的複審確認已無安
全性風險,才可解除限制。有關 TANet ANTI-SPAM 網
址: http://rs.edu.tw/tanet/spam.html。
※ 103/01/14 微軟 1 月份發佈 4 項安全公告,請儘速更新。
※ 103/01/23 Cisco Secure Access Control System 存在多重弱點,請使用者儘速更新!
※ 103/01/27 Google Chrome 存在繞過安全性限制的弱點,請使用者儘速更新!
※ 103/02/11 微軟 2 月份發佈 7 項安全公告,請儘速更新。
※ 103/02/21 Mozilla Firefox/ Thunderbird /Seamonkey 存在多項弱點,請使用者儘速更新!
※ 103/03/11 微軟 3 月份發佈 5 項安全公告,請儘速更新。
※ 103/03/17 Wireshark 存在系統存取的弱點,請使用者儘速更新!
※ 103/03/31 Mozilla Firefox/ Thunderbird /Seamonkey 存在多個弱點,請使用者儘速更新!
本季資安事件類型趨勢
安全性公告
頁 2 T A C E R T 資安 電子 季報 -第 一季
圖 1. 103 年第一季資安事件類型比例圖
圖 2. 103 年第一季 INT 子類型前三名比例圖
圖 3. 103 年第一季 DEF 子類型前三名比例圖
※ 前言:
一. 現今 Facebook (簡稱 FB)已為世界知名且最多人使用的網路社交軟體,但是近期出現一些
惡意的網址或程式在 Facebook 流竄,若不小心開啟可能嚴重侵害到個人或者他人的權
益,導致個人資料外洩或者成為一個 BOT 危害其他 FB 使用者。
二. 駭客往往喜歡使用聳動的影片標題去誘使 FB 使用者去點開連結觀看。
三. 因此我們嘗試去開啟執行這些疑似惡意程式,並將受感染的過程及結果做個簡單的說明。
四. 我們用一個新創的 FB 帳號對近期出現的可疑連結做測試。
※ 測試過程
一. 在 FB 上搜尋到一個使用者 Rakib 在他人的發文中做留言,
此留言只有一串可疑網址 http://linkee.com/VmFE0j,初步判
斷為惡意連結。
二. 再點下該網址後 FB 跳出一個警告視窗,表示此網站可能不
安全,我們點選非垃圾訊息觀察會出現什麼畫面。
三. 此時會出現一個頁面 “http://tknngl.altervista.org” (圖 4)要
求做 Age Verification,並有教學圖示引導受害者跟著做,看
到這邊有警覺心的人應該就會發現是個釣魚網站。
1. 此頁面原始碼會執行"http://j.maxmind.com/app/geoip.js" (圖
5)收集受害者 IP 資訊。
2. 第一步執行完果然跳出一個小視窗(圖 6),內容還會顯示安
全警告告知受害者保護此 Activation code,但實際上是背景
執行一支 javascript。裡面隱含了 FB 登入成功的密鑰字串,
部分為 /login_success.html? 應為登入密碼。
3. 第二步複製以上網址後再貼到下方的 Activation code 欄位,
並點下方的 Activate 圖示。接著會出現一個畫面顯示 “Wait
We Are Verifying Your Age..”的訊息(圖 7)。
4. 接著會出現網址“http://buzzingcl.info/cl/twfbd”的頁面顯示
“Waiting for survey completion”(圖8),此時FB帳號已經被入
侵了,然而背景的Youtube根本無法點選撥放,只是一個偽造的圖案。
5. 若點選 “Click here to see if you’re a winner” 則會跳出另視窗
“rewardzone.onlineacutions.com” 告知可以獲得3C產品,因明顯為釣魚網站,故此網頁我們
則無繼續點選。
資安事件個案分析 - F B 常見惡意網址『 l i n k e e . c o m』分析報告 - 1
頁 3 T A C E R T 資安 電子 季報 - 1 0 3 年第 一季
圖 4.Age Verification 頁面
圖 5.收集收害者 IP 資訊
圖 6.
圖 7.等待訊息頁面
※ 測試結果:
一. 我們發現到個人的動態時報開始出現奇怪的發文和不雅照
片,且照片的說明即為另一網址連結,誘導使用者好奇去
點取以觀看該影片。(圖 8-截圖經過馬賽克處理)
二. 受害者 FB 會自動去追蹤其他使用者或發出交友邀請。
三. 受害者 FB 會自動對某些 “粉絲專頁” 按讚,以訂閱他們奇
怪的文章(圖 9)。
四. 若將剛自行發布的成人照片網址開啟,則又會跳到
“tknngl.altervista.org”的相同釣魚頁面,目的誘使其他觀看
者上鉤,成為另一受害者。
五. 有些發過的圖文離奇的被移除,但從 FB 的登入 IP 紀錄來
看為正常。
1. 在之後從新登入 FB 被官方偵測有異常行為,主要是散佈
一些垃圾訊息(圖 10)。
2. FB 官方提出下列警告(圖 11)果然就是相同作法將自己的
登入權限外放讓第三者使用。
資安事件個案分析 - F B 常見惡意網址『 l i n k e e . c o m 』分析報告 - 2
頁 4 T A C E R T 資安 電子 季報 - 1 0 3 年第 一季
※ 解決方式
一. 刪除瀏覽器 Facebook 的所有 cookie。
二. 刪除 FB 所發布的任何文章,取消相關按讚的專業訂閱。
三. 刪除自動發出的交友邀請。
四. 盡快更改 FB 的密碼,建議使用兩次驗證機制。
※ 結論建議:
一. 此惡意連結並非出現 FB 啟動應用程式中。
二. 會自動散步惡意貼文以及標註朋友,且 FB 的個資可能已經外洩。
三. Facebook 上時常會有朋友分享一些影音連結,不確定的網址連結請勿輕易打開,多半會
用短縮網址方式顯示來轉址,使人看不出來真正位址。
四. 加強 FB 帳號安全設定,例如使用安全驗證碼登入功能。
(手機驗證或二次驗證碼)
五. 盡量避免使用瀏覽器自動記憶密碼登入功能。
*詳細完整個案分析報告,請參閱 TACERT 網站!
圖 8. 圖 8.
圖 9.
圖 10. 垃圾訊息警告
圖 11. FB 安全警告訊息
※ 前言:
近期網路上出現一個疑似 Outlook 郵件收發軟體的更新檔案,檔案解壓縮後為
『Outlook.exe』,此檔已被 Virustotal偵測出為惡意程式。
※ 事件檢測:
資安事件個案分析 -偽裝成 O u t l o o k 更 新之惡意程式分析報告 - 1
頁 5 T A C E R T 資安 電子 季報 - 1 0 3 年第 一季
一. 透過 VMware 虛擬機器,並使用 Win7 (x64)及 Wireshark 封包側錄。
二. 執行惡意程式『outlook.exe』後,會呼叫 WinMail.exe 至「http://crl.microsoft.com/
pki/crl/products/」取得 “microsoftrootcert.crl” 和 “MicCodSigPCA_08-31-
2010.crl” 憑證撤銷清單。
1. 接著會透過 HTTPS 連線至『dchamt.com』,該主機 Port 443疑似被利用來接受感染主機的報到訊
息,加密訊息中帶有明文 dchamt.com。
2. 此網域名稱已被部分的防毒軟體判定為惡意網址,解析出來是位於印度的 IP「216.157.85.173」,
但反解析的網域名稱為「ns1.dotcominfotech.co.in」且 Port 53是 OPEN,應同時為一台 DNS Serv-
er。
3. 隨後會再向『http://khandelwalschool.org』下載 /images/heap.exe,網域名稱解析出的 IP 同為
216.157.85.173,明顯被駭客入侵註冊惡意網域做為跳板。
三. 執行惡意程式『outlook.exe』後,防火牆會詢問是否同意一個存取網路權限程式
『guowa.exe』的執行,允許存取確認後該程式將於背景執行,讓使用者不易察覺異狀。
1. 透過 procexp 可以看到該程式『guowa.exe』的相關資訊,藏匿於隱藏目錄 C:\Users\XXX\AppData
底下,並會寫入註冊機碼開機自動執行。
2. 『guowa.exe』會開始進行網路的連線動作,會開啟本地端的 TCP port 8485 和 UDP port 2990 來接
收命令資料。
3. 從紀錄上發現至少有 43 個國家及 155筆相異 IP 成功透過 tcp port 8485 傳入指令要求大量資料回
覆,但指令及資料都經過駭客加密。
4. 從紀錄上發現至少有 163 個國家及 10000筆相異 IP 成功透過 udp port 2990傳入指令要求小量資料
回覆,但指令及資料都經過駭客加密。
5. 『guowa.exe』也會向「http://crl.geotrust.com/crls/」GET “secureca.crl” 憑證撤銷清單。
三. 過一段時間後會再產生兩個惡意程式於背景執行,分別為『turyfeswavaq.exe』和
『dulegcozlegy.exe』,皆位在使用者的家目錄下,並且都會寫入註冊碼開機後自動執行。
1. 『turyfeswavaq.exe』會開始感染系統的 svchost.exe,並且複製自己成另一檔案名稱
『dot__57.exe』藏匿於隱藏目錄 C:\Users\XXX\AppData 下,並透過『guowa.exe』這支父程式進行
呼叫。
2. 『dulegcozlegy.exe』與子程序『scvhost.exe』後期會開始有大量網路行為,並且惡意程式會於“
C:\Users\whoami\AppData\Local\Temp\ ” 建立一個工具資料夾「~tmp9C4642」,並執行裡面的檔案
『xulrunner.exe』來對外進行大量的資料傳送。
…...
資安事件個案分析 -偽裝成 O u t l o o k 更 新之惡意程式分析報告 - 2
頁 6 T A C E R T 資安 電子 季報 - 1 0 3 年第 一季
※ 網路行為架構圖:
※ 事件結論:
一. 此程式 Outlook.zip 主要誤導使用者以為是 Office Outlook 更新檔案,實質上為惡意的後門程
式。
二. 該惡意程式會在資料夾下產生許多子程式來控制網路的行為,也可能成為駭客的中繼站或
C&C 主機。
三. 駭客透過該檔案感染使用者主機後取得該主機個人資料,並且成為殭屍跳板主機對其他主機
進行攻擊,例如 DNS Query 放大攻擊或發送惡意釣魚郵件。
※ 建議措施:
一. 若不幸誤點此惡意程式後可以先拔除網路線或關閉網路,以降低損害程度。
二. 安裝並更新防毒軟體進行系統磁槽的病毒掃描。
三. 利用工作管理員或 Procexp 工具來強制關閉背景的惡意程式,並且手動刪除。
四. 利用 autoruns 工具或執行 msconfig 來關閉開機自動執行的惡意程式登錄檔。
五. 使用 Tcpview 檢查網路連線狀態是否還有異常。
六. 若擔心無法完整清除,建議備份檔案後重新安裝作業系統,以確保無惡意程式殘留。
*詳細完整個案分析報告,請參閱 TACERT 網站!
Internet
Hacker
STEP 1 : 感染主機透過 HTTPS 向 dchamt.com 進行報到。 STEP 2 : 報到後會下載一個惡意程式 heap.exe 並執行。STEP 3 : 感染主機會開啟埠號 UDP 2990 和 TCP 8485 與外部主機和駭客進行通訊。STEP 4 : 感染主機會對無設限制的DNS主機進行DNS查詢放大攻擊。STEP 5 : 感染主機會發送大量的SPAM Mails,並且夾帶惡意檔案。
感染主機dchamt.com
STEP 1感染報到
STEP 2報到下載執行
STEP 3udp 2990 & tcp 8485
STEP 4DNS query
STEP 5SPAM Mails
DNS Servers Mail Servers
STEP 3駭客命令
2 0 1 3 年最危險密碼 1 2 3 4 5 6 及 p a s s w o r d !
惡意程式透過電腦感染 A n d r o i d 系統的裝置
*新聞來源: Net-Security
賽門鐵克研究人員最近發現了一個電腦的木馬病毒-Droidpak,他的最終目標是要破壞目標的Android智
慧型手機或是平板電腦,並從中竊取資訊。
首先,它會生成一個惡意的DLL檔,並將其註冊為系統服務,接著它會聯繫一個遠端的伺服器並且下
載一個配置文件,其中包含的資訊讓它可以下載一個惡意的APK檔案(Android的應用程序包),如果需
要的話,它同時也可以是Android的模擬器工具。
後者允許惡意程式把惡意的APK安裝到任何受害者有連接到電腦,並且是Android系統的裝置上,只
要一安裝完成,惡意程式會把自己偽裝成Google App Store
的應用程式,並在後台偷偷的搜尋使用者有沒有安裝線上的銀行app。
如果它找到一個,它會嘗試給用戶一個假的理由,並讓用戶刪除該app,也試圖讓用戶下載並安裝一
個有同樣功能的惡意程式,不用說,後來下載的這個app將會記錄任何輸入進該裝置的(銀行)資訊。
此外,它還可以攔截和刪除簡訊,那些由被害人的銀行寄來的簡訊可能就不被允許彈出。
頁 7 T A C E R T 資安 電子 季報
W i n d o w s X P 四月停止支援,小心資安破功!
- 本 季重 點資 安新 聞回顧
*新聞來源: iThome
SplashData 自 2011 年開始分析數百萬筆被駭客盜取並公佈的密碼,以找出最多人
使用的密碼。前二年報告中,第一名都是 password,第二名則是 123456。
去年 10 月 Adobe 網站遭到駭客攻擊,被竊走 Adobe 旗下產品的有效、無效帳號密
碼及測試的帳號資料共 1.3 億餘筆。安全公司 Stricture Consulting Group 分析其中
600 萬筆帳號,發現近 1/3,約 200 萬人以 123456 作為帳號密碼。
Splashdata 建議,以隨機字詞配合空白鍵或其他符號組成 8 碼以上的密碼,像是
cakes years birthday 或 smiles_light_skip?等。 最忌同一組帳密同時用於娛樂、社
交網站及銀行網站。
*新聞來源: F-Secure
微軟宣布將結束支援旗下最長壽的作業軟體 Windows XP,支援終止的時間是今年(2014 年)的 4 月 8
日。為了協助用戶完成系統移轉的相關作業,在 2015 年 7 月 14 日前,微軟將持續提供防惡意程式軟
體簽章與防毒引擎的更新給 Windows XP 的用戶,但 XP 的安全套件、固定更新和漏洞修補則在 4 月
8 日後不再提供。
芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬指出:「隨著系統商把主力放在開發
新的作業系統的同時,已不願投注心力在修補新應用程式凸顯的舊系統漏洞,便提供了駭客絕佳入侵
機會,如果企業不從現在開始規畫階段性淘汰舊作業系統,恐怕難以應付越來越大的安全漏洞。根據
芬安全實驗室的統計發現,2013 年台灣前 10 大最常見的病毒,有 4 成都是早已爆發過且已被微軟修
復漏洞的古董病毒。台灣會有這樣的現象,主要是因為許多老舊電腦系統未及時更新,因而造成早該
被遏止的惡意程式仍舊到處肆虐的情況發生。」
圖 12. 2013 年最危險密
碼前十名
電話:(07)525-0211 傳真:(07)525-1535
網路電話代表號: 98400000
電子郵件: [email protected]
地址:高雄市鼓山區蓮海路 70 號(國立中山大學)
臺灣學術網路危機處理中心(TANet Computer Emergency Re-
sponse Team,簡稱 TACERT)於 2010 年 6 月正式成立,由教育
部委由國立中山大學進行營運。主要的任務為協助處理 TANet
各連線單位的電腦網路資通安全危安事件。除了扮演教育體系
的資訊安全應變窗口,並盡力維護台灣學術網路的使用安全。
TACERT 主要營運項目包含:(1)資安事件的通報應變(2)資安
事件的技術支援與諮詢服務(3)資安預警情資(4)資安防護教育
訓練(5)資安通報演練(6)資安電子季報。
T A C E R T 組織 介紹
資安新 知 - 針 對 L i n u x 的蠕 蟲「 L i n u x . D a r l l o z 」簡介
cert.tanet.edu.tw
* 資料來源:PCWORLD
賽門鐵克於 2013 年發現一種新型的蠕蟲病毒-Linux.Darlloz,主要針對運行 Linux 和 PHP 的 X86 電
腦,多數會將惡意程式植入像是家用路由器或是機上盒等等的裝置內的晶片當中。根據賽門鐵克的安
全研究員指出,惡意軟體利用 php- cgi 的漏洞,該元件允許 PHP 在通用的閘道(CGI)運行,該漏洞後
來被命名為 CVE- 2012- 1823 ,並在 2012 年 5 月中在 PHP 5.4.3 和 PHP 5.3.13 修補漏洞 。
該攻擊在X86電腦上蔓延,原因是從惡意服務器上下載的二進制惡意程式是採用intel架構上的ELF格
式。賽門鐵克研究人員聲稱,攻擊者還擁有數種不同架構的蠕蟲,包含ARM , PPC , MIPS和MIPSEL
變種。這些架構被用在像家用路由器、IP攝像機、機上盒以及其他許多嵌入式設備。
攻擊者試圖將感染範圍跨大,在Linux上運行的任何設備以最大限度的機會感染,不過仍未證實對非PC
的設備有相關的攻擊案件。許多嵌入式裝置是基於某種類型的Linux,包括用PHP的基於Web的管理界
面W eb服務器。這些類型的設備比起Linux的PC或服務器,更容易被容易被當作目標,因為他們並不
常常收到更新的訊息。
賽門鐵克研究人員說提到,為了保護他們的設備避免被蠕蟲攻擊,建議使用者驗證這些設備上運
行是否為最新的版本,建立強有力的管理密碼,並阻止HTTP POST請求-/cgi-bin/php, - / cgi-
bin/php5,-/cgi-bin/php-cgi,-/cgi-bin/php.cgi和-/cgi-bin/php4,無論是從閘道防火牆或其他獨
立的設備上。
臺灣學 術網路危機處理中 心 ( T A C E R T )
圖 7 .TACERT 網站
*
