Log for 網路攻防戰~資安閒聊群組

標題：回顧17 年來 Pawn Storm 遍及全球的網路間諜行動

摘要：
根據我們的觀察，其行動最遠可追溯至 17 年前，主要攻擊目標為政府、軍事、媒體以及政治機構，足跡遍布全球。此外，報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳，而且光 2016 年就成長了 400%。

歹徒習慣在攻擊的第一階段透過網路釣魚來騙取受害對象的使用者帳號密碼，並且擅長使用當地發生的事件為誘餌來讓受害者上當。

一些使用 Yahoo! 和 Gmail 這類免費電子郵件服務的重要人士，也是該集團長期鎖定的目標。Pawn Storm 會持續不斷發送魚叉式釣魚攻擊（SPEAR PHISHING）郵件給這些目標 (通常一週幾次)，目的就是希望不斷利用各種方法來看看能不能得逞。

一旦受害目標不小心落入社交工程陷阱，點選了惡意連結或者開啟了惡意附件，歹徒就會使用相對單純的第一階段惡意程式來蒐集系統資訊，並掃瞄敏感資訊的所在位置。

接著，Pawn Storm 會長期潛伏在受害系統內長達一年以上，暗中蒐集資訊。在進一步了解受害者並且判斷他們所入侵的是高價值目標之後，歹徒就會釋放出第二階段的惡意程式以便「挖得更深一點」。這些高價值目標，通常是受害機構當中的少數關鍵人物。

引用來源：
https://blog.trendmicro.com.tw/?p=49372

標題：Pawn Storm 利用 OAuth 開放認證機制從事進階社交工程詐騙

摘要：
Pawn Storm 是一個從 2004 年活躍至今的激進駭客間諜團體。根據趨勢科技最新的研究顯示，該團體一直想盡各種辦法、盡各種手段來試圖從攻擊目標竊取重要資訊。他們最擅長也最令人擔憂的是利用網路釣魚（Phishing）來騙取帳號登入資訊。

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制，此機制的好處是使用者不須提供自己的帳號密碼，而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。

OAuth 機制確實能提升網站使用者的體驗，例如，允許社群網站存取您的網站郵件通訊錄可以更方便找到同樣有在使用該社群網站的好友。雖然我們相信網路服務供應商已經加強了 OAuth 應用程式的審查，但我們仍呼籲網路使用者不要隨便允許一些不請自來的應用程式或服務使用 OAuth 來存取您的帳號。

以下是一些我們已知 Pawn Storm 曾經用來詐騙一些重要人士的惡意應用程式 (Pawn Storm 也可能使用一些其他的應用程式名稱)：

1. Google Defender
2. Google Email Protection
3. Google Scanner
4. Delivery Service (Yahoo)
5. McAfee Email protection (Yahoo)


引用來源：
https://blog.trendmicro.com.tw/?p=49296

標題：OAuth 2.0 部署不當，數十億 APP 帳號存在洩露風險

摘要：
OAuth認證是什麼？

許多社交網絡平台，包括新浪微博、Google、Facebook等，都在使用OAuth 2.0認證協議。這個認證協議可以讓用戶在一處登錄後，通過認證已有的身份，登錄第三方服務，而不需要提供其它信息。

香港大學的三名安全研究人員發現，眾多支持單點登錄的App沒有正確部署OAuth2.0認證協議，攻擊者可利用此漏洞遠程登陸任何用戶的App賬戶。

Ronghai Yang、Wing Cheong Lau和Tianyu Liu調查了美國和中國最熱門的600個Android應用，發現182個應用支持單點登錄服務，這其中有41%沒有正確部署OAuth2.0協議。

攻擊者可以利用這種方法，洩露用戶敏感信息，或者以用戶名義在相應App上操作。

在採訪時，Lau表示OAuth2.0部署問題其實是個基礎性的錯誤。但是，影響範圍卻可能很嚴重。

Yang和Lau在2016歐洲黑帽大會上展示了他們的研究成果。

簡報下載處：
OAuth User Profile Attack ：How to Sign into One Billion Mobile App Accounts Effortlessly
https://www.blackhat.com/…/eu-16-Yang-Signing-Into-Billion-…

原始資料：
Over 1 Billion Mobile App Accounts can be Hijacked Remotely with this Simple Hack
http://thehackernews.com/2016/11/android-oauth-hacking.html

內文引用：
OAuth2.0部署不當，數十億Android App賬戶存洩露風險
http://www.freebuf.com/news/119308.html

標題：WordPress零時漏洞可能洩露密碼重設連結，允駭客取得網站控制權

摘要：
研究人員發現的漏洞編號為CVE-2017-8295，存在WordPress製作密碼重設信件的過程中，在有人發出密碼重設要求時，未確保郵件只發送到合法網站持有人帳號。由於WordPress製作密碼重設郵件時可使用用戶端提供的主機名，因此攻擊者將送出的HTTP呼叫中的SERVER_NAME變項，修改成攻擊者控制的伺服器名。這就會讓之後標題包含From/Return路徑的郵件，都會傳送這個惡意郵件位址。

研究人員舉出二種不需用戶介入的可能攻擊情況，一是攻擊者發送大量垃圾郵件塞爆合法擁有者的信箱，等信箱無法收信，之後WordPress發出的密碼重設郵件來到就會被彈回，這時就會送到攻擊者控制的信箱中。另一個攻擊策略是等網站管理員不在，設定自動回覆時。當密碼重設郵件寄出，如果管理員自動回覆信件包含原始內容，則攻擊者就能加以攔截。

原始資料：
https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html

引用來源：
http://www.ithome.com.tw/news/113909

是香港中文大學