Log for 網路攻防戰~資安閒聊群組
標題:雅虎警告用戶:駭客不必竊密碼就能入侵帳戶
寫在前面:
用 cookie 進入帳號,在不是在古早時代就有的攻擊技巧嗎?
摘要:
知情人士透露,這項通知顯示雅虎的網路攻擊調查工作已經進入最後階段。雅虎發言人表示,公司已經通知可能受影響的用戶,並已將遭竄改的cookies「作廢」。
雅虎在聲明稿中表示:「一如我們之前所揭露的,我們的外部鑑定專家一直在調查這些竄改cookies的出現,這些cookies讓入侵者毋需密碼就能侵入帳戶。」
內文引用:
https://udn.com/news/story/9/2287815
原始資料:
Yahoo Hacked Once Again! Quietly Warns Affected Users About New Attack
http://thehackernews.com/2017/02/yahoo-hack.html
寫在前面:
用 cookie 進入帳號,在不是在古早時代就有的攻擊技巧嗎?
摘要:
知情人士透露,這項通知顯示雅虎的網路攻擊調查工作已經進入最後階段。雅虎發言人表示,公司已經通知可能受影響的用戶,並已將遭竄改的cookies「作廢」。
雅虎在聲明稿中表示:「一如我們之前所揭露的,我們的外部鑑定專家一直在調查這些竄改cookies的出現,這些cookies讓入侵者毋需密碼就能侵入帳戶。」
內文引用:
https://udn.com/news/story/9/2287815
原始資料:
Yahoo Hacked Once Again! Quietly Warns Affected Users About New Attack
http://thehackernews.com/2017/02/yahoo-hack.html
標題:針對Android沙盒的"中間APP攻擊"(含影片示範)
影片示範:
Android for Work Notifications Exploit
https://www.youtube.com/watch?v=KHv9hYQWa1k
摘要:
Skycure的研究人員稱,他們發現了兩種“中間app攻擊”,能夠讓個人profile裡的惡意軟件訪問到企業檔案中的數據。兩種攻擊方式利用的都是安全鏈條中最薄弱的環節——人。兩種攻擊方式都需要用戶交互。
攻擊方案一:第一種攻擊方案是個人檔案的惡意應用誘導用戶開啟讀取通知權限。
攻擊方案二:第二種攻擊方式利用的是Android的輔助功能。
內文引用:
http://www.freebuf.com/articles/terminal/127441.html
原始資料:
App-in-the-Middle Attacks Bypass Android Sandbox: Skycure
http://www.securityweek.com/app-middle-attacks-bypass-android-sandbox-skycure
影片示範:
Android for Work Notifications Exploit
https://www.youtube.com/watch?v=KHv9hYQWa1k
摘要:
Skycure的研究人員稱,他們發現了兩種“中間app攻擊”,能夠讓個人profile裡的惡意軟件訪問到企業檔案中的數據。兩種攻擊方式利用的都是安全鏈條中最薄弱的環節——人。兩種攻擊方式都需要用戶交互。
攻擊方案一:第一種攻擊方案是個人檔案的惡意應用誘導用戶開啟讀取通知權限。
攻擊方案二:第二種攻擊方式利用的是Android的輔助功能。
內文引用:
http://www.freebuf.com/articles/terminal/127441.html
原始資料:
App-in-the-Middle Attacks Bypass Android Sandbox: Skycure
http://www.securityweek.com/app-middle-attacks-bypass-android-sandbox-skycure
標題:iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗
摘要:
iOS 裝置的攻擊管道也顯得更多樣化。例如,在我們所分析的惡意程式當中,有多個會將其動態連結程式庫 (dylib) 的名稱改成 postfix.PND 讓系統以為這是一個無害的 Portable Network Graphics (PNG) 影像檔案。
此外,可讓應用程式在啟動後動態載入程式碼的 JsPatch 工具也遭歹徒用來避開 Apple 的審查機制,讓歹徒經由更新的方式將惡意內容推播至應用程式。
除此之外,我們也發現了一些 Apple 裝置的漏洞:CVE-2016-1721 和 CVE-2016-4653 都是記憶體損毀漏洞,可能讓駭客以系統核心的權限執行任意程式碼。至於 CVE-2016-4627 和 CVE-2016-4628 則是 Apple 裝置 IOAcceleratorFamily 元件的漏洞。CVE-2016-4606 是 iOS 隱私權設定當中的一個資料繼承漏洞。CVE-2016-4659 是一個應用程式覆寫的錯誤,兩者都與重新包裝應用程式的 Bundle ID 有關。CVE-2016-7651 是應用程式解除安裝之後並未重設其授權設定所造成的錯誤。
其他重要的漏洞還有:可用來將 iOS 裝置越獄的 CVE-2016-4654 漏洞,以及 Pegasus/Trident 漏洞攻擊過程所用到的 CVE-2016-4655、CVE-2016-4656 和 CVE-2016-4657 漏洞,駭客可從遠端將裝置越獄並讓裝置感染間諜程式。
引用來源:
https://blog.trendmicro.com.tw/?p=43599
摘要:
iOS 裝置的攻擊管道也顯得更多樣化。例如,在我們所分析的惡意程式當中,有多個會將其動態連結程式庫 (dylib) 的名稱改成 postfix.PND 讓系統以為這是一個無害的 Portable Network Graphics (PNG) 影像檔案。
此外,可讓應用程式在啟動後動態載入程式碼的 JsPatch 工具也遭歹徒用來避開 Apple 的審查機制,讓歹徒經由更新的方式將惡意內容推播至應用程式。
除此之外,我們也發現了一些 Apple 裝置的漏洞:CVE-2016-1721 和 CVE-2016-4653 都是記憶體損毀漏洞,可能讓駭客以系統核心的權限執行任意程式碼。至於 CVE-2016-4627 和 CVE-2016-4628 則是 Apple 裝置 IOAcceleratorFamily 元件的漏洞。CVE-2016-4606 是 iOS 隱私權設定當中的一個資料繼承漏洞。CVE-2016-4659 是一個應用程式覆寫的錯誤,兩者都與重新包裝應用程式的 Bundle ID 有關。CVE-2016-7651 是應用程式解除安裝之後並未重設其授權設定所造成的錯誤。
其他重要的漏洞還有:可用來將 iOS 裝置越獄的 CVE-2016-4654 漏洞,以及 Pegasus/Trident 漏洞攻擊過程所用到的 CVE-2016-4655、CVE-2016-4656 和 CVE-2016-4657 漏洞,駭客可從遠端將裝置越獄並讓裝置感染間諜程式。
引用來源:
https://blog.trendmicro.com.tw/?p=43599
標題:PHP成為全球第一個在核心添加現代加密庫的程式語言
摘要:
Libsodium的全名為Sodium加密函式庫(Sodium crypto library),為一標榜操作簡單的開放源碼軟體加密庫,可用來加密、解密、簽名及產生雜湊密碼等,可在打造更高階加密工具時提供所有的核心操作,且支援Windows、iOS及Android等平台,最新的版本為2016年7月底釋出的Libsodium 1.0.11。
其實Libsodium原本就是PHP的擴充程式,但Arciszewski在接受Bleeping Computer的採訪時指出,他發現基於PHP的WordPress或其他共伺服器享代管業者多半不允許用戶安裝客製化的PHP擴充程式,擔心這些客製化擴充程式危及平台的基礎架構,這使得他決定推動讓Libsodium成為PHP的預設功能。
引用來源:
http://www.ithome.com.tw/news/112239
摘要:
Libsodium的全名為Sodium加密函式庫(Sodium crypto library),為一標榜操作簡單的開放源碼軟體加密庫,可用來加密、解密、簽名及產生雜湊密碼等,可在打造更高階加密工具時提供所有的核心操作,且支援Windows、iOS及Android等平台,最新的版本為2016年7月底釋出的Libsodium 1.0.11。
其實Libsodium原本就是PHP的擴充程式,但Arciszewski在接受Bleeping Computer的採訪時指出,他發現基於PHP的WordPress或其他共伺服器享代管業者多半不允許用戶安裝客製化的PHP擴充程式,擔心這些客製化擴充程式危及平台的基礎架構,這使得他決定推動讓Libsodium成為PHP的預設功能。
引用來源:
http://www.ithome.com.tw/news/112239
標題:國家級駭客利用Dropbox,從至少70部電腦偷走逾600GB資料
摘要:
在這項攻擊中,駭客利用網釣郵件或社交工程,誘騙使用者必須開啟含有惡意巨集程式的Microsoft Office文件,開啟後啟動一連串過程,下載DLL、再從免費代管網站下載惡意模組,包括瀏覽器、檔案、系統資料蒐集及麥克風控制軟體。
被害者電腦被感染後,即可竊聽重要人士的機密對話,再將錄音資料、重要畫面截圖、文件及密碼等資料上傳到Dropbox,最後將這批資料傳到外部伺服器作為分析、監控之用,達到侵擾(bug)的目的,因此被研究人員命名為BugDrop行動。
此外,駭客的攻擊手法也很高竿,曾用於Duqu與BlackEnergy等惡意程式的反射式DLL注入(Reflective DLL Injection),後者可在不呼叫一般Windows API情況下載入惡意程式,藉此避過安全驗證再進入電腦記憶體,而其使用的加密DLL也能躲開一般防毒軟體及沙盒系統的偵測。
原始資料與技術資料:
https://cyberx-labs.com/en/blog/operation-bugdrop-cyberx-discovers-large-scale-cyber-reconnaissance-operation/
引用來源:
http://www.ithome.com.tw/news/112254
摘要:
在這項攻擊中,駭客利用網釣郵件或社交工程,誘騙使用者必須開啟含有惡意巨集程式的Microsoft Office文件,開啟後啟動一連串過程,下載DLL、再從免費代管網站下載惡意模組,包括瀏覽器、檔案、系統資料蒐集及麥克風控制軟體。
被害者電腦被感染後,即可竊聽重要人士的機密對話,再將錄音資料、重要畫面截圖、文件及密碼等資料上傳到Dropbox,最後將這批資料傳到外部伺服器作為分析、監控之用,達到侵擾(bug)的目的,因此被研究人員命名為BugDrop行動。
此外,駭客的攻擊手法也很高竿,曾用於Duqu與BlackEnergy等惡意程式的反射式DLL注入(Reflective DLL Injection),後者可在不呼叫一般Windows API情況下載入惡意程式,藉此避過安全驗證再進入電腦記憶體,而其使用的加密DLL也能躲開一般防毒軟體及沙盒系統的偵測。
原始資料與技術資料:
https://cyberx-labs.com/en/blog/operation-bugdrop-cyberx-discovers-large-scale-cyber-reconnaissance-operation/
引用來源:
http://www.ithome.com.tw/news/112254