Log for 網路攻防戰~資安閒聊群組

標題：逾140家銀行、政府網路發現「無檔案」惡意軟體攻擊，可躲過防毒軟體偵測

摘要：
F-Secure的安全專家提醒，近期140多家銀行、電信商和政府的網路中發現了「無檔案」惡意軟體攻擊，這些攻擊是存在隨機存取記憶體(RAM)，而非硬碟上的惡意程式，它通常是在使用者造訪惡意網站或點選惡意郵件附件時進行感染，由於它不是以檔案的形式存在，因此可躲過防毒軟體的偵測。

攻擊者利用Microsoft自帶的工具（如PowerShell）通過惡意巨集執行基於記憶體的攻擊，這些巨集會觸發PowerShell將惡意軟體載入到機器上。檢測這些攻擊可能很困難，因為巨集使用逃避技術和無檔案方法來逃避基於檔案的檢測方式。

記憶體利用通常利用已知的漏洞。而且，修補漏洞是一些組織無法及時和有效完成的事情。根據芬-安全在2015年底進行的一項研究，約70％的組織缺乏修補程式管理解決方案。然而，根據最近Gartner題為「Get Ready for Fileless Malware（準備好迎接無文本惡意軟體的降臨）」的報告，企業應該做的事情之一是注重安全”衛生“習慣和修補漏洞管理。

引用來源：
http://www.techbang.com/posts/50229-more-than-140-banks-government-networks-found-no-archive-malware-attack-evading-antivirus-software-detection

使用 Windows PowerShell 撰寫指令碼
https://technet.microsoft.com/zh-tw/scriptcenter/dd742419.aspx

學習如何撰寫 Windows 指令碼
https://technet.microsoft.com/zh-TW/scriptcenter/dd793612.aspx

線上課程：

PowerShell 入門班：
https://channel9.msdn.com/events/windows-powershell-tw/entrylevel/01

PowerShell 進階班：
https://channel9.msdn.com/events/windows-powershell-tw/advancelevel/01

PowerShell 高級班：
https://channel9.msdn.com/events/windows-powershell-tw/seniorlevel/01

自動化建立使用者帳戶：
https://channel9.msdn.com/series/powershell-learning-30/powershell-learning-30-8

線上課程：

使用.Net建立LineBot聊天機器人
https://channel9.msdn.com/Shows/NET-Walker-5/NetLineBot

使用WebApi讓你的LineBot可以接收並回應用戶訊息
https://channel9.msdn.com/Shows/NET-Walker-5/Azure-Web-AppLineBot-Webhook

在 Splunk Enterprise 發現多個漏洞，遠端攻擊者可利用漏洞在目標系統上進行獲得敏感資料或進行跨網站指令碼攻擊。

受影響之系統或技術：
Splunk Web 的跨網站指令碼
6.5.x 在 6.5.3 之前
6.4.x 在 6.4.6 之前
6.3.x 在 6.3.10 之前
6.2.x 在 6.2.14 之前
Splunk Light 在 6.5.2 之前

經由 JavaScript 的資料洩漏 (CVE-2017-5607)：
6.5.x 在 6.5.3 之前
6.4.x 在 6.4.6 之前
6.3.x 在 6.3.10 之前
6.2.x 在 6.2.13.1 之前
6.1.x 在 6.1.13 之前
6.0.x 在 6.0.14 之前
5.0.x 在 5.0.18 之前
Splunk Light 在 6.5.2 之前

解決方案：升級到已修補的版本 (6.2.13.1, 6.5.3)。

原廠公告：http://www.splunk.com/view/SP-CAAAPZ3

不过大多数企业和银行的员工电脑是用户权限而已 都没有管理员 也很难安装病毒
除非是ms 0day出现另外说

標題：技嘉兩款迷你準系統UEFI韌體遭爆有漏洞，有被植入勒贖軟體風險

摘要：
Cylance研究人員在上述系統中發現兩項漏洞。第一項名為CVE-2017-3197的漏洞為技嘉實作UEFI韌體時，未能在SMI handler加入適當防護機制，驗證input pointer來防止未經授權的修改，讓駭客可以系統管理模式(SMM)在SPI記憶體中寫入指令。而CVE-2017-3198漏洞則是未在更新系統前進行韌體檔案的驗證，此外，該漏洞也造成韌體更新在未驗證下以HTTP（而非HTTPS）下載到系統內，令駭客能藉由AFU (AMI Firmware Utility)更新工具對韌體寫入任意程式碼。

研究人員並撰寫了一支概念驗證攻擊程式，藉由內建Powershell dropper的Word 文件下載勒贖軟體到韌體中，成功防止技嘉系統開機，同樣的漏洞也能讓駭客植入rootkit而長期潛伏於系統中。

Cylance今年初發現這批漏洞後已經通知技嘉、AMI及美國卡內基美隆大學軟體工程研究所的CERT/CC。CERT/CC也針對兩項漏洞發佈了漏洞通報。

原始資料：
https://www.cylance.com/en_us/blog/gigabyte-brix-systems-vulnerabilities.html

引用來源：
http://www.ithome.com.tw/news/113231

骇客高手看过来

線上課程 的 code 還可以用嗎@@?

額滿了

這裡其實不會有人承認駭客高手，不過政府單位及軍警的朋友不少，剩下的不用我多說了。

幾個小時就250人額滿，大概要等我想開第二梯次了！

標題：研究：惡意廣播訊號可駭進智慧電視，市售9成 DVB-T 電視恐曝風險(含影片示範)

影片示範：
Smart TV Hacking (Oneconsult Talk at EBU Media Cyber Security Seminar)
https://www.youtube.com/watch?v=bOJ_8QHX6OA

摘要：
打造相關攻擊概念性驗證程式的是Oneconsult的滲透測試暨安全研究人員Rafael Scheel，他利用便宜的發射器發射出內含惡意命令的電視訊號，以企圖感染周邊採用含有漏洞之瀏覽器的智慧電視，一旦成功入侵，就可自遠端取得智慧電視的最高權限，並藉由電視機的攝影機或麥克風監控使用者，或是進而攻擊家中其他的智慧裝置。

可怕的是，就算是使用者重開電視機或是回復出廠預設，感染依舊在，而且Oneconsult估計去年市場上所銷售的智慧電視中，高達9成含有被駭風險。

引用來源：
http://www.ithome.com.tw/news/113235

標題：研究：用照片就能騙過S8的人臉辨識機制(含影片示範)

影片示範：
Galaxy S8 Facial recognition can be bypassed With a Photo DEMO
https://www.youtube.com/watch?v=uS1NmvJvHNk

摘要：
在影片中 Miguel 以另一支手機上的大頭照來供Galaxy S8進行人臉辨識，然後，Galaxy S8就解鎖了。

根據三星的說法，人臉辨識並非屬於安全功能，而只是方便解鎖手機之用，就像是在螢幕上滑動解鎖的動作一樣，Galaxy S8提供了更高安全性的指紋與虹膜等生物辨識技術，除了可解鎖手機之外，還可作為Samsung Pay或存取安全檔案的身分認證。資安專家則建議購買Galaxy S8的消費者最好不要啟用人臉辨識功能。

引用來源：
http://www.ithome.com.tw/news/113236