Log for 網路攻防戰~資安閒聊群組

標題：不知名 Android 勒贖軟體潛伏4小時才發作，能避開防毒軟體偵測

摘要：
Zscale下的ThreatLabZ小組研究人員發現，這隻未命名的Android勒贖軟體來自俄羅斯，專門鎖定知名app執行一系列自動化程序加以感染。

它會先反組譯目標app，在其AndroidManifest.xml檔注入必要的指令及Activity/BroadcastReceiver變項、複製圖檔及layout檔，再寫入勒贖軟體的勒贖文字、字串及攻擊程式感染apk，等待受害者上門。

不知情的用戶將app下載到行動裝置中後數小時，這隻勒贖軟體會展開看似普通的勒贖過程。

這隻惡意程式手法看起來沒什麼了不起，但它有項超越其他勒贖軟體的能力。研究人員指出，它對外連接的C&C伺服器IP位址、電話號碼皆以AES (Advanced Encryption Standard)加密，而且它所注入的字串、方法及變項都被混淆而難以理解，同時大部份方法是以Java映射(Java Reflection)機制呼叫來躲過防毒軟體的狀態分析偵測。

引用來源：
http://www.ithome.com.tw/news/113242

標題：駭客炫戰績！台灣上百公司網站慘遭駭客入侵

摘要：
全世界各地知名駭客，無論是個人或團體，把攻陷的網站提交到駭客網「Zone-H」上，由Zone-H工作人員作重覆審核，檢查網站是否真的被綁架或癱瘓，接著駭客會獲得認證！Zone-H的工作人員會在駭客的名字下，把曾經入侵網站的數量逐步作記名添加，最後衍變成進行排行榜比賽，有意無意間把Zone-H創造成各國駭客的競技場所。

一名國外駭客，AnonymousFox，從3月25日起，全面攻擊台灣各網路網站，並將「戰績」刊登在炫耀戰績的「Zone-H」駭客網上；截至目前為止，已經有上百家公司行號網站先後淪陷，部分網頁仍處於全面停擺狀況！

ZONE-h 網站：
http://www.zone-h.org/archive/filter=1/domain=.tw/fulltext=1/page=1

引用來源：
http://www.setn.com/News.aspx?NewsID=240086

中國/香港網域：
http://www.zone-h.org/archive/filter=1/domain=.cn/fulltext=1/page=1

標題：博通 Wi-Fi 晶片爆漏洞，蘋果緊急釋出 iOS 10.3.1修補

摘要：
Google Project Zero的安全研究人員Gal Beniamini周二揭露博通（Broadcom）的Wi-Fi晶片存在漏洞，使得一周前才發表iOS 10.3的蘋果於本周一（4/3）緊急釋出了iOS 10.3.1，只為了修補此一嚴重的Wi-Fi漏洞。

此一漏洞編號為CVE-2017-6975，根據蘋果的說明，該漏洞允許一定範圍內的駭客可於iOS裝置上的Wi-Fi晶片執行任意程式。

在收到Beniamini的通知後，博通已經修復了相關漏洞，蘋果亦於周一緊急修補，而Google也在4月的Android安全更新中祭出修補。在Android上類似漏洞的編號為CVE-2017-0561，同樣能允許駭客自遠端執行任意程式。

引用來源：
http://www.ithome.com.tw/news/113258

標題：中國駭客入侵IT代管服務商，藉供應鏈滲透目標攻擊對象

摘要：
PwC、BAE Systems與英國國家網路安全中心（NCSC）在本周公布了一份資安研究報告，指出惡名昭彰的中國駭客集團APT10正藉由IT代管服務供應商（Managed IT Service Providers，MSPs）入侵全球企業並竊取機密資訊。

該報告將APT10的新型態手法稱為「雲端跳躍行動」（Operation Cloud Hopper），該行動是先滲透IT代管服務供應商，以這些服務商作為跳板再攻擊它們位於全球的客戶。雖然此一手法一直到去年才現身，但很可能從2014年便開始，只是APT10於去年進一步擴大了規模並大幅改善攻擊能力。

APT10的目的是竊取目標對象的智慧財產或是機密資訊，且橫跨全球市場。


引用來源：
http://www.ithome.com.tw/news/113259

上課中有人問到，所以順便發布，雖然我並不清楚目前是否有嚴格落實！

附件下載處：
臺北市政府 LINE 群組組成及使用規範
http://doit.gov.taipei/DO/DownloadController.Attach.asp?xpath=public/Attachment/55613391179.pdf

臺北市政府使用 LINE 公務處裡作業程序
http://doit.gov.taipei/DO/DownloadController.Attach.asp?xpath=public/Attachment/5561340124.pdf

(機關單位名稱) LINE 訊息紀錄單
http://doit.gov.taipei/DO/DownloadController.Attach.asp?xpath=public/Attachment/55613412159.docx

標題：網管系統結合 LINE BOT 實現即時告警互動通知

摘要：
在本文中，筆者將簡介如何利用LINE BOT提供的服務來實作一個可發出LINE訊息的程式。使用者可以利用此類程式，為本身的網管系統加上傳送即時LINE訊息的功能。

為了吸引更多的程式設計師能更快速地為LINE開發新的功能。LINE釋出了LINE BOT的概念，並提供相關的API函數給開發者，用來與LINE的伺服器溝通，讓開發者能夠用來開發新功能。

要使用LINE BOT所提供的API函數，使用者必須先在LINE BOT網站註冊，但是有名額的限制，額滿即不接受新的註冊。

LINE BOT提供一組API好讓使用者利用此API發送JSON格式的訊息至LINE上。在本文中即是利用此類應用，當偵測到服務中斷時，就發送訊息至管理者的智慧型手機上的LINE來取代簡訊（SMS）的功能，以達到即時通知的目的。

引用來源：
http://www.netadmin.com.tw/article_content.aspx?sn=1610040003

標題：史上最高明行動間諜程式 Pegasus 從 iOS 跑到 Android了！

摘要：
Pegasus去年8月率先在iOS平台上被發現，它是由有網路軍火商之稱的以色列駭客公司NSO Group所打造，它會悄悄地破解iOS裝置，監控被駭者的行動，並蒐集裝置上運作的各種資訊，涵蓋語音通訊、相機、電子郵件、訊息、定位、密碼與通訊錄等。

根據Lookout的分析，Android版的Pegasus與iOS版的功能類似，可竊取裝置上的螢幕畫面、聲音、各種傳訊程式的訊息、瀏覽器歷史紀錄、電子郵件及通訊錄等，還能透過簡訊自遠端操控。兩者最大的不同在於iOS版的Pegasus是透過3個零時差漏洞進佔iOS，而Android版Pegasus並非利用漏洞，而是以知名的Farmaroot破解技術入侵Android裝置，比iOS版的Pegasus更容易部署。


引用來源：
http://www.ithome.com.tw/news/113267

標題：駭客以無檔案惡意程式遙控俄銀行ATM吐鈔，損失80萬美元

摘要：
研究人員分析發現，駭客攻擊手法分成二階段。第一階段是尋找有漏洞沒修補的ATM網路管理伺服器，並以Windows 工具及Meterpreter、PowerShell script等攻擊工具，在伺服器記憶體中植入惡意程式，並和外部C &C伺服器建立連結，且暗中蒐集管理員密碼。由於它並不存在硬碟中，因而不會被防毒軟體偵測到，同時會隨著系統重開機而消失。

在接下來的第二階段中，駭客透過RDP與ATM建立連結，並在ATM中植入ATMitch。ATMitch會找尋讀取駭客存在ATM硬碟中的command.txt檔案。這些檔案內含單一字母組成的指令，如O代表開啟提款機（Open dispenser）、D代表發鈔(Dispense)。

隨後駭客在遠端等同夥出現在ATM前，即下達指令要求任何一台提款機吐出他想要的鈔票張數。做案後駭客即遠端刪除ATM的惡意程式，使所有犯罪蹤跡消失不見。

接獲受害銀行委託調查的卡巴斯基研究人員指出，該團體的無檔案攻擊手法十分高明，以致於銀行鑑識專家及研究唯一找得到證據只剩下ATM硬碟裏包含二個惡意程式log的檔案，當中留有Take the Money Bitch!及Dispense Success的字串。不過研究人員就從以逐步追查出惡意程式及整個犯罪手法。

原始資料：
http://usa.kaspersky.com/about-us/press-center/press-releases/2017/Double-Attack-What-Are-Fileless-Banking-Attackers-Really-After

相關報導：
Hackers stole $800,000 from ATMs using Fileless Malware
http://thehackernews.com/2017/04/atm-fileless-malware.html

Hackers Stole $800,000 From Russian ATMs With Disappearing Malware
https://motherboard.vice.com/en_us/article/atm-hack-russia-disappearing-malware


引用來源：
http://www.ithome.com.tw/news/113270