Log for 網路攻防戰~資安閒聊群組

ZONE-h 本週 .tw 網域被入侵統計

標題：Locky 勒索病毒等惡意程式，如何反制傳統的沙盒模擬分析？

摘要：
最近較新的 勒索病毒家族 也開始積極利用某些技巧來判斷自己是否在虛擬機器 (VM) 或沙盒模擬環境當中執行。例如 Locky 的變種就會利用層層編碼的惡意 JavaScript 來下載並執行壓縮的 DLL 檔案，內含偵測虛擬機器和執行環境的程式碼。

Shamoon/Disttrack (WORM_DISTTRACK 家族) 最早發現於 2012 年，它會將系統主開機磁區 (MBR) 清除，讓受害機構網域下的電腦和伺服器無法開機。當它在 2016 年 12 月重出江湖時，開始多了一個反制沙盒模擬分析環境的技巧，感染當下不會出現惡意行為，而是設定了一個定時炸彈在特定日期和時間觸發，此時才會在系統上植入惡意元件。

由於躲避沙盒模擬分析的技巧在惡意程式之間日漸流行，因此很重要的一點是，沙盒環境必須要能客製化，才能盡可能精確反映真實生產環境的系統組態 (包含軟體在內)。

市面上許多沙盒解決方案通常只檢查系統 API (應用程式介面)，而這只需採用無檔案式攻擊就能避開 (例如使用腳本和系統工具)。要防範這類攻擊，需要更全面的系統監控，不能只檢查系統 API，還要檢查是否有惡意通訊。

傳統的沙盒模擬分析大多仰賴動態程序分析 (在模擬環境中執行惡意程式檔案來查看其行為)。但像 CrypMIC (RANSOM_CRYPMIC) 和 Cerber (RANSOM_CERBER) 這類勒索病毒卻會偵測系統的 CPU 型號 來判斷自己是否正在沙盒模擬環境當中執行。

引用來源：
https://blog.trendmicro.com.tw/?p=49025

可以幻想 —--- 攻擊者 透過手機APP 以藍芽傳輸 串改儀表板的 油箱數據永遠滿格 使得受害人 以為油箱是滿的 故而在中部深山中 牽車步行行走 求救無門

可以幻想 —- 攻擊者 透過手機APP 以藍芽傳輸 竄改儀表板的上的數據 將所有數字改為隨機產生 並且鎖定 儀表板畫面為色情圖案 需支付彼特幣才可以解鎖機車螢幕畫面

不要以為我說笑，是真的喔！

改裝車載資訊控制系統，一通簡訊就可控制油門、煞車

根據研究人員的分析，市場上現有的TCU存在許多安全漏洞，不論是軟體的架構設計或是配置等，藉由實驗也證實了這些漏洞皆可被利用，並建議TCU製造商或用戶應嵌入更新驗證機制、強化簡訊驗證、要求裝置驗證、改善管理能力、支援密碼功能、關閉廣域網路管理功能，以及經常維護更新伺服器等。

示範影片：https://www.youtube.com/watch?t=22&v=-CH9BvFlrGs

如何遠端入侵操控GM汽車

資安研究人員Samy Kamkar透過YouTube展示一個名為OwnStar的駭客裝置，OwnStar能夠攔截美國通用汽車（General Motors，GM）車載資訊娛樂系統OnStar的行動程式與雲端服務之間的通訊，因而能夠得知汽車的位置，還能遠端解鎖及啟動汽車。


示範影片：https://www.youtube.com/watch?v=3olXUbS-prU

電子防盜器漏洞讓汽車容易遭竊，車商力阻論文揭露真相，兩年後終於公諸於世！

三名安全研究人員本周在第24屆的USENIX的安全會議上發表一篇名為「拆解Megamos加密：無線破解汽車防盜系統」的研究報告。

論文下載：https://www.usenix.org/sites/default/files/sec15_supplement.pdf

從事此一研究的是荷蘭內梅亨（Radboud University Nijmegen）大學資工系的Roel Verdult與Barıs Ege，以及來自英國伯明翰大學電腦科學學院的Flavio Garcia，他們針對高級車種常用的電子防盜裝置Megamos Crypto詢答器（transponder）進行研究，並找出3種攻擊手法，只要經由無線通訊，就算沒有鑰匙也能把車子開走，包括Audi、福斯、Honda、Volvo、Porsche。

標題：圖形驗證碼（CAPTCHA）的暴力帳號、密碼破解工具

摘要：
緣起：進行網站滲透測試，通常第一關就是使用者登入頁面，現今的登入頁多會加入圖形驗證，傳統的暴力破解工具--像 hydra 或 patator 根本派不上用場，才會想開發可以處理圖形驗證碼的工具。

聲明：此工具是為滲透測試的目的而開發，請勿用於非法目的。

感謝：Rémi THOMAS提供免費的tessnet2專案，本工具是藉用 tessnet2 進行圖形OCR。

限制：
1. 辨識成功率取決於圖形的複雜度，如果雜點及噪音線的顏色與文字過於接近，或文字的顏色漸層落差過大，辨識率會大幅下降。
2. 目前無法提供多執行緒破解，因此一次只能處理一組請求，但可以執行多個實體模擬多執行緒。
3. 目前提供的版本是初版，只試用過5個網站，尚未接受各方磨練，如有改進之次，請不吝提供建議。

懇求：由於工具的使用相當複雜，且必須佐以人為輔助才能提高辨識率，如果您對此工具有興趣，請仔細閱讀使用說明，不要直接提問如何使用，也請不要問我如何破解別人的網站。

如果您對此工具有興趣，可從引用來源取得。(有相關問題也請至原始網站詢問)

引用來源：
http://atic-tw.blogspot.tw/2017/04/captcha.html

標題：CodeCrack(圖形驗證碼暴力破解工具)使用說明

摘要：
一、前言
CodeCrackWin是以.NET 2.0為基礎，用C#寫成的，主要的OCR元件為tessdata 2的函式庫。這支程式算是入門級，可能還有很多狀況沒有考慮到，因此誤判率可能不低，能應付的圖形碼也有限，當初開發的目的只是為了測試使用者是否使用弱密碼，但軟體總是要先有初版，如果不符您的需求，請直接移除。

二、安裝CodeCrackWin
CodeCrackWin採綠色軟體模式開發，不必安裝，但需依程式存放的目錄調整組態檔。

三、第一次執行
要執行此程式，只要雙擊「CodeCrackWin.exe」即可。

四、載入帳號及密碼字典檔

五、存成設定檔及載入設定檔
由於猜解圖形驗證碼和猜解一般只有帳號密碼的困難度有很大差異，必須調整最佳參數才能得到理想效果。

六、測試用範例網頁

七、取得原始碼
如果您對本工具有興趣，可以下載。本專案是以VS2008開發，以.net2.0為框架，目的就是希望連最早的XP環境都能執行。


「圖形驗證碼（CAPTCHA）的暴力帳號、密碼破解工具」下載：
http://atic-tw.blogspot.tw/2017/04/captcha.html


如果您對此工具有興趣，可從引用來源取得。(有相關問題也請至原始網站詢問)

引用來源：
http://atic-tw.blogspot.tw/2017/04/codecrack.html

標題：逾20款Linksys Wi-Fi路由器含有可被挾持的安全漏洞

摘要：
IOActive安全顧問Tao Sauvage是在去年第四季的Linksys的Wi-Fi路由器產生興趣，他選購了一款Linksys Smart Wi-Fi路由器，並針對韌體進行安全分析，發現Linksys Smart家族的逾20款Wi-Fi路由器藏有大大小小的10個安全漏洞，其中有6個漏洞可自遠端開採。

受到影響的Linksys Smart Wi-Fi路由器產品涵蓋WRT1200AC、WRT1900AC、WRT1900ACS、WRT3200ACM、EA2700、EA2750、EA3500、EA4500 v3、EA6100、EA6200、EA6300、EA6350 v2、EA6350 v3、EA6400、EA6500、EA6700、EA6900、EA7300、EA7400、EA7500、EA8300、EA8500、EA9200、EA9400及EA9500。

在今年1月收到IOActive的通知後，Linksys即著手進行修補，準備更新所有受到漏洞影響的裝置韌體，並建議用戶啟用自動更新機制、關閉未使用的WiFi Guest Network，以及變更裝置憑證。

原始資料：
http://blog.ioactive.com/2017/04/linksys-smart-wi-fi-vulnerabilities.html

引用來源：
http://www.ithome.com.tw/news/113623