資安一周第10期：新惡意程式Xbash鎖定Linux及Windows平臺。Magecart駭客集團犯案連連，英航等三家業者用戶資料遭駭

0920-0926一定要看的資安新聞

＃Xbash　＃惡意程式

新惡意程式Xbash攻擊手法多元化，兼具勒索與挖礦能力，專門鎖定Linux及Windows平臺

資安業者Palo Alto Networks揭露一個新的惡意程式Xbash，它兼具勒索、挖礦與殭屍網路等功能，且同時鎖定Linux及Windows平臺。

Xbash攻擊不同平臺有不同的角色及表現，它針對Linux平臺時主要展現勒索軟體與殭屍網路能力，先尋找缺乏保護的服務，刪除受害者的MySQL、PostgreSQL與MongoDB資料庫，再勒索比特幣。

然而，研究人員發現，Xbash並未含有復原資料庫的能力，也沒有證據顯示支付贖金的受害者已取回自己的資料庫，顯示出它是一款偽裝成勒索軟體的資料破壞程式。即便如此，駭客的加密貨幣帳號已收到48筆款項，進帳為0.964個比特幣，價值約6,000美元。

Xbash在Windows上的作用則是挖礦及自我散布，它利用存在於Hadoop、Redis與ActiveMQ的安全漏洞進行自我散布，或是感染Windows作業系統。例如當Xbash開採Redis漏洞時，會先判斷Redis服務是否運作在Windows之上，倘若答案是肯定的，那麼它就會傳送惡意的JavaScript及VBScript以下載並執行挖礦程式。更多內容

＃Magecart駭客集團

Magecart駭客集團犯案連連，除了英航和Ticketmaster售票網，Newegg也陷災情，數百萬卡號曝險一個月

資安業者RiskIQ發現，駭入英國航空（British Airline）及售票網站Ticketmaster的駭客組織，又駭入電商平臺新蛋（Newegg）網站，活動期間長達一個月，可能已成功竊取數百萬客戶信用卡號碼。Newegg也在自家Twitter上坦言遭駭，也對近一個月在該平臺購物的客戶發出電子郵件通知此事，並提醒他們注意信用卡的異常活動。

RiskIQ是在調查Ticketmaster及英航被駭事件中，揭露名為Magecart的駭客組織。研究人員發現，駭客在英航網站中植入僅22行程式的盜卡號軟體（skimmer），就成功將38萬名用戶的信用卡資訊及用戶名稱，傳送到外部伺服器。雖然這兩宗入侵事件已經平息，但Magecart集團並未停手；Newegg則是最新受害者。

Newegg是總部位於加州的3C電商平臺，2016年銷售金額達到26.5億美元，研究機構Similarweb估計Newegg網站一個月造訪人次超過5,000萬。

RiskIQ研究人員發現，Magecart在8月13日註冊了一個名為neweggstats.com的網域想冒充Newegg主要網域。後者原指向停車場管理公司，但駭客隔天將之改為指向Magecart的惡意伺服器，可接收Newegg網站用戶的信用卡資訊。和英航事件一樣，駭客也是取得Comodo簽發的憑證以加強網頁的合法性。更多內容

＃Google服務　＃Chrome 69

多事之秋！登入Google服務就會自動登入Chrome再挨轟

Google趁著Chrome瀏覽器邁入十歲之際，在今年9月初釋出了大改版的Chrome 69，有開發人員發現，只要利用Chrome登入各種Google服務，就會自動登入Chrome瀏覽器，讓Google再遭控訴漠視用戶意願及隱私。

Chrome 69的用戶指出，倘若他們並未登入Chrome，但利用Chrome造訪並登入了諸如Gmail或YouTube等Google服務，那麼就會自動登入Chrome，而且Google沒有秀出任何警告，也沒有提供任何選項，只會在Chrome右上方顯示登入狀態，等於是強迫用戶登入。

Google Chrome工程師Adrienne Porter Felt解釋，這是為了因應共享裝置的使用情境所進行的改變，在共享裝置上，假設使用者登出了某個Google服務，但忘了登出Chrome，即有機會遭他人窺探隱私。

Google內部將此一功能稱為「瀏覽器與餅乾罐（cookie jar）之間的一致身分」（Identity consistency between browser and cookie jar），當使用者在Chrome、Gmail或其它Google服務使用同樣帳號時，只要登入其中一個Google服務，就會自動登入Chrome，同樣地，登出該服務時，也會一併登出Chrome。

於是，Google認為把其它服務及Chrome的登入與登出變成一致就能免除上述問題，同時用戶也能在Chrome介面上清楚地看到自己的登入狀態。Felt也強調，登入Chrome之後，還需要執行另外的步驟才會展開同步，而不會主動執行同步功能。更多內容

＃惡意版VirusTotal　＃Scan4You

經營惡意版VirusTotal服務Scan4You的駭客被判處14年刑期

經營惡意版VirusTotal服務Scan4You的駭客Ruslan Bondars，因疏忽未封鎖回傳給趨勢科技而讓犯行曝光，遭美國法院以助長網路犯罪重判14年徒刑。

Scan4You在技術上類似Google的VirusTotal服務，會掃瞄多家防毒軟體的防毒引擎尋找漏洞，但不同於VirusTotal，Scan4You並不會將掃瞄結果告知防毒廠商，而是提供惡意程式作者以便於改良惡意程式、避免安全軟體的偵測，因此又被稱為「反防毒」或「非公開掃瞄」（no-distribute）服務。更多內容

＃macOS Mojave　＃隱私漏洞

macOS Mojave正式版問世，馬上爆出隱私漏洞

圖片來源_蘋果

近期蘋果釋出macOS Mojave（macOS 10.14）正式版，但研究人員Patrick Wardle在macOS Mojave發表的當天，便揭露macOS Mojave含有隱私漏洞，允許無權限的應用程式存取通訊錄。

Patrick Wardle揭透過影片示範他如何利用一個不具備權限的程式，將macOS Mojave的使用者通訊錄儲存在桌面上。

Wardle向BleepingComputer說明，這是一個零時差漏洞，存在於蘋果替各種隱私資料部署保護機制的方式，允許未取得授權的第三方程式存取macOS Mojave上的機密資訊，但並非所有的機密資訊都含有風險，且硬體元件並未受到該漏洞的波及。

Wardle只是先以影片展示相關攻擊是可行的，打算要到11月舉行的Mac Security安全會議上才會公布漏洞細節。更多內容

＃惡意軟體即服務　＃Black Rose Lucy

新惡意軟體即服務Black Rose Lucy現身，中國可能是下一個攻擊目標

現在購買駭客的攻擊服務，也像購買雲端服務一樣方便了，資安業者Check Point發現一個名為Black Rose Lucy的全新惡意軟體即服務（MaaS），由The Lucy Gang俄國團隊所開發，雖然這個MaaS服務還在發展的早期階段，但是Check Point認為，只需要一些時間，Black Rose Lucy便能發展成網路攻擊的瑞士刀。

MaaS乍看之下是一個惡意套件工具包，包含了遠端控制儀表板Lucy Loader，用來控制整個殭屍網路的受駭裝置和主機，還可用來部署其他的惡意負載（Payload），另一個工具則是Black Rose Dropper，針對Android裝置設計來收集裝置資料、監聽遠端命令、控制C&C伺服器，並且安裝來自C&C伺服器發送的惡意軟體。

目前Black Rose Dropper支援英語、土耳其語和俄語使用者介面，且儀表板中顯示，模擬的受害者位在法國、以色列和土耳其，Check Point認為駭客已經在這些地方向有興趣的買家進行了展示，因此Black Rose Lucy目標的範圍應該不只俄羅斯，而且由於Black Rose Lucy還對小米手機進行特殊邏輯處理，其中的自我保護機制，還特別針對中國安全和系統應用進行特化，因此下一個目標是中國的可能性非常大。更多內容

＃比特幣　＃Bitcoin Core漏洞

開發人員修補可破壞比特幣生態體系的Bitcoin Core漏洞

全球最普及的比特幣客戶端程式Bitcoin Core釋出Bitcoin Core 0.16.3，以修補編號為CVE-2018-17144的阻斷服務漏洞，這是個可能破壞整個比特幣生態體系的重大漏洞，使得Bitcoin Core作者Wladimir van der Laan強力呼籲用戶儘速修補。

比特幣是個P2P網路，安裝客戶端程式的用戶都會成為節點，用以確認每筆比特幣交易符合區塊鏈的規範，根據統計，比特幣網路現有9,614個節點，當中有9,123個使用Bitcoin Core，市占率接近95%。

根據Motherboard的報導，比特幣的挖礦者通常是日以繼夜地努力將一個比特幣交易區塊加入區塊鏈中，以獲得12.5個比特幣的獎勵，倘若挖礦者建立一個含有重複交易的惡意區塊，繼之將它傳送至比特幣網路，即會觸發CVE-2018-17144漏洞，收到該惡意區塊的Bitcoin Core並不會將它視為無效而拒絕它，反而會造成軟體崩潰。

有鑑於Bitcoin Core代表了95%的比特幣網路節點，使得該漏洞有機會影響整個比特幣網路的運作。更多內容

＃間諜程式Pegasus　＃NSO Group

公民實驗室指控：間諜程式Pegasus被部署在45國！但開發商NSO Group否認：沒這回事

加拿大多倫多大學的公民實驗室（Citizen Lab）發布一項報告，指稱由以色列駭客公司NSO Group所打造的行動間諜程式Pegasus，已被部署在45個國家以進行監控行動，但NSO隨即否認此事。

於2010年創立的NSO Group主要研發網路情報技術，且強調只將相關技術授權給用來打擊犯罪及恐怖份子的政府，至於Pegasus則被視為史上最高明的行動間諜程式，它同時支援iOS與Android平臺，可悄悄破解行動裝置，以監控被駭者的行動，並蒐集裝置上的各種資訊，涵蓋語音通訊、相機、電子郵件、訊息、定位、密碼與通訊錄等。

公民實驗室指出，根據他們從2016年8月到2018年8月的追蹤，有36個不同的組織正在45個國家執行監控行動，而且其中有10個組織涉及跨國監控，這些國家包括美國、法國、印度、以色列、墨西哥、南非、新加坡、泰國到埃及等。公民實驗室去年便踢爆墨西哥政府利用Pegasus，來監控當地捍衛人權的異議人士。

然而，NSO發表聲明，重申只有為了調查犯罪及恐怖份子的合法政府組織才能取得該公司產品的授權，並批評公民實驗室的報告有諸多不實之處。更多內容

＃NSS Labs　＃資安產品測試服務

NSS Labs控告多家防毒業者壟斷

資安產品的獨立評測機構NSS Labs控告CrowdStrike、Symantec、ESET等防毒軟體業者，以及反惡意程式測試標準組織（AMTSO）聯手壟斷資安產品的測試服務，共謀遮掩防毒軟體的缺陷。

NSS Labs執行長Vikram Phatak說明，該實驗室經常在獨立測試中發現資安產品的缺陷，並把結果告知客戶，有些資安業者會修補產品問題，但有些則會避免產品遭到測試。如果只有一家資安業者拒絕被測試，可能引來市場的猜忌，但若是有一群資安業者聯手抵制某個獨立的測試實驗室，那麼大家都能安然無恙，而這些就是上述被告所做的事。

Phatak指控，資安業者除了集體抵制那些不遵循AMTSO標準的測試機構之外，甚至還阻止這些機構購買與測試他們的產品。

創立於2008年的AMTSO是個非營利組織，主要的任務在於針對安全解決方案發展公平、公開且可靠的測試標準，資安領域中的知名業者幾乎都是AMTSO的會員，包括NSS Labs在內。

NSS Labs於訴狀中透露，當AMTSO進行測試標準的表決時，不只是NSS Labs，包括AV-Comparatives、AV-Test及SKD LABS等其它評測機構也都反對該標準，但他們卻收到了資安業者的威脅，表示若不同意此一標準就不會使用他們的評測服務。

被告之一的CrowdStrike回應媒體的聲明稿中指出，NSS Labs是家營利且收錢才辦事的測試組織，以詐騙手法取得產品，再經由公開且透明的測試來捍衛其商業模式，相信此一訴訟毫無根據。CrowdStrike也強調旗下產品也曾交由AV-Comparatives、SE Labs與MITRE等獨立機構進行測試。更多內容

更多資安動態

新加坡年底將舉辦跨部門的政府級漏洞獎勵計畫

推特以雙重保護防止用戶遭Silhouette技術線上線下交叉追蹤

Cloudflare推出數位簽章時間校準服務Roughtime

主打安全自由的開放硬體，59美元Librem USB安全金鑰上市

資料來源：iThome整理，2018年9月