資安一周40期：Docker Hub外洩19萬用戶個資、GitHub Page成駭客濫用目標

0425-0501 一定要看的資安新聞

＃資料庫外洩  ＃供應鏈攻擊

Docker Hub遭駭，外洩19萬用戶憑證

Docker容器映像檔的官方儲存庫Docker Hub遭到入侵，駭客於4月25日未經授權存取一個Docker Hub資料庫，該資料庫存放了19萬名用戶的憑證資料，包括使用者名稱與雜湊密碼，以及自動化部署（Automated Builds）工具中，用來驗證Github與Bitbucket的Token。

Docker表示，該資料庫並未存放用戶的金融資料，受影響的帳號僅占不到Docker Hub用戶數5%，該公司已要求用戶變更Docker Hub密碼及其它採用同樣密碼的帳號。詳全文

（圖片來源）Docker

＃雲端服務濫用  ＃網路釣魚攻擊

GitHub網頁代管服務遭駭客濫用

資安業者Proofpoint披露，從2017年中開始，駭客就開始濫用GitHub的免費網頁代管服務GitHub Pages，從事網釣攻擊行動，而GitHub在收到Proofpoint的通知之後，也立即刪除駭客濫用的數十個網頁。

其實，包含Dropbox、Google Drive、Paypal、Ebay，以及臉書，都曾經成為駭客的攻擊跳板，駭客企圖透過這些廣為人知的服務，來躲避偵測並遮掩不法行為。而根據這份新的研究顯示，GitHub Pages已被駭客鎖定，因此，使用者與資安業者應小心提防github.io網域上的內容。詳全文

（圖片來源）Proofpoint

＃勒索軟體  ＃特定目標攻擊

鎖定企業的勒索軟體攻擊數量爆增

Malwarebytes實驗室公布2019年第一季的《網路犯罪策略與技術》調查報告，指出鎖定企業的勒索軟體攻擊大幅成長超過5倍，至於個人端，則降低三分之一。

該報告指出，企業端攻擊的大幅增加，主要來自Troldesh這款勒索軟體再度蔓延。2014年首度現身的Troldesh，散布管道是透過垃圾郵件夾帶惡意附件，使用者解壓縮附件之後，會得到一個JavaScript檔案，一旦執行，便會下載真正的勒索軟體。

另外，這份報告也提到勒索軟體在亞太地區最猖獗──在針對企業的惡意程式攻擊類型中，排名第四，北美則排名第五、拉丁美洲排名第八，中東與非洲地區則是在第十名之外。詳全文

＃雲端服務濫用  ＃特定產業攻擊  ＃VirusTotal

金融後門Carbanak原始碼於VirusTotal存在近兩年

由FIN7駭客集團大肆濫用的金融後門程式Carbanak，近期資安業者FireEye揭露功能與設計細節，其實早在2017年4月，相關的程式碼就被上傳到惡意程式分析網站VirusTotal，直到2018年10月才被FireEye的研究人員發現。

VirusTotal是個免費的惡意軟體分析平臺，全球資安人員可上傳惡意檔案進行分析，也能自該平臺存取各種檔案，然而，龐大的資安社群卻未能辨識Carbanak。詳全文

＃影子網域  ＃憑證填充攻擊

Palo Alto與GoDaddy移除1.5萬個詐騙子網域

從網域名稱下手，是杜絕網路詐騙的有效方法之一。資安業者Palo Alto Networks與網域名稱註冊暨代管服務供應商GoDaddy，聯手移除1.5萬個涉及詐騙活動的子網域。駭客藉由網釣或其他手法，取得這些合法網站的憑證，再建立用來銷售偽造商品的「影子網域」，讓許多消費者上當。

這些詐騙網站有幾個共通點，不只透過假報導誇大產品功效、偽造明星或名人的推薦，而且還建置在合法的網域名稱上。

GoDaddy調查發現，詐騙集團在過去幾年來，持續利用網釣與憑證填充攻擊，取得用戶的帳號憑證後，進而在用戶不知情的狀況下建立所謂的影子網域，用以行銷各種誇大不實的產品。詳全文

（圖片來源）Palo Alto Networks

＃隱私疑慮  ＃漏洞攻擊  ＃EteralBlue

基於法律爭議及成本考量， NSA建議美政府終止電話監聽

根據華爾街日報報導，由於法律爭議性及成本太高，美國國安局（NSA）建議白宮，停止監聽美國人電話和傳訊的計畫。NSA認為，執行監聽計畫的執行與法律負擔，已超過帶來的情報蒐集效益。

NSA監控計畫不僅有侵害公民隱私之嫌，開發出來的網路竊密工具，也對現今網路留下安全禍害。如EteralBlue、EternalRed，以及DoublePulsa等，後來都外流到駭客手上，用以發動多起大規模路由器及PC、伺服器駭入事件及網路威脅，包括WannaCry。

雖然NSA如此建議，不過報導指出，監聽計畫持續與否，最後仍是白宮說了算。詳全文

＃硬體漏洞  ＃旁路攻擊  ＃ECDSA

研究人員公布可用來竊取機密資訊的高通晶片旁路漏洞

英國資安業者NCC Group公布了藏匿在逾40款高通晶片的旁路漏洞，可用來竊取晶片內所儲存的機密資訊，並波及採用相同晶片的Android裝置，高通已於4月初修補漏洞。

這個編號為CVE-2018-11976的漏洞，涉及高通晶片安全執行環境（QSEE）中，所採用的橢圓曲線數位簽章演算法（ECDSA），駭客得以推測出存放在QSEE中、以ECDSA加密的224位元與256位元的金鑰。詳全文

＃廣告詐騙  ＃供應鏈攻擊  ＃應用市集亂象

中國開發商Android App涉廣告詐騙遭下架

來自中國的開發商DO Global，他們所打造的Android程式因涉及廣告詐騙，目前為止已有46款被下架，其他的也可能遭到Google Play市集移除。

之所以發生此事，是因為BuzzFeed News與資安業者Checkpoint聯手調查，發現DO Global所打造的程式內含PreAMo廣告詐騙機制，會偽裝成使用者點擊廣告，向廣告代理商詐騙廣告費。BuzzFeed News還發現，為了隱匿程式的來源，DO Global還使用不同的發行者名稱，此舉同樣違反Google的開發者政策。詳全文

＃行動應用App安全  ＃開發安全

含有無用功能與檔案是臺灣熱門App普遍潛藏的風險

行動應用App開發者可能會以為，有了加密保護就具備足夠安全性，忽略相關防護措施是否到位。在叡揚資訊年度解決方案日的活動上，該公司揭露針對臺灣80款常見的App執行黑箱檢測，發現近7成的App含有無用模組，而這些元件可能會遭到攻擊者濫用，呼籲企業要重視行動應用App的開發安全。

企業為了將防護效益最佳化，保護措施通常集中於正式上線的各式功能，未必會保護未使用的模組，而這些模組一旦遭受攻擊，駭客很可能就得以長驅直入企業內部環境，因此，這種問題背後隱含的風險，其實相當嚴重。詳全文

更多資安動態

●Cloudflare開源可防止DoS攻擊的XDP封包捕捉工具
●針對Kubernetes特製的Linux發行版K3OS正式推出
●微軟打算在新版Windows移除定期更換密碼政策
●FBI：2018年網路犯罪投訴前三名為交易詐騙、勒索與個資外洩
●Google Play移除逾50款含TsSdk廣告軟體的App
●駭客利用假更新從Electrum錢包盜走比特幣，並發動DDoS大戰