资安一周[0513-0519]：勒索蠕虫袭击全球150个国家，台湾名列第三重灾区

重点新闻（05月13日-05月19日）

勒索蠕虫WannaCry狠袭全球104个国家，台湾名列前三大重灾区

资安业者Avast指出，勒索蠕虫WannaCry于5月12日在全球展开大规模攻击行动，总共发动5.7万次的攻击，影响数十个国家，隔日，WannaCry再度发动攻击，攻击次数提高至12.6万次，影响范围扩增到104个国家，其中乌克兰、俄罗斯和台湾成为了骇客主要锁定的攻击目标。

台湾在12日晚间陆续传出WannaCry攻击的灾情，包括恩主公医院的行动护理电脑、多所大学的教学电脑、台电的行政用电脑、牙医诊所的柜台电脑，以及部分家用的个人电脑等都遭到勒索攻击，并加密装置内部的部分档案，所幸的是，台湾目前没有任何个资外泄，以及影响相关民生系统运作的情况。

骇客利用EternalBlue攻击程式，针对Windows中普遍使用的服务器讯息区块（SMB）的漏洞加以利用，再植入勒索蠕虫WannaCry来发动攻击。微软今年3月已经发布了MS17-010安全公告，来修补该漏洞。更多新闻

研究人员发现新勒索软件，随机加密受害装置的任何档案和清除安全日志

资安公司Emsisoft恶意软件研究人员xXToffeeXx近日在推特揭露，最近出现新的勒索软件RSAUtil，攻击受害者的装置后，随机加密受害装置内部的档案，而且没有锁定特定的文件类型，目前尚未有任何解密方式。不仅如此，电脑部落格Bleeping Computer解析了RSAUtil作者上传的原始档案发现，骇客为了隐瞒攻击的历程，利用远端遥控下达指令来清除受害装置的安全日志。此外，骇客也利用DontSleep_x64.exe和DontSleep_x64.ini，来防止受害装置进入睡眠或休眠状态，为了保持受害装置跟骇客之间的连结，避免攻击突然中断。更多资料

华硕超过40种路由器出现漏洞，允许骇客任意更改装置设定与窃取Wi-Fi密码

资安公司Nightwatch Cybersecurity研究人员发现，超过40种型号的华硕路由器存在数个CSRF漏洞和JSONP绑架漏洞，骇客会在用户不知情状况下，利用预设帐密来登入路由器更改装置的设定，或利用路由器XML资料来查看路由器的Wi-Fi密码。目前，华硕已经发布了v3.0.0.4.380.7378版本以上的更新档，来修补CSRF漏洞，但是JSONP绑架漏洞尚未有任何修补资讯。更多资料

HP笔电内建键盘侧录程式，用户个资全都看光光

瑞士安全公司Modzero研究人员Thorsten Schroeder于5月11日揭露，HP笔电的音效驱动程式套件内建键盘侧录程式，原本的功能是在用户执行特定按键动作，例如启动、关闭麦克风及录音时做出回应，但同时也记录了用户所有的按键过程，而且这些文件也未加密，公开存放在 C:\Users\Public\MicTray.log，任何人都可以利用该文件，窃取用户的个人资料。研究人员也调查发现，HP在2015年之后生产的所有的笔电，都已内建这套键盘侧录程式，影响范围多达27种型号。更多资料

全球12万中国制网络摄影机，恐受僵尸病毒Persirai感染

趋势科技资安研究人员Tim Yeh、Dove Chiu、Kenney Lu于5月9日揭露，骇客锁定1,000多种型号的中国制网络摄影机，利用装置上的UPnP（随插即用）漏洞来入侵，并同时植入僵尸病毒Persirai，接着再透过装置存在的零时差漏洞，攻击其他的网络摄影机，最后，骇客控制这些装置锁定目标来发动DDoS攻击。

而这些资安专家主要利用Shodan搜索引擎来检测，发现全球有120,000台网络摄影机装置资讯公开暴露在网络上，容易受到骇客的攻击。

目前，部分制造商已经提供了最新的固件版本，来解决这些漏洞。趋势科技研究人员同时发现，C&C服务器目录出现了国家代码IR，而且恶意软件程式码也有出现特殊的波斯文字，作者疑似是伊朗研究机构的人员。更多资料

勒索软件SLocker出现400个变种，恐吓用户不付赎金就外泄个资

资安公司Wandera研究人员Michelle Base Bursey于5月10日检测发现，勒索软件SLocker目前出现了400个变种，大多数变种会利用各种伪装方式，包含改变图示、应用程序名称、执行程式等，隐藏恶意程式的签名，避免被防毒软件侦测到。SLocker会隐藏在第三方来源Android App或应用商店，用户手机一旦被感染，屏幕立刻会被锁住，并在勒索信中恐吓用户，若不支付赎金就会外泄用户装置的资料，包括简讯、对话纪录、个资等。更多资料

勒索软件隐身PDF内恶意宏，受害者一旦同意启动宏就会中招

Forcepoint资安研究人员揭露，近日出现新勒索软件Jaff，隐身在钓鱼邮件附的PDF文件，受害者一旦同意启动PDF内的恶意宏，立即发动勒索攻击，来加密受害装置的文件，并要求受害者支付1.79个比特币（约新台币9.8万元)，骇客才愿意协助解密。骇客利用僵尸网络Necurs，每小时寄发500万封含有勒索软件Jaff的钓鱼邮件，影响范围遍及西欧国家、以色列、墨西哥、澳大利亚、斯里兰卡和秘鲁等国家。更多资料

微软正式移除IE与Edge对SHA-1凭证的支援

微软近日更新IE 11与Microsoft Edge浏览器，封锁了任何采用SHA-1加密凭证的网站，同时在网页上显示“凭证错误”的讯息。近年来陆续有研究人员宣称SHA-1含有可造成碰撞攻击的安全漏洞，允许骇客打造拥有同样杂凑值的文件。微软强调，这次更新并非是IE或Edge浏览器的安全漏洞，而是响应各界已不再鼓励采用基于SHA-1数位凭证的呼吁，并建议用户升级到SHA-2。然而，虽然显示了凭证错误讯息，同时警告造访这些采用SHA-1凭证的网站，可能会招致资料遭窃等问题，但微软浏览器仍旧会放行那些坚持造访相关网站的流量。更多新闻

思科修补影响318款路由器的远端攻击漏洞，骇客未经授权可执行恶意程式码

思科在近期修补了318款路由器的远端攻击漏洞，这些漏洞是由维基解密揭露，而且是他们公布美国中央情报局（CIA）Vault 7机密文件所发现的安全漏洞。此一安全漏洞的编号为CVE-2017-3881，出现在Cisco IOS及Cisco IOS XE固件中的丛集管理协定（Cluster Management Protocol，CMP）。该漏洞严重等级为CVSS 9.8，骇客不需要使用权限，就能够在未经授权情况下，远端重新载入系统或执行任意程式码。

虽然并非所有采用Cisco IOS及Cisco IOS XE的交换器都含有该漏洞，但它仍然影响了高达318款的思科路由器。思科于今年3月公布该漏洞之后，研究人员在4月发表了概念性验证攻击程式，至今尚未传出实际的攻击行动。更多新闻

整理⊙黄泓瑜