0801-0807一定要看的资安新闻

 

＃勒索软件　＃NAS

安全专家推出eCh0raix解密工具

图片来源／撷取自Bleeping Computer论坛

日前资安业者相继发出警告，名为eCh0raix的勒索软件正锁定威联通科技（QNAP）所生产的NAS设备展开攻击，后续群晖科技（Synology）也发出警告，有用户遭遇勒索软件暴力破解密码后，进行档案加密后并勒索赎金。最近，网络代号为BloodDolly的勒索软件专家，则是透过Bleeping Computer的论坛，在8月2日释出了解密工具eCh0raix Decoder 1.0.2版的资讯，该工具是他以暴力破解了解密金钥，可协助恢复受害者的加密档案。不过，这个版本只支援在7月17日以前感染eCh0raix的用户，目前BloodDolly仍在打造可解密新版eCh0raix的工具。更多内容

 

＃电商安全　＃3D验证

警方侦破盗刷集团，暴露电商在信用卡交易的验证不足问题

图片来源／刑事警察局

最近国内刑事警察局侦察第一大队破获信用卡盗刷集团，是利用从国外网站购买的信用卡资讯，至国内电商及电信系统商进行盗刷，由于出货后国内信用卡持卡人否认交易，因此信用卡公司拒付款项，或将已支付款项收回，导致业者自行吸收损失。警方表示，这个不法犯罪行为之所以能大肆盗刷信用卡，并购买高单价商品变卖获取暴利，主要是利用部分网络商家的刷卡付款过程，无经过须3D验证（简讯验证）机制，以及部分第三方支付App绑定信用卡却无须验证的漏洞。因此，这也突显一些国内电商在支付方面的身份验证不足的问题，以及信用卡资讯外泄的状况与严重性。由于近来手机结合金融卡的支付型态越来越盛行，警方呼吁民众注意信用卡资料的保护，并养成对账习惯，警方也呼吁商家应该向银行申请3D认证，才可保障信用卡交易安全。更多内容

 

＃管理系统存取设定安全　＃Jira

众多Jira服务器的错误配置，让员工及专案资讯全曝光

图片来源／Avinash Jain

安全工程师Avinash Jain上周警告，知名的缺陷追踪工具Jira的错误配置情况，让许多知名组织的机密资讯因而曝光，包括NASA、Google、Yahoo及各种-网站。Jira是由澳洲Atlassian所打造的缺陷管理、任务追踪与专案管理软件，去年JetBrains的调查显示，它是最受开发人员青睐的任务追踪工具。根据Jain的描述，此错误配置是界面语意上的误解，因为在Jira上建立过滤器与仪表板时，它的能见度预设值分别是All users及Everyone，管理员可能将它们误以为是与组织内的所有人分享，但它却是个公开分享的选项。关于这样的设定误解问题，今年初Jain曾揭露他存取了NASA的机密资料，近日Jain更是指出他也从Google、Yahoo、HipChat、Zendesk、Western Union、联想，以及许多-网站的Jira服务器上，发现意外曝光的资料。对此现况，Jain也已向不少企业通报，并建议Atlassian应该提供更清楚的说明，避免误导用户并造成资讯的曝光。更多内容

 

＃云端数据库配置错误

本田汽车云端数据库未上锁，泄露上亿份全球员工电脑安全资料

图片来源／Justin Paine

日本汽车大厂本田汽车（Honda Motor）的Elasticsearch数据库，内含超过1亿份文件的数据库，被安全研究人员Justin Paine发现，暴露在网络上未设密码。由于该数据库几乎包括所有Honda电脑相关管理资料，像是其中一个表单内容，包含员工电子邮件、部门名称、Honda机器主机名称、MAC位置、内网IP地址、操作系统版本，另一个表单则有员工姓名、部门、员工编号、账号、移动电话及最近登入时间，而且，该公司使用的终端安全软件，哪台机器已安装、哪台机器有更新或未更新，也一目了然。在本田接获研究人员通报后，当日已经修补改问题，并表示经过追查系统存取记录，未发现有任何遭第三方人士下载的迹象，目前也没有资料外泄的证据。更多内容

 

＃恶意程式

Proofpoint揭露新的代理恶意程式SystemBC

图片来源／Proofpoint

资安业者Proofpoint揭露了新的代理恶意程式SystemBC，它能在受害者的Windows系统上，建立SOCKS5代理服务器，让代理服务器与命令暨控制服务器（C&C）连线，再以HTTPS加密流量与C&C交流，借此隐藏恶意程式的传递，躲避防火墙的侦测。而在Proofpoint最近发现的案例中，SystemBC通常还会搭配其他的恶意程式，包括勒索软件Maze、金融木马Danabot、间谍程式AZORult或Amadey Loader等，并且被纳入RIG与Fallout等攻击套件中。研究人员警告，SystemBC及主流恶意程式的结合，将为安全防御带来新的挑战，特别是那些仰赖网络边缘侦测，以拦截或减轻安全威胁的企业。更多内容

 

＃僵尸恶意程式

新Mirai病毒变种利用Tor网络避免侦查

资安业者趋势科技发现Mirai病毒新变种，会利用Tor网络来隐藏C&C服务器，以防止遭查缉。该公司在7月中发现一只病毒，它会扫描网络上TCP ports 9527 和34567的连网装置，判断其目标主要是网络摄影机、DVR等物联网装置，主要透过曝露的传输埠和预设密码，来感染装置并发动DDoS攻击，特殊的是，骇客将控制的C&C服务器架在Tor网络中，恶意程式内并具有30个写死的IP地址，如果连线失败就试另一台服务器，研究人员认些手法是恶意程式作者为了防止C&C服务器被追踪IP地址并通报网域管理者关闭。趋势科技认为，Mirai变种进化到这种手法，可能带动其他IoT恶意程式家族的演进，对于这股 IoT恶意程式开发的新兴趋势，将是未来必须注意的新网络威胁趋势。更多内容

 

＃勒索软件　＃行动安全

新勒索软件利用Android 手机简讯传给通讯录友人

图片来源／Welinvesecurity by ESET

安全厂商ESET研究人员Lukas Stefanko，发现名为Android/Filecoder.C新型勒索软件，专找Android用户下手，透过简讯感染手机通讯录中的联络人。他发现骇客在Reddit和Android 开发者论坛XDA Developer上，张贴色情或技术主题的内容，引诱使用者下载这款新型勒索软件。一旦用户下载到Android手机上，Filecoder.C就会加密手机上大部分的用户档案要求赎金，同时将恶意连结以简讯方式，发送给受害者手机内的联络人，以便进一步散布。而且，这些简讯讯息十分逼真，例如其中一则是附上某用户相片加工的相片，在传送讯息给友人时，会选择和装置设定相同的语言，同时还会在信件开头加上联络人姓名，使信件更客制化。更多内容

 

＃漏洞揭露　＃Google

Project Zero揭露的漏洞，96%可在90天修补完成

Google安全研究团队Project Zero指出，从2014年以来，该团队发现的漏洞中，高达95.8%都能在期限的90天内修补完成。对于设定期限、不论漏洞修补完成与否就公布漏洞的作法，虽然遭批评，但Google认为将让网络整体变得更安全。Project Zero解释，报告中的概念验证攻击往往只是完整攻击串的一部分，任何有意图的攻击者也要花一番工夫和资源，才能转化为真正的攻击行动。而这几年的经验也显示，那些来不及补好的漏洞，通常也是在90天之后几天就补上修补程式了。Google并认为，随着业界更多安全研究人员在其报告中加入揭露期限，将可进一步改善漏洞通报的作法。更多内容

 

＃台湾资安产业

台湾资安新创奥义智慧获淡马锡旗下基金565万美元B轮投资

图片来源／iThome

台湾资安新创奥义智慧营运迄今满2年，在创投业者华威创投CID集团的A轮投资250万美元，最近经历新加坡淡马锡旗下的Pavilion基金详细的Due Diligence（D.D.）尽职调查后，获得565万美金的B轮创投资金。

奥义智慧共同创办人兼首席执行官邱铭彰表示，该公司两轮创投资金约为新台币2.5亿元，透过这样的资金挹注，也协助公司可以快速发展，有助于奥义智慧成功进军东南亚市场，并且已经在日本正式成立子公司服务客户。更多内容
 

更多资安动态
上路仅三个月，日本7-Eleven 9月底喊停7Pay
被举报销售有漏洞软件给美-，思科同意赔偿860万美元，吹哨者也拿到160万
广告程式DealPly滥用微软及McAfee服务来躲避侦测
资安研究人员成功绕过Visa感应式卡片支付的刷卡金额限制
有100万张韩国的支付卡资讯在黑市求售
微软：俄国骇客使用IoT装置入侵企业网络
英特尔CPU漏洞再现推测执行漏洞