2014年10月21日 星期二

注意! ,最新 CVE-2014-4114 PPSX 漏洞已經被利用在攻擊台灣政府單位的APT中 ! Xecure lab discovers new variant of CVE-2014-4114 in Taiwan APT attacks (CVE-2014-4114 with APT Malware Embedded )

打高調廣告先 http://www.ithome.com.tw/news/91439
XecMail 不需要更新就可以偵測到此 APT

最近資安圈很不平靜,很多重大的漏洞一一被挖出來,包含之前在 HITCON Free Talk 介紹到的 Shellshock (直到現在還是很可怕)  , 還有最近 Windows Local 提權,跟今天要分享的 CVE-2014-4114。我們在 10 月 17 號開始在發現很多變種 CVE-2014-4114 已經被用在攻擊台灣政府,以及各單位的 APT Email 中,而且目前掃毒軟體廠商還在悲劇狀態, 要請大家特別注意 !

這個漏洞只會發生在 PPSX 上(也可能在PPTX),利用了 package manager 可以用 INF 安裝東西的功能來實現植入惡意程式,細節請看 MS14-060

可怕的是它利用的一個功能 ("Feature"),而不是什麼 Buffer overrun, 完全不用寫複雜的Shellcode,並可繞過目前資安防禦機制,且穩定又粗暴,可以直接執行任何程式,這是駭客最愛的,而且少數出現專打 Office 2007 之後的 Exploit 。目前 Taidoor 與 LStudio 兩群已經開始用在 APT Email 中,我們預計在半年內都會一直大流行。

惡意等級 : 非常恐怖



2014年6月9日 星期一

HITCON X 10周年開跑了 !!

小弟在HITCON 工作人員會中算是比較正常的人,所以讓我來寫這篇再也正常不過了。


HITCON 要 10 週年了,回想起來,這真是個令人毛骨悚然的事情.因為我的人生中有約 1/3 跟 HITCON 有關,另一點代表著我跟這群瘋子混了 10 年!

10 年之前我本來還是一個正常的阿宅,剛從研究所畢業,有個正常的工作,上班寫寫 code,下班逛逛藝廊或是寫寫書法,生活很一般,但是可能是因為我強大的程式開發天份,加上風靡萬人的嘴炮功力,因緣際會下,在「不正常人類研究中心」認識了一群腦袋不是很清楚的駭客們,搞得我現在好像也不太正常。10年之前,他們開始說要跟國外 DEFCON 一樣,辦一個有台味的駭客大會,讓很多檯面下的駭客們,有正式的交流管道,也希望促進政府與民間對於資安觀念的正確認識,簡單地說就是要辦死阿宅駭客們互相取暖的聯誼會。接著他們開始發神經,不知道哪來勇氣,要在台灣開始辦起第一個收費的社群研討會,連免費的都不知道有沒有人會來了,居然開始收費(到今日,HITCON 還是全世界最便宜的國際駭客大會)。回想起來,我依稀還記得前幾屆如魔咒般地幾乎每次都遇到變天跟颱風,因此網路上傳說每年到 HITCON 的時候,就是黑客們聚集,臺北烏雲密佈。在如此惡劣的條件下,居然還來了 120 人!

在台灣,搞資安的人都是執著且熱情的瘋子,工作很累而且很難賺錢!我們雖然只是一個小到不行的小島,但其實資安的工作機會不少,因為在政府機關各長官、資安公司的長年努力不懈下,台灣在駭客活動與惡意程式數量上,始終保持在前三名,也被受國際資安圈的推崇。各種新物種與族群,像是 TaiDoor、PlugX... 往往都是在台灣發現最新版本,而過一段時間後才會在國外出現,在惡意程式生態學家眼中有著 ”The Island of APT“ 寶島台灣美譽。為了贊揚台灣的美好,也讓更多人認識資安技術,這群瘋子一路辦 HITCON,這樣居然也搞了10年。

而今年,這群瘋子還在發神經......

HITCON 是由業餘的社群主辦,能辦到去年 800人的規模已經很困難,大家都累翻了。而在今年籌辦會議時候,總召TT哥居然決定要分成兩場為期四天的資安週,要挑戰科學的極限,只能說「老闆真的瘋了」。但想想也還好,這幾年來也遇過很多阻礙,各種惡劣環境都搞不死我們了。再者,反正我們也沒正常過,就衝了吧。

經過了 9 年,HITCON一直以高品質與充滿人情味的特色,引領亞太資安圈,現在已經成為亞太地區最盛大的資安大會,更是國際資安圈的指標之一,每年都有很多來自全世界各地的朋友來參加。現場與會人當然很多,許多規則需要各位遵守,請注意下列的資訊:




HITCON 的 Wargame 比賽一直都是台灣駭客年會的重要活動,在今年改名為 HITCON CTF 由CTF 團隊籌劃, 這次也做了一些改變,詳情請見 http://hitcon.org/2014/CTF/ .本屆比賽也是擴大舉辦,時間是8月16~18號,是在 HITCON 會議之前比賽,跟以往在會議同時舉辦不太一樣,請有興趣參賽的朋友特別注意.

這次有兩場研討會,請各位準備發瘋來參加的人特別注意:

HITCON X Enterprise: 企業大會
2014/08/19 (二) ~ 2014/08/20 (三) 喜來登大飯店

HITCON X Playground: 社群大會
2014/08/21 (四) ~ 2014/08/22 (五) 中央研究院  人文社會科學館

可以看成這兩場是同系列,但是不同場次,買的票或是投的稿件都是分開的。




票,一直以來都是秒殺等級,去年就 180 秒賣完,今年還沒開始要賣,已經聽到很多人磨刀霍霍。假設你沒有買到的話,有幾個方式還可以拿到票,第一個方式是投稿,投稿的人即使沒有上,也有機會拿到贈票,我們很鼓勵台灣這邊的研究人員可以多多投稿,促進研究風氣。投稿很好上,請不用害羞儘量來投 :)

第二種方式就是透過贊助方式,贊助大會不但可以獲得駭客們的尊重跟肯定(我可以告訴你,這比去買防火牆跟掃毒軟體還有效),積累公司的正面公益形象,更可以獲得贈票,參與盛會,HITCON 常年以來是各資安公司爭先贊助的對象,如美國的微軟總部,趨勢科技,大陸360 與金山軟件等各大資安公司,當然今年我們也希望能有更多公司加入我們的贊助行列。

各位,我們八月 HITCON 見 !





2014年4月9日 星期三

注意 CVE-2014-1761 0day exploit 已經大量出現在台灣的APT攻擊

這幾年RTF exploit一值最好用的 apt email才料之一,從CVE-2010-3333到CVE-2012-0158一值以來穩定好觸發,而且容易上手,所以已經是駭客居家旅行必備的殺人兵器 !

這次要跟大家介紹主角是 CVE-2014-1761 是 RTF exploit, 目前還是0day exploit 因為沒有正式的修補程式出來, 屬於駭客快樂假期 !


http://technet.microsoft.com/en-us/security/advisory/2953095 漏洞影響的範圍有 MS-Word 2003,2010,2013 等版本,不過目前看到的樣本都是針對 MS-Word 2010, 在微軟 Microsoft Security Advisory (2953095)中, 我們可以知道這個漏洞是在約 2個星期前被公布 (3/24), 到上周約 4/2 我們才發現國外出現CVE-2014-1706 野外APT樣本, 處發很沒問題, 但是 ROP shellcode 不是針對繁中Office 2010, 所以台灣環境都處發不了, 約昨天(4/8)我們已經發現駭客改版這個樣本, 並換上可以在台灣攻擊的Shellcode, 只花了一個禮拜就完成飛彈改裝, 並且裝上台灣之寶 -- Taidoor !

XecScan系統收到熱心鄉民上傳

6fb4f156ddbf7f2eb678f30e8577910b      兩岸協議監督條例法制化議題彙整.doc (駭客都有在關心台灣,這個題目會不會選的太好)
3e31b13452c4712d8f4214ec6477314f     1030405違規停車通知單.doc

[廣告時間]: 
我們的APT惡意信件偵測系統 XecMail ,不用更新就可以直接偵測到此 0day, 請各位用戶沒事不用找我們 XD


重點整理:
  1. 這次漏洞叫做 CVE-2014-1761, 已經被大量用在APT信件中
  2. 你的 MS-Word 2010 是這次會被攻擊的版本 (Office 2003,2013的免驚)
  3. 目前沒有修補程式, 請期待微軟出, 不過微軟有提到暫時方案: 裝EMET (其實資安廠商都不敢告訴你這個微軟免費工具,其實超他媽強! exploit, shellcode都基本躺平, 裝了之後你家的廢材HIPS/AV可以移除了)

-----

PS: Xecure Lab 已經被國際大廠併購, 現在有了強大的資源挹注, 原團隊不但沒異動,而且還加入更多的資安專家, 共同對於資安研究而努力, 不但將能量行銷到國外, 更希望回饋給台灣資安圈. 我們對於台灣用戶服務不但不變,而且會更升級 ! 

Birdman

2014年3月19日 星期三

2013 美國黑帽大會之鳥人不正經遊記


Yes~ We are alive!

這陣子好多朋友遇到我都在問說:你們公司是放長假去還倒店了?怎麼好久沒更新Blog了?的確,我欠大家很多文章,但我們還活著.自從我們去年20137月參加了Blackhat USA就一直想把一些所見所聞還有心得跟台灣資安圈的朋友們分享,因此我打算趁這陣子的空閒,以我的個人觀點寫一些Blog跟大家分享。


美國黑帽大會之鳥人不正經遊記


好啦,我知道現在已經是2014年了,但是這是半年多前去Blackhat 2013的一些心得,各位看官就當做是我補交作業好了 >_<

首先有幸投稿上了Blackhat,感謝大會 J

這次團隊除了我跟Benson之外,還跟中研院的兩位好朋友PKFyodor,一起做了一個APT相當深入的研究,這也是台灣第一次在國際資安圈展示APT駭客集團的研究,目前線上也可以觀看錄影

一下飛機最緊張時刻來臨,因為我們發現Fyodor的美國簽證居然只剩10天!
天呀,這樣他都敢來美國,實在太有種了~不是我在說,因為再加上他長相

(照片來源:鋼鐵人三劇照)

抱歉我找不到他的大頭照,所以用滿大人照片,基本上他樣子應該就是年輕時期的滿大人,這樣情況下,觀眾到這邊應該猜到他會很難過海關,海關基本上都是以貌取人(其實Fyodor是一個很好的人,目前正要歸化中華民國國籍,不過政府一直刁難他)。但是我們這場talk原本預計就是由Fyodor主講,我們也很擔心計劃會生變.於是過海關前,我跟PK, Benson都跟Fyodor一一擁抱告別希望他好好待在拘留所,保護自己,不要隨便跟室友聊天或是撿地上的肥皂,我們會另外想辦法救他的。


結果不知道他使用什麼了妖術,居然一下就過了海關,反而是PK被帶去旁邊搜包包… XD
因此遠征軍隊伍又恢復成4
看到了機場的吃角子老虎機就知道到了 Las Vegas


Las Vegas 我們也不陌生,之前也投稿過Defcon,也來玩過幾次,都很熟悉的街道跟賭場.但這次有來參加Blackhat/Defcon的台灣人應該是最多的一次,其他台灣的資安圈朋友加上我們一整群也快20人,除了我們四個之外,還有我們好朋友 TT與他Team T5的成員,TT他們也上過Blackhat USA 20112012,在台灣上過Blackhat/Defcon的人基本這次都到齊了,也互相分享了一下自己的投稿演講的經驗。另外也有遇到威播的榮太、國高的一郎哥,技服中心朋友與資安辦長官,還有幾位在美國發展的YM長輩跟好朋友。於是大家約一約,在異鄉與好朋友們聚餐感覺真是不錯 J

很明顯,站起來的這位人兄,對於美國的食物有一種執著

我們提早約3天到美國,這次住的飯店因為有投稿上BH,所以大會安排了不錯的飯店,只不過我們大都在房間趕製投影片


遠遠還看到游泳池辣妹

但是我得抱怨一下,Fyodor每天晚上都去Party喝酒,喝到半夜3,4點,回到飯店都是Disabled狀態,而Benson 則不知是水土不服還是吃壞東西,前幾天都是瀕死的狀態,只剩我跟PK繼續趕製投影片哭哭

我們的研究前半部在2013 HITcon已經做過也報告過,後半部準備在Blackhat講,大都是跟展示有關的。先前我們研究了一個APT駭客集團,他們是在台灣活動的APT駭客集團的其中一團,因為我們對這群有比較完整的資料,所以選擇它做為研究材料。
到了Blackhat 實在有被嚇到,門票一張約2300美金,本來以為只有2千人,現場據說有7000人參加,11tracks.贊助商部分更是全部的資安公司都到了,非常壯觀,來朝聖果然是對的。
Blackhat開場的Keynote 是美國網路作戰指揮官Alexander 將軍

我們在Blackhat的講題是
Hunting the Shadows: In Depth Analysis of Escalated APT Attacks



大會在 Youtube上也有放出議程影片:https://www.youtube.com/watch?v=8cTCbihPfDo 

他們的場次有三種大小的Meeting Room我們這間算是中型的,來聽我們這場的觀眾整個滿出來,後面空間都站滿滿的,原來外國(尤其是美國這邊)對於亞太地區資安與大陸的駭客活動一直都很有興趣,畢竟這是大市場,但是他們對於我們這地區的駭客活動卻理解有限,透過這場我們也做了很好的資安交流,讓國外看到台灣資安研究的實力,這才是台灣之光,顆顆


宿醉的Fyodor 還是講得眉飛色舞 J

我們台灣這場大爆滿~

這張圖純粹是證明我有在台上 XD

一開頭,就提到我們來自台灣,也都是Chroot/HITcon成員,我說台灣並不是鬼島,Taiwan is the island of APT ! 台灣很小而且只有2300萬人,但是不管是跳板數量,後門程式數量,以及在許多國際資安文獻上,我們總能站上前4強,別忘了VirusTotal 上的病毒上傳統計,我們排第二名,全世界上傳VirusTotal的病毒接近 ¼的量居然來自台灣

台灣可以說是Malware輸出大國,這是除了Notebook與腳踏車之外另外一個重要出口產業.所以本草綱目有記載:「台灣病毒淹腳目」。感謝各位在台灣的耕耘 >_<

針對我們研究內容我就不多說了,反正在Youtube上都有實況錄影。我們主要研究了一群APT駭客,而跟以前所有的APT活動不同的地方是:以往的研究都在受害端或是中繼站上的流量分析,或是惡意程式後門族群分析,很少有人可以看到駭客的完整大後台運作方式。我們研究了一群駭客的後台,我稱它為LStudio,因為程式裡面有一些有趣的字串,這個族群操控過約超過5000台電腦,這龐大的養雞場是以台灣與美國的受害電腦為主。駭客的營運方式非常有趣,使用了4種不同的後門系統。這個研究在目前公開的APT文獻來說都是空前的,會後也有很多美國的資安專家留下來問了很多問題,果然APT還是業界的一個很重要的題目。

這遊記很不正經,主要原因是我們其實沒去聽幾場別的,大部份都在跟美國廠商或是朋友聊天,基本上都一直在喝酒,所以照片也不多 XD
每天晚上都有各式各樣的Party可以玩跟喝酒,最開心的人應該是Fyodor了,完全變成酒鬼,所以我們也沒認真去聽其他場次,只好回到台灣後聽聽別場的Youtube議程影片。

其實我們也有投稿Defcon,但是審稿的委員說我們已經上了Blackhat,居然因此不給我們上Defcon。據說這幾年來Defcon一直想要跟Blackhat切割,也許是這個緣故.不過我們一行人也去參加了Defcon,這是非常好玩的駭客聚會,很多資安相關社團有在裡面辦活動。下次如果有機會再專門寫一篇Defcon遊記給各位。整體來說,在Blackhat這場盛會中,整個業界、技術研究專家與美國政府相關的單位都到了,看得出來業界跟官方支持駭客大會的力道。這對於資安技術發展與人才培育都是很好的平台,大家加油吧~

聽說HITcon 今年會舉辦 10 週年大會
拭目以待 !


Birdman/Xecure Lab 2014


鳥人說艾斯酷博還活著~


鳥人說艾斯酷博還活著~ ;-)

三年前, Birdman (鳥人) 帶著大夥出來創業. 阿國, Bob和我, 大家都是前公司共事多年的老同事, 彼此間有的關係還有同窗,學長學弟,鄰居... 志同道合就能齊心, 我們對資訊安全有熱血, 有想法, 有技術, 也不怕吃苦.

就這樣, 三年前艾斯酷博是台灣第一個踏入 APT 研究的資安公司, 當時沒甚麼人看好這塊市場, 認為 APT 不過就是病毒的一種表現!!
(PS. 多位 Chroot 的大大對我們傻傻地投入 APT 多表讚賞, 認為有搞頭!)

兩年前, 台灣之光資安大廠趨勢欲發展 APT 產品線之際, 與我們交流切磋, 期間幾度與高層談及投資與併購. 我們當時很興奮獲得賞識, 也更加堅定我們要走出一條我們的創業之路. 在那時候, 我們公司已是 7 個人的團隊, 但年營收還沒破500萬呢! 壓力很大, 大家都更加拼命~ 同仁跟公司一心, Jason 是使命必達, Jekyll 是品質保證, 阿山讓伺服器乖乖!!

一年前, 很感恩在台灣獲得客戶愛戴, 諸多長官, 長輩們支持與肯定, 採用我們系統的客戶數陸續成長. 年中公司"擴編"至 8 人, Peter 加入我們後, 推升營收翻倍再翻倍~
同年, 艾斯酷博完整揭露 LStudio 網軍集團的部署架構與運作, 我們使用的偵測技術與深度追蹤其如何管控全球30國的受害者電腦, 此 APT 研究成果我們與中研院的 Fyodor 和 PK 合作, 獲得美國黑帽大會 (Blackhat) 肯定登台發表演說 Black Hat USA 2013 - Hunting the Shadows: In Depth Analysis of Escalated APT Attacks, 讓全世界看到台灣的資安研發能量與非常特殊的資訊戰略位置.
驚! 時光飛逝,當時的吃喝玩樂拉斯維加斯遊記, 到現在我們還沒跟大家分享!! (呼叫 Birdman~~)

逢此因緣際會, 數月後我們認識一家年營收超過300億台幣的美國上市公司, 它是決策系統、情報分析與資通訊領域的全球領導者, 其解決方案主要協助執法機構、國家安全、行政機關部門因應恐怖活動、犯罪事件,以及資訊安全威脅。

這個月, 我們很高興與大家分享一個好消息,該美國上市公司正式併購艾斯酷博科技!
Birdman 帶大家度過三年的戰鬥生活, 天天工作, 卻也天天開心. 我們對於新公司的氛圍和文化非常喜歡與嚮往, 相信能讓團隊的研發能量更上一層樓!!
我們將另外提供併購案說明信給目前艾斯酷博的客戶. 艾斯酷博的產品將持續獲得完整支援與保固. 此次兩家公司的結合將更加強化 APT 解決方案的偵測防禦深度與緊急應變廣度。

未來, Birdman 將主導新團隊的 APT 研發與關鍵技術. 我將負責 APT 產品線的管理, 以及新公司在台灣的營運.

向大家報告, 今年我們在台灣將擴編至 15 人的研發團隊, 如果你是 C/C++高手, 請寫信給 jeremy.chiu at xecure-lab dot com. 於此同時我們很興奮已有一位武林高手, Blackhat 級講師, Chroot 大大, 台灣數位鑑識一哥加入我們!! ^^

更多挑戰與更多願景等著台灣, 我們期待和大家繼續開創更美好的未來。



2013年11月14日 星期四

old actor, wrong context - hello cannon fodder


We spotted this email few hours ago, the context aligned with the ongoing food safety incidents in Taiwan. However, this email wrongly spell the Ministry of Health and Welfare (衛福部) as Ministry of Medical and Health (醫衛部), which does not exist. (I hope they don't intend to say 一位部, "ministry of only one", it's actually a joke in Chinese - "錦衣衛")



Not surprisingly, one of the recipient found it suspicious and uploaded to VT,




And here is our XecScan results




with PDB string as below:



It says it all, it's 砲灰... "cannon fodder"