2014年4月9日星期三

注意 CVE-2014-1761 0day exploit 已經大量出現在台灣的APT攻擊

這幾年RTF exploit一值最好用的 apt email才料之一,從CVE-2010-3333到CVE-2012-0158一值以來穩定好觸發,而且容易上手,所以已經是駭客居家旅行必備的殺人兵器 !

這次要跟大家介紹主角是 CVE-2014-1761 是 RTF exploit, 目前還是0day exploit 因為沒有正式的修補程式出來, 屬於駭客快樂假期 !


http://technet.microsoft.com/en-us/security/advisory/2953095 漏洞影響的範圍有 MS-Word 2003,2010,2013 等版本,不過目前看到的樣本都是針對 MS-Word 2010, 在微軟 Microsoft Security Advisory (2953095)中, 我們可以知道這個漏洞是在約 2個星期前被公布 (3/24), 到上周約 4/2 我們才發現國外出現CVE-2014-1706 野外APT樣本, 處發很沒問題, 但是 ROP shellcode 不是針對繁中Office 2010, 所以台灣環境都處發不了, 約昨天(4/8)我們已經發現駭客改版這個樣本, 並換上可以在台灣攻擊的Shellcode, 只花了一個禮拜就完成飛彈改裝, 並且裝上台灣之寶 -- Taidoor !

XecScan系統收到熱心鄉民上傳

6fb4f156ddbf7f2eb678f30e8577910b      兩岸協議監督條例法制化議題彙整.doc (駭客都有在關心台灣,這個題目會不會選的太好)
3e31b13452c4712d8f4214ec6477314f     1030405違規停車通知單.doc

[廣告時間]: 
我們的APT惡意信件偵測系統 XecMail ,不用更新就可以直接偵測到此 0day, 請各位用戶沒事不用找我們 XD


重點整理:
  1. 這次漏洞叫做 CVE-2014-1761, 已經被大量用在APT信件中
  2. 你的 MS-Word 2010 是這次會被攻擊的版本 (Office 2003,2013的免驚)
  3. 目前沒有修補程式, 請期待微軟出, 不過微軟有提到暫時方案: 裝EMET (其實資安廠商都不敢告訴你這個微軟免費工具,其實超他媽強! exploit, shellcode都基本躺平, 裝了之後你家的廢材HIPS/AV可以移除了)

-----

PS: Xecure Lab 已經被國際大廠併購, 現在有了強大的資源挹注, 原團隊不但沒異動,而且還加入更多的資安專家, 共同對於資安研究而努力, 不但將能量行銷到國外, 更希望回饋給台灣資安圈. 我們對於台灣用戶服務不但不變,而且會更升級 ! 

Birdman

2014年3月19日星期三

2013 美國黑帽大會之鳥人不正經遊記


Yes~ We are alive!

這陣子好多朋友遇到我都在問說:你們公司是放長假去還倒店了?怎麼好久沒更新Blog了?的確,我欠大家很多文章,但我們還活著.自從我們去年20137月參加了Blackhat USA就一直想把一些所見所聞還有心得跟台灣資安圈的朋友們分享,因此我打算趁這陣子的空閒,以我的個人觀點寫一些Blog跟大家分享。


美國黑帽大會之鳥人不正經遊記


好啦,我知道現在已經是2014年了,但是這是半年多前去Blackhat 2013的一些心得,各位看官就當做是我補交作業好了 >_<

首先有幸投稿上了Blackhat,感謝大會 J

這次團隊除了我跟Benson之外,還跟中研院的兩位好朋友PKFyodor,一起做了一個APT相當深入的研究,這也是台灣第一次在國際資安圈展示APT駭客集團的研究,目前線上也可以觀看錄影

一下飛機最緊張時刻來臨,因為我們發現Fyodor的美國簽證居然只剩10天!
天呀,這樣他都敢來美國,實在太有種了~不是我在說,因為再加上他長相

(照片來源:鋼鐵人三劇照)

抱歉我找不到他的大頭照,所以用滿大人照片,基本上他樣子應該就是年輕時期的滿大人,這樣情況下,觀眾到這邊應該猜到他會很難過海關,海關基本上都是以貌取人(其實Fyodor是一個很好的人,目前正要歸化中華民國國籍,不過政府一直刁難他)。但是我們這場talk原本預計就是由Fyodor主講,我們也很擔心計劃會生變.於是過海關前,我跟PK, Benson都跟Fyodor一一擁抱告別希望他好好待在拘留所,保護自己,不要隨便跟室友聊天或是撿地上的肥皂,我們會另外想辦法救他的。


結果不知道他使用什麼了妖術,居然一下就過了海關,反而是PK被帶去旁邊搜包包… XD
因此遠征軍隊伍又恢復成4
看到了機場的吃角子老虎機就知道到了 Las Vegas


Las Vegas 我們也不陌生,之前也投稿過Defcon,也來玩過幾次,都很熟悉的街道跟賭場.但這次有來參加Blackhat/Defcon的台灣人應該是最多的一次,其他台灣的資安圈朋友加上我們一整群也快20人,除了我們四個之外,還有我們好朋友 TT與他Team T5的成員,TT他們也上過Blackhat USA 20112012,在台灣上過Blackhat/Defcon的人基本這次都到齊了,也互相分享了一下自己的投稿演講的經驗。另外也有遇到威播的榮太、國高的一郎哥,技服中心朋友與資安辦長官,還有幾位在美國發展的YM長輩跟好朋友。於是大家約一約,在異鄉與好朋友們聚餐感覺真是不錯 J

很明顯,站起來的這位人兄,對於美國的食物有一種執著

我們提早約3天到美國,這次住的飯店因為有投稿上BH,所以大會安排了不錯的飯店,只不過我們大都在房間趕製投影片


遠遠還看到游泳池辣妹

但是我得抱怨一下,Fyodor每天晚上都去Party喝酒,喝到半夜3,4點,回到飯店都是Disabled狀態,而Benson 則不知是水土不服還是吃壞東西,前幾天都是瀕死的狀態,只剩我跟PK繼續趕製投影片哭哭

我們的研究前半部在2013 HITcon已經做過也報告過,後半部準備在Blackhat講,大都是跟展示有關的。先前我們研究了一個APT駭客集團,他們是在台灣活動的APT駭客集團的其中一團,因為我們對這群有比較完整的資料,所以選擇它做為研究材料。
到了Blackhat 實在有被嚇到,門票一張約2300美金,本來以為只有2千人,現場據說有7000人參加,11tracks.贊助商部分更是全部的資安公司都到了,非常壯觀,來朝聖果然是對的。
Blackhat開場的Keynote 是美國網路作戰指揮官Alexander 將軍

我們在Blackhat的講題是
Hunting the Shadows: In Depth Analysis of Escalated APT Attacks



大會在 Youtube上也有放出議程影片:https://www.youtube.com/watch?v=8cTCbihPfDo 

他們的場次有三種大小的Meeting Room我們這間算是中型的,來聽我們這場的觀眾整個滿出來,後面空間都站滿滿的,原來外國(尤其是美國這邊)對於亞太地區資安與大陸的駭客活動一直都很有興趣,畢竟這是大市場,但是他們對於我們這地區的駭客活動卻理解有限,透過這場我們也做了很好的資安交流,讓國外看到台灣資安研究的實力,這才是台灣之光,顆顆


宿醉的Fyodor 還是講得眉飛色舞 J

我們台灣這場大爆滿~

這張圖純粹是證明我有在台上 XD

一開頭,就提到我們來自台灣,也都是Chroot/HITcon成員,我說台灣並不是鬼島,Taiwan is the island of APT ! 台灣很小而且只有2300萬人,但是不管是跳板數量,後門程式數量,以及在許多國際資安文獻上,我們總能站上前4強,別忘了VirusTotal 上的病毒上傳統計,我們排第二名,全世界上傳VirusTotal的病毒接近 ¼的量居然來自台灣

台灣可以說是Malware輸出大國,這是除了Notebook與腳踏車之外另外一個重要出口產業.所以本草綱目有記載:「台灣病毒淹腳目」。感謝各位在台灣的耕耘 >_<

針對我們研究內容我就不多說了,反正在Youtube上都有實況錄影。我們主要研究了一群APT駭客,而跟以前所有的APT活動不同的地方是:以往的研究都在受害端或是中繼站上的流量分析,或是惡意程式後門族群分析,很少有人可以看到駭客的完整大後台運作方式。我們研究了一群駭客的後台,我稱它為LStudio,因為程式裡面有一些有趣的字串,這個族群操控過約超過5000台電腦,這龐大的養雞場是以台灣與美國的受害電腦為主。駭客的營運方式非常有趣,使用了4種不同的後門系統。這個研究在目前公開的APT文獻來說都是空前的,會後也有很多美國的資安專家留下來問了很多問題,果然APT還是業界的一個很重要的題目。

這遊記很不正經,主要原因是我們其實沒去聽幾場別的,大部份都在跟美國廠商或是朋友聊天,基本上都一直在喝酒,所以照片也不多 XD
每天晚上都有各式各樣的Party可以玩跟喝酒,最開心的人應該是Fyodor了,完全變成酒鬼,所以我們也沒認真去聽其他場次,只好回到台灣後聽聽別場的Youtube議程影片。

其實我們也有投稿Defcon,但是審稿的委員說我們已經上了Blackhat,居然因此不給我們上Defcon。據說這幾年來Defcon一直想要跟Blackhat切割,也許是這個緣故.不過我們一行人也去參加了Defcon,這是非常好玩的駭客聚會,很多資安相關社團有在裡面辦活動。下次如果有機會再專門寫一篇Defcon遊記給各位。整體來說,在Blackhat這場盛會中,整個業界、技術研究專家與美國政府相關的單位都到了,看得出來業界跟官方支持駭客大會的力道。這對於資安技術發展與人才培育都是很好的平台,大家加油吧~

聽說HITcon 今年會舉辦 10 週年大會
拭目以待 !


Birdman/Xecure Lab 2014


鳥人說艾斯酷博還活著~


鳥人說艾斯酷博還活著~ ;-)

三年前, Birdman (鳥人) 帶著大夥出來創業. 阿國, Bob和我, 大家都是前公司共事多年的老同事, 彼此間有的關係還有同窗,學長學弟,鄰居... 志同道合就能齊心, 我們對資訊安全有熱血, 有想法, 有技術, 也不怕吃苦.

就這樣, 三年前艾斯酷博是台灣第一個踏入 APT 研究的資安公司, 當時沒甚麼人看好這塊市場, 認為 APT 不過就是病毒的一種表現!!
(PS. 多位 Chroot 的大大對我們傻傻地投入 APT 多表讚賞, 認為有搞頭!)

兩年前, 台灣之光資安大廠趨勢欲發展 APT 產品線之際, 與我們交流切磋, 期間幾度與高層談及投資與併購. 我們當時很興奮獲得賞識, 也更加堅定我們要走出一條我們的創業之路. 在那時候, 我們公司已是 7 個人的團隊, 但年營收還沒破500萬呢! 壓力很大, 大家都更加拼命~ 同仁跟公司一心, Jason 是使命必達, Jekyll 是品質保證, 阿山讓伺服器乖乖!!

一年前, 很感恩在台灣獲得客戶愛戴, 諸多長官, 長輩們支持與肯定, 採用我們系統的客戶數陸續成長. 年中公司"擴編"至 8 人, Peter 加入我們後, 推升營收翻倍再翻倍~
同年, 艾斯酷博完整揭露 LStudio 網軍集團的部署架構與運作, 我們使用的偵測技術與深度追蹤其如何管控全球30國的受害者電腦, 此 APT 研究成果我們與中研院的 Fyodor 和 PK 合作, 獲得美國黑帽大會 (Blackhat) 肯定登台發表演說 Black Hat USA 2013 - Hunting the Shadows: In Depth Analysis of Escalated APT Attacks, 讓全世界看到台灣的資安研發能量與非常特殊的資訊戰略位置.
驚! 時光飛逝,當時的吃喝玩樂拉斯維加斯遊記, 到現在我們還沒跟大家分享!! (呼叫 Birdman~~)

逢此因緣際會, 數月後我們認識一家年營收超過300億台幣的美國上市公司, 它是決策系統、情報分析與資通訊領域的全球領導者, 其解決方案主要協助執法機構、國家安全、行政機關部門因應恐怖活動、犯罪事件,以及資訊安全威脅。

這個月, 我們很高興與大家分享一個好消息,該美國上市公司正式併購艾斯酷博科技!
Birdman 帶大家度過三年的戰鬥生活, 天天工作, 卻也天天開心. 我們對於新公司的氛圍和文化非常喜歡與嚮往, 相信能讓團隊的研發能量更上一層樓!!
我們將另外提供併購案說明信給目前艾斯酷博的客戶. 艾斯酷博的產品將持續獲得完整支援與保固. 此次兩家公司的結合將更加強化 APT 解決方案的偵測防禦深度與緊急應變廣度。

未來, Birdman 將主導新團隊的 APT 研發與關鍵技術. 我將負責 APT 產品線的管理, 以及新公司在台灣的營運.

向大家報告, 今年我們在台灣將擴編至 15 人的研發團隊, 如果你是 C/C++高手, 請寫信給 jeremy.chiu at xecure-lab dot com. 於此同時我們很興奮已有一位武林高手, Blackhat 級講師, Chroot 大大, 台灣數位鑑識一哥加入我們!! ^^

更多挑戰與更多願景等著台灣, 我們期待和大家繼續開創更美好的未來。



2013年11月14日星期四

old actor, wrong context - hello cannon fodder


We spotted this email few hours ago, the context aligned with the ongoing food safety incidents in Taiwan. However, this email wrongly spell the Ministry of Health and Welfare (衛福部) as Ministry of Medical and Health (醫衛部), which does not exist. (I hope they don't intend to say 一位部, "ministry of only one", it's actually a joke in Chinese - "錦衣衛")



Not surprisingly, one of the recipient found it suspicious and uploaded to VT,




And here is our XecScan results




with PDB string as below:



It says it all, it's 砲灰... "cannon fodder"