保安建議(S18-01): 保護你的路由器,免受 VPNFilter 惡意軟件攻擊


發布日期: 2018 年 9 月 11 日
最後更新: 2018 年 10 月 5 日

摘要

VPNFilter是一種惡意軟件,其設計是令小型或家居辦公室(SOHO)路由器或網絡儲存(NAS)裝置等網絡設備受到感染。該惡意軟件能讓黑客對經由易受攻擊的路由器傳輸的通訊進行中間人(man-in-the-middle)攻擊,收集憑證,並取得系統控制權限。保安研究員在2018年5月警告,VPNFilter自2016年起或已感染54個國家超過50萬部裝置。

我們建議所有小型或家居辦公室的網絡設備用戶重新啓動他們的路由器及網絡儲存裝置,以暫時阻拒該惡意軟件,並以最新的固件更新有關裝置,以策安全;而日常妥善的做法是更改路由器的預設密碼和關閉遠端管理設定,以加強保安。

受影響裝置

已知受VPNFilter影響的小型或家居辦公室路由器及網絡儲存裝置如下:

小型或家居辦公室路由器

供應商 型號
ASUS RT-AC66U、RT-N10、RT-N10E、RT-N10U、RT-N56U及RT-N66U
D-Link DES-1210-08P、DIR-300、DIR-300A、DSR-250N、DSR-500N、DSR-1000及DSR-1000N
Huawei HG8245
Linksys E1200、E2500、E3000、E3200、E4200、RV082及WRVS4400N
MikroTik CCR1009、CCR1016、CCR1036、CCR1072、CRS109、CRS112、CRS125、RB411、RB450、RB750、RB911、RB921、RB941、RB951、RB952、RB960、RB962、RB1100、RB1200、RB2011、RB3011、RB Groove、RB Omnitik及STX5
NETGEAR DG834、DGN1000、DGN2200、DGN3500、FVS318N、MBRN3000、R6400、R7000、R8000、WNR1000、WNR2000、WNR2200、WNR4000、WNDR3700、WNDR4000、WNDR4300、WNDR4300-TN及UTM50
TP-Link R600VPN、TL-WR741ND及TL-WR841N
Ubiquiti NSM2及PBE M5
ZTE ZXHN H108N


網絡儲存裝置

供應商 型號
QNAP TS251、TS439 Pro及其他使用QTS軟件的QNAP網絡儲存裝置

(來源:https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

弱點

在小型或家居辦公室的環境中,受影響的裝置可能會在沒有網絡周邊防禦措施(如防火牆、網絡入侵保護系統、應用程式代理或虛擬私有網絡伺服器)的保護下連接至互聯網。這些受影響的裝置通常只有很少或甚至沒有內置的抗惡意程式碼軟件支援。新手用戶未必能適時為有關裝置安裝已公布的漏洞修補程式。這些弱點都會令裝置容易遭受VPNFilter攻擊。

多階段攻擊

雖然起始的攻擊媒介仍未確定,但攻擊者或可通過已知的漏洞遙距攻擊有關裝置。使用預設密碼或不嚴謹的密碼亦可讓攻擊者以暴力攻擊方法入侵裝置。攻擊者一旦成功把VPNFilter安裝在裝置上,該惡意軟件便會分三個階段運作,並在每一階段下載更多惡意模組以進行不同的攻擊。

第一階段,VPNFilter會在受感染的裝置設置立足點,並利用部署伺服器為其後各階段的攻擊作準備。通過更改裝置的非揮發性記憶體(NVRAM),惡意軟件會安裝一個可持續載入的程式,並將其加到裝置的工作排程中。因此,在此階段載入的惡意軟件不能藉着重新啓動裝置而清除。

第二階段,VPNFilter會使用不同的功能收集情報、執行指令、竊取資料和管理裝置。VPNFilter甚至可以蓋寫固件,令裝置不能使用;但這一階段的功能會在關掉裝置電源和重新啓動裝置後刪除。

第三階段,VPNFilter為第二階段的惡意軟件提供更多插件模組,以提供多種精密的入侵功能,包括封包探取法、Tor網絡接達、轉送和查看網頁的瀏覽通訊、把網絡通訊轉發至攻擊者特定的基礎設施、阻止網絡接達特定的互聯網規約地址、掃描和布置局部網絡以便惡意軟件橫向移動、執行遠端指令,以及建立加密隧道,躲避遠端行動及竊取資料的偵測。重新啓動裝置亦可刪除在此階段加載的插件。

具適應性的惡意軟件控制

VPNFilter會於圖像分享網站「photobucket[.]com」下載一張相片,並通過相片的全球定位系統(GPS)經緯度取得指令及控制(C2)伺服器的地址。惡意軟件亦會預留另一域名「toknowall[.]com」作為後備網站,以下載同一張相片。如VPNFilter未能從這兩個域名取得C2伺服器的地址,便會聽候攻擊者發出的特定觸發器封包。當收到符合預定條件的封包時,VPNFilter便會從封包抽取C2伺服器地址。

影響

機密性受到破壞,因為用戶的網絡通訊會經過受感染的裝置。VPNFilter可以監察通訊、截取通訊和竊取用戶資料。即使用戶接達HTTPS網站,惡意軟件仍可進行中間人攻擊,把加密HTTPS通訊的請求轉為未經加密的HTTP接達。

裝置受到永久性破壞,原因是VPNFilter在第二階段的惡意軟件可以執行指令破壞裝置的固件,令裝置不能運作。大部分非技術消費者都不能復原或逆轉有關破壞;而更嚴重的情況是,由於太多網絡周邊裝置都可能受到感染,或會引致所有消費者均不能接達互聯網。

端點裝置受到感染,VPNFilter可通過受感染的網絡裝置在通訊植入漏洞開發編碼或惡意內容,以到達用戶的端點裝置。

攻擊者可作進一步攻擊,從受VPNFilter感染的裝置通過互聯網向其他系統發動攻擊。由於不知情的用戶因其受感染的裝置成為了發動進一步攻擊的平台,因而會遭其他受害者列入黑名單、封鎖和反擊,而原本的攻擊源頭則隱藏在受感染的裝置背後。

建議

建議受影響裝置的擁有人:

  1. 重新啓動你的裝置作為預防措施,以暫時中斷惡意軟件可行的運作。
  2. 提升你的裝置至最新可用的固件版本,以確保所有已知漏洞已獲修補。
  3. 更改預設憑證,並設置嚴謹的密碼,以登入你的裝置。
  4. 關掉你的裝置的管理界面互聯網接達。
  5. 在你的網絡裝置與端點裝置之間安裝額外保安保護措施,例如防火牆及抗惡意程式碼方案。

如果你的裝置受到感染:

  1. 中斷你的裝置與互聯網的連接。
  2. 把你的裝置恢復至原廠設定,並從未受感染的備份修復裝置的配置。
  3. 更改新的管理員密碼。
  4. 在重新連接你的裝置至互聯網後,安裝最新的修補程式及更新裝置。

延伸閱讀

US-CERT Alert(TA18-145A)
https://www.us-cert.gov/ncas/alerts/TA18-145A

New VPNFilter malware targets at least 500K networking devices worldwide
https://blog.talosintelligence.com/2018/05/VPNFilter.html

VPNFilter Update - VPNFilter exploits endpoints, targets new devices
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

VPNFilter III: More Tools for the Swiss Army Knife of Malware
https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html




保安建議(S17-01): 保護你的Wi-Fi網絡,免受 WPA/WPA2 漏洞影響


發布日期: 2017 年 10 月 24 日
最後更新: 2017 年 11 月 22 日

摘要

Wi-Fi Protected Access (WPA及WPA2) 安全加密協議是由Wi-Fi聯盟(Wi-Fi Alliance)開發以提升Wi-Fi網絡的安全。WPA及WPA2存在多個漏洞,令資訊保安威脅者可竊聽你的網絡通訊、解密通訊、劫持連接,以及進行中間人(MitM)攻擊。所有應用WPA及WPA2而未有修補相關漏洞的網絡裝置都會受到影響。

安全研究人員在2017年10月披露研究結果,把有關漏洞合稱為「KRACK」(Key Reinstallation AttaCKs)。這些漏洞利用標準WPA及WPA2保安規約的弱點,破解Wi-Fi通訊的機密性及完整性。所發現的漏洞合共有十個,其中九個需要在流動裝置的客戶端操作系統安裝更新修補漏洞,包括手提電腦、流動電話、平板電腦等。第十個漏洞則須修復Wi-Fi接入點固件的漫遊功能。

我們強烈建議用戶在使用公共Wi-Fi服務時,如對Wi-Fi接入點的安全措施有任何疑問,應採用第二層保護設施,如虛擬私有網絡(Virtual Private Network or VPN)、傳輸層保安(Transport Layer Security or TLS)及安全外殼協定(Secure Shell or SSH),以加密Wi-Fi網絡連接的數據及保護數據的機密性。

漏洞及影響

WPA及WPA2廣泛應用於Wi-Fi客戶端裝置及接入點。由於規約本身存在弱點,因此所有符合規格實施WPA 及WPA2的系統都有漏洞。成功利用這些漏洞發動的攻擊可導致訊息外泄、訊息偽造、通訊受阻或其他損害。

所涉及的漏洞概述如下:

相關漏洞 可利用的交握(handshake)程序 受影響系統
CVE-2017-13077 4-Way handshake
  • 客戶端裝置連接網絡時的認證
使用以下操作系統的Wi-Fi客戶端裝置:
OS X、macOS、 Android、OpenBSD、 MediaTek、wpa_supplicant
CVE-2017-13078
CVE-2017-13079
CVE-2017-13080
CVE-2017-13081
CVE-2017-13087
CVE-2017-13088
Group Key handshake
  • 客戶端裝置重新協商廣播及多點播放的密碼匙
使用以下操作系統的Wi-Fi客戶端裝置:
OS X、macOS、iOS、Android、OpenBSD、Windows、MediaTek、wpa_supplicant
CVE-2017-13082 Fast-BSS transition handshake
  • 加快移動中的客戶端裝置連接和脫離途經的Wi-Fi接入點
Wi-Fi路由器、Wi-Fi接入點
CVE-2017-13084
CVE-2017-13086
PeerKey handshake
  • 兩個客戶端裝置互相連接
使用wpa_supplicant的Wi-Fi客戶端裝置


US-CERT公布了一份供應商名單,這些供應商已披露他們是否受到影響及其解決方案。
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4

建議

適用於Wi-Fi客戶端(包括手提電腦、流動電話及互聯網裝置)的擁有人╱用戶

  1. 將受影響的流動裝置操作系統升級至最新版本。
  2. 除WPA/WPA2外,採用HTTPS (SSL/TLS)或VPN處理個人、機密或敏感資訊。
  3. 不使用時關閉Wi-Fi功能。


適用於Wi-Fi網絡裝置(如接入點及路由器)的擁有人╱管理員

  1. 在修復FT漏洞(CVE-2017-13082)的建議更新推出時,為接入點及路由器執行固件升級。
  2. 在為固件升級前,停用Wi-Fi網絡裝置的802.11r快速漫遊功能。


適用於公共Wi-Fi及網絡熱點的服務供應商

  1. 在修復FT漏洞(CVE-2017-13082)的建議更新推出時,為接入點及路由器執行固件升級。
  2. 在為固件升級前,停用Wi-Fi網絡裝置的802.11r快速漫遊功能。
  3. 通知你的流動客戶為他們的流動電腦或裝置升級或進行修補。
  4. 執行第二層網絡隔離,阻止客戶端與客戶端的直接通訊,從而避免PeerKey handshake受到攻擊。
  5. 採用無線入侵保護系統,以偵測無線攻擊和提供實時警報,防止用戶因錯誤連接非法接入點而遭受中間人攻擊。

KRACK是什麼?

根據發現有關弱點的安全研究人員,KRACK針對四類Wi-Fi加密交握協議,包括4-Way handshake、Group Key handshake、802.11r Fast-BSS Transition (FT) handshake及PeerKey handshake。攻擊者如位處目標無線接入點與網絡裝置的Wi-Fi傳輸範圍內,則通過仿冒有關網絡和強迫網絡裝置不再連接合法接入點,改而連接偽冒接入點,便能攻擊有關漏洞。

4-Way handshake 用於為受保護的Wi-Fi網絡產生新的對話金鑰(session key)。中間人攻擊者攔截並操控客戶端與接入點之間的交握協議訊框(frame),令客戶端重新安裝已經使用的密碼匙。重新安裝密碼匙時,會把供一次性使用而稱為nonce的密碼匙計數器重設至初始值。這個nonce之後會被重用,加密後續的數據訊框,讓攻擊者可重發、解密或偽造訊框。由於Windows和Apple iOS並非按照802.11 WPA標準執行4-Way handshake,因此這些操作系統不會遭受針對4-Way handshake的攻擊。另一方面,由於程式錯誤,Android 6.0甚至會在收到重新安裝密碼匙訊息時,安裝可預測的全零密碼匙。

Group Key handshake 用於分發接入點所使用的群組金鑰,為發送予所有或多個客戶端的廣播或多點播放訊框加密。Group Key handshake受到中間人攻擊,會令客戶端重新安裝群組密碼匙。群組密碼匙的重發計數器會因而重設,令攻擊者可重發先前發送的廣播/多點播放訊框。所有Wi-Fi客戶端,包括Windows、Apple iOS、Android、Linux等均有機會受到針對Group Key handshake的攻擊。

802.11r或Fast Basic Service Set Transition (FT) handshake 用於縮短客戶端從某個接入點移至同一網絡另一個接入點的漫遊時間。針對FT handshake的攻擊無需通過中間人角色,只要竊聽和注入訊框便已足夠。攻擊者重發這個交握訊框,在接入點啓動重新安裝密碼匙的程序,從而把相關的nonce及重發計數器重新初始化,並促使客戶端向接入點重發數據訊框。

PeerKey handshake 是在兩個客戶端無需通過接入點直接通訊時使用。由於這個交握程序有部分是建基於4-Way handshake,因此所遭受的攻擊可與4-Way handshake遭受攻擊的方式完全相同。

延伸閱讀

US-CERT Alert (VU#228519)
https://www.kb.cert.org/vuls/id/228519

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

Wi-Fi Alliance security update October 2017
https://www.wi-fi.org/security-update-october-2017

Guidelines on the Security Aspects for the Design, Implementation, Management and Operation of Public Wi-Fi Service, Office of the Communications Authority
http://www.coms-auth.hk/filemanager/statement/en/upload/388/gn182016e.pdf




保安建議(S16-01): 加強微軟 Windows PowerShell 保安

發布日期: 2016 年 12 月 28 日

問題描述

研究人員和保安供應商作出警告,指微軟Windows PowerShell的保安威脅有上升趨勢,並建議立即採取措施,為PowerShell自動化工具升級和強化微軟視窗系統的保安,以防攻擊者濫用。

影響

PowerShell是強大的指令行界面殼層(shell)和以任務為本的指令碼語言(scripting language)。PowerShell內置於所有受支援的微軟視窗版本,專為系統管理員和高階用戶設計,令作業系統的管理工作,以及與在作業系統上運作的應用程式(如Microsoft Office和網頁瀏覽器)相關的程序得以自動化。
 

攻擊者如獲得PowerShell的使用權限,則無須將任何惡意程式下載到硬碟,便能控制電腦。PowerShell會直接在記憶體中執行命令,並在登錄檔中儲存指令,而不會在硬碟上保存任何惡意程式。因此,PowerShell的活動很難被監察、偵測和分析。此外,遠端存取功能亦備有預設的加密保護,讓攻擊者更容易繞過網絡入侵偵測系統(IDS)的監察。惡意的PowerShell活動如混雜於正常的PowerShell操作中,便難以在日誌記錄檔中被察覺。
 

攻擊者愈來愈多使用這種「無檔案惡意程式」的攻擊,藉此避過偵測和持續地隱藏於受害者的電腦和網絡。這並非由於PowerShell存在任何安全性漏洞,但卻顯示正確配置這個強大系統管理工具和進行修補程式管理十分重要。

建議

建議措施:

  1. 更新至最新的PowerShell 5版本 − 目前的版本PowerShell 5較以往的版本配備更有效防禦威脅的功能,例如加強日誌記錄功能,以及能與抗惡意軟件掃描界面(Anti-malware Scan Interface(AMSI))進行整合。
  2. 強制執行指令碼政策 − 利用羣組原則和程式碼簽署憑證執行指令碼政策。所有將於用戶電腦上運作的指令碼均須由可信任的發行者簽署,以防止惡意指令碼的執行。
  3. 將獲准使用PowerShell程式的指令碼和用戶加入白名單 − 只有特定的系統管理員或有需要的用戶才可執行和使用預設及特製的PowerShell程式。
  4. 開啓PowerShell事件日誌記錄功能 − PowerShell 5提供延伸的日誌記錄方法,有助偵測和分析可疑的PowerShell活動。
  5. 封鎖PowerShell − 在「Constrained Language Mode」中設定為 「NoLanguage」,以削弱互動式輸入和用戶編製指令碼的功能,從而限制惡意PowerShell指令碼的攻擊面。
  6. 強化PowerShell remoting功能 − 應通過羣組原則配置WinRM的用戶端和服務,以刪除所有不必要的規約、停用已儲存的身分憑證和預設的網絡埠(例如埠號80和443)。

其他資訊

儘管PowerShell具備「無檔案」執行的能力,但攻擊者必須先獲得接達系統的權限,才能執行PowerShell。攻擊者需通過常用的初始攻擊媒介,例如釣魚電郵和路過式的下載活動(drive-by downloads)進入目標系統。除確保PowerShell配置正確外,用戶應在網絡保安上實踐良好作業模式,作為前線的防禦措施。
 
其他建議措施:

  1. 把操作系統、應用軟件和設備韌體更新至最新的版本,以及安裝最新的保安修補程式;
  2. 把抗惡意軟件識別碼及引擎維持在最新的版本;
  3. 關閉系統上不必要的服務程式;
  4. 向用戶授予最低級別的系統使用權限,限制他們安裝和執行不必要的軟件應用程式;
  5. 建議用戶即時刪除任何可疑電郵,並對附件和超連結提高警覺;
  6. 即使Office文檔上彈出開啓巨集的提示,用戶亦應避免重新開啓巨集;
  7. 定期為數據備份,並保護其離線的備份;
  8. 設置防火牆,以分隔網絡,並阻擋惡意的數據通訊;
  9. 開啓反濫發電郵過濾器,阻截釣魚電郵;
  10. 開啓網頁瀏覽器上阻拒廣告(Ad-blocker)的功能;
  11. 對系統進行定期的漏洞掃描和滲透測試;以及
  12. 對最新的威脅保持警覺,以適時制訂應變方案。

參考資料:

Microsoft Developer Network, PowerShell,
https://msdn.microsoft.com/zh-tw/powershell/scripting/whats-new/what-s-new-with-powershell
https://msdn.microsoft.com/powershell

Microsoft Windows Management Framework 5.0
https://www.microsoft.com/en-us/download/details.aspx?id=50395

Securing PowerShell in the Enterprise, Australian Cyber Security Centre
https://www.asd.gov.au/publications/protect/Securing_PowerShell.pdf



保安建議(S15-01): 停用保密插口層3.0 (SSLv3)

發布日期: 2015 年 5 月 15 日

問題描述

保密插口層3.0(SSLv3)是一個過時及不安全的規約,已經被傳輸層保安(TLS) 規約取代。
 

保密插口層和傳輸層保安均屬加密規約,旨在為電腦網絡提供通訊安全。這兩種規約使用X.509證書,透過非對稱加密技術與通訊的另一方進行身份驗證,並使用超文本傳輸規約(HTTPS)為網頁伺服器和瀏覽器之間的通訊進行加密。

影響

SSLv3 在設計上的漏洞容許網絡攻擊者破解及獲得在加密傳輸上的訊息。「POODLE」(Padding Oracle On Downgraded Legacy Encryption)攻擊逼使網頁伺服器和瀏覽器的通訊不使用TLS,而採用安全性較低的SSLv3進行妥協加密。然後,攻擊者進行「BEAST」(Browser Exploit Against SSL / TLS)攻擊,以獲得加密數據串流中的信息。這樣的中間人(Man-in-the-middle)攻擊需要大量的時間和資源,因此風險相對較低。
 

SSLv3已經被使用超過15年,幾乎所有的網頁瀏覽器仍然支援使用有關規約。攻擊者會導致通訊連接失敗,逼使網頁伺服器和瀏覽器使用較舊的通訊規約(包括SSLv3)重新嘗試通訊,從而發動攻擊。

建議

沒有修補程式可以修補此漏洞,唯一的解決辦法是在所有網頁伺服器和瀏覽器上停用SSLv3。請謹記,修改運作系統前須先進行徹底測試。
 

網頁伺服器管理員需要採取的行動

1. 檢查網頁伺服器是否存在漏洞
2. 停用SSL v3
3. 安裝最新修補程式
 

行動 參考工具
檢查網頁伺服器是否存在漏洞 Qualys SSL Server Test(只提供英文版)
更改配置設定 POODLE: Turning off SSLv3 for various servers and client by SANS Internet Storm Center(只提供英文版)

  用戶需採取的行動

1. 檢查網頁瀏覽器是否存在漏洞
2. 若要使用加密通訊,請確保HTTPS已經啟用
3. 使用最新軟件
 

行動 參考工具
檢查網頁瀏覽器是否存在漏洞 SSLv3 POODLE Attack Check(只提供英文版)
更新至最新版本或更改瀏覽器設定 POODLE: Turning off SSLv3 for various servers and client by SANS Internet Storm Center(只提供英文版)

參考資料:

CVE-2014-3566 SSLv3 POODLE Vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566