資安一周第2期：下載知名開源軟體，小心誤闖山寨官網。變種Spectre漏洞攻擊可從遠端竊取機器資料

研究人員Ivan Kwiatkowski發現駭客藉由仿造知名軟體官網，誘導使用者下載以散佈廣告程式，駭客相中的知名軟體包括Keepass、7-Zip、Clonezilla及Greenshot等等

0725～0731一定要看的資安新聞

山寨官網

下載Keepass與7-Zip等知名軟體，小心誤闖山寨官網被植入廣告程式

一名安全研究人員Ivan Kwiatkowski揭露駭客仿冒知名開源軟體的官網，誘導使用者下載並安裝相關軟體，卻在軟體中植入廣告程式來牟利。

Kwiatkowski最早發現的是假冒為Keepass的Keepass.fr。Keepass為一開源的密碼管理程式，支援Windows、macOS與Linux等作業系統，它的官方網站為Keepass.info，但駭客卻建立了Keepass.fr，企圖魚目混珠。

除了假的Keepass.fr之外，駭客還建立了Keepass.com；而壓縮程式7-Zip的官網為7-zip.org，但駭客建立了7zip.fr；而由臺灣國網中心所開發的Clonezilla硬碟克隆軟體官網應是clonezilla.org，駭客則為其打造了clonezilla.es及clonezilla.fr。

資安專家建議使用者要下載自由或開源軟體前，得先確定官網位址，就算自以為是從官網下載，也最好經由防毒軟體進行掃描。更多內容

Spectre漏洞

新Spectre漏洞攻擊手法，可從遠端竊取機器資料

今年初發生在英特爾、AMD等晶片的Spectre漏洞令人餘悸猶存，現在有研究人員發現新的Spectre漏洞攻擊手法，讓駭客可從遠端發動攻擊，不需植入任何程式碼。

Spectre變種1（CVE-2017-5753）是發生於CPU中推測執行（speculative execution）的功能漏洞，有被駭客發動緩衝溢位攻擊，造成記憶體內容，包括密碼、加密金鑰外洩的風險。但條件是駭客必須在本機上執行程式碼。

在名為「NetSpectre」的新手法中，研究人員是以極慢速度將資料從目標機器中外洩出來。首先，他們透過Evict+Reload快取攻擊，以每小時15-bit速度汲取資料。另外，不像原本Spetre變種1攻擊使用的快取通道，他們再利用Intel AVX（Advanced Vector Extension，進階向量延伸）通道以每小時60-bit速度暗中取得資料，這也是第一個不使用快取通道的Spectre漏洞攻擊。他們並證實NetSpectre的攻擊手法可以運用在本地網路以及Google Cloud的VM之間。

研究團隊認為，NetSpectre手法展示了Spectre攻擊已經從本機端擴大為遠端攻擊，也讓為數更多的裝置暴露於風險中。更多內容

HITCON 數位貨幣

第14屆HITCON社群場新嘗試，專用數位貨幣及實境挑戰遊戲

在第14屆臺灣駭客年會社群場（HITCON CMT），除了多項技術分享的議程之外，大會活動也是一直以來的重點。例如，今年大會推出專用的數位貨幣HITCON Token，並推出限定的冷錢包，也就是開源的區塊鏈硬體電路板，含電子紙、WIFI與藍牙（BLE）等多種功能，且電路板內建安全元件、可離線存放密碼貨幣。同時，大會規畫了資安挑戰賽，讓與會者可從大會競賽或攤位活動中取得HITCON Token，運用於交換紀念品或取得活動參加資格。

大會今年也首度推出駭客版實境密室逃脫遊戲HITCON Hackdoor。遊戲中充滿門禁系統破解、無線連網設備入侵、破解手機密碼檔、無線網路Wi-Fi等挑戰。主辦單位也帶領與會者學習和挑戰生活中的各種物聯網裝置，並察覺任何系統可能存在的資安問題。更多內容

GCP 虛擬機器安全技術

GCP推出可防竄改的虛擬機器安全技術

將工作負載移往雲端，安全性是企業的重點考量之一，Google從3月開始，發布了一系列雲端的安全性更新，更在5月的時候發布了安全的沙盒容器Runtime gVisor，以及機密運算開發框架Asylo。而在Cloud Next大會上，同樣也釋出了一系列雲端安全技術，而Google宣布在GCP上，Shielded虛擬機器測試版上線，其具備不受Rootkit和其他惡意軟體攻擊的高安全性。

Shielded虛擬機器使用了一系列先進的安全控制技術，幫助使用者抵禦Rootkit和Bootkit這類惡意軟體，確保使用者的虛擬機器不會被任意竄改，以有效保護企業工作負載免於遠端攻擊、特權提升（Privilege Escalation）或來自內部的惡意威脅等攻擊。更多內容

三星智慧家庭 SmartThings

三星第一版SmartThings Hub爆可被駭客接管的20項漏洞

思科Talos安全研究中心發現，三星的智慧家庭SmartThings的中央控制裝置韌體出現20項漏洞，可能導致駭客間接接管家中無線攝影機或智慧門鎖。所幸三星已釋出修補程式。

三星SmartThings Hub是管理家中連網產品，像是智慧燈泡、中央溫控、連網攝影機或智慧門鎖的中央控制器。SmartThings Hub的韌體為Linux軟體，可允許不同傳輸協定，如乙太網路、Zigbee及Z-wave、藍牙等標準物聯網（IoT）裝置互通。

Talos Labs在SmartThings Hub韌體發現到總共20個大小漏洞。開採這些漏洞所費的工夫，以及造成的風險各有不同，有的也很難開採，但是如果串連起來就能讓駭客成功駭入SmartThings Hub。更多內容

Google 雲端託管硬體安全模組

Google即將推出雲端託管硬體安全模組HSM測試版

Google在Cloud Next發表了多項雲端安全性服務，其中一項便是雲端託管硬體安全模組HSM（Hardware Security Module）服務，讓用戶可以託管加密金鑰以及執行加密操作，並且與金鑰管理服務（KMS）整合，讓用戶使用硬體所建立並保護的金鑰變得非常簡單。

Cloud HSM是在GCP上即將要推出的硬體安全模組服務，透過在雲端上託管，免除企業自行管理HSM叢集的麻煩，不再需要進行擴展或是安全性修補的成本支出，透過API就能操作並自動化使用Cloud HSM服務。Cloud HSM支援對稱與非對稱金鑰，用戶可以使用對稱的AES-256，以及RSA 2048、RSA 3072、RSA 4096、EC P256以及EC P384非對稱加密金鑰來加解密與進行簽章作業。更多內容

PDF編輯器挖礦軟體

軟體供應鏈攻擊再起，微軟：小心安裝PDF編輯器卻讓挖礦軟體上身

微軟安全團隊揭露了一場針對軟體供應鏈的攻擊行動，駭客開採了PDF編輯器安裝流程中的漏洞，竄改安裝時所需下載的MSI字形套件，並植入挖礦程式。微軟亦向外界示警：軟體供應鏈已受到駭客的青睞而成為高風險領域。

這起攻擊行動是因遭到微軟安全防護服務Windows Defender ATP攔截，而引起研究人員的注意。在這起事件中，駭客建立了一個仿冒PDF編輯器之軟體合作夥伴的伺服器，還複製與代管該軟體合作夥伴所提供的所有MSI檔案，接著竄改其中作為亞洲字體套件的MSI檔案，植入可用來開採門羅幣的挖礦程式。更多內容

Oracle WebLogic 漏洞開採

當心！Oracle WebLogic 重大漏洞已遭駭客開採

甲骨文的WebLogic Server軟體一項遠端程式碼執行重大漏洞，近日遭到至少2組駭客開採，安全公司呼籲應儘速修補。

編號為CVE-2018-2893的漏洞出現在Oracle WebLogic Fusion Middeleware中的WebLogic Server，受影響版本包括10.3.6.0、12.1.3.0、12.2.1.2及12.2.1.3。若遭成功開採，可導致Oracle WebLogic Server機器遭到接管。

根據入侵後果、遠端開採及開採的容易程度，該漏洞被給予10分中的9.8分，被列為「重大」（critical）風險等級。甲骨文已經於7月的季度更新中予以修補。更多內容

勒索軟體 Jigsaw

勒索軟體Jigsaw改造再現身，這次不勒索，改當比特幣小偷

老舊的勒索病毒Jigsaw經改造後，又化身為比特幣小偷，竊取使用者的比特幣。資安業者Fortinet日前證實了，這款變身過後的Jigsaw病毒會透過更改電子錢包的位址，並重新導向到攻擊者的帳戶，來竊取比特幣。根據Fortinet官網，這款惡意程式已經成功竊取至少8.4個比特幣，大約價值6萬美元。

這個竊取比特幣的惡意程式是由Fortinet在定期監控區域網路威脅時所發現，FortiGuard Labs在日本區域發現了一個不尋常的病毒樣本，在進一步分析此病毒樣本後發現，這款惡意程式不僅鎖定日本地區的使用者，而是鎖定任何持有比特幣資產的使用者。更多內容

藍牙配對規格

藍牙配對規格有瑕疵，恐造成中間人攻擊，蘋果、英特爾及高通都遭殃

兩名來自以色列理工學院的研究人員近期揭露，藍牙（Bluetooth）標準中的Secure Simple Pairing與LE Secure Connections裝置配對功能，含有一重大安全漏洞CVE-2018-5383，將允許駭客攔截藍牙裝置之間的通訊，影響了任何部署這兩項功能卻未確實執行驗證的作業系統與驅動程式，包括蘋果、博通（Broadcom）、高通（Qualcomm）與英特爾都受到波及，採用上述業者所開發之藍牙晶片的裝置亦無法倖免於難，例如iPhone與Android手機。更多內容