果核邀請專家獻策，破解惡意後門與車載資安盲點

2023/10/02

有鑒於惡意後門、車載資安等事件頻傳，無論企業或個人都深受其害。果核數位於是將2023秋季Hacker Talk論壇主題設定在此，力邀資深資安專家剖析箇中來龍去脈，並給予偵測和防護建議。

抽絲剝繭，揭開Nginx注入後門的真相

率先開講的TeamT5資安工程師Peter Syu，以「追蹤攻擊中基於Nginx的無檔案注入後門」為題進行演說。

他指出，近期在執行資安事件調查任務時，發現一個特別的Nginx後門程式，以注入作為攻擊媒介，迥異於常見的Nginx後門態樣，值得一探究竟，而他把惡意程式命名為NginxStealth與NginxSpy。

當下情況是，Peter與同仁在一台Ubuntu伺服器中發現可疑活動，有不明Nginx程式在執行，但查找Access Log，卻查無任何可疑紀錄，相反地在一些Debug Log看到可疑現象，研判攻擊者試圖透過Base64字串進行Decode，之後在Temp目錄創建一個.xz壓縮檔，從中解壓縮其他3個惡意程式，包括00000000-hot.bak檔案（CVE-2021-4034）、Log清除工具，以及一個.bak、負責把其他惡意程式注入Cron處理程序，此後Nginx Injector再去尋找Nginx Process，將NginxSpy注入Nginx Master Process，同時把NginxStealth注入到Nginx Worker Process。

NginxStealth是一個可以Hook Nginx物件的惡意程式；另外NginxSpy是一個後門，會監聽NginxStealth傳來的封包，且以Root權限執行。

所謂Nginx為一支開源軟體，在1.9.1版本增加對Dynamic Module的 Load功能，意謂駭客可藉此動態載入惡意模組，而不需將此模組編譯到Nginx主程式。

其特別之處，在於NginxStealth會去Hook Nginx裡的物件，然後過濾特定連線，意在躲避Logging機制，協助攻擊者從記憶體注入完整函式庫，悄無聲息地從事任何惡意行為，也能輕易繞過EDR或防毒偵測。

這個Nginx Injector注入手法，主要啟用一個ELF Application Loader，簡言之就是駭客製作一個Loader，把他要的函數載入記憶體。這個Injector會先挑選一個常駐程式，例如這次事件所用的cron.d。具體來說，它會先將mmap這個Function Code寫進cron.d，接著在mmap後面呼叫INT3、讓Injector利用Wait來等待執行，然後Injector便藉由Ptrace呼叫cron.d裡的mmap，開啟兩段空間塞入惡意SO Library和一段Shellcode；至此Injector完成任務，後續事情交由Shellcode執行。

至於如何進行偵測？唯一方法就是在Memory Maps裡察看可疑空間，為此Peter寫了一支Nginx Check模組，其實是從其中一個後門修改而成，但它沒有後門功能，僅做列舉檢查，負責列舉那些NginxStealth去Hook的位置。

若你要編譯此Nginx Check Module，可以用with-compat參數，編完後便在Nginx Corn檔案裡執行Load Module。

假使你只有一個Nginx Process，可利用 Nginx-S Reload，讓它載入整個Config，如此就不會讓Connection斷掉，順利完成Load Module。萬一啟動很多Nginx Woker Process，就不適用Nginx-S Reload，只因為它會重啟整個Worker Process，導致原本注入的東西不見，此時推薦使用GDB Attach到Woker File，借助Peter提供的Script，列出整個Check和Handler的記憶體位置。

遵循法規，求取車載應用與風險平衡點

接下來由奧義智慧資深資安研究員林殿智登場，闡述車載安全攻擊面分析。

林殿智表示，隨著自動駕駛發展，凸顯AI可帶來諸多優勢，但也可能會被惡意使用、破壞自駕車運作，足見現今車載安全面臨莫大挑戰。

根據近年Upstream做的車載資安漏洞統計，可見2019~2020一年頂多30幾個，但是在2022年暴增6、7倍之多，且多屬於高風險或危險程度。另外分析 2022 年度資安事件發起者，以前大部分為白帽駭客做的資安研究，但近年情況有變，黑帽駭客攻擊事件的比重高漲，顯示駭客從事車載相關攻擊可說越來越普遍。

接著探討車載安全攻擊面。由於現在車載應用日趨廣泛，不只像是一支手機連結雲端服務，車輛本身也提供多元服務，所以它既是Client也是Server，導致攻擊面非常廣。首先談到Remote Keyless系統，大家深知若是不安全的無線鑰匙，發送的訊號可能遭人盜錄、執行重放攻擊；如今駭客已知車商採取Challenge-Response反制措施，因而改採中繼攻擊，有一人躲在車主的鑰匙旁邊接收訊號，再傳送給遠端位在車子旁邊的同夥，照樣完成竊車動作。

往汽車內部網路的攻擊包括利用在車內聯網設備上的對外服務中找漏洞，再透過車子內部的連網介面，俟機發動CAN bus注入攻擊。此外也包括一些破解軟體限制進行改車 Tuning 的行為。

此外OEM廠提供一些雲端加值服務，可能衍生對應的攻擊面，例如API的權限驗證設計不良，攻擊者即可直接透過開在雲上的API，對車輛進行非法監控或控制。像是自動駕駛也有一些專屬攻擊，意即攻擊者擅於挖掘AI盲點，進而做到物件消除，造成影像辨識失靈，甚至做到一些像是Control Takeover的干擾行為。至於充電樁也有對應攻擊行徑，譬如中斷充電過程、破解收費機制，甚或釀成隱私洩漏的攻擊情境。

關於林林總總的Attack Vector，Upstream也進行一番統計，其實針對雲端Servers攻擊的情境占最大宗；其次是Remote Keyless Entry系統。此外像是以4G、5G、Wi-Fi為入侵管道，一路打到汽車內部控制系統，乃至針對ECU、Head Unit、Infotainment System或Bluetooth進行攻擊，都值得留意。

為避免憾事發生，有一些法規嘗試調整過往的破口，如ISO 15118強調充電樁在資訊交換時，不能僅單純使用VIN碼如此易竄改的依據，應採用憑證交換機制。

另外針對車廠設計車子的初期未評估風險，後續也無法即時修補漏洞，聯合國歐洲經濟委員會（UNECE）世界車輛法規協調論壇（WP29）便制定R155、R156兩項法規，前者要求車子在出廠前必須評估風險，了解可能遭受的攻擊面，並建構持續監控的系統；後者要求車子須有安全更新管道，隨時可對車輛更新修補。

總結來說，在科技進步與資安意識之間必須求取平衡，莫要資安問題嚴重便阻礙科技進步，也不要一味發展科技而遺忘資安。

文章來源: https://www.ithome.com.tw/pr/158836

其他訊息

產業訊息

果核邀請專家獻策，破解惡意後門與車載資安盲點

其他訊息

如何有效監控雲端成本？用「用量」而非「費用」來分析異常

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

果核 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

果核 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

果核邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

果核串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

果核 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

主動追蹤 AWS 「資源用量」，避免配額用盡造成任務失敗

我的網站慢嗎？如何檢測讓網站加速？新手必知 5 項網站優化指南！

阿里雲訪問控制與權限設置教學

該怎麼選擇 GCP Disk ?

AWS-WorkSpaces雲端桌面服務 (下集)

SOC 是什麼？SOC 資訊安全監控 v.s NOC 網路操作中心的差異？

2021 OWASP Top 10 A08軟體及資料完整性失效

OWASP前10大A07認證及驗證機制失效，瞭解如何修補及預防！

2022 果核 Hacker Talk 漂亮收尾， 解構開發模式、弱點檢測之安全盲點

CDN 內容傳遞網路是什麼？其運作的原理及用途為何？

SOC 資訊安全監控中心是什麼？4 項功能服務與優勢一次知！

如何提高網站的速度，為中國用戶提供可靠的體驗?

如果AWS訪問密鑰暴露怎麼辦？記住這4步驟一定要先做起來！

快速上手打造專屬直播平台

2021 OWASP Top 10 A06易受攻擊和已淘汰的組件

果核Hacker Talk傳授企業資安設計要訣，並探索IoT資安風險化解之道

果核 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

果核 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 果核 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！

嚇！手遊資安危機　數小時恐喪失上億營收

從Google Play下載App保證安全!？資安業者：超過100款惡意程式會偷資料、點擊詐騙

網銀App漏洞金管會關注