阿碼外傳-阿碼科技非官方中文 Blog: 09/01/2011 - 10/01/2011

2011年9月27日

mysql.com遭駭客入侵,導致瀏覽者感染惡意軟體

(作者: Wayne Huang, Chris Hsiao, NightCola Lin)
我們的 HackAlert 24x7 網站監控平臺在 9/26 偵測到 mysql.com 被入侵,並且被利用來散佈惡意程式。上圖中反白的部份就是被注入的javascript。以下影片則是當瀏覽者瀏覽 mysql.com時,被感染的實況:


[感染鏈]

Step 1: http://www.mysql.com

內含一段JavaScript讓瀏覽器去載入以下js:

Step 2: http://mysql.com/common/js/s_code_remote.js?ver=20091011

感染點就在這邊。完整的js 檔可以在這裡找到。

被注入的區段可以從一開始的圖看到。當我們將這段混碼的JavaScript解開之後如下:
純文字版本可以在這裡看到。這段 script 會產生一個 iframe 指向下一步 (Step 3)。

Step 3: http://falosfax.in/info/in.cgi?5&ab_iframe=1&ab_badtraffic=1&antibot_hash=1255098964&ur=1&HTTP_REFERER=http://mysql.com/

此網址會產生Http 302將瀏覽者重導至下一步 (Step 4)。

Step 4: http://truruhfhqnviaosdpruejeslsuy.cx.cc/main.php

這個網域上面放著 BlackHole Exploit Pack。它會利用瀏覽者的瀏覽環境( 瀏覽器、瀏覽器插件: Adobe Flash,Adobe PDF,Java,etc... )來進行惡意攻擊。一旦成功之後,不需要瀏覽者的允許,便會永久性的在其機器上面安裝惡意程式。瀏覽者不需要做任何的點選或者同意任何事,僅僅是用一個有漏洞的瀏覽環境瀏覽 mysql.com ,便被惡意程式感染。

目前,惡意程式在VirusTotal 上面的偵測率為 4/44


[攻擊者]

我們目前知道的有限。以下為此事件中攻擊者所利用的惡意網域相關資訊。

falosfax.in (Step 3)
Address: 212.95.63.201
Location: Germany / Berlin
Created On:20-Jun-2011 13:17:05 UTC
Sponsoring Registrar:Transecute Solutions Pvt. Ltd. (R120-AFIN)
Registrant Name:CHRISTOPHER J KLEIN
Registrant Street1:7880 SW 132 STREET
Registrant City:MIAMI
Registrant State/Province:Florida
Registrant Postal Code:33156
Registrant Country:US
Registrant Phone:+1.3053771635
Registrant Email:cjklein54@yahoo.com
Admin ID:TS_14483505
Admin Name:CHRISTOPHER J KLEIN
Admin Organization:N/A
Admin Street1:7880 SW 132 STREET
Admin Street2:
Admin Street3:
Admin City:MIAMI
Admin State/Province:Florida
Admin Postal Code:33156
Admin Country:US
Admin Phone:+1.3053771635
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:cjklein54@yahoo.com
Tech Email:cjklein54@yahoo.com
Name Server:NS1.SKYNS1.NET
Name Server:NS2.SKYNS1.NET

truruhfhqnviaosdpruejeslsuy.cx.cc (Step 4)
Address: 46.16.233.108
Location: Sweden / Stockholm


繼續閱讀全文...

2011年9月5日

阿碼科技誠徵人才--以及關於我們的工作環境和文化

各位好!我上一次貼文是十六個月前了。最近都貼英文版部落格較多。好久不見。

首先,感謝各位的支持,阿碼正在快速地成長--我們前半年的營收,已經超過去年整年的營收了。但是由於業績成長太快,要做的東西太多,公司急缺工程師,於是我在這邊貼文,希望對我們有興趣的技術人才,可以與我聯絡。同時,由於阿碼正處於快速的轉型期,我希望將公司的理念、文化、以及商業模式,藉此跟各位做說明。

[公司簡介]
[理念文化]
[徵求人才]

[公司簡介]

阿碼主要以提供先進的資安產品為主,經營模式分成自有品牌以及代工兩方面。我們一方面以自己的品牌銷售,一方面則專門為各軟體大廠設計並維運最先進的產品與服務。後者是我們獲得快速成長的關鍵,也是整個業界於雲端技術、概念與商業模式的成熟,為阿碼所帶來的機會。

由於客戶群龐大,大型的軟體公司總是能夠走在市場需求的尖端。企業必須不斷採用新的科技與新的平台--雲端,社群網路,智慧型手機...但是,先行導入者,必先碰到許多資安問題。這不只侷限於威脅面,也受到流程(process)、法規(compliance)、以及法律面的影響。一個企業要採用新的技術或平台,既有的流程要改,標準如何能夠繼續通過(compliant),以及如何在法律上能夠站得住腳等,都會創造出新的資安需求,使這些客戶,找上門來詢問解決方案。

如何快速地了解這些需求,從威脅面,到法規面,到法律面,到技術的可行性,進而進入產品的設計--這些不見得適合大型的軟體公司來做。大型軟體公司內部體系複雜,加上必須維運目前既有之所有產品及服務,因此常不能夠與市場需求出現之第一時間,掌握機會,推出新服務,新技術。

但是這非常適合阿碼來做。我們機動性夠,資安能量足,可以很快地做完所有的分析,產生原型,讓對方灑給客戶測試,並根據回應做逐步修正,最後負責維運。這個模式,首成功於HackAlert之惡意程式掃描(Malware Scanning)。HackAlert掃描的雲端架構由我們設計、開發、維運,開放 API 給客戶呼叫,以 API 次數計價,先是成功於2008年獲得日本最大網路集團:GMO旗下的 GMO Hosting and Security採用,於日本推出 WebAlert 掛馬檢測服務(1, 2),繼續獲得美國 VeriSign 以及 GlobalSign 兩大 SSL 公司採用,運用在所有的 SSL 客戶網站上。

VeriSign 該部門被賽門鐵克併購,為我們的合作帶來了威脅。賽門鐵克是以防毒起家的軟體公司,併購後立刻進行評估,是否可以用既有技術取代 HackAlert。可是結果發現,以「透過雲端掃瞄掛馬」的技術來說,內部無法取代阿碼,因此不但沿用,其VP更公開表示,賽門鐵克擁有高水準的雲端掛馬掃瞄,因為他們引進了阿碼的HackAlert平台。去年年終的年度報告上,內部統計資料顯示,因為多提供了掛馬檢測,加速了他們 SSL 客戶的成長,也幫助保留了既有的客戶。

由於賽門鐵克是資安公司,取得內部信任與信心後,我們承接了多個新產品與服務的開發。最近一個快完成的,已經經過對方第一階段的既有客戶使用評比。對方選了超過一百家的美國企業,條件是「目前正在使用對手相關服務」。試用結果:一致好評。該產品即將上市,與所有賽門鐵克之客戶見面。這只是其中之一。其他各項新的產品與服務,從今年到明年底,也會陸續與各位見面。

同時,我們每個月將一些研究成果發表在英文部落格上,常被美國最大的各媒體報導,包含路透社,USA Today,IDC等,最近連電視新聞都上了。又加上我們的代工服務,於業界的口碑不錯,經過媒體報導與大家口耳相傳,阿碼在資安界,已經成為各公司在研發新產品與服務時的首選合作伙伴之一。

這對阿碼本身也非常適合。以賽門鐵克為例子,他們的售後服務有24X7的電話中心,但是我們沒有。他們有龐大的行銷團隊,可以為新的服務做許多的影片,登許多廣告,但是我們沒有。幫他們代工,我們只負責設計,開發,以及維運,然後寫一個客戶服務手冊,派人去美國、日本、澳洲三地將對方之電話中心支援團隊訓練完成,這個服務就有24x7的客戶服務了。我們也參與廣告影片、文宣的設計,但是資源都是對方出。這對於阿碼這樣一個以技術為主的團隊來說,十分合適。

由於一下子太多廠商找我們合作,題目也廣,我們必須很謹慎地挑選。幾個月前,某美國水果公司多次找我們,但經過評估,我們沒有任何資源能夠承接,我只好內部提議,回絕對方。也是這時,董事長沙正治先生,覺得我們不可以將這些機會拱手送出,公司必須很快募資,並在工程部方面做一定的成長。

募資非常順利,既有投資人全部支持,董事會也於之前核準了新技術股的發放,讓技術股不致因募資而受太大影響。上星期我們完成了阿碼有史以來最大的一次增資案,故我於此貼文,介紹公司,希望對資安有興趣的技術人才,可以考慮加入我們。

當然,在品牌方面,我們也有很棒的成績。各位看FOX拍的電影嗎?嗯,我們同事剛從 LA 回來--他們買了軟體版的CodeSecure V4。CodeSecure改成軟體版後,由於試用容易,價錢合理,準確度也好,客戶採用的速度比以前快很多。上星期我們正式發表 CodeSecure V4 軟體版,並與 Digital River合作,客戶可以直接透過網站下載並購買 CodeSecure V4

對我們品牌產品有興趣的朋友,可以透過我們網站了解。在這邊我希望先介紹公司理念與文化,以及我們需要的人才。

[理念文化]

經營理念:
不斷在技術與服務模式上創新,提供最先進的資安服務與產品,持續探索各種自動化之可行性,降低資安投資門檻,滿足客戶需求,提升客戶滿意度。

我們是一家軟體公司,但我們更是一家資安公司。我們充分掌握資安威脅,並不斷尋求新的技術,期待能運用於資安之產品與服務上。目前,從源碼檢測,到網站的防禦,到被入侵後的處理,我們認為,都還需要太多資安專家的人工的介入,使得資安成本無法降低,資安專家工作亦辛苦。

我們認為這是可以大幅改善的--透過新技術的運用,透過服務模式的創新,持續地將人工部分儘量自動化,必可不斷降低成本,減少錯誤,提升準確度與即時性。

公司文化:

1. 講求結果,注重實際

阿碼目前有三個辦公室:台灣,美國,印度,整個團隊中,不少來自世界各地的人才。有時朋友會問,那麼不同文化之間的差異怎麼辦?我們不相信不同文化的差異會造成什麼影響,因為在阿碼,我們只認同一種文化,那就是對於客戶的滿意度以及產品的品質的追求。

我們要的結果是:客戶滿意,產品好,用得爽。你所在的部門,若可以達成這點,那麼你們要怎麼做,都可以有彈性。但是,如果沒有達到,那講再多都沒有用。客戶的滿意,產品的品質,是靠做出來的,不是靠談出來的。

我舉個例子。CodeSecure V4 快正式上市前,我拿給許多朋友測試。結果,有些人跑不起來,原因大致有兩個:

1) 記憶體問題,所以要修改 .ini 檔,才可順利執行
2) Port 已經被用掉了,也是需要改 .ini 檔

我在開會討論時提出,得到的回應是:readme.txt 中都寫得很清楚。我的回應是:你買 iPhone 回來要先看 readme.txt 然後改一改設定然後才能打電話嗎?這是什麼爛設計。

我不爽的是,有些人平常喜歡談一堆在網路上讀的,關於產品設計的理論,都是很高深的,有些名詞我也沒有聽過,但是我不管這個,我只看設計出來的東西。

東西好,客戶爽,OK 那你要怎麼做,你可以決定。但是東西不好,那請 cut the crap。我堅信,東西比別人好,都是流汗出來的,不是看了很多美麗方法就有什麼用。現在資訊爆炸,做一件事情,方法很多,理論很多,但是這些都沒關係,反正,我們一切看結果。

2. 保密至上

阿碼一直是這樣執行,但是沒有講明,造成一些問題。我覺得還是這裡講清楚。我們的客戶都不小,找我們做的東西都是他們最新要做的東西,同時,這些客戶兩兩之間,都是你死我活的競爭對手。跟他們工作,我們深刻體會,什麼叫做「連聽到對方名字都不爽」。因此,公司的保密動作,必須做得很好。

也就是說,如果你期待公司資訊一切要透明,那你會很失望。公司很多東西都不會透明,你只會參與到你參與的部分。

我舉個例子,去年我去 Black Hat / DEFCON 給我們的掛馬免殺技術 drivesploit 的演講。其中談到了非常多方法,可以讓掛馬躲避多數資安技術的偵測。隨行某位同事一直問我:我們自家技術對這些方法都沒解,這樣講出去好嗎?我的回答是:恩恩,走一步算一步。

而事實上,我們早就不怕我講的這些方法。可是公司裡知道詳情的,只有參與的同事。我們平常不提,並且給每個演算法一個代號:A1、A2、A3這樣子。除非你做到成為該項目之核心成員,你不會知道我們如何做的。

同樣,譬如你在源碼檢測 CodeSecure 部門,那麼其他部門目前正為哪個客戶做什麼技術,何時要上市,你不容易知道。

你每參與一個產品,就能夠從工作中學到不少,但僅限於你的工作範圍內。其他許多,我只會講個大方向,細節不會公開提。若你對這個不適應,譬如你會覺得「很受傷」,為何你當初「許多東西都不知道」,很多新聞你都是「從媒體上知道」,那麼阿碼便不適合你。保密是工作上的需要,因此我們徹底執行。如果你就是希望知道越多越好,那有方法:努力為公司付出,獲得我的信任,成為核心成員。你越接近核心,知道的就越多。

3. 注重紀律,講求效率

我們有指紋門禁系統,這個很多軟體公司不會有。很多人會舉矽谷很多好公司的例子,來說明為何不需門禁系統,為何效率比工作時間重要。我們認為效率很重要,但是紀律也很重要。大家都有上班之外的生活。每天有許多事情要處理,所以大家定時上下班,開會方便,生活規律。我們這行除了創新能力要夠,細心度,耐心,這些也格外重要。我們透過雲端提供服務,客戶要求的是 99.99% 的 uptime,每一分鐘的 down time,都會造成公司嚴重損失。因此,如何有紀律地將許多細節做好,是我們追求的。

效率方面,之前跨部門的溝通最麻煩,但是經過大幅整頓,目前沒這問題。凡事盡量討論,聽過大家的意見後,最後由我來定奪,我對決定負責, 團隊則100%照做。同時,做一切事情,我們都講求效率--這件事是否可以用什麼方法做得更好,是否可以不用這麼多人,這些是我們隨時探討的。

原因是,我們的效率,就直接關係到我們的成本,而「降低資安投資門檻」是我們永遠追求的目標。

4. 肯定血汗式的努力,不相信天才型的團員

前天電話中,我第一次透露給共同創辦人 Walter,HackAlert 目前實際的許多作法。Walter 之前因為身體因素,休息了一年半,所以對於我們最近用的技術,並不了解。他聽完問我,大家業界競爭,都落入同一個框框,在同一個框框中,一直拼。我們的作法完全跳出這個,可是這是如何想到的?

沒錯,我跟他說的這個創新,完全是 thinking out of the box,所以別人再怎麼做,也很難追上我們。可是我堅決不信,這是我們多麼有創意,多麼有不同的創新思維。我的回答是,因為我們最努力,我們花的苦工最多,就像做聯考題目一樣,我們每天設法把所有「新」的題型找出來,並解完。

因為我們最用心,因為我們流的血汗最多,所以很自然地,我們會從中發現別人沒有發現的方法。我覺得創新就是這麼回事。當你真的很用心做一件事,當你很肯花苦工,甚至在苦無方法時,用最笨的土法煉鋼法去將一些小細節做到,讓你的產品又比別人好 0.5%....

別小看這0.5%。很多人就是不願意花時間力氣--才0.5%而已嘛!但是就是這種態度,我們流汗,最後,導致我們想出可以提升100%的方法。如果不是這樣,一直想要一下子就有什麼 out-of-box 的想法,那叫做浮沙築高台,最後就如同之前的例子一樣,講了一堆理論做出來的東西卻很爛。

5. 速度是一切,加班難免但非常態

商場上,速度就是一切,一旦某種需求產生,客戶就是要解決方案。我們公司假日很少加班,平常亦不會常態性每天加班,但是加班絕對是在所難免。我打個比方。某美國大廠,趕著在某月要將某東西上市。但是因為是很新的東西,其內部決策不斷更改,甚至已經跟供應商下單採購大量伺服器,我們的人也排定時間出差裝機,卻臨時又改成,希望我們維運,並要求 99.99% uptime。

此時,他們最資深的,管整個雲端的頭,Br先生,正帶著家人在夏威夷度假。在週末,對方告知他,晚上12點前,回到飯店,與我們開會。我們能不奉陪嗎?開會完,我們於兩天內要決定一家全球一流的雲端廠商,要符合多種安規,要在幾天內生出一片 server 給我們,還要找 ISP,從骨幹到雲端機房的每個節點,所有使用的設備,都要能夠 fail over。所以我們照做,加班到爆。

曾經有同事問,對方是全球前幾大軟體公司,為何做事是這樣?但是我並不覺得有不對或有錯。市場是很現實的,當你餓了要吃水餃,那誰先煮好你跟誰買,難不成要等廚師午睡起來?

客戶是大爺,市場不等人,對方是大公司,但是他們的客戶也都是大公司,客戶就是立刻要,那還有什麼好討論的?我們就是立刻做。

以上介紹到此,在介紹職缺前,我將這兩個月的媒體相關報導貼於以下,希望能夠吸引各位人才。我們工作雖然辛苦,但是台灣純軟體公司並不多,能走出去的更少。趨勢科技很好,但是是很大的公司,缺乏 startup 的彈性與機動性,很容易讓你成為一個螺絲釘。阿碼正在起飛,如果你適應這裡的文化,這裡將可以提供你一片天,學習新的技術,開發新的系統,執行新的商業模式!

所以最後,回到文章的中心:廣徵對資安(不限 Web)有興趣的人才,與我們聯絡,多了解我們,並加入我們!

Msnbc: Armorize Technologies, Inc. Releases Free Community Edition of Its Source Code Analysis Tool to Benefit Non-Commercial and Educational Users, August 30, 2011

Reuters: Armorize Technologies, Inc. Releases Free Community Edition of Its Source Code Analysis Tool to Benefit Non-Commercial, August 30, 2011

Softpedia Malvertizing Spotted on Google's DoubleClick, August 26, 2011

Help Net Security: Mass injection attack compromised 20,000+ domains, delivers fake AV, August 18, 2011

Softpedia: New Mass Injection Attack Infects over 20K Websites, August 17, 2011

The Register: Attack targeting open-source web app keeps growing, August 13, 2011

USA Today: Millions of Web pages are hacker landmines, August 11, 2011

CIO: New malware infects more than six million web pages, August 11, 2011

dark Reading: 'Willysy' osCommerce Injection Attack Affects More Than 8 Million Pages, August 09, 2011

eWeek: Malware Wave Infects Six Million e-Commerce Pages, August 08, 2011

PC Magazine: Millions of e-commerce Sites Hacked to Serve Malware, August 08, 2011

Tech World: Willysy malware infects millions of e-commerce sites, August 08, 2011

ihotdesk: Malware reaches 6m pages in two weeks, August 08, 2011

GEV: Malware "Willysy" Infects More than 6 Million E-Commerce Web Pages, August 07, 2011

PC World: Speedy Malware Infects More than 6 Million Web Pages, August 06, 2011

Spam Fighter: Armorize Unleash Massive Iframe Injection Assault, August 05, 2011

Kerbs on Security: Is That a Virus in Your Shopping Cart?, August 05, 2011

ThreatPost: Massive Injection Campaign Affecting More Than Six Million Pages, August 4, 2011

Anti-Malware: Malware attack targets unpatched osCommerce websites, August 04, 2011

The H Security: Millions of osCommerce stores hacked, August 03, 2011

AVG: Massive iframe attack hits more than 100,000 web sites, August 02, 2011

HK Cert: Mass Injection Attacks Targeting osCommerce Vulnerabilities, August 02, 2011

The Register: Malware attack spreads to 5 million pages (and counting), August 02, 2011

Kriterium: iFrame Attack Infects More Than 300,000 osCommerce Sites, August 01, 2011

Softpedia: Number of osCommerce Infected Pages Raises to Millions in Under a Week, August 01, 2011

SC Magazine: Mass injection campaign affects 3.8 million pages, August 01, 2011

The Tech Herald: osCommerce-based mass injection now 3.79 million pages strong, August 01, 2011

Help Net Security: Mass iFrame injection attack now counts millions of compromised web pages, August 01, 2011

Linux Today: E-commerce sites based on open source code under attack, August 01, 2011

CRN: iFrame Attack Infects More Than 300,000 osCommerce Sites, July 29, 2011

Rockefeller News: Websites Programmed By Open Source Software Attacked By Malware, July 29, 2011

PC World: E-commerce sites based on open source code under attack, July 29, 2011

Practical Ecommerce: osCommerce 2.2 Websites Targeted by Mass Injection Attack, 143,000 Pages Hit, July 28, 2011

The Wall Street Journal: E-commerce sites based on open source code under attack, July 28, 2011

CIO: E-Commerce Sites Based on Open Source Code Under Attack, July 28, 2011

CSO Online: E-Commerce Sites Based on Open Source Code Under Attack, July 28, 2011

InfoWorld: OS Commerce-based sites under attack, July 28, 2011

Network World: E-commerce sites based on open source code under attack, July 28, 2011

Computer World: E-commerce sites based on open source code under attack, July 28, 2011

ZDNet: 90,000+ pages compromised in mass iFrame injection attack, July 28 2011

Security News: Massive Browser Attack Hits 90,000 Web Pages, July 26, 2011

CSO Online: Drive-by download infects more than 90,000 sites, Armorize warns, July 26 2011

Help Net Security: 90,000+ web pages compromised through iFrame injection, July 26 2011

Threat Post: Massive iFrame Attack Hits More than 90,000 Pages, July 26 2011

Reuters: Cyberattacks Now Targeting Small Business, July 24 2011

CSO Online: OpenX hack: Beware of Personal Shield Pro, July 08 2011

USA Today: New cyberattacks target small businesses, July 04 2011


[徵求人才]

若對我們的工作內容有興趣,麻煩直接將履歷寄給我 Wayne (wayne@armorize.com),或HR Tina (tina@armorize.com)。如有任何問題,也歡迎來信詢問。感謝大家!

工程部

資深軟體工程師/Senior Software Developer (HackAlert Team)

資深PHP工程師 / Senior PHP Developer (HackAlert Team)

Senior QA Engineer/QA Engineer (CodeSecure Team)

資深Java工程師/Senior JAVA Developer (CodeSecure Team)

Web Frontend 工程師

滲透測試專家

Android 資安工程師 (來信詢問工作內容 wayne@armorize.com)
惡意程式分析工程師 (來信詢問工作內容 wayne@armorize.com)

行銷部

網頁設計工程師/ Senior Web Engineer

業務部

資安顧問 Security Consultant
繼續閱讀全文...