在駭客攻擊事件方面,於金融領域部分,金管會證實台灣多家證券商於2月3日遭DDoS攻擊並勒索比特幣,而在台灣證券商遭勒索比特幣事件當日,澳洲金融業同時淪陷;在資料外洩部分,外交部領務局電子信箱異常,民眾出國資料登入資料恐外洩;在攻擊手法部分,波蘭多家銀行遭水坑式攻擊,植入惡意程式竊取資料。
在軟硬體漏洞部分,NoSQL資料庫存在漏洞,並需進行安全更新。
在本月專題彙整分析部分主題為TWCERT/CC 105年度通報統計分析,並分別介紹通報情資分類、105年度通報筆數統計、國內資安事件通報與處理流程、國外資安事件通報及如何通報情資至TWCERT/CC,供讀者能對資安事件通報有進一步了解。
國內外重要資安新聞
國內外資安政策、威脅與趨勢
1、智慧連網娃娃存在資安漏洞,孩童恐遭竊聽
「凱拉娃娃」(My Friend Cayla)是由美國玩具公司Genesis Toys 所推出的玩偶,具有語音識別和對話功能,可透過Wi-Fi連接至資料庫,並經由類似蘋果Siri的人工智慧系統分析,與孩童進行即時對話。但據德國電信監管機構警告,凱拉娃娃存在資安漏洞,對話內容可能被駭客攔截,建議已經購買的家長盡速將凱拉「銷毀」,以免孩童的對話錄音遭到存取,令隱私曝光。
隨著物聯網技術興起,現在連玩具玩偶都能結合智慧連網功能,發展出許多新鮮的玩法。Genesis Toys 在凱拉娃娃的網頁介紹中寫道:「凱拉可以即時了解和回應你幾乎任何事…她不只是個娃娃…她是個真的朋友。」一開始,凱拉娃娃會詢問孩童包括姓名、家長姓名、學校和住處等基本問題,並將資訊回傳Genesis Toys,而該公司會將資料提供給紐安斯通訊公司(Nuance Communications),以改進與孩童的對話內容。
然而,據挪威消費者委員會調查發現,紐安斯通訊公司的業務範圍包含販售「生物識別情報」給執法部門、情報單位和軍隊,例如指紋、虹膜等個人特徵資料,令凱拉娃娃存在違反隱私和個資保護法的疑慮。
對此,德國負責監督電子通訊的官方機構「聯邦網路局」(Bundesnetzagentur)日前發出警告,認為凱拉娃娃內建的智慧科技涉及洩漏個資,會在未獲允許的情況下記錄和蒐集孩童的對話,讓孩童暴露在隨時可能遭竊聽的環境中,因此建議家長盡速銷毀已購買的凱拉娃娃。
據德國法令規定,該國禁止販售或持有被列為禁用的監視裝置,違者可判2年徒刑。針對凱拉娃娃這類智慧玩偶是否違反歐盟資訊保護法規,聯邦網路局正進行調查。
(資料來源:臺灣匯流新聞網)
2、使用virustotal請小心,切勿上傳機敏檔案
本中心接獲通報,某單位欲將文件上傳至virustotal檢查有無病毒,但此文件屬於該單位之機敏資訊。外洩之文件為該單位之志工服務活動資料及人員清冊,內含志工姓名、身分證字號、出生日期、電話及學歷等敏感個資,恐易成為有心人士資料蒐集利用及詐騙目標。
TWCERT/CC建議切勿將重要資料上傳雲端掃描,以避免類似情形發生,若仍有上傳檢測需求,建議先將檔案雜湊處理之後,上傳hash值(例如SHA1或MD5)檢測,以避免遭有心人士取得原始檔案,做不法用途。
3、印表機曝露在網路上小心遭駭客勒索
暱稱Stackoverflowin的駭客入侵了15萬台的網路印表機,警告大家將印表機曝露在網路上有風險的。主要的印表機品牌幾乎都受到影響,從Canon、Epson、HP、Lexmark及Brother。駭客以ASCII編碼畫了一個機器人,並說使用者的印表機已成為殭屍網路的一部份,還在文件上留下了自己的Twitter帳號。
TWCERT/CC提醒使用者可以關閉9100連結埠並設定印表機的管理員密碼以避免不明人士濫用自己的印表機。
若已收到勒索信,可參考以下做法:
1. 將辦公室所有電腦檔案作 “離線” 備份 (例如複製到行動硬碟上,且複製完後不要接在電腦上),避免它轉而攻擊其他有資料的電腦。
2. 將該印表機的IP改掉,並且將 gateway 亂設為某個無法連線的IP,mask 改為255.255.255.255,讓印表機無法對外界連線作出回應。
3. 請確認每一台電腦都有每日更新病毒碼,並全面掃毒。
(資料來源:臺灣IThome、Jessica Michael Twitter)
4、IBM偵測到多起SQL injection攻擊
IBM xforce在GMT1月22日偵測到來自中國的SQL injection攻擊,後續在1月23日、24日又偵測到攻擊,TWCERT/CC提醒參考以下IP列表,做必要之防護作為。
●攻擊類型:SQL Injection
●來源IP:
27[.]8.241.180
123[.]206.194.143
123[.]206.198.188
223[.]71.149.164
175[.]2.24.66
202[.]10.78.45
115[.]159.126.103
171[.]108.175.78
101[.]226.65.108
101[.]226.85.67
123[.]56.140.148
115[.]29.113.190
110[.]85.4.102
60[.]163.169.55
14[.]115.181.70
202[.]105.72.140
118[.]122.39.207
14[.]114.110.172
112[.]125.124.6
182[.]135.6.172
114[.]215.125.186
218[.]73.114.213
●Payload
event-
info=URL=/TEXTBOX2.ASP,arg=action=modify&news%69d=122%20and%201=2%20union%20select%201⬡2⬡admin%2bpassword⬡4⬡5⬡6⬡7%20from%20shopxp_admin,protocol=http,field=newsid,value=122 and 1=2 union select 1⬡2⬡admin+password⬡4⬡5⬡6⬡7 from shopxp_admin
●Estimated Records leaked
Unknown
(資料來源:IBM® X-Force Exchange)
5、工業與環境控制設備無身份驗證機制或使用預設密碼,並曝露於網際網路上,恐有資訊外洩與遭受入侵之疑慮
技服中心近期執行僵屍網路調查案時,發現有特定IP對工業控制與環境控制設備進行掃描,且確認部份機關所使用的環境控制設備已曝露在網際網路上,並且未設定密碼或使用預設帳號密碼等情況,可能有資訊外洩與遭受駭客入侵之疑慮。
由於相關控制設備可被使用於環境控制、工業控制及交通號誌等系統,主要作為電力、水力、溫度及消防等訊號轉換控制之使用,請各機關盤點與檢視是否使用相關設備,對該設備加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。
●影響平台:
多款環境與工業控制設備
●建議措施:
(1). 盤點與檢視是否使用環境控制、工業控制及交通號誌等相關裝置。
(2). 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
(3). 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
(4). 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
(5). 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
(6). 建議將控制設備更新韌體至最新版本。
(資料來源:技服中心)
駭客攻擊事件及手法
1、外交部領務局電子信箱異常,民眾出國資料登入資料恐外洩
外交部表示領務作業電子郵件系統有不明來源IP成功登入數十個外館領務電子信箱,信箱內近3個月、約1萬筆人次個資可能已遭竊取,遭入侵的外館信箱為日本、英國和東南亞等民眾較常旅遊的地區。外交部領務局推廣「出國登錄」是讓民眾出國前登錄個人資訊,旅遊地外館領務電子信箱就會收到資料,民眾若在海外遭遇急難,可獲得即時協助。領務局已委請資安專家到該局進行數位鑑識,確認電郵及相關主機並無遭駭客入侵跡象,其他個人資料均安全無虞。
TWCERT/CC提醒,民眾登錄時所使用的電子信箱,若密碼與登錄的個人資訊有關連,建議儘快換密碼,以防遭有心人士不當利用。
2、金管會證實台灣多家證券商於2月3日遭DDoS攻擊並勒索比特幣
金管會晚間證實,包含元富證、元大證、群益證、凱基證和大展證等券商接獲駭客勒索約新台幣 17 萬元至31萬元不等的比特幣,否則將引爆植入的木馬並揚言若不付款,下週二(2月7日)將發動另一波DDoS攻擊。對此金管會表示,確實有證券商遭分散式阻斷服務攻擊 (簡稱 DDOS),導致對外網頁頻寬滿載,進入公司網頁速度變慢情形,經調查證券商均已迅速處理並通報警方,而券商目前並無報告此遭植入木馬的狀況。金管會表示系統雖然遭駭,但證券投資人仍可透過其他下單管道,例如手機 APP、語音下單或電話下單等其他替代管道,因此投資人權益及證券商的業務並未受到影響,1.金管會晚間證實,包含元富證、元大證、群益證、凱基證和大展證等券商接獲駭客勒索約新台幣 17 萬元的比特幣,否則將引爆植入的木馬。對此金管會表示,確實有證券商遭分散式阻斷服務攻擊 (簡稱 DDOS),導致對外網頁頻寬滿載,進入公司網頁速度變慢情形,經調查證券商均已迅速處理並通報警方,而券商目前並無報告此遭植入木馬的狀況。
金管會除強調已促請業者落實資安規範、強化網路資安防護與演練、資安監控與應變機制、提升資安人才等加強資安防護作業,以防範日益增加的資安威脅,亦對此事件金管會已提出 5 大資安防護措施:
一、 建立資通安全檢查機制:
請金融機構建立資通安全之內部控制及稽核標準或標準作業規範,強化網路資安防護與演練,並落實執行。
二、 設置金融業者資安通報平台:
為掌握業者資安監控與應變機制,業建立金融業者資安通報平台。必要時由金管會協助金融業者因應處置,或轉請國家資通安全會報技服中心提供協助。
三、 建立資安資訊分享機制:
金管會將建置金融機構資安資訊分享與分析中心(FISAC),提供金融業者資安預警訊息,適時提醒業者注意並採取防護措施。
四、 請金融業者隨時注意對外網路資訊安全的維護,如發現有受攻擊情事,應洽電信廠商就 DDOS 攻擊進行流量清洗、阻擋攻擊者之 IP 等。
五、 督導金融業的監控網路系統運作情形,如有系統異常無法運作情事,應即時公告並擬具因應方案,並提升資安人才,以確保客戶及投資人權益。
3、台灣證券商遭勒索比特幣事件當日,澳洲金融業同時淪陷
資安專家透露,2月3日證券商遭DDoS攻擊勒索當日,澳洲也有某間銀行也同樣遭到DDoS攻擊,在2月1日也有香港金融業者傳出類似遭受DDoS攻擊的情況。據 iThome 新聞表示,除了比特幣錢包網址不一樣之外,信件內容與針對臺灣證券業寄送的勒索信件內容一模一樣。幕後主使者可能是同樣一個組織,但是針對不同地區的攻擊行為,則分為指派給不同的工作小組,不同錢包網址就是認證不同工作小組的「績效」。
其駭客集團都自稱「Armada Collective」,一般資安研究者都相信,是模仿從2014年中開始活躍,以500Gbps~1Tbps的DDoS攻擊勒索贖金的駭客組織「DD4BC」。
因為對於中港臺的運作熟悉,加上與澳洲先前同為大英國協,對澳洲商業運作狀況了解,有金融業者以及相關人士推論,駭客組織極有可能是來自香港的Armada Collective模仿犯。然而這次受駭的證券業者大多是以塞爆流量的方式,以UDP封包加上反射放大攻擊的方式,以大量封包癱瘓證券商的網路下單系統。因此與中國香港駭客慣用的CC(Challenge Collapsar,挑戰黑洞)攻擊手法,利用許多免費的代理伺服器,匿名發動DDoS攻擊手法有極大的不同。
要認定這次針對臺灣證券業者的DDoS攻擊是中國、香港甚至是中國網軍或解放軍所為,仍有其難度,但要說明這種利用發動DDoS勒索贖金的手法和網路犯罪組織,都會以Armada Collective稱之。
4、波蘭多家銀行遭水坑式攻擊,植入惡意程式竊取資料
波蘭多家銀行被植入惡意程式,該駭客可能與Lazarus Group有關。駭客透過水坑式攻擊,先在波蘭的金融監管單位KNF的官方網站植入惡意的JavaScript檔,而波蘭境內多家銀行表示在瀏覽該網站後,銀行的資安監控中心就陸續出現網路異常傳輸,下載其他後門程式到受害銀行。資安公司賽門鐵克查出約31個國家超過100的單位共150個IP受到感染後門程式,包含波蘭、美國及墨西哥,駭客除了攻擊銀行也同時瞄準了ISP業者,資安研究單位BAE證實同樣的攻擊手法在墨西哥也出現。
目前確認駭客僅有竊取銀行資料而沒有造成銀行或客戶的金錢損失,但這些資料也因為傳輸過程被加密而無法得知有什麼資料遭竊取。
TWCERT/CC建議相關單位參考以下連結之IOC(indicators of compromise),做相關偵測機制與防護作為。
- https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware-0
- https://badcyber.com/several-polish-banks-hacked-information-stolen-by-unknown-attackers/
(圖片來源:BadCyber)
軟硬體漏洞資訊
1、NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮。
1. 安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手法,由於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估計全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。2.技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客入侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。
●影響平台
允許未授權外部使用者進行連線之NoSQL資料庫
●建議措施
1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、MongoDB(27017埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行內部盤點與檢視是否使用相關NoSQL資料庫。
2. 定期備份資料庫資料
3. 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。
4. 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。
5. 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。
6. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
8. 建議將資料庫更新至最新版本
專題彙整分析 – TWCERT/CC 105年度通報統計分析
TWCERT/CC協助國內資安事件通報與處理流程,亦協調國外通報資安事件處理與追蹤。本章節將會依序介紹通報情資分類、105年度通報筆數統計、國內資安事件通報與處理流程、國外資安事件通報及如何通報情資至TWCERT/CC。
1、通報情資分類
TWCERT/CC通報應變小組每日收取外部情資進行通報作業,外部情資來源主要有國內外CERT、資安公司、一般企業、資安漏洞分享平臺及TWCERT/CC主動於網上蒐整等。目前接受之通報情資分為四種類型,包含資安訊息情資(ANA)、網頁攻擊情資(DEF)、資安預警情資(EWA)、入侵攻擊情資(INT),各類型情資中包含哪些通報類型則可參考表1。
表1、通報TWCERT/CC資安事件筆數統計表
2、105年度通報筆數統計
105年1至12月份共有4023筆資安事件通報至TWCERT/CC,其中以入侵攻擊情資3489筆最多,網頁攻擊情資224筆次之,資安訊息情資有159筆,資安預警情資則有151筆,詳細清單如表2所示。
表2、通報TWCERT/CC資安事件筆數統計表
3、國內資安事件通報與處理流程
通報人員首先確認事件相關IP或網域名稱為台灣所屬,並對情資內容進行了解與分類,國內通報主要經由「政府資安資訊分享與分析中心(G-ISAC)」通報分享平臺進行情資分享,G-ISAC通報分享平臺將會把相關情資資訊通報給各所屬單位,所屬單位依影響等級回饋相關處理作為至G-ISAC通報分享平臺,以協助TWCERT/CC進行事件追蹤與控管,作業流程如圖1所示。另若有可追蹤到IP或網域名稱所屬之單位,TWCERT/CC亦會直接通知該單位並協請處理資安事件,以提高通報之效益。
圖1、國內通報作業流程
4、國外資安事件通報與處理流程
通報人員首先確認事件相關IP或網域名稱為國外所屬IP,並對情資內容進行了解與分類,再經由Email通報IP所屬之業者、ISP業者或該國相關CERT單位,通報作業流程如圖2所示。在105年度中,通報至外國的資安事件前五名國家分別為美國、越南、韓國、中國及法國,分別佔了通報至國外事件總數的34%、12%、8%、7%及6%。
圖2、國外通報作業流程
5、如何通報情資至TWCERT/CC
若是有進一步想要了解TWCERT/CC通報方式,或是有資安情資欲通報TWCERT/CC,我們提供多種管道連繫我們並提供情資,若是上班時間可播打免付費市話電話0800-885-066,另亦可透過E-mail信箱twcert@cert.org.tw或是至官方網站線上通報表格https://www.twcert.org.tw/twcert/ir_form連繫我們,並提供詳細通報資訊,TWCERT/CC會盡快為您服務。
website development company in chennai
回覆刪除best web design company in chennai