2017年5月2日 星期二

106 年 3月份 TWCERT/CC資安情資月報

在TWCERT/CC近期動態方面,本中心於3月14日至15日參與2017臺灣資安大會並發表演說,另亦於 3月15日至16日參與Cyber Intelligence Asia 2017並發表演說。

在資安政策方面,印度國防部組建網路部隊防中巴駭客,G20則宣布將聯合打擊針對全球銀行系統的網路犯罪駭客,另北約將撥30億歐更新衛星資訊系統以防範駭客攻擊。在資安威脅方面,企業傳統電話交換機、錄音主機系統恐成攻擊目標,而銀行木馬Dridex發現新變種,透過AtomBombing技術躲避偵測。另在資安趨勢方面,Nokia 發布資安報告,指出手機惡意程式感染比例成長 400%。

在軟硬體漏洞部分,NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮;知名網頁及代理伺服器業者CloudFlare則證實CloudBleed漏洞導致資料外洩,建議修改密碼;Struts2 S2-045 CVE-2017-5638也發現重大漏洞,建議盡快更新;另IIS 6.0發現零時漏洞攻擊,將影響數百萬網站。


TWCERT/CC近期動態

1、參與Cyber Intelligence Asia 2017並發表演說

本中心於3月15日至16日前往馬來西亞參與Cyber Intelligence Asia 2017,本中心 陳執行長亦於會中進行發表,主題為「CYBER THREATS FACED IN TAIWAN」,分享台灣目前所面臨的網路威脅。


2、參與2017臺灣資安大會並發表演說

本中心於3月14日至15日參與2017臺灣資安大會,本中心 廖主任於會中「關鍵基礎建設安全論壇」發表演說,主題為「TWCERT/CC 2.0:從事件通報邁向情資整合聯防」,介紹TWCERT/CC主導推動民間資安事件通報、資安教學資源、資安情資提供及舉辦資安宣導活動等多項工作,後續也將開發雲端ISAC平台,提供情資分享使用,以達資安聯防之成效。


國內外重要資安新聞

國內外資安政策、威脅與趨勢

1、印度國防部組建網路部隊防中巴駭客

據《今日印度》報道引述印度政府高層人士稱,印度三軍一體化國防工作局正組建一個處理網路戰爭的單位,將配備3個部門的人員,以應對中國和巴基斯坦駭客侵入其系統和網路的企圖。三軍一體化國防工作局直屬於印度國防部,人員來自海陸空三軍,負責所有任務和項目。現在,海陸空三軍擁有各自的電子戰單位,還開發保障安全通訊和數據交換的獨立網路。據上述消息人士透露,新部門將由一名少將領導,由三軍輪流擔任。其已經開始儲備網路方面的資源,將具有網路戰領域的攻防能力。這支部隊創建的情報網路有能力在幾微秒內偵測到任何異動。如果有人將驅動插入軍事網路中的電腦,德里或其他中心站的工作人員將立即檢測到,並阻止任何數據洩露或攻擊。

(資料來源:信報財經新聞)



2、企業傳統電話交換機、錄音主機系統成攻擊目標

2016年2月駭客侵入美國企業電話交換機(PBX)系統,再透過詐騙手法進行洗錢。駭客集團在曼谷之外的10個國家設立了650個銀行帳號來處理這些詐騙電話線路的不法獲利,在2008至2012年期間洗錢金額高達1,960萬美金,扣除佣金後,再洗回駭客集團帳戶。
企業的電話交換機系統會連接到企業內部與外部之通訊環境,加上常被視為非主要的IT設備而疏於管理防護,所以很容易成為駭客的攻擊目標。我們分析一般企業內部遭駭原因可能包括:系統配置不當(如:直接暴露於網際網路,無任何防護措施)、組態設定過於鬆散(如:使用預設密碼或無密碼、開啟過多不必要的服務等),或用戶習慣不良(如:員工登入系統後不登出、回撥不知名未接來電等)。而外部駭客會利用精心設計的釣魚郵件、社交工程手法、惡意程式等多種工具結合成複雜的進階攻擊手法,透過各種可能存在的弱點發動入侵。
在2013年至2014年台灣也傳出遭盜撥國際電話造成高額通話費用與困惱,TWCERT/CC建議參考中華電信與遠傳電信所提供之預防措施:
(一)、關閉PBX外轉外功能。
(二)、加強防火牆網路防護功能,防止駭客入侵修改設定。
(三)、IP-PBX不應置於外網(即指配公眾IP位址),建議採VPN架構。
(四)、加強管理IP-PBX分機之帳號密碼。
(五)、加強管理IP-PBX國際電話撥打權限。
(六)、將不常撥打的國碼納入IP-PBX限撥清單。
(七)、VoIP GW設定帳號與IP或MAC位址捆綁認證。
(八)、非上班時段拔掉IP-PBX∕VoIP GW網路線(WAN端)。
(九)、加強管理節費器之安全,防止駭客入侵。

(資料來源:資安人科技網、中華電信、遠傳電信)



3、銀行木馬Dridex發現新變種,透過AtomBombing技術躲避偵測

銀行木馬DRIDEX往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件,誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案,竊取個人訊息和網路銀行帳戶密碼等資料。而最近IBM研究人員發現新的變種,並且結合AtomBombing的攻擊手法躲避偵測,不同於以往AtomBombing的手法,這次的變種主要是透過NtProtectVirtualMemory等合法的atom table的呼叫,來注入惡意代碼到指定的記憶體空間,結合這個攻擊手法讓新變種的DRIDEX更加難以偵測。
TWCERT/CC建議先參考以下IOCs作必要之偵測機制。
MD5:
4599fca4b67c9c216c6dea42214fd1ce
1e6c6123af04d972b61cd3cde5e0658e
註:AtomBombing攻擊手法主要是針對Windows作業系統內的原子表(Atom Tables)設計缺陷進行注入攻擊。原子表屬於共享資料表,是一種用以儲存字串與相對應識別碼的系統定義表,許多應用程式皆可對儲存在原子表之資料進行存取。因此,攻擊者必須先透過應用程式去修改原子表內的資料,用以注入惡意程式,再誘騙合法應用程式觸發惡意程式,以繞過系統防護機制,進而導致中間人攻擊,甚至造成機敏資料外洩。透過AtomBombing攻擊手法可能影響平台遍及微軟Windows所有版本。
目前微軟官方尚未針對「AtomBombing」惡意程式注入攻擊有進一步之說明,但仍請密切注意微軟官方網頁(如:https://technet.microsoft.com/en-us/security/bulletins.aspx%E8%88%87http://www.microsoft.com/en-us/security/default.aspx)之後續訊息。

(資料來源:Security Intelligence、The Hacker News、Security Affairs、Trend Micro、技服中心)



4、G20將聯合打擊針對全球銀行系統的網路犯罪

為了防禦網路攻擊,並維持金融體系穩定,G20的財長和央行行長在會議上發表草案文件,以防禦國家內部攻擊,並加強跨國合作。
文件中指出,不正當的使用資訊及通信技術(ICT)導致國家內或國際間的金融服務中斷,並危害金融服務穩定性,因此G20將會提高會員國內金融服務及單位的防禦能力,以防止來自全球的網路威脅。
為了加強跨國合作,首先將會要求金融穩定委員會(Financial Stability Board,FSB)對現有司法管轄區內已發佈之法規、管理監督做法及國際指引文件進行盤點,亦須確認有效做法為何。FSB應該要在2017年7月的領袖高峰會中發表工作進度,並在2017年10月提出盤點報告。

(資料來源:Reuters)




5、Nokia 發布資安報告,手機惡意程式感染比例成長 400%

Nokia在Threat Intelligence Report資安報告中指出,行動裝置受到病毒感染的比例在 2016 年成長不少,惡意程式感染的比例成長了 400%,受到感染的裝置其中約有 85% 都是智慧型手機。
國外科技媒體 PhoneArena 亦引述該報告,並指出,Android手機與平板是防護力最弱的,也遭受到最多的攻擊。不過有趣的是,Windows PC 被感染的比例在去年下降,這與 PC 出貨量降低有相當大的關聯。
此外,物聯網裝置也逐漸成為 DDoS 攻擊對象,Nokia 建議,若家中有物聯網裝置,必須搭配相關的安全解決辦法,以確保裝置不成為駭客攻擊的目標。

(資料來源:自由時報)




6、北約將撥30億歐更新衛星資訊系統以防範駭客攻擊

北約在近三年當中遭受了比以往多五倍的電腦攻擊,一位官員表示將撥款30億歐元進行衛星和訊息系統的更新,以應對日益增強的駭客盜取訊息威脅。這次更新將以伊朗導彈和網絡駭客攻擊作為首要打擊對象,其中17億歐元將投入改善以衛星進行的遠距離通信,以加強支持北約的海陸空能量,而8億歐元則投入電腦聯網的彈道導彈防禦體系。

(資料來源:法國國際廣播電台)


軟硬體漏洞資訊


1、NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮。

安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手法,由於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估計全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。
技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客入侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。
●影響平台
允許未授權外部使用者進行連線之NoSQL資料庫
●建議措施
(1)、 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、MongoDB(27017埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行內部盤點與檢視是否使用相關NoSQL資料庫。
(2)、 定期備份資料庫資料
(3)、 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。
(4)、 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。
(5)、 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。
(6)、 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
(7)、 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
(8)、 建議將資料庫更新至最新版本。




2、知名網頁及代理伺服器業者CloudFlare證實CloudBleed漏洞導致資料外洩,建議修改密碼

Fitbit、Uber、1Password及OkCupid的知名網頁防火牆及代理伺服器業者CloudFlare上周證實網站出現記憶體洩露漏洞,遭外洩內容從完整HTTPS呼叫、用戶端IP位址、通訊內容、cookies、個人機密資訊、密碼、API Key、加密金鑰等等,因此包括HTTP及HTTPS代理伺服器服務的所有網站客戶,都是此次漏洞的潛在受害者。
TWCERT/CC建議有使用該公司服務之用戶應關閉所有網站的主動連線(active sessions)設定,並且應立即修改所有網站服務密碼。





3、Struts2 S2-045 CVE-2017-5638 重大漏洞,建議盡快更新

本次安全更新修補了Struts2之安全漏洞,該漏洞是由於Struts使用的Jakarta解析文件上傳請求不當,當遠程攻擊者構造惡意的Content-Type,可能導致遠程命令執行。攻擊者可直接遠端執行任意指令,控制目標伺服器,請儘速更新系統。此次影響系統版本為Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10,若為受影響版本,請盡速更新至Struts 2.3.32或Struts 2.5.10.1版本。


4、IIS 6.0零時漏洞攻擊將影響數百萬網站

資安專家揭露 IIS 6.0 WebDAV 元件的緩衝區溢出漏洞 (CVE-2017-7269),可允許攻擊者遠端觸發DDoS或執行任意程式碼。駭客可透過 PROPFIND 函數,特製過長的 "IF" 標頭(至少兩個http資源)為開頭的惡意 Http Request 以進行攻擊。
IIS 6.0 包含在 Windows Server 2003 中,去年7-8月微軟已經知道該漏洞已被利用,但微軟已不再支援,也不會修復舊的作業系統的版本。目前已知超過800萬個網站可能會受到影響並面臨風險,且已有 PoC 程式放在 Github上在網路上流傳。
TWCERT/CC建議停用 WebDAV 服務,或將IIS升級至7.0以上版本以免受此漏洞的影響。

沒有留言:

張貼留言