106 年 4月份 TWCERT/CC資安情資月報

在TWCERT/CC近期動態部分，本中心於本月參與南港展覽館SecuTech 2017展示會、Info Security 第十六屆亞太資訊安全論壇及「打造內外兼備的智慧型威脅生命週期管理」研討會，並預計在下月參與Symantec ISTR 22年度發表會。

在資安政策方面，國內資通安全管理法」草案出爐，進入立法審查階段，另國內公部門防駭，本月起資安演練到年底，丹麥政府亦有相關政策，借駭客力量應對網路攻擊，日本十大車廠則是合作抗駭，守護車聯網安全。資安威脅方面，消基會警告，駭客魔爪伸入LINE，應別再亂轉長輩文，另微軟用戶則應儘早將系統更新到最新版本，以免遭駭客利用工具植入惡意程式。另在資安趨勢方面，國外研究指出，近4成勒索軟體受害者皆支付贖金，可能因此成為駭客快速獲利的管道。

在駭客攻擊事件方面，於金融領域部分，卡巴斯基報告指出，2016年多起銀行SWIFT系統遭駭，恐與Lazarus駭客組織有關；另殭屍網路Amnesia專門感染Linux裝置，臺灣為最大攻擊來源國。

在軟硬體漏洞部分，IIS 6.0及Microsoft Office皆存在漏洞，並需進行安全更新。
在資安研討會及活動部份，六月份將有2017臺灣資訊安全事件應變研討會、2017資訊安全研發平台計畫成果發表研討會及29th Annual FIRST Conference on Computer Security Incident Handling等活動。

在本月份事件通報統計部分，分別介紹通報來源統計圖、攻擊來源統計圖及攻擊類型統計圖等統計數據。

TWCERT/CC近期動態

1、參與南港展覽館SecuTech 2017展示會

4月12日至14日參與南港展覽館SecuTech 2017展示會，進行業務推展，除了攤位擺設及舉辦抽獎活動，TWCERT/CC 執行長 陳永佳也於4月12日下午分享「TWCERT/CC 2.0:從事件通報邁向情資整合聯防」，針對情資分享的部分及後續TWCERT/CC開發ISAC平台之運作模式進行解說。

2、參與Info Security 第十六屆亞太資訊安全論壇

本中心於4月25日至4月26日參與Info Security 第十六屆亞太資訊安全論壇，除了在松山文創園區設有攤位及舉辦抽獎活動，TWCERT/CC 副主任 黃宇澤 也在4/26下午分享「民間資安聯防全面啟動：無所不在的企業資安通報」，協助民眾了解TWCERT/CC目前提供的服務，及本中心現行資安事件通報流程和方式。

3、參與台灣數位鑑識發展協會(ACFD)舉辦之「打造內外兼備的智慧型威脅生命週期管理」研討會

4月27日陳永佳執行長參加台灣數位鑑識發展協會(ACFD)舉辦之「打造內外兼備的智慧型威脅生命週期管理」研討會，於會中擔任座談會之與談人，除了簡介TWCERT/CC目前所提供的業務內容之外，也針對台灣數位鑑識發展狀況提出相對應的看法。

4、將於5月11日參與Symantec ISTR 22年度發表會

TWCERT/CC將於5月11日參加Symantec ISTR 22年度發表會，會中將分享「105年度TWCERT/CC資安事件通報分析報告」。

國內外重要資安新聞

國內外資安政策、威脅與趨勢

1、惡行得逞，國外研究近4成勒索軟體受害者皆支付贖金

據Trustlook研究，勒索軟體鎖定對象不僅是可能有防護能力的企業，更有可能隨機針對易於操縱的網路慣用民眾，因為不幸地，通常一般民眾防護資源少，亦較服從勒索軟體之指示支付贖金。 Trustlook表示約有17%客戶回報感染勒索軟體，而其中38%選擇付贖金了事，金額多落在100至500美元之間，最常見於比特幣。另他們也發現近半數客戶還不清楚何謂勒索軟體，甚至有48%不認為有天會輪到自己，可能因此成為駭客快速獲利的管道。
Trustlook聯合創始人兼首席執行官建議應將資料備份於多種儲存設備，並至少有一個設備屬於離線狀態，謹慎確認信件連結的來源。 因為大多勒索軟體是透過 E-mail 等釣魚方式散播，若是手機勒索軟體，切勿從第三方網站下載安裝 APP 。
●TWCERT/CC相關防護建議：
1.平時請勿隨意開啟來路不明的郵件。
2.平時請勿隨意瀏覽未知網站或隨意點選網路連結。
3.定期備份重要檔案。
4.請勿隨意接收轉發與執行社交軟體(例如Line)發送不明之檔案或連結，並確認資訊是否對方主動發送的。
5.定期更新防毒軟體、作業系統與應用程式，可參考TWCERT/CC官方網站的資安新知所提供的最新漏洞修補資訊(http://www.cert.org.tw/twcert/advistory)。
6.民眾可將有可疑的檔案(非機敏)上傳至VirusTotal線上檢查該檔案是否為病毒(https://www.virustotal.com/zh-tw/)。
若不幸遭勒索軟體綁架，TWCERT/CC建議以下應變方式：
1.重新安裝作業系統，避免病毒遺留而再次發生。
2.向警方報案。
3.若為重要資料，請尋求相關資安公司如卡巴斯基、賽門鐵克、趨勢科技等等尋求協助。
備份資料可參考趨勢備份實作規則：三二一原則。
概括為：如果你要備份資料，你應該有：
1. 至少備份三份
2. 使用兩種不同形式
3. 其中一份備份要存放異地

（資料來源：Trustlook、Softpedia、Trend Micro）

2、「資通安全管理法」草案出爐，進入立法審查階段

為推動國家資通安全法制化，行政院於4月27日在院會拍板「資通安全管理法草案」，明定包括行政院各部會、地方政府等公務機關應做好資通安全維護、訂定資安事件的通報及應變機制，以加強資安的防護能量，若違反上述情節，公務員將依其情節輕重受懲戒或懲處。
因應資通安全管理法立法通過，對於各機關資安人員不足部分，行政院資通安全處已有相關規劃，請各部會首長在部會及所屬機關的總員額範圍內，考量資安業務的必要性及重要性，合理配置資安人員，以落實及推動國家資安相關工作。
行政院長林全表示，資通安全在維護國家安全和公共利益上是非常重要和需要面對的課題，請行政院資通安全處積極與立法院朝野各黨團溝通協調，早日完成立法程序。
行政院資通安全處處長簡宏偉表示，院會今天通過的「資通安全管理法草案」，列為立法院本會期的優先法案。
該草案要點如下：
一、立法目的、規範對象及行政院職責等。(草案第1條至第8條)
二、公務機關應訂定、修正及實施資通安全維護計畫。（草案第 9條及第11條）
三、公務機關應由其首長指派副首長或適當人員擔任資通安全長。（草案第10條）
四、公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形，並訂定資通安全事件之通報及應變機制。（草案第12條及第13條）
五、公務機關所屬人員就資通安全維護之獎懲。（草案第14條）
六、中央目的事業主管機關或直轄市、縣（市）政府應指定關鍵基礎設施提供者，關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫。（草案第15條）
七、關鍵基礎設施提供者以外的非公務機關，應訂定、修正、實施資通安全維護計畫。（草案第16 條）
八、非公務機關應訂定資通安全事件之通報及應變機制。 （草案第17條）
九、中央目的事業主管機關或直轄市、縣（市）政府之行政檢查。（草案第18條）
十、非公務機關違反該法相關規定之罰則。（草案第19 條至第21條）

 （資料來源：行政院）

3、消基會警告！駭客魔爪伸入LINE別再亂轉長輩文

現在流行的Line，每個人多少都有遇過這樣的詐騙問題吧？而不斷與時俱進的詐騙手法，如今居然跟大家最愛的「長輩文」扯上了關係？現今資安事故中有高達68.1%的民眾遇到中毒情形，53.1%的個人資料遭外洩，網路帳號遭盜用的比例亦高達52.7%，詐騙手法也從過去的網購詐騙，逐漸轉向竊取個資，詐騙受害者親友，現今更是利用轉發文章，在裡面「藏毒」，就算不大費周章竊取帳號都能輕易獲得大量成果。
調查資料顯示，民眾收到任何有關健康、災難或政府政策等實用性訊息，69.7%會傳給親朋好友(只要收到就傳1.9%、通常會傳16.0%及看狀況51.8%)，由於轉發者多有一定社會歷練，因而被時下年輕人戲稱為「長輩文」，但轉發「長輩文」這類消息的民眾，卻僅有不到5成會進一步確認資訊真偽，而朋友、家人如果就這麼隨手點進原始網址，可能就順了駭客之意！手機內的重要資料馬上被「一覽無遺」！
TWCERT/CC提醒，民眾平常上網、使用社群APP(如Facebook、Line)或接收電子郵件時，需要有正確資安觀念，例如：閱讀郵件時不用HTML格式，採用純文字(TEXT)模式，遇到莫名網站連結，不去開啟，避免病毒趁機進到你的電腦，分享網路文章前也要多加查證，以免害人又害己。用戶可參考連結（http://www.oit.fcu.edu.tw/wSite/publicfile/Attachment/f1399365914883.pdf）修改Gmail的關閉預設開啟圖片的功能，降低駭客透過夾帶惡意圖片的方式植入惡意程式。

（資料來源：新頭殼、逢甲大學資訊處）

4、微軟用戶應儘早更新到最新版本，以免遭駭客利用工具植入惡意程式

兩周前被影子掮客公佈美國國安局（NSA）攻擊工具文件，已有超過3萬台PC被植入名為DoublePulsar的惡意程式下載器（downloader），可被用來植入更多惡意軟體，竊取資料或竄改系統。
在Windows平台的攻擊程式影響多個Windows桌面及伺服器版本軟體，其中名為eternalromance為攻擊Windows XP、2003、Windows 7、8的SMB1攻擊程式、EXPLODINGCAN則在IIS 6.0建立遠端後門。
●TWCERT/CC建議用戶盡速至微軟官方網站更新系統或服務至最新版本，以避免遭有心人士利用。
[1]https://blogs.technet.microsoft.com/…/protecting-customers…/
[2]https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

 （資料來源：iThome、Microsoft、Threatpost）

5、丹麥借駭客力量應對網路攻擊

丹麥國防部情報局每年都會發佈報告，評估丹麥面臨的各種外部威脅。在過去幾年的報告中，情報局稱網路攻擊一直是丹麥面臨的最大外來威脅之一。在2016年的報告中，情報局局長指出，針對丹麥的網路威脅非常嚴重，丹麥政府和企業正面臨持續不斷的包括由網路間諜實施的網路攻擊。而在2013年的報告中，時任情報局局長亦認為，由於國外情報機構及個人企圖控製丹麥的核心信息系統並竊取信息，當局有必要提前做好應對措施，而政府或企業內部人員有意或無意的降低辦公場所安全措施而導致被駭的現象也有所增加。
去年3月，情報局在其官網上發佈了對駭客招募計劃，並在當地報紙、公共交通工具和展板上發起了宣傳攻勢，招募口號就是：「你有資格成為頂尖情報團隊的一員嗎？」，他們要招募的並非那些躲在網路背後從事不法勾當的駭客，而是有著一定電腦及網路技能基礎，天分高，且經過培訓後可以為情報局所用的人才。培訓地點則選在首都哥本哈根的一處秘密場所，為期4個半月。經過培訓後表現優異的駭客可以加入情報局工作。今年3月，情報局再次在其官網上指出，由於去年駭客招募計劃大獲成功，今年將繼續進行。與去年不同的是，今年對駭客的培訓將同時注重進攻和防守，最後還要對學員進行實戰評估。根據丹麥政府最新報告，到2030年時，丹麥的資訊技術專業人才將出現1.9萬人的缺口，人才不足將嚴重影響丹麥打擊網路攻擊及犯罪的能力。哥本哈根大學計算機科學系的Ken Larsen副教授也認為，在網路犯罪及網路攻擊已成為全球性問題的今天，丹麥政府和社會應該攜手培訓更多的計算機網路人才，應對當前的挑戰。

（資料來源：新浪香港）

6、守護車聯網，日十大車廠抗駭

隨著汽車「車聯網」（Connected Car）的普及，駭客攻擊的風險也跟著升高，包括豐田在內的日本十大車廠，決定組成工作小組聯手對抗駭客，從四月起共享關於汽車的網路攻擊訊息，以提升相關安全對策。
「車聯網」就是搭載無線通訊技術的汽車，透過網路讓車輛間彼此交換訊息，並傳輸到後端平台進行智慧化整合管理，以提供駕駛人與乘客多樣服務。車聯網被視為「物聯網」（IoT）在交通領域的應用之一，各家車廠均積極投入開發，目前利用車輛加裝感測器，蒐集車輛或道路狀況的「大數據」，未來運用也受到高度期待。
然而，近年車聯網屢屢傳出遭駭客入侵的災情，不但安全研究人員的實驗被公開，專家也警告車聯網具有遭到駭客遙控的危險。二○一五年，美國汽車大廠克萊斯勒發現，旗下部分車款有可能被外部操控，緊急召回大量車款進行修改。
日本共同社報導，豐田、日產、本田、馬自達、速霸陸（SUBARU）及鈴木等日本十大車廠，決定聯手對抗駭客入侵車聯網，各公司將交換已掌握的網路攻擊手段，以及車用軟體的安全缺陷等資訊，希望有利於採取防禦措施。十大車廠成立的工作小組從四月起開始運作。
報導指出，由商社組成的日本貿易會，去年四月起也開始共享網路攻擊相關訊息，廿三家商社藉由互相提供「目標型攻擊郵件」和網站竄改等資訊，網路安全性也相對獲得提高。

 （資料來源：自由時報）

7、公部門防駭，今起資安演練到年底

近一年來中央與地方政府各公務機關不斷發生遭駭客攻擊的重要資安事件，甚至導致涉及洩漏民眾個資高達十三萬筆，引發各界的重視，行政院將從今天清明節連假後的第一天上班日起，展開全國各公務機關的資安演練，這項演練行動將持續到今年底。
行政院相關官員表示，演練包括中央與地方政府的公部門，將由負責這次演練的官員擔任攻擊手，測試資安應變能力，因此不便透露由哪個部門開始進行演練。
由於民眾向公務機關申請相關業務時，依法必須提供個人資料才能申辦業務，不過，中華郵政去年五月發生個資遭竊，造成消費者個資外洩一萬七千多筆，勞動部去年十月被駭外洩三萬四千筆個資、台北市資訊局今年一月也外洩七萬筆個資，外交部今年二月更發生不明來源ＩＰ成功駭入我數十個外館領務信箱，導致國人登錄出國資料的一萬五千多筆個資外洩，外交部領務局更因此召開記者會致歉。
行政院官員表示，近期政府機關發生重大資安事件，行政院立即啟動個別專案資安查核進行檢討，並補強資安防護，這次資安演練也盼提升公部門的資安防護能量。

 （資料來源：自由時報）

駭客攻擊事件及手法

1、卡巴斯基：2016年多起銀行SWIFT系統遭駭，恐與Lazarus駭客組織有關

Lazarus集團的駭客攻擊活動已多年，回溯到2009年。其惡意軟體已經在許多嚴重的網路攻擊中被發現，例如2014年SONY影業遭大規模數據洩漏和文件修改;在2013年韓國發生的黑暗首爾襲擊了韓國媒體金融公司。而在2016年孟加拉央行發生的SWIFT交易系統帳號密碼遭竊案中(Society for Worldwide Interbank Financial Telecommunication，SWIFT，環球金融電信協會，廣泛被應用於國際跨行轉帳)，研究人員發現這些後門程式使用的相似之處，去年SWIFT也對全球發布緊急系統更新。

卡巴斯基在該報告提供兩起事件調查，其一案例發生在東南亞的銀行，駭客在2015年12月時透過銀行的網頁伺服器(Web Server)，而該伺服器透過終端服務與SWIFT系統連線，進而植入惡意程式，除此之外其他系統皆無與對外有連線的跡象。第二起案例則是發生在歐洲，波蘭多家銀行被植入惡意程式，該駭客可能與Lazarus Group有關。駭客透過水坑式攻擊，先在波蘭的金融監管單位KNF的官方網站植入惡意的JavaScript檔，而波蘭境內多家銀行表示在瀏覽該網站後，銀行的資安監控中心就陸續出現網路異常傳輸，下載其他後門程式到受害銀行(TWCERT/CC已於2017年2月17日發布該情資)。卡巴斯基表示駭客利用網頁中cambio.swf元件漏洞(CVE-2016-4117、CVE-2015-8651、CVE-2016-1019及CVE-2016-0034)下載後門程式，這些漏洞分別在2016年1月及4月已經提供修補程式，而該案例則是因為未修補這些漏洞而被駭客利用。

卡巴斯基指出這些攻擊銀行的案例中，並非真正攻擊SWIFT系統，而是透過銀行行員及整體營運架構中切入，能夠操作SWIFT系統人員的存取權限。因此重要系統及及周邊，除了平時須注重漏洞即時修補之外，存取權限的控管也須留意。防火牆及入侵偵測系統等資安設備建議可參考卡巴斯基的報告

2、殭屍網路Amnesia專門感染Linux裝置，臺灣為最大攻擊來源國

資安公司Palo Alto Networks的Unit 42研究人員日前分析，新的殭屍網路Amnesia利用虛擬機器逃避技術，繞過防護系統的檢測，感染嵌入Linux系統的DVR設備，作為發動DDoS攻擊火力的殭屍裝置。而且，研究人員發現這些受感染的DVR設備，都來自於同一家中國公司「TVT同為數碼」製造，其中，臺灣為擁有最多該公司DVR設備的國家，總共有47,170臺，可能成為最大攻擊來源國，擁有漏洞的TVT數位DVR設備的前20名國家如下表所示。

軟硬體漏洞資訊

1、盡快升級!!! IIS 6.0零時漏洞攻擊將影響數百萬網站

資安專家揭露 IIS 6.0 WebDAV 元件的緩衝區溢出漏洞 (CVE-2017-7269)，可允許攻擊者遠端觸發DDoS或執行任意程式碼。駭客可透過 PROPFIND 函數，特製過長的 "IF" 標頭(至少兩個http資源)為開頭的惡意 Http Request 以進行攻擊。

IIS 6.0 包含在 Windows Server 2003 中，去年7-8月微軟已經知道該漏洞已被利用，但微軟已不再支援，也不會修復舊的作業系統的版本。目前已知超過800萬個網站可能會受到影響並面臨風險，且已有 PoC 程式放在 Github上在網路上流傳。

2、微軟發佈安全更新，其中包含Office零時差漏洞 

微軟在本週二（4/11）釋出了61項安全更新，修補IE、Microsoft Edge等產品漏洞，包括已遭到駭客開採的Office零時差漏洞。

該漏洞存在於Office文件中允許嵌入物件或連結的Object Link and Embedding（OLE）中，根據資安業者FireEye的說明，駭客可傳遞一個含有OLE嵌入式物件的Word檔案給目標對象，當使用者開啟檔案時，它就會存取遠端伺服器，以下載一個假冒為合法RTF檔案（豐富文字格式檔案），實為HTA檔案（HTML檔案）且內含VBScript的惡意程式，還會關閉winword. exe，以避免使用者看到OLE物件的提醒視窗。

資安研討會及活動

時間	研討會名稱	研討會相關資料
106/06/05	IRCON 2017 臺灣資訊安全事件應變研討會	主辦單位：財團法人國家實驗研究院國家高速網路與計算中心、TWCSIRT、NARLabs 協辦單位：TWCERT/CC、TWNCERT、TM-CSIRT 日期：2017年6月5日（一） 地點：集思台大會議中心(台北市羅斯福路四段85號B1) 線上報名期間：2017年5月1日(一) 至 2017年6月1日(四) 線上報名連結：https://nchc-cdx.kktix.cc/events/ircon2017 資料來源：http://140.110.96.29/ircon/index.html 活動概要： IRCON 2017為台灣專為探討資訊安全事件處理與應變技術的研討會，由TWCSIRT主辦，TWCERT/CC、TWNCERT、TM-CSIRT共同協辦，並邀請政府單位、國內FIRST會員、網路服務業者(ISP)以及資訊安全維運中心(SOC)共同參與之大型資訊安全年會。
106/06/06	2017資訊安全研發平台計畫成果發表研討會	主辦單位：財團法人國家實驗研究院國家高速網路與計算中心 日期：2017年6月6日（二） 地點：集思台大會議中心(台北市羅斯福路四段85號B1) 線上報名期間：2017年5月1日(一) 至 2017年6月1日(四) 線上報名連結：https://nchc-cdx.kktix.cc/events/2017nchc 資料來源：http://140.110.96.29/ 活動概要： 2017資訊安全研發平台計畫成果發表研討會，為科技部指導國家高速網路與計算中心（國網中心）執行之兩項計畫「資訊安全開放資料平台研發與惡意程式知識庫維運」及「雲端攻防暨培訓平台建置計畫」共同舉辦之聯合成果發表研討會，將安排計畫相關議題及研發成果分享、資訊安全技術實作課程以及資安攻防競賽等精彩內容。
106/06/11–16	29th Annual FIRST Conference on Computer Security Incident Handling	主辦單位：FIRST 日期：106年6月11日至16日 地點：美國波多黎各Caribe Hilton飯店 線上報名期間：106年6月16日前 線上報名連結：https://app.certain.com/profile/form/index.cfm?PKformID=0x24353263262 資料來源：https://www.first.org/conference/2017/ 活動概要：https://www.first.org/conference/2017/about

本月份事件通報統計

本中心每日透過官方網站、電子郵件、電話等方式接收資安事件通報，本月共收到通報共287筆，以下為本中心所蒐整之各項統計數據，分別為通報來源統計圖、攻擊來源統計圖及攻擊類型統計圖。

通報來源統計圖為各國遭受網路攻擊，且發起攻擊之IP為我國所有之IP，並向本中心進行通報之次數，如圖1所示；攻擊來源統計圖為本中心所接獲之通報中，我國各單位遭受來自各國之攻擊次數，如圖2所示；攻擊類型統計圖則為本中心所接獲的通報中，各項攻擊類型之筆數，如圖3所示。 

圖1、通報來源統計圖

圖2、攻擊來源統計圖

圖3、攻擊類型統計圖

除通報至G-ISAC外，本中心亦已電子郵件或電話方式通知相關單位進行處理，本月約有27%單位回覆相關處理情形，建議大家應於平常保持良好之防護習慣，於事前勤更新相關弱點及漏洞，事發時立即處理，後續本中心仍持續提醒相關用戶對於所收到之事件通報進行相關處理，以減少駭侵事件發生時所造成的損害。