2017年7月26日 星期三

106 年 6月份 TWCERT/CC資安情資月報

第 1 章、摘要

TWCERT/CC近期動態部分,本中心於本月參與2017第十二屆國際健康資訊管理研討會及IRCON 2017研討會,並於會中針對資安議題進行發表及進行資安宣導活動。預計在下月參與2017國際資訊安全組織臺灣高峰會,並將於會中進行資安宣導活動。
在資安政策方面,「資通電軍」成立,蔡英文總統亦表示「資安就是國安」,另國研院開發雲端攻防平台,以訓練資安人才。資安威脅方面,美國指稱北韓的駭客組織「HIDDEN COBRA」是世界多起網路攻擊DDos的元兇,若使用有漏洞軟體者須立即更新。
在駭客攻擊事件方面,勒索軟體 WannaCry災情再起,本田工廠遭駭停產一日,而Petya的變種勒索病毒出現,直接加密硬碟主文件表,另新型 「非檔案型」勒索軟體 Sorebrect,可遠端注入惡意程式碼進行檔案加密。
在軟硬體漏洞部分,DrupalSkype皆存在漏洞,並需進行安全更新。
在資安研討會及活動部分,企業面對威脅軟體的自救之道、2017亞洲跨國黑客松台灣團隊選拔賽、性別駭客工作坊-Line Bot 教學工作坊、HITCON Community2017年第二屆 VR 開發者黑客松大賽、CLOUDSEC 2017 企業資安高峰論壇、CISSP®資訊安全系統專家認證、SSCP資安專業人員認證等活動皆已可開始報名,歡迎大家踴躍參加。
本月份事件通報統計部分,分別介紹通報來源統計圖、攻擊來源統計圖及攻擊類型統計圖等統計數據。

第 2 章、TWCERT/CC近期動態

2.1、62日至3日參加2017第十二屆國際健康資訊管理研討會

TWCERT/CC將於62日至3日參加2017第十二屆國際健康資訊管理研討會,李幸秋執行秘書會中將分享「資訊安全與台灣電腦網路危機處理暨協調中心」,針對TWCERT/CC所提供之服務內容及CERT於資訊安全中扮演之重要的角色進行相關分享及介紹。


2.2、65日參加IRCON 2017研討會

TWCERT/CC將於65日參加IRCON 2017研討會,會中TWCERT/CC執行長陳永佳博士出席座談會「網路世界的新挑戰-勒索軟體世代來臨」議題進行討論,另TWCERT/CC副主任黃宇澤也於會中針對「推動民間資安通報新思維-資安聯防全面啟動」進行分享。



第 3 章、國內外重要資安新聞

3.1、國內外資安政策、威脅與趨勢

3.1.1、「資通電軍」成立,蔡英文總統:「資安就是國安」

為提升我國資訊作戰能力,國防部參謀本部資通電軍指揮部於629日正式成軍。蔡英文總統上午前往忠信營區出席編成典禮,除強調「資安就是國安」,並期勉資通電軍指揮部積極整合資源、培育資通電人才,發揮領頭的前導角色。
總統抵達後,首先在國防部長馮世寬陪同下,校閱示範樂隊、聯合旗隊及三軍儀隊。隨後,總統至典禮現場宣讀指揮部編成令,並親自為指揮部授旗、授印。
總統致詞時強調,資通電軍指揮部的成軍,代表臺灣的國防將全面性地進入資訊作戰的時代。要把資安位階提升到國家安全層次。成立資通電軍,就是一項「把資安視為國安」的具體行動。隨後,總統並為資通電軍指揮部揭牌,象徵我國防資訊作戰進入新階段。
 (資料來源:蘋果日報)


3.1.2、美國指稱北韓的駭客組織「HIDDEN COBRA」是世界多起網路攻擊DDos的元兇

美國國土安全部(DHS)美國聯邦調查局(FBI)共同發表了報告書,指稱北韓政府旗下培養的駭客組織「HIDDEN COBRA」,正是世界多起網路攻擊(DDos)的元兇!其中包括以美國為首的世界媒體電台、太空航空業、金融業、重要基礎設施等等的伺服器,美國皆宣稱與北韓有所關聯。
HIDDEN COBRA」這個駭客組織正是目前相關人士指稱的「Lazarus組織」,而這個組織曾在2014年針對SONY影業、韓國當地銀行進行過網路攻擊外,他們還涉及多起國家級的軍事間諜行動。
這些網路攻擊事件所利用的漏洞包含以下:
l  -CVE-2015-6585: Hangul Word Processor Vulnerability
l  -CVE-2015-8651: Adobe Flash Player 18.0.0.324 and 19.x Vulnerability
l  -CVE-2016-0034: Microsoft Silverlight 5.1.41212.0 Vulnerability
l  -CVE-2016-1019: Adobe Flash Player 21.0.0.197 Vulnerability
l  -CVE-2016-4117: Adobe Flash Player 21.0.0.226 Vulnerability
因此,最好盡可能將Adobe Flash Player,或是微軟的Silverlight更新到最新版本,或是乾脆移除這兩項軟體。
TWCERT/CC提醒企業用戶可參考FBI發布之注意事項,降低遭駭的風險。
(資料來源:US-CERT

3.1.3、資安人才鑄煉場 國研院雲端攻防平台上線

惡意程式日益猖獗,為加速國內資安人才的養成,補足資安人才龐大的缺口,國家實驗研究院高速網路與計算中心打造,可提供學習和練習網路攻擊與防禦技巧的「雲端資安攻防平台」,在6日正式開放使用,要全面提升台灣的資安防護能力,並實際舉辦「資安攻防競賽」,展示平台能力,國家實驗研究院高速網路與計算中心研究員 蔡一郎表示,資安平台只要90秒,就可以打造讓40人上線進行資安實務課程的環境,且最多可容納500人同時上線,大幅節省企業或學校建置系統的時間和成本,未來平台也會繼續擴充能量,讓同時上線人數能突破千人。雲端資安攻防平台具備「專屬隔離環境」和「擬真場域實戰」兩個特色,可以在隔離的安全環境下,隨意產生具有漏洞和病毒的虛擬主機,而且能持續更新惡意程式以及範本,讓使用者在具規模的擬真網路下,練習新型病毒和檢測分析技巧。
蔡一郎亦指出:「讓很多的基礎的資安人力可以在學校就先養成,那不會說這個畢業之後,跟企業要用的人有一個落差,他沒辦法去符合企業的一個需求,我們希望讓學生在學校,他其實除了學理論之外,也可以開始去有一些實務的技術。」
(資料來源:新唐人亞太電視台)

3.2、駭客攻擊事件及手法

3.2.1、新型 「非檔案型」勒索軟體 Sorebrect,可遠端注入惡意程式碼進行檔案加密

資安專家近期發現一種新型「非檔案型」勒索軟體 Sorebrect,允許駭客將惡意程式碼注入目標作業系統中的合法處理程序(svchost.exe)並終止其二進制代碼以規避安全機制檢測,還透過使用wevtutil 刪除受影響系統的事件日誌以阻礙取證分析。
勒索軟體 Sorebrect 可利用 Tor 網路匿名連接至命令與控制(CC)服務器中。與其他勒索軟體不同的是,Sorebrect 專門針對製造、科技與電信等企業系統注入惡意代碼,以便在本地系統和共享網路中加密文件。
研究人員注意到,勒索軟體 Sorebrect 首先透過暴力攻擊等手段入侵管理員帳戶,然後利用 PsExec 命令列執行檔案加密。
趨勢科技表示,雖然攻擊者可以使用遠程桌面協定(RDP)或 PsExec 在受影響的機器中安裝 Sorebrect 惡意軟體,但與 RDP 相比,利用 PsExec 更為簡單,PsExec 可允許攻擊者執行遠程命令,而非使用交互登錄對話或手動傳輸惡意軟體至遠端機器設備,如RDPs
調查顯示,研究人員首次在中東國家 Kuwait Lebanon 地區發現該勒索軟體跡象。隨後,他們於近期觀察到加拿大、中國、克羅地亞、意大利、日本、墨西哥、俄羅斯、台灣和美國等國家系統也紛紛遭受勒索軟體 Sorebrect 攻擊。
※趨勢科技安全專家提出以下建議,以防止駭客攻擊:
a.限定用戶寫入權限
b.管制 PsExec 執行權限
c.經常備份檔案
d.落實更新系統
e.進用網路安全機制

3.2.2、WannaCry災情再起,本田工廠遭駭停產一日

據路透社指出,於上週 WannaCry 首次滲入日本本田系統,該公司IT部門嘗試數個防護系統依舊被攻破
報導指出本田工程師所使用之防護系統為何尚不明朗,但可確定的是他們未安裝最新的Windows修補更新
因為WannaCry證明了對未更新至 Windows 20173月以後修補版本的 Windows 7 主機最有效。
本田在周日首次在網路上偵測到WannaCry感染,因此第二天決定將東京西北部的Sayama工廠暫時停產,以移除勒索軟體並阻止其傳播到其他系統。
本田表示,北美,歐洲,中國等地區的網路也受到影響,但其他所有設施的生產也沒有受到影響。
本田並不是唯一一家電腦遭到WannaCry損害的公司,雷諾和NISSAN也在日本,英國,法國,羅馬尼亞和印度的生產廠系統上發現勒索軟體。
TWCERT/CC提醒建議用戶採取以下方法來避免受勒索軟體影響 :
Ø  定期備份並遵循3-2-1規則來備份檔案:建立三份副本,使用兩種不同媒體,一份副本要存放在不同的地方,此外至少有一個系統備份是處於實體隔離的網路環境。
Ø  刪除收到的可疑電子郵件,尤其是包含連結或附件的。
Ø  確保更新電腦上的防毒軟體。
Ø  保持更新作業系統及其他軟體。
Ø  部份微軟Office檔案會要求用戶啟動巨集以觀看其內容,對此類電子郵件附件務必提高警覺。
Ø  一旦受到感染,馬上將受感染電腦從網路上及外置儲存裝置隔離。在清除惡意軟體前不要開啟任何檔案。
Ø  不要支付贖金。
如有任何相關問題可以通報TWCERT/CC
免付費服務電話 0800-885-066
資安事件通報電話 03-4115387
資安事件通報信箱 twcert@cert.org.tw

3.2.3、Petya的變種勒索病毒出現,直接加密硬碟主文件表

Petya的變種勒索病毒開始肆虐全球,短時間內導致俄羅斯、烏克蘭、西班牙、法國、英國、印度及泰國等國的政府單位、軍事單位、發電廠、銀行、電信公司及企業電腦遭加密。
Petya勒索病毒使用跟WannaCry勒索病毒一樣的Windows SMBv1漏洞進行攻擊;同時它也透過電子郵件等方式散播,使用CVE-2017-0199Office RTF漏洞進行攻擊,並散播到同網域的電腦中。
Petya並不會一個一個將電腦內檔案加密,它會重啟受害者電腦,將硬碟主文件表(Master File Table, MFT)加密,導致主開機紀錄(Master Boot Record, MBR)無法正常運作,亦導致無法存取系統內檔案的檔案名稱、大小及實體位置等資訊。
Petya以惡意程式碼取代電腦的MBR檔案,導致電腦開機後會顯示勒索訊息,而非正常開機程序,勒索訊息則指出需要繳交相等於300美元的比特幣才能解鎖。
攻擊者的郵件信箱(wowsmith123456[at]posteo[dot]net)已被封鎖,因此就算付款也無法解鎖。
●防毒疫苗:
TWCERT/CC已實作驗證,方法是手動在C:\Windows目錄下建立一個叫perfc的檔案(是空的檔案就可以,不用唯讀檔也可以,所以不用擔心有任何的惡意行為)
惡意程式執行時,會於 C:\Windows 資料夾中檢查是不是有跟自己一樣名稱的檔案存在,若存在則結束程式執行,不存在則建立與自己一樣檔名的檔案,因此建立此檔案可讓程式直接結束執行。
研判此機制是為了避免於內網擴散時避免重複執行該程式。
TWCERT/CC提醒建議用戶採取以下方法來避免受勒索軟體影響 :
1.定期備份並遵循3-2-1規則來備份檔案:建立三份副本,使用兩種不同媒體,一份副本要存放在不同的地方,此外至少有一個系統備份是處於實體隔離的網路環境。
2.刪除收到的可疑電子郵件,尤其是包含連結或附件的。
3.確保更新電腦上的防毒軟體。
4.保持更新作業系統及其他軟體,Petrwrap勒索軟體所利用之作業系統弱點與Office應用程式弱點,已分別於3月與4月釋出修復程式,請至微軟官方網頁進行更新:
(1)MS17-010https://technet.microsoft.com//libr/security/ms17-010.aspx 。另外已超過維護週期之作業系統,例如XP/Server 2003等,請參考連結(https://www.catalog.update.microsoft.com/Search.aspx)下載後進行更新。
(2)CVE-2017-0199https://portal.msrc.microsoft.com///advisory/CVE-2017-0199
5.部份微軟Office檔案會要求用戶啟動巨集以觀看其內容,對此類電子郵件附件務必提高警覺。
6.一旦受到感染,馬上將受感染電腦從網路上及外置儲存裝置隔離。在清除惡意軟體前不要開啟任何檔案。
7.不要支付贖金。
如有任何相關問題可以通報TWCERT/CC
免付費服務電話 0800-885-066
資安事件通報電話 03-4115387
資安事件通報信箱 twcert@cert.org.tw

3.3、軟硬體漏洞資訊

3.3.1、Skype發佈安全更新,該漏洞會導致緩衝區溢位

研究員發現skype web在通話服務中,含有緩衝區溢位漏洞(CVE-2017-9948),該漏洞是由於MSFTEDIT.DLL未正確處理剪貼簿內容,可能導致執行任意代碼或系統崩潰。駭客可能利用這種漏洞攻擊方式,製作惡意的圖像文件,然後將其從電腦系統的剪貼簿中複製並貼到Skype的對話窗中,進而達到特殊目的。

3.3.2、Drupal發佈安全更新,部分漏洞會導致執行任意程式碼

本次安全更新修補了Drupal之漏洞,部分漏洞是由於PHP套件(PECL YAML parser),處理某些動作時存在漏洞,可能導致執行任意程式碼。駭客可能利用這種漏洞攻擊方式,於目標網頁執行惡意動作,可能導致網頁崩潰。
 

3.4、資安研討會及活動

時間
研討會/課程
名稱
研討會相關資料
106/08/10
企業面對威脅軟體的自救之道
主辦單位:iThome
台北場:
日期:201781 ()  9:00 - 16:40 ( 09:30 議程開始)
地點:富邦國際會議中心 B2 (台北敦化南路一段 108 )
線上報名連結:http://seminar.ithome.com.tw/live/20170801/signup_1.html
高雄場:
日期:2017810 ()  9:00 - 16:10 ( 09:30 議程開始)
地點:高雄寒軒大飯店 B2 國際廳(高雄市四維三路 33 )
線上報名連結:http://seminar.ithome.com.tw/live/20170801/signup_2.html
資料來源:http://seminar.ithome.com.tw/live/20170801/index.html
活動概要:
這次「WannaCry」的出現,再次提醒企業,資安任務是一條沒有盡頭的長路,駭客的攻擊手法與廠商的產品技術同樣會與時俱進,iThome 呼應時事,分別於台北、高雄二地舉辦「Dont Cry!企業面對威脅軟體的自救之道」論壇,希望集結廠商、同業、學員間的彼此交流,共謀解決之道!
106/08/05
2017亞洲跨國黑客松台灣團隊選拔賽

主辦單位:經濟部工業局
日期:20170805 ()  09:00 - 18:00
地點:CLBC 肥皂箱B(臺北市中山區明水路575B2)
線上報名連結:http://www.accupass.com/go/aodhack
資料來源:http://www.accupass.com/go/aodhack
活動概要:
為強化亞洲各國進行深度交流,刺激民間創意,並加深臺灣與國際間的連結互動,今年與韓國、日本與泰國攜手舉辦第三屆「亞洲跨國Hackathon」。今年主題更加多元,各國分別提出食品安全、透明治理、弱勢族群與社會福利與氣象應用四大主題,邀請各國優秀團隊以「問題」的角度切入,運用自己國家或本次合作國家的開放資料,於有限的時間迅速完成問題界定,並提出解決方案。
106/08/06-13
性別駭客工作坊-Line Bot 教學工作坊

主辦單位:女人迷
日期:20170806 ()  13:00 - 18:15  &  20170813 ()  13:00 - 18:00
地點:女人迷樂園 (台北市大安區和平東路二段50號)
線上報名連結:http://www.accupass.com/event/register/1706300838187030626490
資料來源:http://www.accupass.com/event/register/1706300838187030626490
活動概要:
你是否看到現有許多性別存在的問題,想透過科技、參加性別駭客松解決性別議題卻擔心沒有任何程式技巧嗎?
女人迷 #codeforgender Pyladies 合作,適合給對性別議題有感但沒有程式基礎的你,讓你可以設計出專屬於自己的 Line Bot 聊天機器人,讓你第一次程式設計就上手!
106/08/25-26
HITCON Community
主辦單位:台灣駭客協會HITCONchroot及中央研究院資訊科學研究所
日期:2017825日至26
地點:中央研究院 人文社會科學館 國際會議廳()  
線上報名期間:已結止
資料來源:https://hitcon.org/2017/CMT/
活動概要:
HITCON Community 不僅是國內最具含量的純技術資安研討會,更是一場多元豐富的嘉年華會,除了精彩絕倫的技術議程外,亦規劃一系列資安相關活動,使每一位對資安有興趣的朋友,無論是專家駭客或入門者,都得以在這場盛會中有所收穫、盡興而歸。

臺灣向來是各式資訊社群發展蓬勃的精華地區,資安社群自然也不例外。我們希望維持 HITCON 傳統,與國內外資安社群共同成長。為促進社群力量的傳承,本年度大會也特地設立社群專屬議程,鼓勵各社群站上 HITCON 舞台展現研究成果及推廣自身精神,讓 HITCON 不僅是 HITCON,而是一場全民的資安盛會。
106/08/25-27
2017年第二屆 VR 開發者黑客松大賽
主辦單位:TAVAR 台灣虛擬及擴增實境產業協會
日期:2017825 ~ 2017827日 三天,08:00 - 23:30(不過夜)
地點:TAF空總創新基地 聯合餐廳(台北市大安區建國南路一段177號)
線上報名連結:http://vrhackfest.tw/signup
資料來源:http://vrhackfest.tw/
活動概要:
Hey 擁有開發能力勇者們,準備好你的神人級的程式能力了嗎?
VR Hack Fest 是一場為期三天的腦力激盪大賽,考驗著各位的意志力與專注度!
集結了各路英雄好漢,包括軟體工程師、遊戲企劃、美術設計等,參賽者必須在有限的時間,透過團隊通力合作下讓能量大爆發,交流技術,不必打怪即可飆高經驗值,還等什麼,快來累積你的戰鬥力!
106/09/06
CLOUDSEC 2017 企業資安高峰論壇

主辦單位:趨勢科技
日期:201796 ()  8:00 - 16:50
地點:TICC 台北國際會議中心(台北市信義區信義路五段1)
線上報名連結:https://www.cloudsec.com/event-registration/?event=8052
資料來源:https://www.cloudsec.com/tw/
活動概要:
現在,企業體系、政府組織和個人都面臨多樣化且不確定的駭客威脅。在這樣的世代,企業因應的解決方案都必須重新評估重新定義,企業、政府甚至個人所建立的防禦等級一定要Level UP。邁入第七年亞太區資安大會『CLOUDSEC 2017 企業資安高峰論壇』,今年要帶領您從更高的角度了解 : 未知威脅在哪裡 ? 潛在風險怎麼評估 ? 真正的防禦和程序要如何進行 ? 最重要的是協助您全面提升威脅防禦能力。
106/09/09-10/07
CISSP®資訊安全系統專家認證

主辦單位:MasterTalks
日期:20170909 ()  09:00 ~ 20171007 () 18:00
地點:台北市中正區市民大道三段2 (三創數位生活園區)
線上報名連結:http://www.accupass.com/event/register/1707080744251449780826
資料來源:http://www.accupass.com/event/register/1707080744251449780826

活動概要:
依據 Cybersecurity Trends Spotlight Report資訊安全專家CISSP認證為最有價值的IT認證,且在資安法即將通過前夕以及資訊安全日益重要的今日,各大企業無不爭相徵求CISSP資訊安全專家的加入,以保護公司重要的資訊資產並應對各種新型態的威脅。現在就開始準備CISSP證照取得,提升自己的競爭力與專業形象。
106/09/09-10/07
SSCP資安專業人員認證

主辦單位:MasterTalks
日期:20170909 09:00 ~ 20171007 18:00
地點:台北市中正區市民大道三段2 (三創數位生活園區)
線上報名連結:http://www.accupass.com/event/register/1707080753499245532020
資料來源:http://www.accupass.com/event/register/1707080753499245532020
活動概要:
參加本課程,除能強化您在存取控制、安全作業管理、資安風險識別/監控與分析、安全事故回應與復原、密碼學及網路與通訊安全等領域之專業知識外,亦可在課堂上透過精心設計的演練案例及實務分享獲取實作經驗,讓你在取得證照的同時,回到工作崗位上也能夠實地上手,展現您的工作績效與訓練成果。




第 4 章、本月份事件通報統計

本中心每日透過官方網站、電子郵件、電話等方式接收資安事件通報,本月共收到通報共672筆,以下為本中心所蒐整之各項統計數據,分別為通報來源統計圖、攻擊來源統計圖及攻擊類型統計圖。
通報來源統計圖為各國遭受網路攻擊,且發起攻擊之IP為我國所有之IP,並向本中心進行通報之次數,如圖1所示;攻擊來源統計圖為本中心所接獲之通報中,我國各單位遭受來自各國之攻擊次數,如圖2所示;攻擊類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數,如圖3所示。
圖1、通報來源統計圖

圖2、攻擊來源統計圖

圖3、攻擊類型統計圖


除通報至G-ISAC外,本中心亦已電子郵件或電話方式通知相關單位進行處理,本月約有10%單位回覆相關處理情形,建議大家應於平常保持良好之防護習慣,於事前勤更新相關弱點及漏洞,事發時立即處理,後續本中心仍持續提醒相關用戶對於所收到之事件通報進行相關處理,以減少駭侵事件發生時所造成的損害。

沒有留言:

張貼留言