2018年9月27日 星期四

107 年 9月份 TWCERT/CC資安情資電子報

1. 摘要

為提升我國民眾資安意識,TWCERT/CC於每月發布資安情資電子報,統整上月重要資安情資,包含TWCERT/CC近期動態、資安政策、威脅與趨勢、駭客攻擊事件、軟硬體漏洞、資安研討會活動及資安事件通報統計分析等資訊。


2. TWCERT/CC近期動態


2.1. TWCERT/CC將於10月3日舉辦「2018台灣資安通報應變年會-企業無可避免的資安管理責任」


TWCERT/CC將於10月3日集思台大會議中心舉辦「2018台灣資安通報應變年會-企業無可避免的資安管理責任」,由行政院資通安全處指導,經濟部中小企業處、國家中山科學研究院、電子商務資安服務中心EC-CERT及國家中山科學研究院資訊通信研究所共同協辦此場會議。
隨著網際網路與物聯網蓬勃發展,企業所面臨的資安問題亦與日俱增,資安在當今的世代已愈來愈受重視,企業在經營時,需考量完善的資安防護,制定並落實資安政策及通報應變標準作業流程,才能即時應對席捲而來的資安威脅。
因此,有許多國家及企業為了能快速應對瞬息萬變的資安事件,紛紛自主成立資安事件應變團隊 (CERTs/CSIRTs),但事實上很多時候,在事件發生時,仍然不清楚如何處理,或無法在第一時間應急救援,而造成資安事件應變團隊並沒有完全發揮或達到預期的效益。
此次亦特別邀請到Adli Wahid擔任Keynote演講者,Wahid先生是國際上非常知名且資深的資安專家,目前服務於亞太網路資訊中心 (Asia Pacific Network Information Centre, APNIC),並且有許多和CERTs/CSIRTs及執法組織合作的經驗,亦是國際安全組織「資安事件應變小組論壇 (Forum of Incident Response and Security Teams, FIRST)」委員會成員之一。
這次Wahid先生將基於國際資安合作經驗,分享自身在APNIC及FIRST協助各國家建置資安事件應變團隊的經驗,以及長期設法改善整體資訊安全時,所面臨的挑戰及關注。
這是一個非常難得的機會,在台灣就能聽到國際知名資安專家Wahid先生的演講,此外,參與此場會議,亦可了解以下幾項課題:
(1) 面臨資安管理法的因應之道。
(2) 電子商務資訊安全的重要性及相對應的解決策略。
(3) CERT/CSIRT任務及服務內容,並了解如何自主建置CSIRT。
(4) 資安通報的重要性及好處,提高企業資安通報意願。
會議全程皆為免費,歡迎大家共襄盛舉!
議程資訊及報名:https://www.informationsecurity.com.tw/edm/IS_EDM_181003/

2.2. 協辦107年度高中職資安種子教師研習營


8月18日至19日「教育部資訊安全人才培育計畫推動辦公室」,及「財團法人國家實驗研究院國家高速網路與計算中心」,共同主辦「107 年度高中職資安種子教師研習營」,此次研習營目的主要是協助培訓資安種子師資,促進資安扎根教育,TWCERT/CC亦為此次研習營之協辦單位。8月19日TWCERT/CC主任陳永佳受邀擔任講師,講題為:「網路安全威脅趨勢與實務案例分享」,針對近期或較常發生的資安事件進行案例探討與分享。


2.3. 協辦2018神盾盃網路奪旗CTF競賽


國家中山科學研究院辦理「2018神盾盃網路奪旗『CTF』競賽」,TWCERT/CC協辦此場競賽,於8月29日上午9時假集思台大會議中心舉行頒獎典禮,由本院院長杲中興博士主持,除公開表揚「217」及「Taipei-Meow」等獲獎團隊外,同時也邀請國防大學理工學院陸儀斌教授以「網路奪旗競賽對國內資安發展之影響」為題進行講演,闡述資安產業發展之重要性。
神盾盃CTF競賽題型區分為「逆向工程」、「電腦鑑識」、「弱點分析」、「網頁安全」、「密碼學應用」及「其他類型」,此次競賽最終由國內外常勝軍「217」取得第一名,獲得新台幣10萬元獎金。
資訊與網路安全近年來已成為熱門議題,各國競相籌辦「網路奪旗競賽」,中科院自105年起,透過每年舉辦「神盾盃網路奪旗競賽」,發掘國內優秀資安人才,建立多方面的交流管道,以加速國內資安技術發展與突破,更希望藉此結合民間產業的力量,一同建構完整的國家資安防護體系。


3. 國內外重要資安新聞

3.1. 國內外資安政策、威脅與趨勢


3.1.1. 經濟部工業局提供資訊安全檢測診斷服務補助申請


為協助產業資安防護能力提升,由經濟部工業局主辦、工業技術研究院協辦及中華民國資訊軟體協會執行,於 107 年「新興資安產業生態系推動計畫」,推動產業資訊安全檢測診斷服務,透過「資訊安全風險現況評估」,實施「伺服主機弱點掃描檢測」、「資訊設備組態基準檢測」及「網路封包側錄分析」檢測作業,以利受測企業掌握該組織之資安防護現況,並了解如何強化、改善及建立預防措施。
申請受測企業須為依我國公司法設立,並由中央主管機關核准登記之本國公司,並屬資通訊製造、雲端物聯網、金融服務及中小企業等營運項目者,而資訊安全檢測診斷服務費用由經濟部工業局部分補助,受測企業須交付自籌款。詳細申請規定請參考「經濟部工業局 107 年「新興資安產業生態系推動計畫」資訊安全檢測診斷服務申請須知」(下載連結: http://www.cisanet.org.tw/ReadFile/?p=Activity&n=e470e709-3ff6-41b3-8eea-f022528ad9ed.pdf)


3.1.2. 西澳政府進行內部稽核,發現弱密碼問題仍嚴重


西澳政府對內部進行稽核,發現仍有大量員工在系統中使用弱密碼,且有些弱密碼可以管理者權限存取含有重要資訊之系統,其中亦包含可由公開線上存取之系統。未確實施行組織內資安政策,或無良善管理機制,皆可能導致資安風險。
TWCERT/CC建議,此些風險並非僅有政府機關需注意,一般企業應該也需注意,並定期稽核資安相關政策是否確實施行,以免企業遭駭或重要機敏資訊外洩。


3.1.3. 觀光業遭殭屍網路攻擊比例上升,身分資料被竊風險提高


近期研究指出,觀光產業是目前最容易遭受網路攻擊的產業。這項研究分析從2017年11月到2018年8月的紀錄,並發現惡意假帳號透過傀儡殭屍網路攻擊飯店、航空公司、郵輪及旅行社的比例在部分國家有上升的趨勢。


3.1.4. NCC將公布物聯網資通安全檢測技術指引


因應物聯網帶來的資安挑戰,國家通訊傳播委員會參考國內、外相關資安防護指引及標準,將陸續制定公布無線IP CAM、Wi-Fi AP、無線路由器等資通安全檢測技術指引,經由物聯網設備資安檢測之推廣,逐步健全我國資通安全環境,並促進物聯網各項創新應用服務之發展。


3.1.5. 美國國土安全部將建立國家風險管理中心


美國國土安全部 (Department of Homeland Security, DHS)在7月31日公布將建立一國家風險管理中心 (National Risk Management Center),該中心為跨部門中心,以入口網站方式提供全方面資安資源,以協助私人關鍵基礎設施公司評估自身資安威脅及風險,以進行管理及減緩資安風險。


3.1.6. 美國國土安全部和聯邦調查局聯合發表HIDDEN COBRA活動惡意軟體分析報告


美國國土安全部 (DHS)和聯邦調查局 (FBI)發布朝鮮政府惡意軟體分析報告 (MAR),確定了朝鮮政府使用的木馬惡意軟體變種 - 簡稱為KEYMARBLE。此分析報告內容包括惡意軟體描述、應變作業和緩解技術的建議。企業組織或個人之用戶或管理員應注意與惡意軟體相關的活動並回報TWCERT/CC處置。


3.1.7. CyberSecurity Malaysia建立CyberSAFE計畫,提升民眾資安意識


馬來西亞網路安全機構 (CyberSecurity Malaysia, CSM)致力於提供廣泛的網路安全創新導引服務,以降低資訊系統的脆弱性,這有助於馬來西亞成為第三個致力於網路安全的國家。
CSM提出CyberSAFE計畫,目的在提升人們對互聯網所面臨的技術問題的敏感度,計畫實施對象包括學童、成人、在職成人甚至教師。該計畫取得了令人矚目的成功率,特別是教導最容易遭受網路攻擊的兒童,亦開設了相關課程來教育孩子和他們的學校老師,以確保他們不僅知道網路攻擊是什麼,也知道如何應對,而截至目前已經超過230,100名學生參加了CyberSAFE計畫。
由於CyberSAFE計畫是一項保護數位公民免受網路攻擊的預防措施,因此它必須具有趣味性和吸引力,以便人們持續傳授資訊安全認知,因此,CSM正致力於達成此計畫效率,並繼續尋找使該計畫更加全面安全的方法,並以多種不同的方式進行,透過許多不同的平台來引發興趣並使其更具吸引力。


3.1.8. Magniber勒索軟體變種,目標鎖定臺灣等多個亞洲國家


勒索軟體爆發出來的事件與病毒種類不勝枚舉,TWCERT/CC於8月獲報國內某單位遭「Magniber」勒索軟體攻擊,Magniber通常使用漏洞利用工具Magnitude,利用時下最新的軟體漏洞,如 Internet Explorer 中的 CVE-2016-0189 漏洞,各單位或個人應多加防範。

3.2. 駭客攻擊事件及手法


3.2.1. 區塊鏈眾籌平台KickICO 發現安全漏洞,KICK虛擬代幣遭竊


KickICO是一個基於以太坊區塊鏈的資金募集平台,7月29日KickICO披露了一項安全漏洞,根據KickICO的官方公告,KickICO遭黑客入侵存取其錢包並竊取超過7000萬KICK虛擬代幣 (Token),換算約為770萬美元。
事件發生在7月26日,KickICO執行長Anti Danilevski表示,在接獲幾名受害者的投訴他們的錢包帳戶裡價值80萬美元的代幣不明原因消失後,該團隊隨即發現其安全漏洞,會導致攻擊者獲得KICK智慧合約 (Smart Contract)帳戶,從而控制KickICO代幣平台。
截至7月29日,該公司宣布災情得到控制,智慧合約已經恢復。 KickICO宣布將把所有被盜的KICK代幣歸還給他們的合法所有者,因此,受影響的用戶被要求發送電子郵件到report@kickico.com,「以便將資金返還給錢包帳戶」。
該公司迅速開始對安全漏洞進行調查,內部員工發現攻擊者設法存取開發人員用來管理KICK虛擬代幣的智慧合約在KickICO平台的私鑰。
一旦獲得密鑰,攻擊者能夠透過存取控制KickCoin智慧合約的私鑰來進行攻擊,使用KickCoin智慧合約與Bancor網路整合的方法破壞了大約40個地址的代幣,並在相應數量的其他40個地址創建代幣,因此,KickCoins的總數未受影響。
幸運的是,社群很快發現了安全漏洞並幫助平台緩解了這一漏洞。 KickICO透過將另一個離線儲存(或稱冷儲存, Cold Storage)的相關私鑰替換遭駭的私鑰,迅速做出反應並防止了進一步的損失。
曲速未來實驗室認為,目前市面上大部分的以太坊智慧合約,大多設立Owner特權角色。即使一份智慧合約沒有程式碼上的缺陷,也會有很大的風險,稱之為「單點威脅」,因為Owner特權角色在一定程度上可以影響該智慧合約的執行秩序,而並不能保證Owner自己不作惡又或是Owner特權不會被攻擊者竊取,而這次的KickICO盜幣事件就是由於Owner私鑰被竊取導致。
曲速未來實驗室表示,雖然KickICO重新控制了智慧合約,並且保證所有被盜的資金都將歸還到原錢包帳戶中。但目前大部分智慧合約設立特權角色,雖然說從業務角度來說是可以理解的,但是這是與區塊鏈的核心思想相悖的,區塊鏈去中心化的目的之一就是消除單點威脅,而設立特權角色實際上是製造單點威脅。
曲速未來實驗室建議,面對「假去中心化」的專案,投資人需要謹慎以及提高警惕,因為特權帳戶隨時可能會監守自盜亦或是特權帳戶被竊取而產生大量經濟損失。


3.2.2. 泰國兩銀行遭受駭客攻擊,導致客戶個資外洩


泰國開泰銀行 (Kasikorn Bank)及泰京銀行 (Krung Thai Bank)近日表示他們的系統遭駭,導致客戶資料外洩,但目前並無發現金錢損失。
泰京銀行線上貸款平台於8月遭駭,導致有將近12萬使用者的個資外洩,但並無導致金錢損失。
開泰銀行則在7月25日遭受攻擊,並導致有3,000名使用保函 (Letter of Guarantee, L/G)服務的企業用戶資料疑似外洩,其中包含姓名及電話,但不含金融資訊,而銀行也立即加強資料防護。
泰國銀行要求該兩間銀行應加強資安作為,且須為之後客戶的可能損失做好賠償準備。


3.2.3. Reddit警告其用戶存在安全漏洞,駭客駭入平台系統並存取用戶資料


Reddit是一個娛樂、社交及新聞網站,註冊用戶可以將文字或連結在網站上發布,基本上成為一個電子布告欄系統,目前是美國最大討論區,匯聚各國眾多鄉民的關注而成為重點情報聚集地,素有美國版PTT之稱。
2018年6月19日Reddit發現資料洩露事件,根據Reddit的說法,在2018年6月14日至18日期間,駭客駭入Reddit的一些系統並設法存取了一些用戶資料、電子郵件地址和包含由平台管理的Hash密碼的2007年備份資料庫,攻擊者在公司雲和程式碼託管供應商中獲取了部分員工的帳戶。Reddit表示對於包含備份資料、程式碼和其他日誌的Reddit系統,駭客並沒有獲得其寫入權限。
該公司表示擁有身分驗證要求雙因素身分驗證 (2FA)的機制,而Reddit帳戶雖受到基於SMS的雙因素身分驗證的保護,但這種情況也表明攻擊者可以攔截透過SMS發送的身分驗證代碼,Reddit了解到基於SMS的身分驗證並不像期望的那樣安全,並且主要攻擊是透過SMS攔截。因此Reddit鼓勵應轉移到基於token的2FA。
該公司已經向執法機構報告了安全漏洞,並通知受影響的人要求更改密碼,並採取措施鎖定和替換所有加密產生和API密鑰,以加強系統監控。
●TWCERT/CC建議,自2007年以來仍在使用相同密碼的Reddit用戶必須立即更改其密碼,且若在其他網路服務使用相同登入帳密者也需一併修改。


資料來源:
https://securityaffairs.co/wordpress/74982/data-breach/reddit-data-breach.html
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
https://www.bleepingcomputer.com/news/security/reddit-announces-security-breach-after-hackers-bypassed-staffs-2fa/
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
https://www.csoonline.com/article/3293904/cloud-security/reddit-discloses-hack-says-sms-intercept-allowed-attackers-to-skirt-2fa-protections.html
https://www.cyberscoop.com/user-data-private-messages-exposed-reddit-breach/
https://www.darkreading.com/threat-intelligence/reddit-warns-users-of-data-breach/d/d-id/1332458
https://www.reuters.com/article/us-reddit-cyber/reddit-says-user-data-between-2005-and-2007-breached-idUSKBN1KM5WG?feedType=RSS&feedName=technologyNews
https://securityaffairs.co/wordpress/74982/data-breach/reddit-data-breach.html
https://www.theregister.co.uk/2018/08/01/reddit_hacked_sms_2fa/
https://www.tripwire.com/state-of-security/latest-security-news/reddit-says-some-user-data-accessed-in-security-incident
https://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/


3.2.4. 香港衞生署半月內3起勒索軟體感染事件,所幸資料未外洩


香港衞生署於8月2日證實過去約半個月內接連發生3宗電腦感染勒索軟體事件。
警方網路安全及科技罪案調查科正跟進調查衞生署轄下3個單位的電腦,警方表示分別於7月16日及25日接獲相關政府部門報案,暫時未有人被捕。
衞生署表示,轄下感染控制處、醫學遺傳服務及藥物辦公室,於7月15日起先後報告,部門共3台電腦被勒索軟體感染,署方已經匯報政府資訊保安事故應變辦事處,並向警方網路安全及科技罪案調查科報案,初步顯示受感染電腦無儲存機密個人資料或被駭客直接入侵,事件亦無引致資料外洩。
衞生署說,勒索軟體將電腦檔案加密,只留下聯絡電郵以取得解密鑰匙,但未提出勒索金額。香港衞生署並強調,該署平日有根據政府資訊科技總監辦公室提出的防禦勒索軟體建議,定期為電腦內的檔案作出備份,員工可從備份中取回檔案。署方也已提醒包括外判電腦服務供應商在內的所有員工,必須嚴格遵守資訊保安政策及指引,不應瀏覽不安全網站,或將未經電腦病毒掃描的隨身碟,連接署方電腦。


3.2.5. 台積電產線遭受病毒感染


台灣知名積體電路製造龍頭 - 台積電,8月5日發布聲明,表示該公司內部遭受病毒感染攻擊,並擴散至其他廠區產線。
台積電表示事件發生在8月3日傍晚受到電腦病毒感染,主因為新機台在安裝軟體的過程中操作失誤,因此病毒在新機台連接到公司內部電腦網路時發生病毒擴散的情況。
受影響範圍為台灣廠區部分電腦系統及廠房機台,受病毒感染的程度因工廠而異,台積電表示已經控制此病毒感染範圍,同時找到解決方案,至台灣時間下午兩點為止,約80%受影響的機台已經恢復正常,台積公司預計在8月6日前,所有受影響機台皆能夠恢復正常,公司資料的完整性和機密資訊皆未受到影響,並已採取措施彌補此安全問題,同時將進一步加強資訊安全措施。
台積電向多數客戶通知相關事件,並個別溝通其晶圓交貨時程與細部資訊。並預估此次病毒感染事件確實將導致晶圓出貨延遲以及成本增加。
台積電於8月6日傍晚召開記者會,摘錄重點如下:
1. 目前確認感染之病毒為WannaCry變種,而此次受到影響之機台皆使用Windows 7作業系統,且未上Patch。
2. 此次事件並非因為隨身碟造成的感染,該病毒是原本就存在於機台內,也並非人為加入所導致。
3. 感染原因為新機台在安裝軟體時,未於隔離環境先測試就接上內網。
4. 公司北、中、南生產系統網路是連接在一起的,所以竹科、中科、南科都一起受到感染,但海外廠沒有受到影響。
5. 後續台積電將於短時間內建立新機制,新機台若無安裝防護機制,內部將自動判斷並使該機台無法連上內部網路。
以下整理機台電腦常見之主要可能威脅:
‧ 產線大都隸屬於獨立網段,防毒軟體或作業系統更新不易
‧ 系統分散無法提供集中式安全管理政策
‧ 許多機台皆採用老舊系統
‧ 防毒軟體無法安裝或更新
‧ 作業系統漏洞微軟不再提供修補
‧ 隨身碟使用不慎,導致內藏病毒擴散
●TWCERT/CC以下僅針對上述幾點可能之原因提供相關防護建議:
事前預防:
‧ 隨身碟由於輕便、容量大、隨插即用之功能,使其成為病毒傳播與侵犯的溫床。
企業如非使用隨身碟之必要,應實體與軟體方面封鎖關閉各電腦USB埠,並澈底嚴格管制隨身碟攜出入。
若有使用隨身碟之必要,應配發公司內部專用合法的隨身碟,才可以進行USB存取,並在隨身碟插入電腦前,應確認電腦是否安裝防毒軟體、病毒碼是否更新,以及作業系統漏洞是否修補,以確保使用環境的安全性;插入電腦後應隨即對隨身碟進行病毒掃描,以避免病毒於電腦間進行交叉感染。
‧ 平常應定時備份,並儲存於多個不同空間。
‧ 關閉作業系統中不須使用之通訊埠,關閉網路共用資料夾。
‧ 不要點擊來路不明的網站和檔案等。
‧ 隨時更新作業系統或軟體以修補已知漏洞。
‧ 利用白名單或帳號控管等權限限制以控制可存取名單。

事中處理:
若電腦出現疑似中毒異狀,如桌面檔案出現異常無法打開等,即刻拔除電源或關機 (使用筆電者請亦將筆電電池移除),並確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉 Wifi 分享器電源或拔除 3/4G 無線網卡)。

事後處置:
‧ 系統恢復:將受駭電腦硬碟格式化後重灌至最新版官方作業系統。
‧ 資料恢復:將備份之資料還原至電腦中。


3.2.6. 印度浦那Cosmos Bank遭駭,損失金額高達94億盧比


總部位於印度浦那地區的該國第二大合作銀行 (Cosmos Cooperative Bank)成立於1906年,是該城市歷史最悠久的城市合作銀行之一,該銀行在印度國內的7個州有140個服務據點,實力雄厚業務廣泛。
據印度斯坦時報8月14日消息,該銀行伺服器曾在印度當地時間8月11日和13日遭到駭客攻擊,幾小時內約有9.4億盧比(約台幣4億1241萬元)的資金被盜、數千名持卡人資訊洩露。
在8月11日下午3點到10點之間,身分不明的駭客共發起了超過15000次交易。其中有8億多盧比(約台幣3億5000萬元)透過VISA系統,分14849次轉入到國外銀行的簽帳卡中。
就在當地時間8月13日晚間11點30分,駭客又一次攻擊了該銀行,這次攻擊中駭客轉移走了至少1.4億盧比(約台幣6142萬元)。 根據一位銀行官員的說法,初步調查顯示駭客活動似乎來自加拿大。這些被盜資金在全球28個國家的ATM中被提走,而這些交易都是用假簽帳卡進行的,其中12,000筆交易發生在印度國外。
對此該銀行已經對這名尚未查明的駭客和幾個涉案公司提起了訴訟。其中提到此次攻擊是針對ATM伺服器,這些伺服器都位於海外,也就是資金流入的地區。
合作銀行董事Krishnakumar Goyal表示,駭客為印度國家支付公司 (NPCI)系統設計了一個「並行系統」並自行批准了這些交易。也正因如此駭客可以獲得銀行系統許可,從而繞過嚴格的網路安全措施盜走巨額資金。
該銀行已關閉該伺服器,並對其線上銀行交易設置限制機制。警方宣稱此案還在繼續調查之中。Cosmos Bank稱客戶的資金是安全的,並未受到波及。
巧合的是,美國聯邦調查局才在8月10日發出警告,稱駭客可能利用一種惡意軟體操控ATM,進而提取大量現金,引發全球ATM系統的危機,但目前尚未能得知此次印度銀行資金被盜,與這類軟體是否有關係。


3.2.7. 中國華住連鎖酒店集團1.3億客戶資料遭暗網拍賣


中國最大的連鎖酒店之一華住酒店集團有限公司在中國1,119個城市的5,162家酒店中經營13個酒店品牌。
幾家網路安全公司在中國暗網論壇發現一名駭客以8個比特幣(56,000美元)的價格出售超過1.3億筆酒店客人的個人詳細資訊。
根據駭客線上發布的描述,他從華住酒店公司盜取的資料量為141.5GB,包含2.4億筆訂房紀錄,其中包括大約1.3億筆是入住客人的登記資訊。
被線上銷售的資料包含官方網站註冊資訊(身分證號碼、手機號碼、電子郵件地址、登錄密碼)、登記入住資訊(客戶姓名、身分證號碼、家庭住址、生日)及訂房資訊(姓名、卡號、手機號碼、入住時間、退房時間、酒店ID號碼、房間號碼)。
涉及酒店包括漢庭酒店、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊及海友。
華住連鎖酒店在中國社交網路微博上發表聲明表示,仍在調查情況,並已通知當局。
中國網路安全公司紫豹告訴當地一家新聞媒體,他們表示已驗證這些資料是真實的。該公司亦表示,這次的原因似乎是華住開發團隊在GitHub帳戶上傳資料庫的副本所致。

3.3. 軟硬體漏洞資訊


3.3.1. 惠普噴墨印表機逾百款型號具RCE漏洞,宜速更新韌體


3C大廠美國惠普 (Hewlett-Packard Company),自從印表機產品弱點抓漏獎勵專案啟動後,徵求白帽駭客為其測試商品,近日獲致成效,HP公開2項韌體瑕疵,CVSS 3.0計分高達9.8,具高度危險性,影響166種噴墨印表機型號,涵蓋旗下PageWide、DesignJet、Officejet、Deskjet、Envy及Photosmart六系列,若駭客成功探勘,可輸入特製檔案,觸發Buffer Overflow,再擴權後執行任意程式碼,對設備危害頗鉅,目前尚無入侵案例,惠普已公告相關韌體更新版本,使用者應儘快安裝,此事件儼然對企業形成新挑戰,畢竟資安長通常不參與會商印表機購案,未來導入新設備可能會經歷更嚴謹的審查。


3.3.2. 編譯器mingw-w64產出執行檔具先天性缺陷,不受ASLR機制保護


據美國CERT/CC官方研究指出,因mingw-w64編譯器預設不產生重定位表 (Relocations Table),而Relocations Table恰巧是結合位址空間隨機化配置 (ASLR)之必要條件,故近五年內以mingw-w64製造之執行檔,載入到記憶體後,無法重新標定在記憶體內正確新址,亦失去ASLR保護作用,無法阻撓駭客預測記憶體位址,顯露出緩衝區溢位弱點,面對攻擊者實施返回導向設計 (Return-Oriented Programming, ROP),此種進階堆疊溢位攻擊,能控制堆疊呼叫以劫持程式控制流程,並執行機器語言指令。權宜之計就是開發中程式,以主程式前加底線方式 (例:__declspec (dllexport) ),強制產生檔案包含Relocations Table,然對於已運用軟體成品,目前暫無解決方案,已確認受該漏洞影響之環境為Arch Linux、CentOS、Debian GNU/Linux、Fedora Project、Gentoo Linux、Red Hat, Inc.、SUSE Linux、Ubuntu及VideoLAN,上述作業系統皆完成更新。


3.3.3. 不可盡信WhatsApp,留心虛構人士與偽冒訊息


WhatsApp Messenger目前在全球約15億用戶,每日多達650億訊息量,使用Protobuf2協定進行點對點加密,能在智慧型手機跨平台傳送簡訊、檔案、圖片、影音,經以色列Check Point軟體技術公司研究指出其程式瑕疵,因WhatsApp產生QR code前會先製作公、私對鑰,攻擊者運用Burp Suite等工具,修改特定參數,可發動三類攻擊模式:一是模擬真實群組成員,甚至創建不存在的身分,搭配假訊息,引述轉發給他人誤導大眾;二是寄出文字給自己,攔截加密流量後,解密並竄改,最後接收狀態呈現出某人所發消息,實際上是駭客自導自演;三是變更msgstore.db資料庫,刻意在群組內發送私訊給受害者,只有受害者得見,其餘人皆無法接收,造成訊息落差;上述手法皆可能引發群體對立糾紛。
對此Facebook聲明,WhatsApp基本功能為點對點加密傳輸,上述弱點不妨礙運作,所涉攻擊手法屬個案,且用戶訊息均未存於WhatsApp伺服器中,故此時無修補計畫,依賴WhatsApp做日常通訊之使用者,應考慮重要資料是否更換交流管道。


3.3.4. 升級影音軟體工具FFmpeg避免DoS & RCE


FFmpeg team以C語言開發的FFmpeg (Fast Forward mpeg),是個可執行多種格式音訊、視訊錄影轉檔之自由軟體,支援各類函式庫與參數,跨Linux、Mac OS X、Windows環境皆適用,而部分格式轉換功能出現漏洞,無法避免惡意檔案所衍生之異常結果,如轉換成MOV可能引發Divide-by-Zero錯誤而當機;轉換AVI至MPEG4時,若變數MQUANT呈現負值,則陣列資料存取失誤,導致DoS;另Demuxer處理ASF檔案影像信號,將連鎖觸發緩衝區溢位及RCE事件,相關瑕疵已於目前版本修補完成,且每隔一季釋出新版,升級軟體用途。


3.3.5. 網站開發應用框架Django,恐遭受Open Redirect攻擊


由Python寫成的Django,是開放原始碼的網頁應用框架,採用了MVT (Model、View、Template)軟體設計模式,其核心框架包括網頁伺服器、內建分發系統、表單序列化及驗證系統,並支援中介軟體,因為每個網站總有同質性基本需求,如:用戶註冊、後台、表單等,憑藉Django,開發者毋須重複製造相同模組,僅需專注設計專屬程式,經測試得知,Django在APPEND_SLASH參數與django.middleware.common.CommonMiddleware元件同步運行時,預設作用可將Request內URL字串自動轉向末尾附加斜線號 / 之網址,攻擊者利用該普遍特性,以社交工程伎倆誘騙受害者誤點惡意鏈結,而惡意URL未被攔截,將導向駭客控制網站,遂行釣魚或詐騙,Django軟體基金會已公告各版本修補檔及升級軟體。


3.3.6. 松鼠郵遞SquirrelMail用戶,慎防來信夾帶XSS陷阱


松鼠郵遞為開源免費軟體,早期以PHP開發電子郵件客戶端,本身即完整郵件系統,輔以200餘種外掛彈性搭配,後以C語言設計IMAP proxy server,兼能跨OS平台支援SMTP、IMAP,因無須結合SQL Server且相容於主流瀏覽器、標準郵件伺服器,重視維管便利性者,易傾向安裝之,前印度總理辦公室曾因安全顧慮而淘汰Outlook Express,替之以SquirrelMail,如今更迭遲緩而光輝不再。經分析指出存在多項XSS破綻,因magicHTML函數原始設計未納入HTML標籤語法過濾功能,遠端駭客可在郵件安排
等指令,利用表單動作屬性、可縮放向量圖屬性,實行跨站台腳本攻擊,待收件人點擊閱覽新郵件頁面,旋即在受害者瀏覽器執行惡意腳本,可能偷取Cookie等憑證資料,由於SquirrelMail遍及50餘種語系地區,且其財務吃緊,維護應處能力已不復存,相關弱點列為高度危險,建議使用者升級至1.4.23-svn版並搭配Hanno Böck自行編撰修補檔,或許支持者可考量替代軟體。


3.3.7. 華芸科技ASUSTOR Data Master預設帳密及RCE破綻


華芸科技 (ASUSTOR Inc.)是華碩子公司,自有品牌ASUSTOR意即ASUS Storage,研發NAS及相關韌、硬體、應用程式,其中ASUSTOR Data Master (ADM)係專屬NAS作業系統,呈現類平板圖形化介面,經研究員Kyle Lovett和Matthew Fulton連袂分析,發覺ADM存在多組預設帳密 (root/admin),駭客能直接操作phpmyadmin、virtualbox等網頁;另因欠缺輸入字串檢查,腳本參數被注入OS命令後,移至aggrecate_js.cgi呼叫執行;而常見的SQL Injection,亦影響Photo Gallery圖庫樹狀清單介面,亦用參數album_id或scope,可製造隱碼攻擊,研究者已通知華芸上揭漏洞,然未獲回應,迄今官網亦無相關處置聲明,僅釋出新版ADM 3.1.3.RHU2修補單項RCE弱點。


3.3.8. 新型釣魚術與login失敗正衝擊Office 365


微軟主打的Office 365,除傳統Office套裝以外,尚有Exchange、SharePoint、Lync等線上服務,並建置機器學習與AI安全保護,掃描電子郵件中來自惡意網域之link,繼5月份baseStriker之後,再度陷於風險。雲端資安公司Avanan根據在野攻擊案例,研究新型釣魚攻擊模式,利用Microsoft安全機制不偵測自家商品的特性,將惡意鏈結置入SharePoint檔案,受害者透過SharePoint邀請函開啟時,導向逼真的Office 365登入畫面,所鍵入私人帳密直接奉送駭客。理想作法可採用2FA或多元認證,讓駭客手中帳密難以運用,但Office 365最新認證功能啟用狀態時,將導致訂購者登入錯誤,微軟仍未解決登入問題,故眼下暫無妥善反制釣魚能力,評估過去半個月,全球約有10% Office 365用戶受衝擊,而目前無法有效阻擋此釣魚手段,僅得依賴人工檢測可疑之處,辨識網址真偽。


3.3.9. 攻擊Samba缺陷,駭客能製造DoS與不當存取


考量同網段上相異作業系統 (Windows、Linux、UNIX、IBM System 390)資源共享便利性,便催生open-source的Samba,Samba建基於NetBIOS (Network Basic Input/Output System)通訊協定,可連接Windows的SMB (Server Message Block)與CIFS (Common Internet File System),讓PC間破除OS的隔閡,分享資料夾及印表機。分析指出,其libsmbclient函式庫未稽核目錄清單內容,極長檔名字串恐覆蓋記憶體配置區域;而Samba擔任AD DC時,因null pointer造成反參照錯誤,若接收惡意RPC請求,易導致DRSUAPI server內DsCrackNames呼叫程序或DNS、LDAP服務毀損;輕型目錄存取協議對於使用者控制檢查未臻完善,透過LDAP搜尋語法表示式,可獲得機密系統參數;另Samba改版時重編程式,造成較弱NTLMv1身分驗證方式回歸,使駭客得以避開嚴謹規範,進行未授權存取,發動進階攻擊,Samba Team已公布修補檔,並升級相關軟體版本。


3.3.10. 飛利浦PageWriter系列心電圖儀器易受本機入侵


荷蘭飛利浦Philips公司,通報旗下醫療產品出現錯誤,PageWriter Cardiograph心電圖偵測儀能產生Electrocardiography (ECG)圖表,輔助醫師診斷,此類設備涉及醫療安全,其資料處理過程不容有失,然因內建寫死Superuser密碼,知情者得以全面調整設備功能;另囿於記憶體邊界控管瑕疵,若本機駭客送入特製字串,可能觸發緩衝區溢位或格式化字串攻擊 (Format String Attack),衍生越界讀寫記憶體事件;上述軟體缺陷均打破安全藩籬,使攻擊者有權變更組態設定,影響診斷資料精密性及完整性,危及療程,弱點型號為PageWriter TC10、TC20、TC30、TC50、TC70 Cardiograph系列醫材,Philips預計2019年夏著手更新,系統缺失修正前,宜詳加規範設備使用人,確保惡意攻擊者無法實機操作。


3.3.11. 編譯器Ghostscript嚴重弱點波及多種軟體與OS


基於Adobe PostScript及PDF的頁面描述語言需求,Artifex Software以C語言開發Ghostscript編譯器,現今適用Linux、Unix、mac OS X、VMS、Windows、OS/2,並被ImageMagick、Evince、GIMP等編輯工具納為基本功能,影響力遍及上百款套裝軟體及函式庫,經Google Project Zero研究員Tavis Ormandy長期分析,指出Ghostscript內建-dSAFER選項,本是防止惡意行為的沙箱保護機制,但竟包含嚴重破綻,駭客製作各類惡意檔案 (PDF、PS、EPS、XPS),交給Ghostscript解析,可能執行任意指令或造成資料類型混淆,甚至可開啟受限制檔案,於隨機目錄恣意生成檔案,鑒於Ghostscript應用面廣泛,其RCE效果危及者眾多,且官方暫無正式修補,目前權宜之計,僅能從政策參數停用相關編碼功能,避免成為入侵對象。


3.3.12. 慎防Man-in-the-Disk及Triout侵襲Android設備


由於全球Android商品普及,針對性的攻擊技術與日俱增,以色列Check Point資安公司發現手機新弱點Man-in-the-Disk (MitD),因外部儲存器 (External Storage)為共享硬體資源,且不受沙箱保護,儲存資料易遭竄改,而導致APP觸發DoS或者更新流程被劫持,以惡意程式覆蓋自動更新執行檔,Google翻譯、Google語音助理、俄羅斯Yandex搜尋引擎、Yandex翻譯、小米瀏覽器均具MitD漏洞。另羅馬尼亞BitDefende公司找出新型態間諜軟體framework,命名Triout,能建立強大監視力並隱藏在貌似合法的APP內,Triout可蒐集電話錄音、簡訊、通聯紀錄、錄影拍照檔案、GPS座標,送回C&C伺服器,惟Triout作者身分、散播途徑、危害次數均不詳。結合MitD入侵途徑與Triout監視技術,對設備持有者隱私形成威脅,儘管Google已對旗下APP完成修補,而小米沒打算理會這問題,想當然耳,仍有諸多軟體難以倖免。


3.3.13. 儘速更新各版OpenSSH,解除User Enumeration瑕疵


自1999年發展迄今的OpenSSH (OpenBSD Secure Shell),係開放原始碼,以C語言撰寫之跨平台加密通訊軟體,據Qualys研究員分析,得知OpenSSH自開創迄今,全數版本皆存在姓名列舉 (User Enumeration)弱點,在auth2-gss.c、auth2-hostbased.c、and auth2-pubkey.c原始碼內,凡涉及userauth_pubkey()函數區段均有設計瑕疵,故對於無效使用者登入,未待完整解析封包內所有Request,迅速回應錯誤訊息,毫不延遲的時間差距,則透露出帳號不存在的事實,反之若使用者有效時,伺服器逕中斷與攻擊者的連線,駭客以惡意封包探勘,結合時序攻擊 (Timing Attack)與暴力破解方式,極易分別輸入帳號是否正確,從而獲得真實用戶帳號。基於OpenSSH廣泛運用,探勘實務亦公開披露,大量設備已受威脅,儘管公布修補方式,且OpenBSD已升級至最新版,然龐大的終端修補量可能耗時數月,目前OpenSSH官網連線失敗,網站似遭連線超載拖垮,建議使用者近日可隨機測試是否回復營運,儘快下載新版。


3.3.14. 急報Windows Task Scheduler零時漏洞,恐釀本機擴權


化名SandboxEscaper的研究員,近日在Twitter發布微軟既有的未知零時漏洞,經證實在64位元Windows 10及Windows Server 2016,自動排程Task Scheduler運作時使用進階本地程序呼叫 (Advanced Local Procedure Call)介面,以建立用戶模式下跨程序之高速資料傳送途徑,但本機駭客可對C:\Windows\Tasks路徑內*.job檔案產生Hard Link,再呼叫_SchRpcSetSecurity()函數,惡意覆寫原始job檔案,利用Task Scheduler系統權限執行週期任務時機,成為攻擊者幫兇,由於Hard Link效果僅限於相同硬碟分割區,故攻擊手段有所限制,但對同機多用戶仍有威脅,微軟預計9月份更新一併解決,眼下暫無修補。


3.3.15. 網站維護者宜升級phpMyAdmin,免除XSS干擾


以PHP開發之免費軟體工具phpMyAdmin,支援在網頁伺服器管理MySQL資料庫,其優勢為鉅量資料的匯入匯出,能產出HTML頁面俾供操作。經分析Sql.php、import.php程式碼察覺XSS破綻,因phpMyAdmin匯入檔案作業欠缺資料檢核機制,在惡意檔案內埋藏特殊指令SIGNAL SQLSTATE語法或其他腳本碼,可將攻擊型payload送入,輾轉經由getWarnings()、getWarningMessagesArray()、addHTML()等函數加以運算執行,最終觸發指令生效,此類Cross-Site Scripting行為若結合系統級權限,恐危害網站資料庫完整性,The phpMyAdmin Project已於8月21日完成修補並釋出升級版。

3.4. 資安研討會及活動



時間
研討會/課程
名稱
研討會相關資料
2018/10/03
2018台灣資安通報應變年會-企業無可避免的資安管理責任
【資安研討會】2018台灣資安通報應變年會-企業無可避免的資安管理責任
日期:2018年10月3日 (三)
地點:集思台大會議中心 (台北市羅斯福路4段85號B1)
參與對象:中小企業組織及團體
主辦單位:台灣電腦網路危機處理暨協調中心 (TWCERT/CC)
報名費用:全程免費
議程資訊及報名:https://www.informationsecurity.com.tw/edm/IS_EDM_181003/

參與此場會議,可了解以下幾項課題:
1.面臨資安管理法之因應之道。
2.電子商務資訊安全的重要性及相對應的解決策略。
3.CERT/CSIRT任務及服務內容,並了解如何自主建置CSIRT。
4.資安通報的重要性及好處,提高企業資安通報意願。

活動概要:
隨著網際網路與物聯網蓬勃發展,不僅給人們帶來便利的生活,也衍伸出許多資安問題,例如電商業者網站資訊安全防護未完善,而造成客戶資料外洩,引發大量的詐騙事件;或讓有心人士成功入侵電商網站,修改商品價格,而造成電商業者財務重大損失等問題,然而電子商務之資安風險,不再僅僅是客戶資料外洩或財務損失,在新版個資法上線後,將可能影響企業商譽及巨額財務損失。

企業除了面臨上述的資安問題外,另外還有網路攝影機監控畫面外洩、勒索軟體攻擊事件、DDoS攻擊事件、挖礦程式盛行等,亦是企業頻繁遭遇的資安問題,因此資安在當今的世代已愈來愈受重視,企業在經營時,需考量完善的資安防護,制定並落實資安政策及通報應變標準作業流程,才能即時應對席捲而來的資安威脅。
2018/09/15、2018/09/22
工業局補助資安課程-新興安全威脅《wifi 無線網路與物聯安全實作》
【資安訓練課程】工業局補助資安課程-新興安全威脅《wifi 無線網路與物聯安全實作》
日期:2018年9月15日 (六)、2018年9月22日 (六) 每日09:10 ~ 16:20 共12小時
活動地點:新北市板橋區民族路168號
主辦單位:中華電信學院
課程資訊及報名:https://www.accupass.com/event/1807250208111459278143
課程費用:付費

課程簡介:
在行動裝置普及率持續上升的狀況之下,有線網路持續遭到取代,新型態的裝置多以無線網路取代有線網路,在此趨勢之下政府機關與企業也只好擁抱原本認為不夠安全的無線網路,透過了解無線網路所面臨的資安危脅,進一步強化無線網路管理的安全。另一方面,在物聯網來臨的時代,廣義上的物聯網裝置包含網路攝影機、無線基地台….等等,這些都有可能受到駭客的攻擊,過去大家只認為伺服器與電腦才會受駭的時代已經過去,如何有效解決物聯網時代面臨的威脅便是本課程最重要的目標。
2018/09/29
ISDA 教育訓練Burpsuite實戰百分百
【資安訓練課程】ISDA 教育訓練 Burpsuite實戰百分百
日期:2018年09月29日 (六) 13:00-17:30
地點:台北市中正區重慶南路一段77號3-4樓
線上報名連結:https://reg.isda.org.tw/info.php?no=36
報名費用:學生NT$1,800、社會人士NT$3,000
報名注意事項:
活動滿10人開班,確認開班後,將有專人通知付款方式,若活動當天不克前來,將無法退費,但可自行轉讓他人,以上需知無法同意者,請勿報名。

活動議程:
13:00~13:30 入場
13:30~14:30 burpsuite 只有高手們才會的技巧
14:30~15:30 如何自幹更強大的 burpsite 外掛
15:30~17:00 專業 burpsuite 技巧初體驗
17:00~17:30 FAQ

活動概要:
本次活動為「ISDA 教育訓練 - Burpsuite實戰百分百」,適合進階學員參加。沒有最專業,只有更專業,如何更上一層樓,快來一探駭客高手們的秘密。
2018/09/19-20
2018/09/26-27
107年度新興資安產業生態系推動計畫-資安專業人才培育委外人才培訓-資安事故處理課程 (第二梯)
【資安訓練課程】107年度新興資安產業生態系推動計畫-資安專業人才培育委外人才培訓-資安事故處理課程(第二梯)
課程時間:2018年09月19日(三) - 09月20日(四)/2018年09月26日(三) - 09月27日(四)
受訓地點:臺北巨匠電腦-電腦教室(臺北市公園路30號3樓)
主辦單位:經濟部工業局
線上報名連結:http://www.cisanet.org.tw/News/activity_more?id=MzQ0

課程簡介:
課程設計除透過瞭解資安事故處理生命週期,藉以學習當資安事故發生時如何進行資安事故處理程序之外,並由資安事故處理以及數位鑑識處理之實務操作,讓結業學員學習到包含數位證據保全有效性之資安事故處理實務,俾利資訊安全產業與相關企業對於資安事故處理人才之運用。本課程邀請業界致力於資安事故處理與數位鑑識等專家共同指導,讓學員透過講師自身處理過的案例經驗中,了解各項資安事故發生後的處置手段,並接由數位鑑識相關專業講師教導如何保全事故後的數位跡證,透過理論與實務相輔佐的方式,讓學員能夠制定一套適用於各公司的資安事故緊急應變SOP,往後遭遇資安事故時,便能即時應對處變,更甚而從源頭進行預防。

課程大綱:
1.資安事故處理實務
2.數位鑑識處理實務
2018/09/29
The Dungeons of Hackers Conference 2018 - 駭客的地下城
【資安研討會】The Dungeons of Hackers Conference 2018 - 駭客的地下城
日期:2018年09月29日(六)
地點:高雄蓮潭國際會館 Gardenvilla 會議中心 2F & 3F(高雄市左營區崇德路801號)
主辦單位:TDOHakcer
線上報名連結:https://tdohackerparty.kktix.cc/events/tdoh-conf-2018

活動概要:
除邀請國內知名資安講者與優秀學生外,今年更邀請了香港與日韓之優秀講者一同共襄盛舉。本屆講者陣容包含數位國際級講者(曾於 DEFCON /Black Hat...等國際資安研討會發表過之講者)。

傳統的邊際安全性產品不僅在DDoS的因應對策方面顯得相對薄弱,亦因其狀態表 (Stateful)結構而無法阻擋狀態耗盡攻擊,尤其現在直播和串流視訊或是遊戲,這些服務往往是TCP和UDP混合使用,在防護上將變得越來越有挑戰性。本工作坊將會現場架設一個測試環境,並且將防禦設備(價值 1400 萬)真實架設在前端,讓各位有機會和企業DDoS解決方案現場交手一番。
2018/09/29
數位鑑識概念與實作
【資安訓練課程】數位鑑識概念與實作
日期:2018年9月29日(六) 09:30-16:30(12:30-13:30休息) 共6小時
活動地點:國立交通大學 台北校區
主辦單位:亥客書院
課程資訊及報名:https://hackercollege.nctu.edu.tw/?p=594
課程費用:每人$8000 含教材。若報名人數不足,將不予開辦。多人報名或一人同時報名多門課程均有優惠,請洽「蔡小姐 (03)5731762 E-mail: wltt@nctu.edu.tw」。
課程大綱:
○數位鑑識簡介
○現場數位證據取證流程及工具
○儲存媒體鑑識
○行動裝置鑑識
○鑑識軟體設備

課程簡介:
本課程將包含數位鑑識簡介、現場數位證據取證種類及蒐證SOP、現場工具介紹、Autopsy工具介紹等實作、鑑識軟體設備等主題。
2018/10/06
流量分析
【資安訓練課程】流量分析
日期:2018年10月6日(六)09:30-16:30(12:30-13:30休息) 共6小時
活動地點:國立交通大學 台北校區
主辦單位:亥客書院
課程資訊及報名:https://hackercollege.nctu.edu.tw/?p=891
課程費用:每人$8000 含教材。若報名人數不足,將不予開辦。多人報名或一人同時報名多門課程均有優惠,請洽「蔡小姐 (03)5731762 E-mail: wltt@nctu.edu.tw」。
課程大綱:
○網路模型概論
○DoS攻擊技術介紹
○流量分析工具介紹與操作
○惡意流量分析實作

課程簡介:
網路流量攻擊為企業最常遭受到的資安威脅之一,但網路環境的複雜,使得 這類攻擊不易被偵測或阻擋,在事件發生後的分析與檢測顯得格外重要。本課程將介紹網路流量攻擊的基礎原理,並帶出對應的檢測方式及工具操作演練。
2018/10/27
惡意程式檢測實務
【資安訓練課程】惡意程式檢測實務
日期:2018年10月27日(六)09:30-16:30(12:30-13:30休息) 共6小時
活動地點:國立交通大學 台北校區
主辦單位:亥客書院
課程資訊及報名:https://hackercollege.nctu.edu.tw/?p=885
課程費用:每人$7000 含教材。若報名人數不足,將不予開辦。多人報名或一人同時報名多門課程均有優惠,請洽「蔡小姐 (03)5731762 E-mail: wltt@nctu.edu.tw」。
課程大綱:
○惡意程式簡介與分類
○惡意程式分析技術概述
○系統鑑識工具與實做
○逆向工程工具與實做

課程簡介:
惡意程式一向為嚴重的資安威脅,從一般的殭屍網路、勒索軟體到精密的 APT 攻擊,惡意程式都扮演重要的攻擊媒介。因此檢測系統中的惡意程式,為相當重要的資安議題。本課程從惡意程式的介紹出發,全面理解各種惡意程式的生態,再進一步探討分析惡意程式的手法。分析惡意程式的部分,先以系統鑑識的角度,說明如何用各種工具從系統中檢測出惡意程式。而後再進一步以逆向工程的方式,了解惡意程式的行為。藉此從多種不同的面相,了解惡意程式。
2018/10/27
2018/11/3
白帽菁英萌芽計畫〈入門一〉ISDA白帽駭客巡迴 (南開科技大學)
【資安訓練課程】白帽菁英萌芽計畫〈入門一〉ISDA白帽駭客巡迴

巡迴第7站:南開科技大學
日期:2018年10月27日(六)13:00-18:00
地點:南開科技大學
線上報名連結:https://reg.isda.org.tw/info.php?no=27
報名時間:2018年9月22日至10月22日
-----------------我是分隔線----------------
巡迴第8站:國立東華大學
日期:2018年11月3日(六)13:00-18:00
地點:國立東華大學
線上報名連結:https://reg.isda.org.tw/info.php?no=28
報名時間:2018年9月29日至10月29日
-----------------我是分隔線----------------
報名注意事項:
活動對象為各大專院校與高中職等在學之學生,學生名額優先,學生家長與教育人士請出示證件。

活動議程:
13:00~13:30 活動簡介
13:30~14:20 WarGame#1 LV1
14:30~15:20 WarGame#1 LV2
15:30~16:20 WarGame#1 LV3
16:30~17:00 FAQ

活動概要:
只要有心,人人都可以成為白帽駭客,ISDA團隊將帶領各位學員來挑戰極限!

在這個萬物皆可駭的年代,該學習什麼樣的技能,與培養正確的觀念,來成為『白帽菁英』的一員。本次活動中,ISDA的專業資安教育訓練團隊,將透過WarGame實作教學,傳授您擁有基本的白帽駭客技能,取得進入資安界與駭客圈的入場券。

白帽菁英萌芽計畫,將舉辦於全台灣八個縣市,落實推廣全台灣的資安教育活動。
2018/11/10-2018/11/18
認證系統安全從業人員SSCP輔導班
【資安訓練課程】認證系統安全從業人員SSCP輔導班
日期:2018年11月10日至11月18日(假日班)
活動地點:台北市復興南路一段390號2樓
主辦單位:財團法人資訊工業策進會 數位教育研究所 數位人才培育中心
課程資訊及報名:http://taipei.iiiedu.org.tw/course/security/187-asq902.html
課程費用:28小時 / 40000元,優惠價 25000元
承辦人:羅小姐 電話:(02)66316586 E-Mail:showyann@iii.org.tw

課程簡介:
培養學員具通過SSCP 認證考試之實力。
培養學員具實務從事資安工作之知識與能力
培養學員具備網路通訊安全、封包分析、監控與惡意程式碼防治、風險處理、災害復原等實用知識與應用

4. 2018年08份事件通報統計


本中心每日透過官方網站、電郵、電話等方式接收資安事件通報,2018年8月收到通報計1619筆,以下為各項統計數據,分別為通報來源統計圖、通報對象統計圖及通報類型統計圖。
通報來源統計圖為各國遭受網路攻擊事件,屬於我國疑似遭利用發起攻擊或被攻擊之IP,向本中心進行通報之次數,如圖1所示;通報對象統計圖為本中心所接獲之通報中,針對通報事件責任所屬國家之通報次數,如圖2所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數,如圖3所示。
圖1、通報來源統計圖
圖2、通報對象統計圖
圖3、通報類型統計圖
本月接獲國外CERT/CC通報案件中以疑似散布「Satori殭屍網路 (Mirai變種)」事件屬特殊案件。Satori原意為日本禪宗「開悟」,然在此情境則無禪意,由於華為家庭路由器韌體設計存在弱點,駭客可注入shell meta字元“$()”,構成有效之惡意request,通過port 37215及UPnP設計所形成之漏洞,針對HG532觸發其更新行為,趁機引發RCE攻擊,目前已影響數十萬設備,儘管華為提供安全性建議,惟Mirai原始碼已公諸於世,仍應擔心其他變種IoT殭屍網路竄起。
●編註:
過往Mirai僵屍網路曾造成美國東部大斷網,目前出現進化變種Okiru,亦稱Satori,它利用新發現Zero-Day漏洞控制數十萬家庭路由器,據紀錄可於12小時內感染20萬以上設備,肆虐範圍涵蓋阿根廷、美、義、德、埃及、土耳其、烏克蘭、委內瑞拉和秘魯等國。
能蔓延如此神速,在於Satori乃針對華為HG532而創造,利用嵌入式漏洞,以蠕蟲形式自行傳播到開放port 37215之設備,至於漏洞原理,則在HG532之韌體設計,由於該router使用TR-064技術報告標準開發,提供通用隨插即用 (UPnP)功能,便於將嵌入式UPnP設備加入加到LAN,HG532韌體原始碼內部分指令 (/ctrlt/DeviceUpgrade_1),支援DeviceUpgrade的服務類型,執行更新牽涉到二段指令,<NewStatusURL>和<NewDownloadURL>,後者原文為<NewDownloadURL>$(echo HUAWEIUPNP) </NewDownloadURL>,取得管理權限的駭客經由port 37215送出加工之request,注入shell meta字元“$()”到NewStatusURL及NewDownloadURL,返回預設HUAWEIUPNP訊息,就能在DeviceUpgrade程序運行中執行任意碼。
因Mirai原始碼早已公開,故改造Mirai以創建變體並非難事,況且攻擊者身分隱秘,即便Satori被壓制,恐仍有後續家族,繼續打擊其他物聯網受害目標。
●解決方案:
(1)設定裝備內建防火牆功能
(2)修改預設密碼
(3)電信商部署防火牆
●參考連結:
  1. https://twcert.org.tw/subpages/securityInfo/securitypolicy_details.aspx?id=761
  2. https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4848
  3. https://research.checkpoint.com/good-zero-day-skiddie/
  4. https://thehackernews.com/2017/12/satori-mirai-iot-botnet.html
  5. http://www.seckurity.com/2017/12/24/satori-iot-botnet-exploits-zero-day-to-zombify-huawei-brand-routers/
  6. http://securityaffairs.co/wordpress/67040/malware/satori-botnet-mirai-variant.html
  7. https://4.bp.blogspot.com/-Rn_wpJ8eB2M/Wj4Or4ez7sI/AAAAAAAAvUE/dgpqf5cFD8c-IIb5zpHJd3VLdlNIxCVbQCLcBGAs/s1600/Satori-Okiku-Mirai-IoT-Botnet-Malware.png

沒有留言:

張貼留言