遠端桌面協定
」
工業物聯網新危機 企業無法停機修補關鍵漏洞暴露被攻擊的成本
資安大廠趨勢科技一份針對4G/5G企業專用網路所面臨的新興威脅點出7個駭客可能入侵核心 4G/5G 網路的重要破口,駭客可經由攻擊智慧製造環境中的工業控制系統來竊取機敏資訊、破壞生產線,或者向企業勒索,更嚴重的是許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。這份「來自 4G/5G 核心網路的攻擊:工業物聯網在已遭入侵的園區網路內的風險」的研究報告顯示,製造業正走在工業物聯網 ( IIoT) 的應用潮流上,隨著5G興起,5G 無遠弗屆的連網能力將大幅提升其速度、安全與效率,但也帶來新的威脅,其中最值得注意的就是許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。報告提出7個駭客可能入侵4G/5G網路的破口,駭客一旦經由破口進入核心網路,就能在網路內橫向移動並試圖攔截或篡改網路封包,包括執行核心網路服務的伺服器:攻擊這些標準商用x86架構伺服器的漏洞和強度不足的密碼、虛擬機器 或容器:若未套用最新修補更新就可能成為破口。網路基礎架構:修補更新經常忽略了網路硬體裝置也需要修補。基地台:這些裝置同樣含有韌體,因此也不時需要更新。趨勢科技模擬11種攻擊情境,其中破壞力最強的是攻擊 IT 和現場工程師經常使用的微軟遠端桌面協定(RDP),由於升級5G並不會讓 RDP 流量自動獲得保護,成為駭客藉此下載惡意程式或勒索病毒,甚至直接挾持工業控制系統。趨勢建議,企業專用行動網路的建置,不僅牽涉到終端使用者,更牽涉其他單位,此外,企業專用4G/5G行動網路屬於大型基礎架構,而且使用壽命很長,所以一旦建置之後就很難汰換或修改。因此,有必要一開始就內建資安防護,在設計階段就預先找出及預防可能的資安風險。
府方密件遭駭 調查局資安處建議總統府全面清毒
駭客入侵總統府電腦以府方名義對媒體記者發出電子郵件,調查局16日立即對總統府資安出現漏洞開會研究,資通安全處將主動與府方聯繫,先對府內所有電腦進行全面的清毒,找出資安破口加以防堵,同時解析駭客發送郵件內容,是否夾藏其他惡意攻擊。有「第四軍」之稱的調查局資安處資安工作站,4月24日才正式掛牌,由總統蔡英文親臨揭牌,蔡總統致詞時強調「資安就是國安」,沒想到還不到一個月,就爆發駭客入侵總統府案。依資安站偵辦企業遭駭客勒索案經驗,辦案人員研判駭客攻擊有三種途徑,最疏忽的一種,就是沒有關掉遠端桌面協定,在外面的電腦可以登入內部系統,如果登入的電腦存有病毒未被發現,隨著登入就可能擴散到整個內部系統。第二種情況是員工沒受過相關職訓或沒遵守訓練內容,公私不分使用隨身碟或其他個人儲存裝置造成病毒入侵。第三種最嚴重的情況,則是駭客直接攻擊防火牆攻進伺服器,如果防火牆程式沒有預警或企業無視預警沒有及時處理,伺服器主機就被攻陷,日前國內遭駭的企業就有因無視預警而受害。調查局認為,防火牆直接被攻擊雖然是最嚴重情況,但無論駭客侵入的是AD伺服器,或郵件伺服器,都可透過伺服器系統的LOG檔來溯源追查駭客攻入的時間、在伺服器「埋」下什麼、潛藏的惡意程式執行了什麼,反而比另2種情況更容易掌握駭客形跡。總統府遭駭案,目前駭客只是侵入取得通訊錄後寄送電郵,但是調查局認為,應該先對總統府內電腦全面清毒,找出可能存在於伺服器或府內使用者電腦中的惡意程式後移除,並解析駭客寄出的郵件檔案是否夾藏其他惡意攻擊,防止損害擴大。
境外駭客布局勒索攻擊 資安站預警:還有10家企業被鎖定
中油、台塑化陸續傳出遭惡意程式攻擊,造成中油捷利卡及「中油PAY」的APP支付在全台加油站都無法使用,調查局資安工作站溯源追查後,發現駭客來自境外,而且早有布局,更研判針對國內10家企業近日再度發動勒索軟體攻擊,調查局除繼續追查駭客身分,也呼籲企業檢視企業網路防護機制,防堵漏洞與破口。資安工作站副主任劉家榮表示,中油、台塑等遭駭的企業,早在數月前就被駭客透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,等偷到特權帳號後侵入網域控制伺服器(AD),再利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當企業員工打開電腦會立即套用GPO並執行惡意工作排程,等到核心上班時段,自動執行駭客預埋在內部伺服器裡的勒索軟體並載入記憶體中執行,如果檔案加密成功就會顯示勒索訊息及聯絡電子信箱;這些電子信箱都是來自境外,調查局正透過國際合作管道協查境外的電子信箱及中繼站。劉家榮指出,駭客犯案時還留有後門程式連往美國境內,向華裔人士經營的「雲端主機(VPS)」服務提供商租用的雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用,從調查局掌握的後門程式組態檔、中繼站的IP及網域名稱等相關資訊,研判犯罪駭客組織為Winnti Group或與該組織有密切關聯的駭客。劉家榮強調,根據專案人員掌握的情資,遭駭客鎖定數月的國內10家企業,近日可能再受攻擊,企業應該檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口等,關閉遠端桌面協定,還要觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量。另外,注意具有軟體派送功能的系統,注意有沒有群組原則遭異動、工作排程異常遭新增的現象,最重要的是更新防毒軟體病毒碼,並建立離線保存的備份機制。