(ANA事件單通知:TACERT-ANA-2016041101045757)(【攻擊預警】近期勒索軟體 Locky 活動頻繁,請提高警覺)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016041101045757 發佈時間 2016-04-11 13:27:59
事故類型 ANA-攻擊預警 發現時間 2016-04-08 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】近期勒索軟體 Locky 活動頻繁,請提高警覺
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0025

近期加密勒索軟體活動異常活躍。其中名稱為Locky的勒索軟體自2016年2月開始肆虐,因把受害者的電腦資料和網絡共享資源加密且將副檔名改為 .Locky而得名。
Locky使用RSA-2048與AES-128 加密機制來加密檔案資料,所以遭到加密的檔案資料幾乎無法自行復原。Locky會根據被害者電腦的語言來顯示勒索信件內容,
勒索受害者0.5至1個比特幣(一個比特幣大約等於13600元新台幣)以換取解密金鑰。

Locky的常見傳播方法是透過夾帶附件的垃圾郵件,附件多為帶有惡意巨集的WORD 或EXCEL檔案或內有惡意的.js檔案的壓縮檔。受害者會被要求開啟巨集功能,
一旦開啟,Locky便會被安裝到受害者的電腦內。另外就是透過放置惡意程式在已被入侵的網站。該網站的訪客會被重新導向到另一個攻擊網站,
該網站會利用訪客的系統或己安裝程式的漏洞,來安裝Locky到受害者電腦內。目前新加坡、馬來西亞、香港和日本都有許多受害案例傳出,
建議所有電腦使用者應提高警覺,小心防範。

[影響平台:]
N/A
[建議措施:]
1. 刪除收到的可疑電子郵件,特別是內含連結或附件的郵件。
2. 針對要求啟動巨集以觀看其內容的微軟Office 檔案,必須提高警覺,必要時請與寄件者確認其檔案是否含有巨集。
3. 定期備份電腦上的檔案及演練資料還原程序。
4. 確實持續更新電腦的作業系統、應用程式及防毒軟體等至最新版本。
5. 如不幸受到感染,請立即將受害電腦的網路連線及外接儲存裝置拔除。建議在清除惡意軟體前不要開啟任何檔案。
6. 我們不建議支付贖金,支付贖金只會助長勒索軟體更加猖獗。
[參考資料:]
1. https://www.hkcert.org/my_url/zh/blog/16031802
2. https://www.hkcert.org/my_url/zh/alert/16031701
3. http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-v...
4. https://blog.avast.com/a-closer-look-at-the-locky-ransomware
5. http://blog.checkpoint.com/2016/03/02/locky-ransomware/
6. https://metrics.torproject.org/hidserv-dir-onions-seen.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016012103010303)(【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016012103010303 發佈時間 2016-01-21 15:50:08
事故類型 ANA-攻擊預警 發現時間 2016-01-21 00:00:00
影響等級 高
[主旨說明:]【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2016-0010

近期發現駭客在入侵機關網域伺服器(DC,Domain Controller),取得系統內處理使用者身分認證之預設帳號krbtgt所對應的密碼雜湊值後,即可任意登入網域內的所有主機,在機關內部進行擴散攻擊。

依實際案例與相關研究資料顯示,駭客首要條件需成功入侵DC,取得主機管理者權限後才能從中擷取預設帳號krbtgt的密碼雜湊值,進而施行後續Pass-the-Ticket手法,達到內部擴散的目的。

請各級政府機關加強DC防護並留意DC內具管理者權限帳號之登入使用狀況,避免密碼遭竊取後所帶來的攻擊。

[影響平台:]
Windows作業系統
[建議措施:]
1.確認DC主機之安全性
a.確認DC主機內具管理者權限帳號的登入來源與使用狀況是否存在異常
b.檢測DC狀況,確認是否存在惡意程式或其他入侵跡象

2.若DC遭入侵,則建議應採取以下應變措施
a.參考微軟提供之DC建置安全作業要點進行DC重建作業,網址如下:https://technet.microsoft.com/en-us/library/dn487446.aspx
b.重新設定DC內預設帳號krbtgt密碼兩次,重設後應重開機以確保設定啟用;依微軟建議,兩次設定間隔應在10至12小時,可參考以下兩種密碼更改方式

(1).手動更改krbtgt密碼,步驟可參考104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例分享簡報p.43~p.44,網址如下:
http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251
(2).可利用微軟提供之powershell工具重新設定krbtgt密碼,網址如下:
https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51#...

3.重新檢視DC管理維運方式
a.以本機登入操作為主,避免遠端登入進行管理
b.限縮DC內具管理者權限帳號之使用
c.定期檢視系統內管理者權限帳號之登入與使用狀況

4.此則警訊僅作通知,無需進行通報作業。如機關發現遭駭情事,請依內部資安事故處理程序處理,並至通報應變網站執行通報作業。
[參考資料:]
104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例(Pass-the-Ticket)分享
http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251

微軟技術文件
https://technet.microsoft.com/en-us/library/dn487446.aspx

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016011809014848)(【漏洞預警】特定版本Fortigate防火牆存在SSH認證管理漏洞,請儘速確認並更新版本)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016011809014848 發佈時間 2016-01-18 09:09:54
事故類型 ANA-漏洞預警 發現時間 2016-01-14 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】特定版本Fortigate防火牆存在SSH認證管理漏洞,請儘速確認並更新版本
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-201601-0022

Fortinet的Fortigate防火牆存在SSH的認證管理漏洞,所有搭載FortiOS 版本4.3.0至4.3.16,以及版本5.0.0至5.0.7的防火牆,攻擊者可透過SSH連線,利用特定的帳號與密碼存取相關設備。

可使用以下兩種方法查詢Fortigate版本資訊:
1.Web網頁介面
以Fortigate 111C為例,以admin身分登入系統後,點選左側Dashboard -> Status,即可檢視設備版號(如附件一),圖為FortiOS v5.0.2。
2.從CLI介面取得
以Fortigate-50B為例,進入設備CLi介面,輸入指令get sys status取得設備資訊,即可檢視設備版號(如附件二),圖為FortiOS v4.3.7。

附件下載位址:http://cert.tanet.edu.tw/download/Fortigate.rar

請檢視所支援的FortiOS 版本,若版本為「Fortios 4.3.0至4.3.16」或「Fortios 5.0.0至5.0.7」,請儘速針對存在已知弱點進行修正,並檢視防火牆SSH登入紀錄,確認無異常登入情況。

[影響平台:]
1.Fortios 4.3.0至4.3.16
2.Fortios 5.0.0至5.0.7
[建議措施:]
1.Fortios4.3.X建議更新至4.3.17以上或最新版本、Fortios5.0.X建議更新至5.0.8以上或最新版本。
2.建議關閉SSH功能,僅以Web管理介面進行調整。
3.如需要以SSH連線方式管理,建議除了更新版本外,另限制最小IP範圍能連線至設備。
[參考資料:]
1.http://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability
2.http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios
3.http://news.softpedia.com/news/ssh-backdoor-identified-in-fortinet-firewalls-498816.shtml
4.http://seclists.org/fulldisclosure/2016/Jan/26
5.http://thehackernews.com/2016/01/fortinet-firewall-password-hack.html

竹苗區網教育訓練「DNS備份及更新」課程

 主旨: 竹苗區域網路中心謹訂於104年11月20日(星期五),時間13:30~16:30,舉辦「DNS備份及更新」課程。敬邀各連線單位相關負責人與會,如臨時有事無法參加者,請務必指派代理人參加並通知聯絡人,請查照。

說明:
一、 為促進竹苗區網連線單位間,資訊、經驗、技術與意見之交流分享,假國立交通大學舉辦「校園網路管理應用及安全管理趨勢」及「DNS備份及更新」課程。

 課程 : DNS備份更新
 課程日期: 104年11月20日(星期五)
 時間 : 下午 13:30~16:30
 地點 :國立交通大學資訊技術服務中心一樓 訓練教室
 講師 : 資訊技術服務中心 蘇俊憲先生

104年9月13日中研院網路設備升級

各位夥伴大家好,

中研院預訂於9/13進行網路設備升級,主要更換設備機箱及交換模組,說明如下:

1. 處理時間:104/9/13 6時~10時, GMT+8,實際影響時間約為2小時
2. 影響線路:本院與TANet(影響20G電路,10G電路不受影響)、TWAREN、Google、ISP連線及與本院連線學校之網路

若有任何問題煩請與中研院聯絡。

洽詢電話: (02)6614-9490、6614-9953

中研院 林民基

(ANA事件單通知:TACERT-ANA-2015080609084040)(【攻擊預警】近期發生政府機關遭網路攻擊事故,促請各會員提高警覺,注意防範)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2015080609084040 發佈時間 2015-08-06 09:04:41
事故類型 ANA-攻擊預警 發現時間 2015-08-06 09:04:41
影響等級 高
[主旨說明:]【攻擊預警】近期發生政府機關遭網路攻擊事故,促請各會員提高警覺,注意防範
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-201508-0001

近期發生政府機關遭阻斷式服務攻擊,癱瘓網路或系統資源。其中自稱為「Anonymous Asia」駭客組織活動頻繁,從跡象顯示,下一波攻擊對象會以民生系統與網站入侵為主,該組織於104年7月31日起,陸續於網路上公布攻擊情形,並表示此一事故僅為一連串攻擊行動的開端。促請各會員提高警覺,注意防範。

目前已知攻擊手法如下:
[1] 攻擊者透過利用TOR匿名網頁瀏覽及訊息傳遞服務隱藏來源,並進一步發動大規模DDoS攻擊。目前已知TOR使用之IP列表請參考以下網址 https://torstatus.blutmagie.de/,請各會員進行相關偵測與阻擋作業。

[2] 攻擊者租用Amazon雲端主機 52.76.1.116,大量連線至目標網路以發起DDoS攻擊。

[3] 攻擊者利用WordPress套件中「Pingback」漏洞進行攻擊:駭客使用Pingback漏洞進行DDoS攻擊時,封包中會帶有固定特徵字串 “verifying pingback from”,可於應用程式防火牆/IPS過濾包含此字串的封包,以避免遭受此類攻擊。

[4] 亦有發現零散IP參與癱瘓政府機關網站之攻擊行為,IP列表請詳見網址:http://cert.tanet.edu.tw/pdf/ip.txt。

目前已知有明確受害情勢,請各會員加強監控並留意網站連線狀況,以防止遭受相關攻擊。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發。
[影響平台:]
所有平台
[建議措施:]
1. 請各會員針對上述主要攻擊IP位址進行阻擋,建議優先針對TOR網路位址(https://torstatus.blutmagie.de/)進行阻擋,並加強網路監控與相關防範。

2. 請SOC會員持續監控客戶網站連線、帳號登入等使用情形,如發現針對民生系統客戶攻擊之狀況,請立即通知技服中心。

3. 請NCC-ISAC 與 A-ISAC 通知所轄單位若發現針對民生系統攻擊之狀況,應依循通報機制向通傳會與教育部通報。
[參考資料:]
Pingback 攻擊說明:
http://john.cuppi.net/blocking-wordpress-pingback-ddos-attacks-with-ngin...

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

竹苗區網教育訓練--「網路管理技術課程 」四天課程

主旨:
竹苗區域網路中心謹訂於104年08月12、13、24及25,時間09:00~17:00,舉辦,時間09:00~17:00,舉辦 「網路管理技術課程 」四天課程。敬邀各連線單位相關負責人與會,如臨時有事無法參加者,請務必指派代理人參加並通知聯絡人,請查照。

說明:
一、 為促進竹苗區網連線單位間,資訊、經驗、技術與意見之交流分享,假國立交通大學舉辦竹苗區網教育訓練。

課程名稱: 「網路管理技術課程 」四天課程
課程日期: DAY1 : 104年08月12 (星期三)
DAY2 : 104年08月13 (星期四)
DAY3 : 104年08月24 (星期一)
DAY4 : 104年08月25 (星期二)

時間上午09:00~12:00 下午13:00 ~ 17:00
課程地點:本校資訊技術服務中心1F 訓練教室
講師 : CCIE 洪李吉老師

教育部預計於8/1 05:00 - 06:00進行出國頻寬提升作業

教育部預計於8/1日 05:00 - 06:00進行出國頻寬提升作業,
作業期間有斷線及連線不穩定之情形,
造成不便敬請見諒。

1. 開始時間:104/8/1 05時, GMT+8
2. 結束時間:104/8/1 06時, GMT+8
3. 影響線路:TANet對Internet連線服務

相關問題請洽
TANet 維運小組
陳暐中 Declan Chen

校園網路管理應用及安全管理趨勢

 主旨: 竹苗區域網路中心謹訂於104年11月20日(星期五),時間09:00~16:30,舉辦「校園網路管理應用及安全管理趨勢」課程。敬邀各連線單位相關負責人與會,如臨時有事無法參加者,請務必指派代理人參加並通知聯絡人,請查照。

說明:
一、 為促進竹苗區網連線單位間,資訊、經驗、技術與意見之交流分享,假國立交通大學舉辦「校園網路管理應用及安全管理趨勢」課程。

1. 課程 : 校園網路管理應用及安全管理趨勢
 課程日期: 104年11月20日(星期五)
 時間 : 上午09:00~12:00
 地點 :國立交通大學資訊技術服務中心一樓 訓練教室
 講師 : 合勤科技 林永毅 資深經理, 謝孟勲 技術經理

竹苗區網教育訓練及竹苗區網第一次管審會議

主旨:
竹苗區域網路中心謹訂於104年07月15(星期三),時間上午09:00~12:00 及下午13:30~17:30,舉辦 「IPV6立即上手及實作」課程 及竹苗區網第一次管審會議 時間 12:10 ~ 13: 20。敬邀各連線單位相關負責人與會,如臨時有事無法參加者,請務必指派代理人參加並通知聯絡人,請查照。

說明:
一、 為促進竹苗區網連線單位間,資訊、經驗、技術與意見之交流分享,假國立交通大學舉辦竹苗區網教育訓練。

 課程名稱: 「IPV6立即上手及實作」
課程日期: 104年07月15 (星期三)上午09:00~12:00 下午13:30 ~ 17:30
課程地點: 國立交通大學 資訊技術服務中心 1F 訓練教室
講師 : CCIE 洪李吉老師

 會議名稱: 「竹苗區網第一次管審會議」
會議日期:104年07月15 (星期三) 中午12:10~13:20
課程地點:國立交通大學 資訊技術服務中心 1F 訓練教室

訂閱文章