最新消息

([資安預警]社交工程攻擊通告：請加強防範駭客假冒公務名義發送之惡意電子郵件 )

教育機構ANA通報平台

發佈編號
TACERT-ANA-2014022709023939
發佈時間
2014-02-26 09:07:14
事故類型
INT-電子郵件社交工程攻擊
發現時間
2014-02-24 09:07:14
影響等級
高
[主旨說明:]
[資安預警]社交工程攻擊通告：請加強防範駭客假冒公務名義發送之惡意電子郵件
[內容說明:]

轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0003

技術服務中心近期接獲情資且自惡意電子郵件服務檢測中發現，駭客製作惡意程式(使用RTLO方法)誘使使用者點擊，以取得使用者權限或執行遠端程式。目前發現駭客利用此手法，冒用公務名義發送公務相關標題的電子郵件，誘使收件者開啟惡意附件後植入惡意程式。

已知本波攻擊信件特徵如下：
遭冒名寄件者：rio@ey.govtw
主旨：103.2.27議程修正說明如附(密)
惡意附件：規劃本年2月27日閉門會議議程（密）.7z
連線中繼站：70.167.87.3、70.184.255.216、203.114.109.50、www.moea.onmypc.org、www.moeaidb.ocry.com
該郵件夾帶偽冒寄件者之憑證簽署檔(smime.p7s)，技術服務中心特別呼籲相關單位加強警戒。

[影響平台:]
所有Microsoft環境系統
[建議措施:]
1.本警訊提供2種阻擋方式：(1)自動設定、(2)手動設定，建議使用自動設定方式
(1) 自動設定
a. 至「資安文件下載區」下載「BlockRTLO.rar」設定檔(https://www.ncert.nat.gov.tw/Download/privilegedDocList.do)
b. 若作業系統為Windows XP/Vista、Server 2003，執行block_rtlo_winxp,vista.reg
c. 若作業系統為Windows 7，執行block_rtlo_win7.reg
d. 重新開機
(2) 手動設定
a. 先在HKEY_Current_User/Control Panel/Input Method下新增字串值EnableHexNumpad=1，或執行上述連結中enable_hex_numpad.reg設定檔
b. 點選”開始”→”執行”→輸入”gpedit.msc”
c. 點開”電腦設定”→”Windows設定”→”安全性設定”
d. 在”軟體限制原則”上點選右鍵→”建立新原則” (如果之前有設過別的軟體限制原則，此步驟可忽略)
e. 點開”軟體限制原則”→在”其他原則”上點選右鍵→”新增路徑規則”→在”路徑”處輸入”*[202E]*”
(註1)，安全性等級=”不允許”→”確定”
f. 重新開機
2.確認電子郵件附加檔案屬性後才點擊該檔案，若發現檔案名稱中存在異常字元(如rcs, exe, moc等可執行檔案副檔名的逆排序)，請提高警覺。
3. 將郵件附檔儲存至硬碟中，利用命令提示字元視窗查看其檔名。由於命令提示字元視窗並不支援Unicode，故該手法並無作用。
4. 安裝防毒軟體並更新至最新病毒碼，並使用防毒軟體掃描郵件附檔。
5. 建議取消「隱藏已知檔案類型的副檔名」功能，設定方式詳見如下：
(1) 滑鼠點選【開始】→【控制台】→【資料夾選項】，出現資料夾選項視窗。
(2) 於資料夾選項視窗點選「檢視」，將「隱藏已知檔案類型的副檔名」選項取消核選，再點選「套用」→「確定」即可完成設定。
6. 請勿開啟未受確認之電子郵件附件。
7.阻擋以上惡意中繼站，並確實更新防火牆。
8.加強宣導與防範駭客利用電子郵件進行社交工程攻擊。
[參考資料:]
此攻擊手法詳細說明請參考ICST-ANA-2010-0006