新聞報導109年5月國內多家重要能源及科技公司接連遭勒索軟體攻擊,駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟,導致營運受到嚴重影響外,駭客亦要求交付贖金。
經過法務部調查局調查,駭客在數月前透過員工個人電腦、網頁及DB伺服器,入侵多家公司內部網路並開始刺探與潛伏,俟竊取特權帳號後侵入網域控制伺服器(AD),並利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當員工打開電腦會立即套用GPO並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。
根據調查局專案人員掌握情資顯示,駭客預謀在近期將針對國內企業再度發動勒索軟體攻擊。
入侵與滲透過程示意圖


駭客攻擊手法分成五個步驟,首先是駭客入侵建立灘頭堡、偷組織內部的帳號密碼、用帳號密碼在內部水平擴散、持續從遠端遙控主機電腦存取資源、最後的目標是偷走機密資料。
水平感染會透過幾種行為進行擴散,例如:Port Scan, path traversal, heartbeat … 等手法,找到重要的標的主機,掃描所能使用的埠號與協定,於竊取到特權密碼後開始進行水平感染。 通常這類的感染情事潛伏期都非常久,約莫 100 ~ 200 天,甚至更長。



預防檢查及解決方案
1.檢視網路防護機制,如對外網路服務是否存在漏洞或破口,觀察有無異常登入行為及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線等。
Bitdefender NTSA 早期預警雷達,可在短期之內找出異常連線等相關問題,發現問題來源提供作為阻斷惡意連線或者系統修復的依據參考






2. 注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。更新防毒軟體病毒碼,留意防毒軟體發出之告警,極可能是大範圍感染前之徵兆。
BitDefender GravityZone全方位跨平台防毒系統:
完整虛擬環境支援,通過Mware、Citrix、Nutanix認證。
增強虛擬環境效能,增加30%虛擬機密度,17%應用程式反應速度。
單一Agent即可提供防毒、沙箱、Patch Management、應用程式控管、硬碟加密、EDR等..多項功能,大幅節省成本與端點效能。
單一主機可管理Win、Linux、Mac、Android、IOS、VMware、Citrix、Nutanix、Exchange、AWS、Azure、Hyper-V、ICAP檔案伺服器所有環境。
Central Scan端點只需安裝輕量agent,掃描功能集中至security server,同一檔案在所有端點只需掃描一次。


Gravityzone整合NTSA


3.加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。
CyberArk CorePAS解決方案


建立特權帳號的安控措施


改善與提升Account Discovery 自動搜尋與收納特權密碼 (Accounts Discovery)


Privileged Threat Analytics


效益與價值
1.防止惡意程式入侵與危害,由「端點管控、防護」開始。
2.保護系統管理員特權帳號,避免惡意人士竊取資料或破壞系統。
3.對應惡意威脅的各階段攻擊,做到進階防護、偵測、反應與風險分析。
4.早期感染偵測縮短風險空窗期,避免產生重大損失。
5.建立存取憑據及帳密的保護與管理符合資安法規標準(國內資通安全管理法要求)。
6.追蹤和記錄使用特權連線期間的每個使用者活動。
7.特權帳號完整的稽核與資安防禦與管理需求。



聯絡人:何俊宏
國眾整合資訊服務聯絡電話:02-2799-6789 分機2633
國眾整合資訊服務電子郵件:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它

相 關 產 品

智慧醫療智慧醫療

09 Oct, 2020

BU4美編專用 AI應用
Read More
智慧教室智慧教室

16 Oct, 2020

BU4美編專用 AI應用
Read More
工廠設備預知保養工廠設備預知保養

17 Sep, 2020

BU4美編專用 AI應用
Read More
生產製程優化生產製程優化

17 Sep, 2020

BU4美編專用 AI應用
Read More