• 第一頁 上一頁 下一頁 最後一頁
  • (40/44)
  • [公告日期] [項目] [公告單位]
  • [公告主題]
  • [2019/11/06] [資訊安全訊息] [資訊組]
  • 【攻擊預警】Lemon_Duck PowerShell...

    • 【公告內容】

  • [內容說明:]
    轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊
    TWCERTCC-ANA-201911-0001
    本中心接獲國際情資,駭客利用Lemon_Duck PowerShell嘗試利用EternalBlue
    SMB漏洞,暴力攻擊MS-SQL服務或Pass-the-hash攻擊系統,迴避資安防禦機制,入侵終端系統執行
    惡意勒索並散播惡意程式。
    受感染系統會以下列方式散播:
    1.EternalBlue:SMB漏洞利用。
    2.USB和網路磁碟:腳本會將惡意Windows *.lnk shortcut files與DLL
    files寫入感染系統中的USB或連線的網路磁碟機中,並透過Windows
    *.lnk漏洞(CVE-2017-8464)散播惡意程式。
    3.Startup file:腳本將惡意檔案寫入Windows系統上的啟動位置(如開始中的啟動裡),並在統重啟

    後執行。
    4. MS-SQL Server暴力破解:使用腳本置中的密碼表嘗試暴力破解SQL
    Server的SA帳戶。
    5.Pass the Hash攻擊:利用腳本中的hash table執行Pass the Hash攻擊。
    6.使用WMI在遠端系統上執行惡意指令。
    7.RDP暴力破解。
    攻擊來源資訊:
    - Potential
    C2:
    27.102.107[.]41
    - Potential Brute
    Force:
    113.140.80[.]197 - Port Scanning/Brute force
    (CN)
    120.253.228[.]35 - Port Scanning/Brute force port 3389
    (CN)
    112.133.236[.]187 - Brute Force port 445
    (India)
    58.62.125[.]245 - Brute Force port 445/Port Scanning
    (CN)
    - Potential
    Scanning:
    58.221.24[.]178 - Port Scanning
    (CN)
    221.4.152[.]250 - Port Scanning port 1433
    (CN)
    182.140.217[.]226 - Port scanning
    (CN)
    1.202.15[.]246 - Port scanning port 3389
    (CN)
    Additionally the following are potential host
    indicators:
    - Scheduled task named
    Rtsa
    - Listening port of
    65529
    - Service with a randomly generated
    name
    - Mutexes within PowerShell called LocalIf and
    LocalMn
    此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
    [影響平台:]
    所有Windows系統
    [建議措施:]
    1.安裝Windows SMB 安全更新。
    2.關閉網路芳鄰(SMBv1)。
    3.使用高強度密碼。
    4.安裝Windows CVE-2017-8464漏洞相關安全更新。
    5.建議封鎖攻擊來源IP。

  • [2019/11/04] [資訊安全訊息] [資訊組]
  • 【攻擊預警】北韓駭客組織HIDDEN COBRA所利用...

    • 【公告內容】

  • [內容說明:] 轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201911-0030。 美國國土安全部、聯邦調查局及美國國防部近期發布惡意程式分析報告AR19-304,更新北韓駭客組 織HIDDEN COBRA利用之惡意程式HOPLIGHT變種資訊,該惡意程式會透過與中繼站建立加密連線,隱 匿惡意活動。若資訊設備遭受感染會有以下風險: 1.個人或單位資料遭竊取。 2.個人工作或單位運作被影響而中斷停擺。 3.資訊設備資源被利用於對外攻擊。 4.單位財務損失。 建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過檢查連線紀錄與惡意程式資訊確 認感染與否。此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發 [影響平台:] 微軟作業系統 [建議措施:] 1.部署黑名單於防護設備進行偵測,監控是否有資訊設備已遭入侵,本次新增HIDDEN COBRA IP黑名單如下: 117.239.241.2 119.18.230.253 14.140.116.172 195.158.234.60 210.137.6.37 218.255.24.226 221.138.17.152 2.各單位可依參考資料連結,取得詳細惡意程式特徵如雜湊值與偵測規則,用以偵測系統是否存在 相關惡意程式,若確認資訊設備已遭入侵,建議立即進行必要處理措施: (1)針對受害電腦進行資安事件應變處理。 (2)重新安裝作業系統,並更新作業系統及相關應用軟體。 (3)更換系統使用者密碼。 3.日常資訊設備資安防護建議: (1)持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更 新程式,建議升級至較新版本作業系統。 (2)系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務 程式亦建議移除或關閉。 (3)安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。 (4)安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。 (5)不要開啟可疑的郵件與檔案,在開啟下載資料之前先進行資安防護掃描檢查。

    • 【相關網址】

  • 美國國土安全部CISA

  • 美國國土安全部CISA

  • [2019/10/31] [資訊安全訊息] [資訊組]
  • 【攻擊預警】惡意音源檔案攻擊,請各單位注意防範...

    • 【公告內容】

  • [內容說明:]
    轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊
    TWCERTCC-ANA-201910-0002
    本中心接獲國際情資,駭客利用WAV
    音源檔案夾帶了惡意程式,迴避資安防禦機制,入侵終端系統執行惡意攻擊。
    IOC資訊:
    https://cert.tanet.edu.tw/pdf/malicious_iocs.zip
    此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
    [影響平台:]
    所有能撥放wav音檔系統
    [建議措施:]
    根據IOC資訊,檢測終端系統檔案

    • 【相關網址】

  • 檢測參考一

  • 檢測參考二

  • 檢測參考三

  • 檢測參考四

  • 檢測參考五

  • [2019/10/23] [資訊安全訊息] [資訊組]
  • 【攻擊預警】惡意 IP 對企業 Office 365 ...

    • 【公告內容】

  • 轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201910-0001 本中心接獲國際情資,企業 Office 365 帳號遭到暴力破解攻擊,駭客能夠利用破解的帳號,來監控企業流量、產生其他帳號或是潛入組織內部網路。目前已知會對企業 Office 365 帳號進行攻擊的 IP 如下所列: 攻擊IP列表: 112.179.242.181 113.204.147.26 118.163.143.170 120.209.20.16 175.230.213.33 201.184.241.243 218.107.49.71 218.206.132.194 218.28.50.51 218.64.165.194 220.164.2.61 220.164.2.87 221.3.236.94 222.218.17.189 222.223.56.116 42.243.154.6 58.213.46.110 59.48.82.14 60.13.154.174 61.136.104.131 61.160.95.126 61.163.231.150 61.163.36.24 61.182.82.34 91.233.156.93 94.156.119.230 [影響平台:] Office 365 [建議措施:] 1.阻擋攻擊IP列表內的IP 2.使用多重認證 3.開啟網路日誌並保留相關資訊至少 90 天 4.啟用登入錯誤鎖定機制 5.使用高強度密碼

  • [2019/10/21] [資訊安全訊息] [資訊組]
  • 【漏洞預警】Adobe Acrobat與Reader應...

    • 【公告內容】

  • 轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201910-0285 Adobe釋出的安全性公告中提出Adobe Acrobat與Reader存在越界寫入(Out-of-Bounds Write)、使用釋放後記憶體(Use After Free)、堆積溢位(Heap Overflow)、緩衝區溢位(Buffer Overrun)、競爭條件(Race Condition)、類型混亂(Type Confusion)及不可靠的指標反參考(Untrusted Pointer Dereference)等漏洞,攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結或檔案,進而導致可執行任意程式碼。 此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發 [影響平台:] 以下所有程式的Windows與MacOS版本: 1.Continuous track versions: ‧Acrobat DC Continuous track versions 2019.012.20040(含)以前版本 ‧Acrobat Reader DC Continuous track versions 2019.012.20040(含)以前的版本 2.Classic 2017 versions: ‧Acrobat 2017 Classic 2017 versions 2017.011.30148(含)以前版本 ‧Acrobat Reader 2017 Classic 2017 versions 2017.011.30148(含)以前版本 3.Classic 2015 versions: ‧Acrobat DC Classic 2015 versions 2015.006.30503(含)以前版本 ‧Acrobat Reader DC Classic 2015 versions 2015.006.30503(含)以前版本 [建議措施:] 1.請確認電腦目前使用的版本。若為上述影響版本,請儘速更新至以下版本,檢查方式:啟動Acrobat或Reader程式,點選「說明」→「關於」,確認版本後可點選「說明」→「檢查更新」安裝更新程式。 2.亦可至下列網址進行更新: (1)Continuous track version更新至2019.021.20047以後版本: Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6751 Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6757 (2)Classic 2017 versions更新至2017.011.30150以後版本: Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6761 Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6765 (3)Classic 2015 versions更新至2015.006.30504以後版本: Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6769 Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6773