過去很少出現像 Microsoft Exchange Server這次所遭遇這麼大規模的網路間諜事件。根據 Microsoft 指出,這個由中國政府在背後支持的駭客集團運用了四種漏洞攻擊手法。
據稱美國至少已有 30,000 家企業受害,全球的話應該遠超過這個數字,受害的企業系統可能因此遭駭客從遠端遙控。根據我們最近在 Shodan 上搜尋的結果,目前大約還有 63,000 台伺服器暴露於這些漏洞攻擊的風險中。
企業應立即套用目前可用的修補更新,若無法立即修補,就應該將含有漏洞的伺服器離線。所有正在使用 Exchange 伺服器的企業機構都應檢查是否有遭駭客入侵的跡象。
我們強烈建議使用者採取 Microsoft 所建議的行動,此外我們也針對我們的客戶提供了額外的偵測及防護功能。
繼續閱讀摘要
⚠ 2021 年 3 月 2 日,Microsoft 發出了一份安全公告與緊急修補更新來解決多個目前正遭受猛烈攻擊的 Microsoft Exchange Server 企業內版本零時差漏洞。
受影響的 Microsoft Exchange Server 版本包括:2010 (EOL)、2013、2016 以及 2019。
公告中所指出的四個重大漏洞包括了一個可讓駭客入侵系統的網路端伺服器端請求偽造 (SSRF) 漏洞 (CVE-2021-26855),以及三個可在通過認證之後發動攻擊的本地端漏洞:CVE-2021-26857、CVE-2021-26858 及 CVE-2021-27065。
研究人員認為,駭客是藉由一連串的漏洞攻擊手法來攻擊含有這些漏洞的 Exchange Server,進而駭入企業網路、竊取機敏資訊 (如:所有的電子郵件信箱與通訊錄),並從事其他惡意活動,包括:蒐集使用者登入憑證、篡改 Active Directory、在企業內四處遊走等等。
除了閱讀 Microsoft 的安全公告以及下列文章之外,強烈建議所有可能受到影響的客戶也應參考美國「網路資安與基礎架構安全局 (Cybersecurity & Infrastructure Security Agency,簡稱 CISA) 所發布的 Alert AA21-0621A 警示來獲得進一步的指示和資訊。
您知道監控智慧型手機的應用程式「追蹤軟體」嗎?若是智慧型手機被惡意安裝了追蹤軟體,就會被竊取各種資訊,一舉一動也會隨時遭到監控。
買了二手手機,你會檢查手機內是否有無安裝不明應用程式嗎?有些追蹤軟體會以相似的圖示偽裝成官方應用程式,有些根本不會在首頁畫面建立圖示,因此受害者也很難察覺智慧型手機內有安裝追蹤軟體。
以下文章會介紹各種可避免招惹麻煩的自保措施。
現代有許多人智慧型手機不離身,只要查看網路通訊、定位資訊服務、購物、金融服務、相機功能、資訊蒐集、電子書及影片等紀錄與儲存的資訊,就能輕鬆掌握手機使用者的日常生活。因此,如果有人想要取得您的資訊,或是掌握您周遭的事情,就有可能盯上您的智慧型手機。
為了偷偷地從智慧型手機取得資訊,不法之徒可能會使用監控用軟體,也就是所謂的追蹤軟體。這些軟體大多是以守護幼童安全、監控員工等名義,作為一般商用軟體販售。這類軟體雖然方便,但若擅自安裝在他人的智慧型手機上,也可能用於跟蹤或竊取資訊等惡意行為。
我們不能忽視追蹤軟體帶來的威脅。追蹤軟體安裝進智慧型手機後,會默默地在後台運作,蒐集使用者的定位資訊、通話紀錄、通話語音、社群網站的訊息、網頁瀏覽器的瀏覽紀錄、語音備忘錄及照片等各式各樣的資訊。
若是智慧型手機內被他人安裝追蹤軟體,或是自己不小心受騙安裝的話,可能發生四大類危害,分別是隱私權侵害與資料外洩、遠端控制、安全性降低、帳號遭盜用。
追蹤軟體會對外傳送許多資訊,不只有監控者可以存取這些資訊,提供追蹤軟體的廠商也可能將這些資訊轉賣給第三方,或是利用獲得的資訊來脅迫使用者。而追蹤軟體的目標不只針對個人,也有可能為了對特定企業或組織發動網路攻擊,事先將追蹤軟體安裝在員工或相關人士的智慧型手機以便蒐集資訊。
若安裝的追蹤軟體擁有管理員權限,終端裝置內的資訊不僅可能被竊取,還可能被刪除。若是追蹤軟體擁有變更螢幕鎖、拒接來電設定等權限,還可能導致受害裝置無法正常使用。如此一來,即使受害者發現追蹤軟體,也可能無法藉由操作終端裝置來解除安裝。
由於Google Play及App Store等官方商店會排除不符合安全性要求的應用程式,因此追蹤軟體多半發布在服務業者的網站或非官方商店。為此,若有人要在目標Android終端裝置中安裝追蹤軟體,就必須於終端裝置或網頁瀏覽器中設定允許「安裝來源不明的應用程式」。另一方面,若安裝目標為iPhone則會進行越獄(Jailbreak,解除iOS限制以使用非官方商店的修改行為)。一旦Android終端裝置設定被更改,或是iPhone越獄後,安全防護等級皆會下降,被惡意應用程式入侵的風險提高。
有些追蹤軟體提供鍵盤監聽(竊取輸入內容之軟體)功能,如此一來,監控者就可以完全掌握透過智慧型手機輸入的資訊。例如,將鍵盤輸入的資訊與網頁瀏覽器的瀏覽紀錄比對後,可以分析出網路銀行等各項網際網路服務的認證資訊(帳號與密碼)。由於可藉此獲得雙重驗證或兩步驟驗證(2FA)時收到的簡訊等資訊,各項網路服務帳號被盜用的風險也因此提高。
接下來說明為避免遭受追蹤軟體危害的適當自保措施。
在智慧型手機中安裝追蹤軟體時,通常必須直接操作該裝置。開啟螢幕自動鎖定功能,超過特定時間沒有操作就會自動鎖定,可以避免讓第三者直接操作智慧型手機。設定螢幕鎖時,請使用難以推測的字串或生物辨識(使用指紋、臉部或虹膜等身體特徵的辨識方法),盡可能使用第三者難以破解的方法。不過,也有報告顯示某些機種可用照片破解臉部辨識,因此若為了方便而使用智慧鎖或生物辨識功能,也可以視情況搭配使用Lockdown*功能。Lockdown功能可暫時停用生物辨識等功能,避免遭第三者破解。
*:僅限Android
追蹤軟體原本就為了隱藏在智慧型手機中而設計,有些以相似的圖示偽裝成官方應用程式,有些根本不會在首頁畫面建立圖示,因此受害者也很難察覺智慧型手機內有安裝追蹤軟體。有些安全防護應用程式在掃描終端裝置時,會偵測到追蹤軟體並判斷為「非必要應用程式(Potentially Unwanted Application;PUA)」。若智慧型手機為二手物品或來自二手平台、拍賣網站等交易網站,使用前應先檢查有無安裝不明應用程式。
由於安全防護應用程式無法掃描iPhone,因此必須親眼確認安裝在內的應用程式,透過一覽檢查是否有沒看過的應用程式,或越獄後常會安裝的應用程式「Cydia」。若終端裝置遭到越獄,也可能發生耗電量增加、開機異常或應用程式錯誤等情形。
此外,企業等組織配發的裝置通常會安裝MDM(行動裝置管理工具)及設定描述檔,雖然同樣是為了管理、監控裝置,卻不屬於非法工具。
若偵測到不明應用程式請盡快解除安裝。但擁有管理員權限的追蹤軟體,可能無法用一般的步驟解除安裝。若因不明原因無法刪除,請聯絡安全防護應用程式的服務窗口或電信業者窗口以尋求協助。
※本篇報導係依撰文當時的資訊製作而成。
前一陣子我們經由 Apex One with Endpoint Sensor (iES) 偵測到一起進階持續性滲透攻擊 (APT) 使用了一種非常精密的技巧來竊取某家企業的機敏資訊。
進階持續性滲透攻擊 (APT) 是一種已知且全球皆聞之喪膽的隱匿攻擊。發動這類攻擊的駭客隨時都在開發新的技巧來躲避偵測,盡可能確保他們能在一個環境當中能夠長期潛伏。最近,我們經由 Apex One with Endpoint Sensor (iES) 發現了一起進階持續性滲透攻擊事件,駭客利用精密的技巧來竊取某家企業的機敏資訊。其獨特的手法、技巧和程序 (TTP) 突顯出跨層次偵測及回應解決方案的重要性。
偵測
我們偵測到一個 Windows 系統排程工作 (schtasks.exe) 在執行時使用了以下指令列參數:schtasks /create /tn <name> c:\programdata\<software name>\<file name>.bat /sc /once /st <time> /ru <user account>。這個排程工作看來並非用來常駐於系統內,但這道指令所執行的批次檔名稱相當可疑,所以才促使我們進一步深入研究。
躲避偵測
雖然這個排程工作位於 Windows 目錄下的映像檔案被標註為正常檔案,但若用 VirusTotal 快速搜查一下則會發現該檔案的名稱及其平常所在的位置,與受害系統上看到的不同。
繼續閱讀
隨著連網汽車變得更加普及,其背後的技術將不斷進步並帶來各種效益。但就像任何技術一樣,這項全新技術也並非全無風險。在這份報告中,我們新增了大量來自去年的研究資料,進一步探討各種可能危害連網汽車的威脅。以下簡單介紹連網汽車各項相關的技術及概念 (5G、雲端、車隊管理及傳統 IT 領域) 將為連網汽車帶來什麼樣的好處以及潛在的威脅。
談到連網汽車與 5G 技術,就不能不談 5G 如何讓車輛經由「蜂巢式車聯網」(Cellular Vehicle to Everything,簡稱 C-V2X) 與周遭環境互動。儘管 C-V2X 原本在 4G 連網汽車上就能運作,但邁入 5G 之後,C-V2X 才真正開始成熟。而 C-V2X 的設計就是要讓 5G 連網汽車融入周遭環境當中,對周遭事件做出反應。
以下是車輛經由 C-V2X 與周遭環境通訊的幾種情況:
繼續閱讀