過去很少出現像 Microsoft Exchange Server這次所遭遇這麼大規模的網路間諜事件。根據 Microsoft 指出,這個由中國政府在背後支持的駭客集團運用了四種漏洞攻擊手法。
據稱美國至少已有 30,000 家企業受害,全球的話應該遠超過這個數字,受害的企業系統可能因此遭駭客從遠端遙控。根據我們最近在 Shodan 上搜尋的結果,目前大約還有 63,000 台伺服器暴露於這些漏洞攻擊的風險中。
企業應立即套用目前可用的修補更新,若無法立即修補,就應該將含有漏洞的伺服器離線。所有正在使用 Exchange 伺服器的企業機構都應檢查是否有遭駭客入侵的跡象。
我們強烈建議使用者採取 Microsoft 所建議的行動,此外我們也針對我們的客戶提供了額外的偵測及防護功能。
繼續閱讀摘要
⚠ 2021 年 3 月 2 日,Microsoft 發出了一份安全公告與緊急修補更新來解決多個目前正遭受猛烈攻擊的 Microsoft Exchange Server 企業內版本零時差漏洞。
受影響的 Microsoft Exchange Server 版本包括:2010 (EOL)、2013、2016 以及 2019。
公告中所指出的四個重大漏洞包括了一個可讓駭客入侵系統的網路端伺服器端請求偽造 (SSRF) 漏洞 (CVE-2021-26855),以及三個可在通過認證之後發動攻擊的本地端漏洞:CVE-2021-26857、CVE-2021-26858 及 CVE-2021-27065。
研究人員認為,駭客是藉由一連串的漏洞攻擊手法來攻擊含有這些漏洞的 Exchange Server,進而駭入企業網路、竊取機敏資訊 (如:所有的電子郵件信箱與通訊錄),並從事其他惡意活動,包括:蒐集使用者登入憑證、篡改 Active Directory、在企業內四處遊走等等。
除了閱讀 Microsoft 的安全公告以及下列文章之外,強烈建議所有可能受到影響的客戶也應參考美國「網路資安與基礎架構安全局 (Cybersecurity & Infrastructure Security Agency,簡稱 CISA) 所發布的 Alert AA21-0621A 警示來獲得進一步的指示和資訊。
在去年有好幾次高調的攻擊事件背後都有Sodinokibi(REvil)的影子。我們在本文裡將會利用遇過的一些案例來描述其攻擊過程。
(2021/3更新:台灣在今年也發生相關攻擊:宏碁傳出疑似遭到勒索軟體REvil攻擊,駭客索討5千萬美元贖金)
Sodinokibi(REvil)勒索病毒 Ransomware (勒索軟體/綁架病毒)最早是在2019年4月被偵測到,並且和已經宣布收手的GandCrab有關聯。從那之後,Sodinokibi (REvil)進行了數次備受矚目的攻擊,一直持續到2020年,讓它成為值得注意的勒索病毒家族之一。我們在這裡會介紹Sodinokibi(REvil)一般的攻擊過程。
延伸閱讀: REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業
Sodinokibi(REvil)的使用者通常會僱用各種下游組織來進行初始進入。通常會使用熟悉的手法,如帶有魚叉式釣魚(spear phishing)連結或附件檔的垃圾郵件,使用有效帳號進行RDP連線,入侵網站以及漏洞攻擊。也常會使用其他具有針對性攻擊性質的技術。
繼續閱讀網路犯罪集團競相建立強大的殭屍網路,藉此爭奪主宰地位,使用者務必了解殭屍網路惡意程式的運作方式以確保自身裝置的安全,避免捲入歹徒的地盤之爭。
殭屍網路(botnet)是由一群感染了惡意程式的裝置 (殭屍) 所組成的網路,駭客會利用這些裝置來發動攻擊或從事其他惡意活動,因此殭屍網路的裝置數量是決定其威力的主要關鍵。物聯網(IoT ,Internet of Thing) 的問世,正好讓殭屍網路駭客集團找到了可征服的全新戰場,但他們在開疆闢土的同時,卻也面臨了其他殭屍網路的競爭。這一場「蠕蟲戰爭」正在默默上演,但不論最後由哪個網路犯罪集團勝出,不知情的使用者永遠是這場戰爭的輸家,憑空失去了裝置的掌控權。
因此,使用者務必了解駭客利用何種工具來建立殭屍網路,以及他們如何將一般 IoT 裝置 (如路由器) 變成殭屍。在我們的研究報告「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭:殭屍網路爭奪 IoT 地盤) 一文中,我們深入剖析了 IoT 殭屍網路的生態。在這篇文章裡,我們分析了三個殭屍網路惡意程式的原始程式碼來說明其主要功能,這些程式碼是許多殭屍網路惡意程式變種的源頭以及後續領土之爭的基礎。
Kaiten (又名 Tsunami) 是三者之中最古老的一個,它採用 IRC通訊協定來與幕後操縱 (C&C) 伺服器通訊,所以被感染的裝置會從某個 IRC 通道接收駭客的指令。Kaiten 的腳本可在多種硬體架構上執行,因此對網路犯罪集團來說用途相當廣泛。此外,Kaiten 近期的變種還會剷除其他惡意程式好讓自己能夠獨占裝置資源。
繼續閱讀當物聯網(IoT ,Internet of Thing)讓許多東西都變得聰明之後,一些原本熟悉的場所也開始出現革命性變化。家庭、辦公室、都市,這些只不過是 IoT 裝置帶來便利、安全及控管的幾個範例。但便利性並非不需代價:隨著 IoT 的崛起,傳統網路威脅也找到了新的出路,例如 IoT 殭屍網路。
有趣的是,不同 IoT 殭屍網路之間還會互相爭奪地盤。至於 IoT 系統整合商,則是忙著守住裝置控制權。使用者與系統整合商必須知道自己所面對的是什麼樣的敵人,如此才能強化資安防禦,不讓 IoT 裝置變成敵人的手下。
傳統的殭屍網路是一個由一大群「殭屍電腦」所組成的網路,網路犯罪集團利用電腦所感染的惡意程式來操控這些殭屍電腦,並從遠端操縱這些被駭入的殭屍電腦來發動分散式阻斷服務 (DDoS) 攻擊,或利用這些電腦的資源來從事挖礦( coinmining )。IoT 殭屍網路跟這很像,同樣也是一群遭到網路犯罪集團駭入的智慧裝置,歹徒的意圖跟傳統殭屍網路集團大致相同。
繼續閱讀