造成烏克蘭大停電的惡意程式,不只威脅能源產業

導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。

【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】

 

這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。

我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。

根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務  Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。

 

大型烏克蘭礦業公司的相關惡意軟體

在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: Continue reading “造成烏克蘭大停電的惡意程式,不只威脅能源產業”

第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電

在2015年進入尾聲時出現一起特別的事件,烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家,相當於當地一半的住宅,籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示,這次事件是由系統內的惡意軟體造成,導致12月23日出現6小時的電力中斷。

蠟燭

 

根據惡意軟體研究人員Robert Lipovsky,烏克蘭西部的電力公司Prykarpattyaoblenergo是唯一提供相關詳情的公司,而有兩家電力公司也受到類似惡意軟體的影響。

烏克蘭情報單位認為這起停電事件跟俄羅斯有關,因為兩國間正在進行軍事和政治上的鬥爭,調查指出是惡意軟體造成了這次的停電事件。網路安全專家Robert M. Lee在其文章中指出,「這惡意軟體是一個32位元的Windows執行檔,其模組化特質顯示這是個更加複雜惡意軟體的模組之一。」

不久後,Lee與趨勢科技的前瞻性威脅研究人員Kyle Wilhoit協調取得樣本,確認該惡意軟體具備抹除能力會損害受感染系統。在Lee的初步調查後不久,有許多分析及研究人員證實這些電力公司確實受到網路攻擊,讓此次事件成為第一起由惡意軟體引起的停電。

與其他分析及研究人員的見解一致,Wilhoit分享道:「我們看到第一起公開發布惡意軟體導致SCADA-資料蒐集與監控系統(supervisory control and data acquisition;SCADA)設備停擺的消息。令人憂心,下一個受害的是什麼產業?更增加了它的神秘感。」

「我們所知道的是,Prykarpattyaoblenergo的停電是由惡意軟體所造成。我們也知道這惡意軟體不僅針對Prykarpattyaoblenergo,至少還有一個烏克蘭的廣播公司。在目前看來,受害者似乎都在烏克蘭,沒有出現在其他的地方,」Wilhoit補充說明。 Continue reading “第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電”

【警訊】針對性攻擊/鎖定目標攻擊:偽裝來自高階主管的詐騙信件

趨勢科技近來發現一波針對性攻擊/鎖定目標攻擊(Targeted attack )詐騙攻擊活動,攻擊活動由一封E-mail開始。偽冒某間公司的高階主管寄給其他主管(例:財務部經理),與一般詐騙攻擊或是網路釣魚(Phishing)信件不同的是這封Email沒有任何的附件或是連結網址,但他的表頭已遭到修改,導致收件者回覆之後會把信件寄給攻擊者。若不經仔細檢查,很難發現隱藏其中的陷阱。

信件 網路釣魚Mail

根據趨勢科技主動式雲端截毒服務  Smart Protection Network所蒐集到的資料,僅僅在九月就有至少40間公司被攻擊。


TARGETED ATTACK 2.png

技術細節與解決方案:

  1. “From”與“To”使用相同的網域,使他看起來像是一封內部信件,例:CompanyX.com寄給CompanyX.com。
  2. “From”與“Reply-To”的網域不同,例:”From”是CompanyX.com,而“Reply-To”是類似gmail.com或其他外部網域。
  3. 目前發現“Workspace Webmail”及“Roundcube Webmail”在這類攻擊中常被使用。
  4. 整封Email不大,不容易被懷疑。
  5. Email內常包含某些特定字詞像是“wire”或“transfer”。
  6. “Reply-to”欄位常包含“executive”或“ceo”或“chief”等關鍵字。

趨勢科技Email信譽評等(ERS, Email Reputation Services)團隊已釋出病毒碼偵測此類型攻擊。
建議措施:

  1. 回覆信件前請確認收件者地址。
  2. 請提高警覺,如果“mail from”與“reply-to”網址不同,尤其是魚目混珠的Email網址,例:把trendmicro拼成trendrmicro。
  3. 如發現任何攻擊信件未被偵測,立即回報趨勢科技。

詐騙攻擊信件樣本:

TARGETED ATTACK 3.png.jpg

回覆信件時,收件者為外部網域信箱:

TARGETED ATTACK 1

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

針對性攻擊/鎖定目標攻擊(Targeted attack ): 了解你要面對什麼樣的攻擊 !!

幾年前如果公司發生資安事件,系統管理員或是中階主管將被追究責任甚至解僱。現在是資訊長和資訊安全長會因為資料外洩事件而被解僱。公司現在認真看待這件事是好事,但如果你是資訊長或資訊安全長,這對你來說可能就不大妙了。

攻擊,APT,目標攻擊

每當人們想到「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)針對性攻擊/鎖定目標攻擊(Targeted attack ),都不禁要問:是誰做的?他們想要什麼?雖然這些問題都很有意思,我們認為更重要的是要問:關於攻擊者的哪些資訊可以更好的幫助企業保護自己?

讓我們從網路管理者捍衛自己組織的觀點來看這件事情。如果有人想確認誰是攻擊自己組織的幕後黑手,第一步或許會用IP地址來嘗試鎖定攻擊者的位置。但是,就好比追查攻擊追到位在韓國的網頁伺服器。有什麼理由說服我們攻擊者並沒有同時入侵了這伺服器?是什麼讓你認為網站負責人會配合你進行調查?

在複雜的攻擊中,常常可以看到攻擊者從一台被入侵機器連到另一台。你可以嘗試盡可能的追查下去,但幾乎很難追查到關於攻擊者的蛛絲馬跡。我們真的沒辦法取得像情報單位那樣多關於攻擊者的資料。我們可以使用開放的資料庫但有其極限。有時攻擊者會犯錯 – 在這時候我們可以討論他們是誰,他們針對誰等等。但如果你需要防護組織,就不能指望這一點。

了解你要面對什麼樣的攻擊

這不是說你該完全忽略誰在攻擊你。而是不管他們是誰,更加重要的是他們會做什麼。比方說,如果有人用任何腳本小子(script kiddie)都可以從網路上取得的工具來攻擊你,這可能並非嚴重的威脅。如果有人用新的漏洞和精心設計的惡意軟體來攻擊你,那就要注意了。 Continue reading “針對性攻擊/鎖定目標攻擊(Targeted attack ): 了解你要面對什麼樣的攻擊 !!”

< CTO 觀點 > 針對性目標攻擊:不是所有的攻擊都需要很複雜

通常我們都會說這一起攻擊有多麼先進和複雜,用了什麼新方法來隱藏伺服器或讓分析更加困難等等。卻很容易忘記並非所有的攻擊都是在技術上顯得很複雜;相對地,可能指的是其所用的社交工程(social engineering )或是其攻擊進行的方式。

比方說,我們在幾個月前談到Arid Viper攻擊活動,這是一起針對以色列使用者的複雜攻擊。然而,這起組織良好的攻擊和沒那麼複雜的Advtravel活動共享部分它的攻擊基礎設施。Arid Viper很先進;Advtravel則沒那麼先進。怎麼會這樣呢?針對性目標攻擊不是應該是受過良好訓練而精良的攻擊者所進行的嗎?這些攻擊者不是應該跟「一般」網路犯罪分子沒有任何共同點嗎?

攻擊,APT,目標攻擊

讓我們來想想這問題。進行針對性目標攻擊所需要的技能跟一般網路犯罪攻擊有那麼不同嗎?從根本來看並非如此。雖然網路犯罪分子通常從像信用卡詐騙等活動中獲利,但他們也不會吝於將自己的技能用來有計畫的攻擊特定目標。如果是這樣,他們何不重複使用現有的工具呢?他們何不重複使用現有的基礎設施呢?

即使是能夠影響現實世界的「大規模」攻擊有時也會用非常簡單的工具。想想看 TV5 Monde 的攻擊事件:是用一個 VBScript 工具包所製造的惡意軟體來進行。可以在YouTube上找到如何使用的說明。要讓這工具正常運作並非難事。

這些攻擊的複雜性在於如何使用工具。利用什麼樣的社交工程(social engineering )來說服目標打開惡意附件/連結?如果一個普通的遠端存取工具(RAT)可以運作正常,就不需要用複雜的「持續性威脅」。

這些攻擊是持續性的,對企業來說想要全部加以阻止是很困難的(即使不是不可能)。攻擊者也很少僅僅是因為被阻止了一次、兩次甚至更多次就打退堂鼓。沒有一個簡單而完美的防禦解決方案能停止所有攻擊。那企業可以做些什麼呢?

企業需要認識到自己無法阻止所有的攻擊。所能做的是發現正在進行的攻擊,讓來自任何攻擊的損害被大大降低。入侵偵測系統已經不再是奢侈品而是必需品。這不儘可以防禦一般的威脅像是RAT,還可以防禦複雜的針對性目標攻擊。今日的威脅並沒有特效藥可以解決;我們必須不斷地跟上當前及未來的技術 –  無論是為了進攻或防守的目的,了解不斷變化的威脅環境以及可用的防禦措施。

@原文出處:Targeted Attacks: Not All Attacks Need To Be Sophisticated |作者:Raimund Genes(技術長)

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


 

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)

駭客 蒙面

白皮書 鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

八種駭客用來竊取企業資料的後門程式技巧

後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。

當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。

下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門

為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:

  1. 將後門程式綁定某個通訊埠。

若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。

  1. 透過後門程式穿越防火牆。

若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。

  1. 後門程式檢查可用的連線以傳輸檔案。

通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。

  1. 後門程式透過社群網路連上幕後操縱伺服器。

Continue reading “八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)”

《APT 攻擊》91%的目標攻擊利用電子郵件作為進入點

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;
一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;
996 名公僕因為一封標題為「李宗瑞影片,趕快下載呦!」信件, 好奇點閱中了資安陷阱;

Ponemon的研究計算出一次目標攻擊的平均成本是嚇人的 580萬美元也就不令人驚訝了,光是從EMC和Target事件所看到的成本就是10倍以上了。

APT目標標攻擊通常會先充分研究過並以相關的電子郵件形式出現,其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤,進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上,從而成為攻擊者在網路內的灘頭堡。從這一刻開始,攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

阻止電子郵件目標攻擊:移除攻擊者最容易進入的路徑

《APT 攻擊》91%的目標攻擊利用電子郵件作為進入點

「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)是今日企業所面臨的最大威脅之一。一場完美風暴已然形成。結合了世界各地具備創造力和靈活力的網路犯罪分子;進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力;加上傳統的安全防禦並無法偵測未曾見過的威脅,都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件,像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

從此一問題延伸開來,根據趨勢科技TrendLabs的研究,有91%的 APT攻擊利用電子郵件作為開始的進入點。此外,最近Ponemon的研究表示有78%的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點,攻擊者顯然認為電子郵件是阻力最小的攻擊路徑,可以用來避開現有的安全防禦,進而從你的網路外洩資料。

公司如果不能真正解決針對性電子郵件攻擊的問題,付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響,包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。所以最近Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了,光是我們從 EMC和 Target事件所看到的成本就是10倍以上了。

建立對未知的能見度

IT安全專家所面臨的問題是,目前的電子郵件安全閘道對於嵌入在郵件附檔的進階惡意軟體和郵件內嵌網址沒有識別能力。事實是,它們沒有能力解決這個問題。

原因是,APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊),其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤,進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上,從而成為攻擊者在網路內的灘頭堡。從這一刻開始,攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說,關鍵是讓攻擊者無法輕易地去侵入公司網路,不要讓電子郵件被當作切入點。

Deep Discovery Email Inspector解決針對性電子郵件攻擊

今日資源和預算都有限的現實環境下,解決問題必須透過加強現有投資來創造槓桿效應。資安也是一樣。考慮到這一點,趨勢科技發展出一套內部部署專用的解決方案,通過增強現有電子郵件安全閘道來解決針對性電子郵件攻擊問題。透過單一專用的設備,Deep Discovery Email Inspector無縫地跟你現有的電子郵件基礎設施整合。無需變動你現有電子郵件閘道或第三方安全工具的政策、管理或設定。根據趨勢科技TrendLabs的研究以及他們對APT攻擊和攻擊者行為的瞭解,利用各種特製演算法和專門偵測方式來偵測和封鎖含有可疑網址或嵌有進階惡意軟體之電子郵件附件的針對性電子郵件攻擊。

 

下面是阻止針對性電子郵件攻擊的解決方案還能做到的部分:

 

< APT 攻擊 >防護基礎設施 對抗目標攻擊重要的一步

最近針對 Internet Explorer 瀏覽器釋放後使用(use-after-free)漏洞的零時差攻擊強調了一件事:建立使用者設定檔時使用最小權限原則有多麼的重要。

apt

試想一下,如果大多數使用者帳號在端點都設定為管理者權限或root(這在舊作業系統上是驚人的常見,像是Windows XP)。一個簡單的社交工程技巧就可以讓攻擊者(或類似角色)利用這漏洞來取得跟目前使用者相同的使用者權限。這可能包括了修改系統檔案、安裝新程式或是管理其他設定。

網路管理員必須要盡最大的努力來防止攻擊者取得管理權限。再怎麼說,一個無法在系統上安裝和執行所下載程式的使用者設定檔就不會在我們所舉的例子裡造成太大的影響。這可能會對使用者和管理者帶來一些不便,但相較於安全性的提高還是值得的。因為攻擊者可能會取得權限提昇的風險,微軟最近介紹了Windows 8.1內的若干措施來防止這種情況發生,並且讓使用者可以更好地控制具有權限的帳號。

Jim Gogolinksi之前一篇「幫助企業對抗目標攻擊的建議」是非常具有建設性和必要的報告,讓人了解企業為何需要花時間來檢視他們的網路基礎設施是如何建立的。那篇報告關注在五件事情上:基礎設施、資料、事件回應團隊、威脅情報和進行滲透測試。

根據Gogolinski所說,安全的基礎設施在很大程度上依賴三個因素:正確和邏輯的網路分隔,日誌記錄和分析的能力,保護使用者個人設定檔和工作站的設定。無法奠定安全的基礎會成為企業的致命傷。趨勢科技最新的企業入門書「企業還擊:防護你的網路基礎設施以對抗目標攻擊」討論了因為沒有花時間和資源在這方面的努力上,而讓目標攻擊造成的安全影響。

原文出處:Securing the Network Infrastructure: An Important Step in the Fight Against Targeted Attacks作者:Macky Cruz

按<這裡>下載 2013台灣進階持續性威脅白皮書APT 攻擊

本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

 

 

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

◎即刻加入趨勢科技社群網站,精彩不漏網

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

 

◎即刻加入趨勢科技社群網站,精彩不漏網

貴公司有辦法對抗目標攻擊嗎?

有各式各樣的原因讓目標攻擊可能發生在幾乎任何一家公司。其中最大的一個原因就是為了竊取公司的專有資料。許多機密資料可能都非常的有價值。智慧財產權通常是第一個會想到的目標。還有一些比較不明顯的目標也有其價值:例如金融資料,員工和客戶的個人資料,待完成銷售、財務交易和法律行動的相關資料等。不過一家公司被當成目標的原因也可能和他們的產品或資料無關。

apt

 目標攻擊是攻擊起點

攻擊者可能會針對一家公司,好利用這新得手的網路基礎設施來發動對其他組織的攻擊。在某些案例中,攻擊者會利用受駭者的電子郵件帳號來增加他們魚叉式網路釣魚(Phishing)攻擊郵件的可信度。

另一個被當成目標的可能原因跟該公司所連接的網路有關。小廠商可能會是大型組織的供應商之一,因此需要連接到大型組織的網路。對攻擊者來說,透過這小供應商的網路會更加容易也更為隱蔽,不會在大型組織的網路內留下痕跡。

此外,一家公司也可能單純的被當成跳板,用來掩蓋攻擊者和目標之間的攻擊路徑。

面對目標攻擊可以做些什麼?

不幸的是,時間和機會都在攻擊者這一邊。不管公司的防禦有多好,只要一個設定錯誤或某個使用者打開惡意檔案或連到有問題的網站,就可能會讓公司受到影響。一旦攻擊者進入公司網路,受駭目標必須要能儘快的加以偵測和控制。在這時間點,可以進行完整的鑑識調查來看看攻擊者去過哪些地方和造成哪些損害。

那有什麼是公司可以做以面對目標攻擊的?答案是肯定的。 Continue reading “貴公司有辦法對抗目標攻擊嗎?”

台灣中小企業遭受阻斷服務攻擊案例分析

 許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。

當有企業被攻擊的新聞出現,內容通常都把目標放在最終使用者或大型企業本身。不過有許多網路犯罪的目標是中小企業。在這篇文章裡,我們要來看看台灣的中小企業是如何遭受到攻擊,以及人們可以從這些事件裡學到什麼樣的教訓。

駭客 蒙面

許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。

讓我們來看看最近的一起案例,可以很好的說明這些攻擊如何進行。在五月卅日,我們收到一家不明公司(我們稱之為A公司)的支援請求,因為他們遭受到阻斷服務攻擊,讓他們的伺服器無法被連上。

但我們所看到的完全是另外一個問題。趨勢科技發現他們的網頁伺服器已經被入侵,利用的是伺服器的漏洞。而且就如前所述,這網頁伺服器也可以存取公司的內部網路,所以攻擊者也拿下了公司Active Directory伺服器的控制權。我們還確認至少有兩批攻擊者存在:一個是在四月廿四日前運作,另外一個出現在這日期之後。

台灣中小企業遭受阻斷服務攻擊案例分析

 

圖一、攻擊時間表

這起威脅的行為並沒有特別不尋常,一旦網路被入侵,這些都是常見的後果。此外,攻擊者會不斷地透過自己的後門來放入新的工具。

許多企業只是重新安裝和重建系統,好可以馬上回復運作,但這樣並沒有解決問題。因為問題的根源是脆弱而不安全的網頁伺服器,而這部分並沒有被解決,攻擊者可以一再重複地入侵,重新佈置後門到目標網路內。

 

台灣中小企業遭受阻斷服務攻擊案例分析

圖二:持續地攻擊

Continue reading “台灣中小企業遭受阻斷服務攻擊案例分析”