2021/06/22

主旨:

美國國土安全部網路安全暨基礎安全局（CISA）分享遠距工作指南，供各會員參考運用

說明:

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202106-1136

技服中心綜整摘要美國國土安全部網路安全暨基礎安全局（CISA）分享之遠距工作指南供各會員參考運用，摘要如建議措施，詳細內容請參考CISA連結。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

建議措施:

1. 組織高層指南

(1) 資安政策與程序
a. 檢視與更新資安政策與程序，以因應遠距辦公之資安風險。
b. 明確訂定遠距辦公應有之資安意識與資安要求。

(2) 資安訓練
a. 運用資安訓練以增進員工資安知識與了解現行資安威脅，讓員工遠距辦公也能依資安要求存取系統與資料。

(3) 非公務設備
a. 制定資安政策以因應遠距辦公之資安風險，如在家列印、使用非公務電子郵件及使用非公務儲存設備等規範。
b. 政策應涵蓋遠距辦公使用之公務設備、非公務設備、行動裝置及家用網路之安全性設定與安全性更新。

(4) 新辦公型態之網路安全
a. 因應遠距、分流及異地辦公，應制定基本「網路衛生(Cyber Hygiene)」政策。
b. 網路衛生政策應涵蓋網路釣魚防護、安全性更新及可攜式儲存媒體使用等，並定期向員工宣導最新政策。

2. 資訊人員指南

(1) 安全性更新與漏洞管理
a. 確認軟硬體資訊資產之正確性。
b. 確保即時更新安全性修補與執行弱點掃描。
c. 啟用自動化更新安全性修補機制。

(2) 資安管控機制
a. 運用資安管控機制，確保連線安全性。
b. 運用零信任原則進行遠端VPN存取。
c. 檢視現有資安防護架構，確保服務存取安全性。

(3) 多因子身分鑑別
a. 運用多因子進行遠端存取身分鑑別。
b. 制定應急計畫或替代方案以因應多因子身分鑑別失效。

(4) 軟硬體白名單
a. 建立組織核可之軟硬體設備白名單，包括協同合作工具與視訊會議軟體。
b. 提供員工相關軟硬體之安全操作手冊。

(5) 定期備份
a. 定期備份組織重要系統與檔案。
b. 定期確認備份可以回復。
c. 確保離線與異地存放備份。

(6) 強化電子郵件安全性
a. 運用Domain-Based Message Authentication, Reporting & Conformance (DMARC)機制，強化電子郵件安全性，防護釣魚郵件與商業電子郵件詐騙。

3. 遠距辦公人員指南

(1) 強化資安設定
a. 變更家用網路設備預設通行碼，並使用高複雜度強化設定通行碼。
b. 無線網路應使用WPA2或WPA3加密協定，停用不安全之WEP與WPA協定。
c. 避免使用實際地址與設備資訊設定無線網路SSID。

(2) 遵守資安政策與規範
a. 應依組織資安政策，處理業務所需接觸之個人資料、機敏文件、客戶資料等。
b. 避免在非公務設備上儲存與傳送業務所需接觸之個人資料、機敏文件、客戶資料等。
c. 應依組織資安規範，確保遠距辦公使用之設備已符合資安要求，如通行碼身分鑑別與防毒軟體安裝。

(3) 電子郵件安全
a. 小心開啟電子郵件附件與點擊郵件中之連結。
b. 注意釣魚郵件與社交工程郵件。

(4) 通報可疑活動
a. 確認自己知道可疑活動之通報連絡方式與窗口。
b. 即時通報可疑活動。

[參考資料:]
1. CISA-TELEWORK GUIDANCE AND RESOURCES https://www.cisa.gov/telework
2. CISA-TELEWORK ESSENTIALS TOOLKIT https://www.cisa.gov/publication/telework-essentials-toolkit

2021/06/21

主旨:

留意實聯制QR Code詐騙，發送簡訊前須確認正確的傳送對象

說明:

因疫情升溫，指揮中心宣布疫情警戒至第三級，民眾外出到公共場所需進行實聯制登記。因此行政院也推出簡訊實聯制，民眾免填個資，只需掃描QR Code並傳送簡訊至1922，即可記錄足跡。

店家張貼於店外的簡訊實聯制QR Code，有遭有心人士隨意更換成惡意連結的風險，使民眾連結至釣魚網頁或傳送簡訊到高額付費號碼，以騙取個資或錢財。

警政署也於165全民防騙粉絲專業提醒以下注意事項：

為防止張貼於店外的QR Code遭有心人士更換，建議店家務必要不定期進行檢查，以確認連結的正確性。
建議店家於非營業時間，將QR Code實聯制公告收入店內保管。
民眾在傳送簡訊時也需注意，傳訊的對象應確認為「1922」再傳送。

資料來源：https://www.twcert.org.tw/tw/cp-15-4785-ed0e8-1.html

2021/06/21

主旨:

近來發生最新的加密貨幣詐騙手法，駭侵者寄送假冒的硬體加密貨幣錢包替換品給受害者，藉以竊取加密貨幣。

說明:

近來發生最新的加密貨幣詐騙手法，駭侵者寄送假冒的硬體加密貨幣錢包替換品給受害者，藉以竊取加密貨幣。

遭到駭侵者假冒的硬體加密貨幣錢包，是由 Ledger 公司推出的「Ledger Nano X」；駭侵者透過包裹寄送假冒的 Ledger 硬體錢包給受害者，在内附上文筆拙劣的通知信，假稱「由於資安理由，特別寄送全新加密貨幣錢包硬體」，要求用戶透過說明書的指示來轉移存在原硬體錢包中的加密貨幣到「新錢包」中。

駭侵者取得的受害者名單，是先前遭不明駭侵者自 Ledger 公司取得的，並在 2020 年 12 月遭人張貼於某駭侵相關論壇；名單中一共有 272,853 名 Ledger 硬體錢包的用戶資料。

在 Reddit 論壇上，有收到假冒 Ledger 硬體錢包的用戶，將其收到的假冒硬體錢包拆開，並與真正的 Ledger 錢包硬體電路相互比對，可以發現電路布局與使用的元件略有不同；資安專家分析該照片後指出，該假冒硬體錢包，就電路來看，似乎有一個架構在 Ledger 上的 USB 隨身碟，可能用以在用戶電腦上植入惡意程式碼。

在用戶收到的「轉移指南」中，要求用戶輸入當初設定的復原短詞；一旦用戶照實輸入，這些復原短詞立即會被傳送給駭侵者，即可用以竊取用戶存入的所有加密貨幣。

Ledger 公司表示，已經掌握此類駭侵攻擊的情報；該公司呼籲用戶提高警覺，在任何情況下都不應分享復原短詞給任何人，或是在不明的軟體中輸入這些復原短詞。

資料來源：https://www.twcert.org.tw/tw/cp-104-4807-75a74-1.html

2021/06/17

主旨:

卡巴斯基推測PuzzleMaker組織利用Google與微軟進行漏洞修補的空窗期，搶先一步掌握漏洞資訊鎖定多家企業發動攻擊

說明:

資安業者卡巴斯基（Kaspersky）周二（6/8）揭露了PuzzleMaker駭客集團在今年4月15日及16日所進行的攻擊行動，指出PuzzleMaker串連了微軟與Google Chrome的3個零時差漏洞，針對多家企業展開目標式攻擊。而Google已於4月修補了相關漏洞，微軟也已在本周二修補遭到PuzzleMaker開採的兩個漏洞。

根據卡巴斯基的調查，PuzzleMaker的所有攻擊都是藉由Chrome瀏覽器執行的，不過該團隊未能取得完整的攻擊程式，因此只能根據功能及時間來猜測PuzzleMaker所利用的Chrome零時差漏洞，是Google在今年4月20日藉由Chrome 90.0.4430.72所修補的CVE-2021-21224漏洞。

而PuzzleMaker所開採的其它兩個漏洞，則是微軟的CVE-2021-31955與CVE-2021-31956。這兩個漏洞是微軟在本周修補的5個已被開採漏洞的其中兩個，CVE-2021-31955為Windows核心的資訊揭露漏洞，可外洩Windows核心記憶體中的內容，CVE-2021-31956則是存在於NTFS的權限擴張漏洞，成功的開採將允許駭客掌控系統。

參考資料：

微軟Patch Tuesday修補資訊（2021-06-09公告）：https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun

Google修補Chrome的CVE-2021-21224漏洞（2021-04-20公告）：https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html

Google修補Chrome的CVE-2021-21220漏洞（2021-04-13公告）：https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html

資料來源：https://www.ithome.com.tw/news/144920

2021/06/18

主旨:

我國能源領域關鍵基礎設施資安事件防護資訊，請各會員參考並加強防範！

說明:

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202106-0176

近期於國內能源領域關鍵基礎設施發現惡意程式「SALTYGHOST」，為Gh0st RAT木馬程式之變種，針對此事件相關惡意程式分析報告與受駭偵測指標(Indicator of Compromise, IoC)資訊提供如附件，建議各會員應提高警覺，落實加強監控防護與異常連線阻擋，若於監控日誌發現相關異常連線或警示，應深入釐清事件原因與影響範圍，避免錯失調查時機。

附件「我國能源領域關鍵基礎設施之惡意程式分析」已上傳至教育機構資安通報平台，所有單位人員登入後，於「情資資料下載」可下載此份檔案，提供各單位參考。

解決方法：

1.部署黑名單於防護設備進行偵測，監控是否有資訊設備已遭入侵，網路位址與網域名稱黑名單如附件。

2.依「我國能源領域關鍵基礎設施之惡意程式分析」檔案中之惡意程式名稱與雜湊值，偵測系統是否存在相關惡意程式，若確認資訊設備已遭入侵，建議立即進行必要處理措施：
(1)針對受駭電腦進行資安事件應變處理。
(2)重新安裝作業系統，並更新作業系統及相關應用軟體。
(3)更換系統使用者密碼。

資料來源：https://cert.tanet.edu.tw/prog/showrpt.php?id=3628