中心公告
南投區網中心暨國網中心107年度資訊安全教育訓練
- 主辦單位:南投區域網路中心、國家高速網路與計算中心、國立暨南國際大學
- 協辦單位:南投縣教育處
- 研習目的:本次課程主要為實務操作為主,課程分為兩個主題;主題一是弱點掃描平台介紹及實際操作,善用弱點掃描的技術可讓我們了解所管理的設備是否存在漏洞,進而修補漏洞並將漏洞所造成的風險降到最低。主題二為Cacti軟體建置,協助各位輕鬆管理設備CPU負載、記憶體使用量、流量大小等功能,建置一個易於管理、查詢、維護的網管環境。
- 參加對象:公私立國民中小學、公私立高中職校、大專院校師生。
- 研習時間:107年10月3日(三)及107年10月05日兩梯次,兩梯次課程內容一樣故擇一報名即可,也歡迎各單位派多名老師參加。
- 需研習時數之教師請至全國教師進修網報名,其他參加人員請至https://goo.gl/gXqDt4報名
- 報名期限:即日起至107年10月1日止。
- 本研習為響應環保不提供紙本講義及紙杯
時間 |
活動項目 |
地點 |
09:40-10:00 |
報到 |
圖資大樓B1 |
10:00-12:00 |
議題一:弱點掃描平台介紹及實際操作 |
|
12:00-13:30 |
午餐及休息 |
|
13:30-14:30 |
議題二:Cacti 軟體建置 |
圖資大樓B1 |
14:30-15:00 |
中場休息-茶點時間 |
|
15:00-16:00 |
議題二:Cacti 軟體建置 |
新的Virobot惡意軟體可以用作勒索軟體、鍵盤側錄程式和殭屍網路
新聞來源:ZDNet
Virobot將使用本機安裝的Outlook向其他用戶發送垃圾郵件,並傳播自己的副本。
一個新發現的惡意軟體是一種可以執行多任務的威脅,除了作為勒索軟體加密用戶的文件,它還可以記錄和竊取用戶的鍵盤記錄,並將受感染的電腦增加到發送垃圾郵件的殭屍網路中。
這個新的威脅被命名為Virobot且似乎還正在開發中,它由多個組件組成,允許它作為殭屍網路、勒索軟體和鍵盤記錄程式等工作。
據這星期發現此威脅的網路安全公司趨勢科技透露,它的勒索軟體組件似乎是一種獨特的病毒,與之前的勒索軟體家族沒有任何關係。
但是,雖然Virobot的勒索軟體組件似乎與任何其他勒索軟體無關,但它的操作模式並不是什麽新東西,與之前所有威脅的操作方式相同。
如果用戶被騙進而下載並運行附在電子郵件文檔中的勒索軟體,勒索軟體透過生成一個隨機加密和解密金鑰來運作,該密鑰還會發送到遠端命令和控制(C&C)服務器。
加密過程依賴於RSA加密方法,Virobot的目標文件副檔名如下:TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF和SWP。
一旦該行動完成後,Virobot會在用戶的螢幕上顯示一張勒索訊息,如下圖所示。這份訊息是用法語寫的,趨勢科技的研究人員發現這很奇怪,因為散佈勒索軟體的活動針對的是美國用戶。
Virobot 的勒索訊息
有趣的是,Virobot並不是唯一一個過去幾周出現與法國有關的勒索軟體。8月底,安全研究人員發現,一種名為PyLocky的勒索軟體,是模仿更為著名的Locky勒索軟體而出現的,它也鎖定了法國,儘管Virobot和PyLocky之間似乎沒有關聯。
至於Virobot的其他模組,趨勢科技提到,鍵盤側錄系統非常簡單,記錄了所有的本機按鍵並將原始數據發送到C&C伺服器。另一方面,殭屍網路模組更強大。這個模組還允許Virobot的受害者從勒索軟體的C&C伺服器下載其他惡意軟體並執行它。
此外,該模組還可以作為垃圾郵件模組,使用本機安裝的Outlook應用程式將垃圾郵件發送到用戶的聯絡人列表。據趨勢科技指出,Virobot將使用這個模塊散播自己的副本或從C&C伺服器下載的另一個惡意文件。
ID Ransomware是一種掃描加密文件以確定是被哪種勒索軟體感染了個人電腦的服務,其所有者Michael Gillespie今天告訴ZDNet,目前還沒有辦法透過他的服務來檢測Virobot的感染。
這是因為勒索軟體組件與其他惡意程式共享常見檢測指標,例如,將.enc副檔名的文
件加密,這是許多其他惡意程式也會使用的副檔名。幸運的是,它的法語版贖金通知足以讓用戶猜測或確定自己感染了Virobot。
據趨勢科技說,目前這種威脅暫時得到了緩解,因為在編寫時Virobot的C&C伺服器已經關閉,這意味著如果Virobot的勒索軟體模組感染了新的受害者,它將不會啟動加密程序。
雖然這是一個新的惡意程式,這很可能是因為大多數惡意軟體經銷商進行的測試,預計勒索軟體的C&C伺服器最終將在未來更廣泛的散播活動中恢復。
Virobot也不是第一個結合了不同組件的惡意軟體。勒索軟體、銀行木馬、鍵盤側錄程式和其他惡意軟體之間的界線在過去幾年變得越來越模糊。
例如,像MysteryBot、LokiBot、Rakhni或XBash這些惡意軟體常常帶有多功能的特性,把從勒索軟體挖礦軟體的所有東西都混合在一起。
也許這就是為什麽一些研究人員現在正在質疑趨勢科技將Virobot歸類為勒索軟體而不是殭屍網路的決定。隨著界線變得模糊,很難再分辨出什麽是什麽了。
參考位址: https://www.zdnet.com/article/new-virobot-ransomware-will-also-log-keystrokes-add-pc-to-a-spam-botnet/
新的殭屍網路藏在區塊鏈的DNS Mist中並會移除加密貨幣挖礦程式
新聞來源:BLEEPING COMPUTER
目前一種新型殭屍網路有著近乎其無害的行為和使用原始通訊通道與其C&C的方法,這種特殊的行為讓研究人員注意到他。
Fbot是Mirai的一個特殊變體,雖然它保留了原來的DDoS模組,但似乎沒有使用它。這還不是最奇怪的事情,它的目的居然是搜索被惡意挖礦軟體感染的設備並清除它們。
Qihoo 360網路實驗室(Qihoo's 360Netlab)的安全研究人員發現了這種新病毒,並注意到它找到了一種名為“com.ufo”的僵屍網路惡意軟體。這是ADB的一個已知變體。在Android設備(智慧手機、智慧電視、機上盒)上挖掘Monero的礦商。
Fbot推出惡意挖礦軟體
Fbot通過掃描開放port 5555的設備散播,這個port在這些Android設備上是被ADB (Android Debug Bridge)服務使用,然後他會通過ADB介面找尋惡意腳本。
惡意腳本的功能之一是卸載com.ufo。惡意挖礦軟體。另一種方法是下載主payload Fbot,它嵌入了聯繫命令和控制(C2)伺服器的詳細資訊。第三個功能是自毀。
Fbot似乎相對針對以前感染過com.ufo.miner的系統來影響。因為它尋找與挖礦活動相關的程式(SMI, RIG, XIG),並刪除它們。
躲在區塊鏈後
研究人員稱,Fbot為C&C伺服器選擇了一個可以通過分散網域名稱系統(DNS)訪問的功能變數名稱,該系統通過點對點網路共用功能變數名稱,使其更難跟蹤和刪除。
C&C變數名稱musl.lib不是標準的DNS功能變數名稱。它的頂層網域名。lib沒有註冊到ICANN,也不能被傳統的DNS系統決定。
功能變數名稱通過EmerDNS解析,EmerCoin是基於區塊鏈的DNS,該平臺提供從EMC、COIN、LIB和BAZAR名稱空間註冊功能變數名稱,並通過自己的DNS伺服器提供。
EmerCoin現在與OpenNIC(傳統頂層網域名註冊的最大替代品)達成了對等協定,可以解決它們的功能變數名稱問題。
研究人員指出:“Fbot選擇使用EmerDNS除了傳統的DNS很有趣,它提高了安全研究員找到並追蹤殭屍網路的難度(安全系統將會失效如果他們只尋找傳統的DNS名稱),也很難sinkhole C&C domain,至少不適用於ICANN中已經有的”。
Fbot的技術細節很吸引人,目前尚不清楚它是一個善心人士的作品,還是一個希望擺脫其他挖礦程式對手的作品。然而他一些使用的方法卻可能會更受網路犯罪分子的歡迎,他們希望保護自己的業務。目前可以確定的是,Fbot消除了惡意挖礦軟體,並取代了受害者的系統。
發佈日期:2018-09-18
參考位址: https://www.bleepingcomputer.com/news/security/new-botnet-hides-in-blockchain-dns-mist-and-removes-cryptominer/
參考位址:https://www.akamai.com/kr/ko/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
[攻擊預警:CLDAP 反射式放大攻擊,請各單位注意防範,並避免遭利用
內容說明:
學術網路中發現有不少DDoS攻擊,使用CLDAP反射式放大攻擊 ( UDP port 389)。其中,有不少學校也成為攻擊幫兇,因其LDAP服務的 UDP port 389 (CLDAP)暴露於網路上,進而遭人利用。
其攻擊係透過查詢AD 的rootDSE時,預設情況下不需要權限,並透過UDP類型之protocol:CLDAP (port 389)即可存取的狀況下,偽造來源查詢封包,以攻擊受害者電腦。
影響平台:
使用LDAP服務之主機。
建議措施:
1. 服務主機可架設防火牆進行ACL的控管。
2. 於設定檔中關閉Anonymous Access。
3. CLDAP protocol (UDP port 389)應避免暴露於Internet上。
[參考資料:]
1. https://www.akamai.com/kr/ko/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
2. https://www.us-cert.gov/ncas/alerts/TA14-017A
2018/09/04
影響平台:
Microsoft Edge and Internet Explorer:
● Microsoft Edge installed on Windows (all editions)
● Internet Explorer 9,Internet Explorer 10, and Internet Explorer 11 installed on Windows (all editions)
Microsoft Office:
● Microsoft Excel 2010 Service Pack 2 (32-bit editions)
● Microsoft Excel 2010 Service Pack 2 (64-bit editions)
● Microsoft Excel 2013 RT Service Pack 1
● Microsoft Excel 2013 Service Pack 1 (32-bit editions)
● Microsoft Excel 2013 Service Pack 1 (64-bit editions)
● Microsoft Excel 2016 (32-bit edition)
● Microsoft Excel 2016 (64-bit edition)
● Microsoft Excel Viewer 2007 Service Pack 3
● Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
● Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
● Microsoft Office 2016 for Mac
● Microsoft Office Compatibility Pack Service Pack 3
● Microsoft SharePoint Enterprise Server 2013 Service Pack 1
● Microsoft SharePoint Enterprise Server 2016
● Microsoft SharePoint Server 2010 Service Pack 2
● Microsoft Word 2013 RT Service Pack 1
● Microsoft Word 2013 Service Pack 1 (32-bit editions)
● Microsoft Word 2013 Service Pack 1 (64-bit editions)
● Microsoft Word 2016 (32-bit edition)
● Microsoft Word 2016 (64-bit edition)
Microsoft Windows:
● Microsoft .NET Framework (all editions)
● Windows 10 for 32-bit Systems
● Windows 10 for x64-based Systems
● Windows 10 Version 1607 for 32-bit Systems
● Windows 10 Version 1607 for x64-based Systems
● Windows 10 Version 1703 for 32-bit Systems
● Windows 10 Version 1703 for x64-based Systems
● Windows 10 Version 1709 for 32-bit Systems
● Windows 10 Version 1709 for x64-based Systems
● Windows 10 Version 1803 for 32-bit Systems
● Windows 10 Version 1803 for x64-based Systems
● Windows 7 for 32-bit Systems Service Pack 1
● Windows 7 for x64-based Systems Service Pack 1
● Windows 8.1 for 32-bit systems
● Windows 8.1 for x64-based systems
● Windows RT 8.1
● Windows Server 2008 for 32-bit Systems Service Pack 2
● Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 for Itanium-Based Systems Service Pack 2
● Windows Server 2008 for x64-based Systems Service Pack 2
● Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
● Windows Server 2008 R2 for x64-based Systems Service Pack 1
● Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
● Windows Server 2012
● Windows Server 2012 (Server Core installation)
● Windows Server 2012 R2
● Windows Server 2012 R2 (Server Core installation)
● Windows Server 2016
● Windows Server 2016(Server Core installation)
● Windows Server, version 1709(Server Core Installation)
● Windows Server, version 1803(Server Core Installation)
● Adobe Flash Player
● ASP.NET Core 2.1
● System.IO.Pipelines
● ChakraCore
● Microsoft.Data.OData
Microsoft 發佈09月份安全性公告,Microsoft 軟體存在弱點,遠端攻擊者可利用弱點控制受影響的系統。
目前已知多個軟體版本受到影響,HiNet SOC 建議請管理者/使用者儘速更新,以降低受駭風險。
詳細資訊請參考微軟官方網站