資安漏洞、釣魚攻擊
[2月10日] 防不勝防:駭客利用ADFS繞過MFA,釣魚攻擊手法解析
近期,一起大規模的網路釣魚攻擊事件曝光,至少150家企業和機構成為受害者,其中教育機構受害最嚴重。駭客透過偽造的電子郵件,誘騙使用者輸入登入資訊,進而繞過多重驗證(MFA),成功入侵Microsoft 365 帳戶。
攻擊方式
這次大規模網路釣魚攻擊之所以成功,關鍵在於駭客運用了社交工程與技術漏洞,逐步騙取使用者的驗證資訊,最終完全掌控帳戶。以下是詳細的攻擊過程:
1. 精心設計的釣魚郵件
駭客首先透過偽造的電子郵件,誘騙受害者點擊內含惡意連結的信件,例如:
佯裝成企業內部通知、密碼重設請求、或安全警告
利用知名品牌或公司名義,增加可信度
內文包含緊急訊息,迫使受害者立即行動
2. 仿冒的登入頁面
當受害者點擊連結後,會被導向一個與 Microsoft 365 或公司內部登入頁面極為相似的網站。此網站其實是駭客的釣魚站點,一旦受害者輸入帳號密碼,駭客就能即時獲取登入憑證。
3. 繞過多重驗證(MFA)
由於許多企業已啟用 MFA,駭客需要進一步收集驗證碼。以下是幾種繞過 MFA 的方式:
即時中繼攻擊(Adversary-in-the-Middle, AitM): 駭客在釣魚網站後端建立一個中間代理伺服器,當受害者輸入密碼並收到 MFA 驗證碼時,駭客會即時攔截並傳送給真正的 Microsoft 伺服器,完成登入。
Session Token 竊取: 一旦受害者完成驗證,駭客就能獲取有效的登入 Token,即使之後密碼變更,駭客仍可存取帳戶,直到 Token 失效。
成功入侵一個帳戶後,駭客可能會持續滲透與橫向移動。
建議
加強郵件與連結安全
啟用 DKIM、DMARC、SPF 等郵件驗證機制,以防止釣魚郵件攻擊。
教育使用者提高警覺,避免點擊可疑連結或提供驗證碼。
監控並審查帳戶活動
定期檢查登入紀錄,封鎖異常登入與可疑的郵件轉發設定。
使用 SIEM、EDR/XDR 等行為分析與威脅偵測工具,監測可疑活動。
強化網路與存取控制
部署 DNS 過濾、網頁過濾機制,阻擋惡意網站存取。
實施條件式存取政策,限制高風險環境的登入行為。
資料來源:
資安漏洞、RCE漏洞
近期有一個超過12,000台 GFI KerioControl 防火牆 的嚴重安全漏洞(CVE-2024-52875)被揭露。這個漏洞允許遠端駭客執行惡意程式碼,透過特定的網路攻擊方式(HTTP回應拆分攻擊)入侵系統,甚至竊取管理員權限,進一步控制設備,甚至掌控整個企業網路。
這個漏洞要注意的
駭客可透過未清理的「dest」GET 參數繞過安全機制,直接在受影響的設備上執行指令。
即使廠商 GFI Software 已於 2024 年 12 月發布補丁,仍有大量防火牆未更新,使駭客能輕鬆發動攻擊。
攻擊者可利用公開的概念驗證(PoC)程式碼,大幅降低攻擊難度,任何技術水平的駭客都可能利用這個漏洞入侵系統。
目前受影響設備主要分布於伊朗、美國、義大利等地,但任何未更新的設備都可能成為目標。
建議
為了避免駭客利用此漏洞發動攻擊,企業與個人應立即採取以下行動:
1. 立即更新防火牆
安裝 GFI Software 官方發布的 9.4.5 Patch 2 更新,以修補安全漏洞。
若無法立即更新,請考慮 限制來自不明 IP 的存取權限。
2. 備份與應變計畫
定期備份 重要設定與資料,以防系統遭攻擊後無法復原。
制定 資安事件應變計畫(Incident Response Plan),確保在遭受攻擊時能迅速應對。
3. 教育員工與用戶
提高資安意識,提醒員工與用戶 不要點擊可疑連結或下載不明附件。
定期進行 資安演練,讓 IT 團隊熟悉應變流程。
資料來源:
資安事件、勒索攻擊
[2月12日] 馬偕醫院受勒索軟體攻擊,600多台電腦受影響
北馬偕醫院近日遭受名為「CrazyHunter」的勒索軟體攻擊,導致500多台電腦當機。目前,衛生福利部與資安署已成立快速反應小組進駐醫院協助應對,並向全國醫院發出警報。院方表示,受影響的主要是北部與淡水兩區的急診室,所幸病患個資未有外洩,醫療作業均正常運作。
攻擊事件概要
攻擊事件
馬偕醫院遭受名為 CrazyHunter 的勒索軟體攻擊。
攻擊者威脅將持續進行攻擊,造成醫療服務運作受影響。
影響範圍
主要影響 北部與淡水院區 的急診室運作。
目前 尚未發現病人個資外洩。
應對措施
衛生福利部(衛福部)與資安署 已成立 快速反應小組 進駐醫院協助應對。
向 全國醫院發布警報,提醒防範類似攻擊。
協調廠商 端點偵測與回應(EDR)產品緊急性的過渡支援,加強醫院資安防護。
分享 攻擊指標(IoC),幫助其他醫療機構強化防禦。
攻擊手法
初步研判攻擊者 透過 Active Directory(AD)弱密碼入侵取得管理權限。
利用 GPO群組政策 來進一步擴散勒索軟體。
風險與警示
即使有資安防護機制,仍可能因弱密碼或漏洞被攻擊。
醫療機構需審視AD系統安全,避免遭受利用作為攻擊管道。
評估新舊系統主機的安全防護強度,強化端點安全偵測與回應(EDR)能力。
建議
1. 強化資安意識
提高員工資安意識:定期進行資安教育訓練及宣導,提醒員工 不要點擊來路不明的郵件連結或附件,以及任意接入USB隨身裝置。
2. 加強端點安全防護
安裝並更新 EDR / XDR 防毒軟體:使用 端點偵測與回應(EDR) 或 延伸偵測與回應(XDR),可即時偵測異常行為。
定期更新作業系統與軟體:確保 關鍵營運系統及工作站的風險暴露控制,預防存在的漏洞遭受利用。
停用不必要的遠端存取功能:如 RDP(遠端桌面協議)應設置 強密碼、雙因素驗證(2FA),避免攻擊者透過暴力破解進入系統。
3. 網路與存取權限管理
AD系統權限管理與異常檢視:強化AD系統的管理者驗證與存取權限,並且經常監控檢視異常的操作行為,包括GPO執行作業。
網路分段(Segmentation):將內部網路 建立區段分隔,即使勒索軟體感染一個區域也無法大規模擴散。
取得情資並建立監控管制:針對已經釋放的資安情資包括惡意軟體指紋(Hash)、惡意通訊及連線黑名單,利用端點安全系統(EPP、EDR)及網路安全系統(Firewall、IPS),提高重點偵測探查與主動防禦。
資料來源:
資安事件
[2月13日] 舊漏洞再現:針對ThinkPHP和ownCloud的攻擊激增
最近,網路安全專家發現駭客正在利用 ThinkPHP 和 ownCloud 這兩個系統的舊漏洞,對許多未更新的網站和伺服器發動攻擊。這些漏洞分別為:
CVE-2022-47945(ThinkPHP 本地檔案包含漏洞):駭客可以藉此執行惡意程式,進而控制伺服器。
CVE-2023-49103(ownCloud 依賴庫漏洞):攻擊者可透過此漏洞竊取系統中的敏感資訊,例如管理員密碼或資料庫憑證。
雖然這些漏洞早已被發現並有修補方案,但許多企業與個人使用的系統仍未更新,導致駭客可以輕易入侵。目前,監測平台 GreyNoise 發現來自全球各地的攻擊不斷增加,顯示這些漏洞仍在大規模被利用。
建議
為了避免系統遭駭客攻擊,建議採取以下安全措施:
立即更新軟體
下載並安裝 最新的安全更新與補丁(特別是 ThinkPHP 和 ownCloud)。
訂閱官方安全公告,確保第一時間得知漏洞修復消息。
強化存取控制
限制 管理後台的存取權限,僅允許特定 IP 進入。
啟用 多重身份驗證(MFA),防止密碼被盜後遭駭客登入。
使用 Web 應用程式防火牆(WAF)
設置 WAF 來過濾惡意請求,阻擋駭客利用漏洞攻擊伺服器。
定期檢查 WAF 記錄,分析可疑流量。
資料來源:
資安事件、AMI
近期有一種名為「whoAMI」的攻擊方式,它利用了 亞馬遜雲端服務(AWS) 中的機器鏡像(AMI)命名漏洞,讓攻擊者不需要入侵企業的 AWS 帳戶,就能取得執行程式的權限。
攻擊方式
攻擊者會偽造一個與企業常用名稱相似的 AMI(機器鏡像),並利用程式碼中的設定漏洞(例如沒有指定 AMI 擁有者、使用了通配符、或開啟most_recent=true 參數)來誘導系統誤選惡意 AMI,讓攻擊者成功執行惡意程式。
攻擊影響
這種攻擊可能帶來 嚴重的安全風險,影響包括:
惡意程式執行:攻擊者可以透過被誘導啟動的 AMI 在受害者的 AWS 環境中執行惡意程式,例如安裝後門或竊取資料。
系統完整性受損:攻擊者可以對企業的 AWS 環境進行惡意修改,例如篡改應用程式、植入木馬、進一步滲透內部系統等。
雲端資源濫用:攻擊者可以利用這個機制,透過受害者的 AWS 帳戶執行
建議
要防止這類攻擊,建議採取以下安全措施:
1. 限制 AMI 來源(啟用 "Allowed AMIs" 功能)
AWS 提供 Allowed AMIs 功能,可設定 只允許企業內部或指定可信來源的 AMI 被使用,避免不小心選到惡意 AMI。
2. 啟用 AWS IAM 限制權限
使用 AWS IAM(身份與存取管理) 設定權限,確保 只有授權的角色或用戶 能夠啟動 AMI,降低風險。
3. 監控與日誌分析(AWS CloudTrail + SIEM)
使用 AWS CloudTrail 監控 AMI 的變更與啟動記錄,搭配 SIEM 系統(如 Splunk、Datadog)即時偵測可疑的 AMI 變更或異常行為。
whoAMI 攻擊不需要入侵 AWS 帳戶,只要企業的系統誤選了惡意 AMI,攻擊者就能執行惡意程式,造成資料外洩、系統損害與財務損失。
透過限制 AMI 來源、明確指定 AMI 擁有者、監控與日誌分析等措施,可以有效降低這類攻擊的風險,保護雲端環境的安全。
資料來源:
Opmerkingen