APT Malware 外洩 網路攻擊 漏洞與弱點

  • 防止伺服器變殭屍電腦有新招 趨勢用HoneyPot陷阱誘捕Bot病毒

    趨勢科技提出一套新的事前偵測Bot病毒的方法,採用過去防止駭客入侵的蜜罐(HoneyPot)機制,在受保護的伺服器主機旁設下誘捕陷阱來找出Bot病毒入侵的威脅

    iThome 文/余至浩 | 2014-09-09發表

    HoneyPot

    此Bot網路主機感染分布圖,是由趨勢科技網路威脅防禦技術部技術經理高迦南,利用HoneyPot反掃描偵測裝置,記錄於2009至2010年之間偵測到疑似Bot掃描行為,進而完成的Bot主機感染地圖。

    圖片來源: 高迦南

     

    今年6月香港公投網站曾遭到多起大規模DDOS攻擊,高達每秒300Gb的攻擊流量,發現不少是來自臺灣受操控的殭屍電腦,反應出目前臺灣仍潛藏大量的殭屍 病毒尚未發現。不過近日,趨勢科技則是提出一套新的事前偵測方法,採用過去防止駭客入侵的蜜罐(HoneyPot)機制,在受保護的伺服器主機旁設下誘捕 陷阱來找出Bot病毒入侵的威脅。

    殭屍網路(Botnet)一直是許多網路駭客進行網路攻擊的常用手法,經由在受害電腦內植入可遠端操控電腦的惡意程式,進而操控這些殭屍電腦進行各種違法行為,而且不只是個人電腦受駭,許多企業電腦也都可能遭到入侵成為殭屍軍團的一份子。

    然而,一般針對Botnet的入侵偵測,大多為一種事後偵測,像是以IDS或IPS入侵偵測系統來說,必須先取得遭Bot惡意程式入侵的攻擊樣本,才能找出內網(LAN)尚未遭惡意程式入侵的受害電腦,但其實這時候入侵行為早已發生。

    因此,趨勢科技網路威脅防禦技術部技術經理高迦南,近日則是提出一個可作為事前偵測Bot病毒入侵的新方法。他說,一般Bot殭屍病毒或惡意程式入侵前,會先對固定幾個埠(Port)掃描是否存在可入侵的弱點,因此若能先一步在Bot進行通訊埠掃描(Port Scan)時,就採取反掃描偵測,就能在入侵前找到可能是殭屍網路的威脅。

    透過QRADAR QFlow Collector 收集內部網路是否有Bot在進行大量的埠掃描(Port Scan),並與防火牆和系統日誌進行關聯

     

    以反掃描偵測工具,對Bot設下陷阱誘捕

    為了能成功找到可能是Bot的威脅,高迦南也採用過去用來防止駭客入侵的蜜罐(HoneyPot)機制,作為事前偵測的工具。HoneyPot是一 個誘捕系統,主要是用來設下陷阱誘使壞人或惡意程式展露其行為或意圖,因此,它可以將自己偽裝成是一臺伺服器,也能當成是一個虛擬機器或是Web客戶端。

    高迦南採取作法是,在需要被保護的電腦或伺服器主機旁架設一臺具誘捕功能的蜜罐設備(HoneyPot),然後將其IP設在受保護對象附近,啟動後完全不開啟任何服務或只提供少量服務,就如同影武者一般,將身形完全隱身起來,讓外界無法察覺它的存在。

    而當這臺誘捕設備啟動後收到來自網路不明主機的通訊埠掃描時,就代表對方很有可能是一臺掃瞄器,正在做入侵前的掃描行為,尋找是否有可入侵的弱點。

    高迦南表示,此種事前偵測方式,好處是,即使駭客自行調低每秒發送掃描封包的次數,該設備也能偵測得到,而且不論從外網(WAN)或內網(LAN)的掃描都可偵測而沒有誤判問題。

    甚至他也表示,此種偵測方式也能適用於自帶設備(BYOD)和IoT物聯網裝置的入侵偵測威脅。

    除此之外,這個 Bot入侵預警機制也能與SDN交換器結合使用。透過SDN交換器本身所具備的即時、動態與軟體可控特性,當HoneyPot偵測有Bot正對其它電腦進 行掃描時,即會通知SDN交換器的控制器,迅速將受感染的Bot疆屍電腦隔離起來,讓感染範圍能控制在最低。而經過高迦南測試後,也可得到98.5%的阻 擋率。

    5年掃到18萬個IP入侵,共記錄120萬筆log資料

    高迦南事後也分析了2009年至2014年7月間,由HoneyPot反掃描偵測裝置記錄下的入侵威脅,總共偵測近18萬個IP位址,共記錄120萬筆的log資料。

    而從這些資料也發現,有三分之一的TCP通訊埠和近1500個UDP通訊埠都曾遭到入侵掃描。當中被掃描次數最多TCP通訊埠,前三名分別是 1433 埠( MS SQL Server )、445埠 ( SMB ),以及9415埠(PPLive開放代理)。而在UDP通訊埠方面,被掃描次數最多前三名則分別是29285埠、22722 埠及137 埠。高迦南也提醒,如果有使用PPLive網路電視的用戶,要小心恐遭利用成為疆屍電腦入侵的對象。

    甚至,高迦南也表示,這種事前偵測方式,未來也可運用在0day(零時差攻擊)漏洞的預警機制,在廠商尚未公布弱點前,就能拿來事先判斷是否有出現類似的入侵威脅發生。

  • 從零售業與核電廠遭駭實例,透視APT攻擊

    iThome 文/黃彥棻 | 2015-04-16發表

    趨勢科技全球核心事業部資深協理張裕敏以美國Target零售業以及南韓核電廠資料外洩事件為例,剖析常見APT攻擊的6大步驟。

    雖然APT攻擊是目前政府和許多大型企業最在意的資安威脅,目前最主要的APT威脅仍以網路犯罪類型為主,針對國家型的APT攻擊仍占少數,受駭者大多仍是企業。趨勢科技全球核心事業部資深協理張裕敏以美國Target零售業以及南韓核電廠資料外洩事件為例,來剖析常見APT攻擊的6大步驟。他建議,掌握攻擊步驟,企業更能提高事先預防的效果。

    常見APT攻擊的6步驟

    張裕敏表示,APT攻擊最常見的攻擊方式就是社交工程和電子郵件,許多人的資料都可以在網路上找到,有心的犯罪者很容易利用電子郵件甚至是電話鎖定特定目標,來進行社交工程攻擊。舉例而言,目前發現的案例中,除了利用電子郵件的主旨誘使與主旨相關的當事人點擊並閱讀電子郵件外,「以電話為主的社交工程成功率,更是百分之百。」他說,因此,常見APT攻擊的第一步就是:先蒐集足夠的資料,第二步才是發動攻擊。

    再者,除了社交工程電子郵件或網頁的資料蒐集外,取得企業組織內部資訊的方式不見得要透過網路。常見的手法還包括,廣布惡意程式,利用散布免費的USB隨身碟植入惡意程式,或者是利用已經有藍光光碟的韌體,可以被植入惡意程式等。

    發動APT攻擊時,不會全部都是自動化攻擊,張裕敏表示,這過程中一定需要人為介入,所以駭客一定會設計第三步「打造控制及命令伺服器」,以便直接掌握入侵組織的攻擊狀況。

    駭客攻擊手法的第四步驟則是盡可能地暗中蒐集資料,甚至在APT攻擊程式進入內網後,會模擬高階使用者的行為,來提高怪異蒐集資料行為的合理性,讓攻擊行動更不容易被察覺。因為目前所有APT攻擊最主要的目的是偷資料,所以第五步驟則是等候時機傳資料。當駭客已經取得所需要的資料時,不會馬上打包資料、更不會馬上外傳資料,會伺機而動,等到最合適的時機點。張裕敏以美國第二大零售業者Target外洩的資料為例,前後超過700GB,如果一口氣把資料外傳很容易被發現,而且,打包的資料如何儲存不會塞爆硬碟而被發現也是駭客會避免的問題。最後一步則是,當資料打包並外傳後,駭客必須隱匿蹤跡,就會暗中少量多次地慢慢刪除相關資料才,避免被企業IT人員發現異常。

    了解APT常見攻擊步驟後,張裕敏認為,企業想要有效防禦APT,首先,要將駭客阻擋在組織外面,最好的方式是,盡可能地減少駭客能在外部取得的資料。再者,APT不是只有單純的人為,也有自動化的手法,因此在規畫防禦策略時,最好要做到電腦和人聯手的區域聯防,效果才會更顯著。第三,若是軍事等級的單位,一定要搭配實體隔離才行。

     

    IBM QRadar SIEM 協助企業主動偵測外部攻擊

     

     

    美國Target零售業資料外洩事件大剖析

    張裕敏表示,如美國Target和南韓核電廠都是駭客從外面切入攻擊的案例,從這樣的攻擊案例中,也可以學習到正確的預防之道。

    在2013年12月發生美國Target個資外洩事件,最後總計外洩1.1億筆個資,外洩包括姓名、地址、電話、電子郵件以及信用卡卡號資料,因為信用卡資料外洩導致盜刷事件,更引發140多起訴訟案件。

    分析Target入侵手法,張裕敏表示,駭客往往會利用Google以及各種的媒體報導,找到鎖定單位的內部系統、網路架構圖,甚至連POS如何部署,有多少臺POS機、系統版本等資訊都一清二楚。

    不過,駭客原先曾多次利用社交工程以及植入後門方式,試圖攻擊Target公司的系統,而沒有攻擊成功,所以駭客改利用供應商的管道入侵,取得往來的空調業者與電冰箱業者資訊後改先對這批供應商下手下手。

    攻擊駭客發現,冷凍空調業者網站的防禦機制很弱,所以,駭客先發送社交工程郵件成功後,再植入木馬程式竊取銀行帳號密碼,等到供應商帳密全部到手後,再利用這批帳號密碼資料,登入Target供應商平臺網站,找出Target系統上的多重漏洞,利用上傳功能植入木馬程式後,來竊取Target系統的最高權限。

    取得Target最高管理權限後,木馬程式先從內部網路擴散,首先是入侵AD(目錄服務),例如透過一些不需要AD密碼就可以登入的功能來竊取加密過的資料,接著就可以進一步入侵其他伺服器了。張裕敏表示:「IT人員務必時刻關注AD伺服器的動態。」 駭客成功入侵後,開始蒐集與打包資料,從POS系統的記憶體中找到Target客戶資料和信用卡資料,為了避免竊取的資料被發現,駭客先將這些資料打包成.dll檔案,並且透過網路芳鄰將資料除存在Target內部的一臺網路分享電腦中。

    除入侵AD伺服器外,駭客也入侵微軟SCCM伺服器,並利用SCCM派送鎖定POS機的惡意程式BlackPOS到所有的POS系統,並先占領其中一臺伺服器當做內部攻擊的中繼站。張裕敏說,因為Target內部暗藏了中繼站電腦,所以即便POS機電腦硬碟都格式化來刪除資料也完全沒用,惡意程式仍可以在內部擴散蔓延。

    目前已經確認,駭客透過一套BMC軟體來存取偷取Target的資料。因為該套軟體會透過FTP外傳資料,駭客就用同樣手法外傳資料。這些駭客竊取的資料已經可以在俄羅斯的黑市發現,有一批外洩的信用卡資料到期日到2025年,已經將這批資訊送交VISA調查;而卡片背面後3碼資訊更被賣到越南黑市製作偽卡。Target個資外洩事件發生9個月後,所有高階主管都換過一輪,連執行長也因此下臺。張裕敏表示,這類網路犯罪型的APT攻擊,會攻擊整個供應鏈最脆弱的環節,只有公司組織安全還不夠,必須連其他合作的供應商都安全,才是真的安全。

    南韓核電廠資料外洩關鍵是文書軟體漏洞

    另外一個因為APT攻擊導致資料外洩,就是才剛發生在今年3月12日的南韓核電廠外洩事件。張裕敏表示,這是一場持續性的資安事件。為什麼會持續發生的關鍵點在於,廠內所有電腦硬碟進行格式化作業不夠徹底。張裕敏認為,除非所有機器同時一起執行格式化且重灌系統,否則,只要採取分區或分部門來進行電腦重灌,就容易讓駭客有可趁之機。像這起南韓核電廠事件中,出現了一個看得到但找不到電腦的IP,實體電腦有8臺,但從網管軟體上看到的卻是9臺,「消失的幽靈機器可能是駭客掌控的機器」;另外,有些虛擬機器若沒有良好的控管,也可能出現幽靈虛擬機器而成為新的管理風險。

    若追查南韓核電廠資料外洩事件,可從2014年11月28日發現的南韓常用HWP格式的惡意文件開始,到後來該惡意文件變成5,980封惡意郵件寄給3,571人,直到去年12月10日,惡意程式被觸發執行後,核電廠內部網路偵測到大量惡意程式的連線。張裕敏表示,HWP是韓國常用文書處理系統,和微軟相容但漏洞很多,甚至沒有CVE漏洞編號,這表示大多數HWP文書處理應用程式都不知道應該要修補漏洞,這也證明,要透過HWP應用程式的弱點攻擊韓國,其實很容易。

    這起南韓核電廠資料外洩事件,駭客原本的目的是要錢,先透過部落格公布內部員工資料,像是一些員工身心調查資料都遭外洩來勒索金錢,宣稱發動攻擊的駭客集團為「Who Am I」,甚至還開設臉書帳號發訊息,最後則是利用推特(Twitter)公布南韓核電廠資料的下載連結,而引發各界重視。

    韓國政府介入調查後發現,攻擊來源是從三個VPN端點入侵,也要求中國協助調查。南韓核電廠外洩資料總共發現,有12種類型、共計117件資料外洩。目前所知,南韓外洩的資料不只是水冷式裝置地圖被公布,連核能鈾棒也被駭客控制,只要駭客下命令,隨時可以讓核能鈾棒超標數倍。

    IBM Security Trusteer Apex 保護端點APT攻擊

     

    買遍APT產品,不如自己打造一個IR團隊

    張裕敏表示,每一個APT產品都有自己的特色及專長,不是宣稱可以預防APT攻擊,就是適合每一個組織單位。關鍵點在於,所有的組織單位都必須清楚掌握內部系統哪個環節最重要,不過,駭客也很容易得知每個系統的重要性資訊。因此,他建議:「現在的資安防禦策略是,企業要預設已經被入侵,而不是防範被入侵。」因為防禦的視角不一樣,有能力做現場資安事件處理(IR)團隊,會比買遍各家APT產品更有用。

    IBM QRadar Incident Forensics 協助企業進行外洩事故鑑識

     

  • 史上最大宗!駭客從多國銀行竊走約 10 億美元

    日前有一宗史上最大宗的網路銀行竊案被揭發:神秘跨國駭客集團由 2013年底迄今,在一年多內對全球 30多個國家、逾百間銀行及金融機構發動秘密攻擊,竊走共約 10億美元。

    卡巴斯基實驗室(Kaspersky Lab)指出,一個網路犯罪集團透過惡意軟體Carbanak“遙控銀行自動提款機自動吐錢、網路銀行轉帳,至今捲走東歐各國的銀行約10億美元。

    卡巴斯基實驗室說,該集團正在擴大範圍,各銀行估計面對高達1千萬美元的損失。

    成功網路罪案卡巴斯基在報告中指出,這個被認為是迄今最成功的網路罪案,已經攻擊超過100個金融機構,至少半數的機構遭殃,每家銀行平均損失250萬美元至1千萬美元。

    攻擊有組織、分散,難以被發現

    據報指,烏克蘭首都基輔一部自動櫃員機曾於 2013年底某天突然任意吐鈔;據當時監視器錄影顯示,並無任何人於 ATM前操作:而當卡巴斯基應當局邀請進行調查後發現,相關 ATM的所屬銀行的資安措施出現問題。

    調查後發現,俄羅斯人及歐洲人組成的犯罪集團用名為「Carbanak」的木馬程式,透過電郵傳遞給銀行職員,入侵銀行內部電腦系統,並對銀行的電腦程序進行遠端監控,以影像與圖像記錄銀行職員在電腦上的所有操作,觀察 2 4個月後,才將款項由銀行轉到駭客組織在其他國家開設的臨時帳戶;甚至如上述情況般,遙控目標 ATM在特定時間吐錢。該Carbanak」的木馬程式,是透過Microsoft Office 2003,2007,2010 (CVE-2012-0158 及 CVE-2013-3906)與Microsoft Word (CVE-2014-1761)漏洞,一旦開啟郵件之Office文件,該文件則會執行ShellCode,然後再啟動含有Carbanak的木馬。

    建議所有銀行的電腦均應立即更新修補Microsoft Office至最新Patch. [IBM Endpoint Manager for Patch Management]

    駭客集團由目標銀行偷竊約 1,000萬美元後就會轉移目標,令其集團的行動遲遲沒被發現。犯罪集團多數鎖定俄羅斯、美國、德國、中國及烏克蘭的銀行為目標,但現在的攻擊對象或已擴大為整個亞洲、中東、非洲及歐洲地區。

    我們懷疑Carbanak是在20138月開始測試,同年12月被偵測到。從首次偵測到捲走款項,他們平均在每家銀行潛伏24個月。

    報告說,犯罪集團疑在去年24月期間偷了首個受害銀行的錢,去年6月則是運財高峰期,至今仍然活躍。

    我們懷疑是犯罪集團透過發給銀行職員的電郵夾帶惡意程式,或者透過下載散播,後者還不能100%確定。

    報告說,被駭的銀行除了自動提款機在遠距操控下吐出鈔票,由錢驢運走款項;還有透過網路銀行轉帳至駭客帳戶;透過網路進行電子付費系統,把錢轉帳至中國、美國的銀行;竄改駭客的帳戶存款數額。

    bslim15021701

    報告指出,犯罪集團鎖定的新目標或許面對高達1千萬美元的損失,這只是根據目前所瞭解的資訊推測,遭殃的銀行會蒙受多大的損失還是未知數。

    他們的目標主要是金融機構,不過我們發現終端銷售點和公關公司也被偵測到。

    報告指出,卡巴斯基建議不要打開可疑的電郵,尤其是夾帶附件的電郵;提昇防毒軟體和採用啟發式Heuristics辨認引擎,以偵測惡意軟件。

    卡巴斯基指,針對 30個國家、逾 100間銀行及金融機構的攻擊或許會是史上最大規模的銀行竊案之一,更嚴重的是,集團的相關竊盜行動至今仍沒有任何停止跡象。

    受害國家 (其中包含台灣的銀行IP位置)

    map Carbanak

    受害國家銀行數量 (台灣銀行有三家)

    map Carbanak-1

    檢測方法

     

    報告提醒所有金融機構小心掃描各自網路,偵測是否含有惡意軟體Carbanak,一旦發現則必須立即通知執法單位。 

    Carbanak 2 en

    影片說明

    https://www.youtube.com/watch?v=wUU8bAVgx80

    資料來源 Kaspersky Lab:

    https://securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/

    Kaspersky Lab報告: (內含詳細檢測方法)

    https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf

  • 危害企業IT系統最嚴重的五個安全威脅

    網路的複雜和危險性有增無減,攻擊者目標不僅是你的電腦,還瞄準了手機和平板電腦,甚至是連接網路的IP-CAM及印表機。有關資訊安全的了解,下面有五大安全威脅是企業使用者需要關注的:

    No.1:感染惡意軟件的應用程式

    流動惡意軟件(尤其是在Android平台)正變得越來越普遍,而且更加危險。去年夏天,Google表示,惡意軟件可能已經感染約500萬 Android用戶,這還不包括Kindle。Google不斷從後端抵抗假冒的病毒纏身的應用程式,但Android使用者在安裝新的應用程式時也應該 格外謹慎,並通過反惡意軟件工具(例如Bitdefender Antivirus Free for Android)來保護自己。

    No.2Smishing

    短信釣魚或者「smishing」已經成為攻擊者活動的慣用手法,因為攻擊者非常容易地發送大量這種攻擊,以電子郵件、短信的網路釣魚攻擊,誘騙接 收者訪問受感染的網站或者洩露自己的個人資訊。這些簡單的資訊通常看起來像是接收者從來沒有訂閱過的服務確認信,例如「請點擊這裡取消每月20美元的訂 閱」或者「請點擊這裡取消這個訂單」。通過嚇唬接收者相信他們正在被收取費用,這種攻擊通常非常有效。這種攻擊最好的防守方法是提醒員工警覺性及培訓,銀 行和商家從來不會通過短信來確認交易,但現在用於説明阻止Smishing攻擊的服務正在開發中。

    No.3:勒索軟件

    勒索軟件是現在最惡毒的Windows攻擊類型之一,它只有一個目標:讓你向惡意軟件背後的控制者付費,來刪除惡意軟件。勒索軟件通常會掩蓋自己作 為反惡意軟件應用程式,吸引用戶意外點撃,以ScreenLock將電腦鎖定,或將電腦內容加密刪除,要付清贖金才可解除。然而交出贖金只是助長惡勢力, 令不法者一次又一次食骨知髓,加強防禦才是治本。

    No.4:即時消息/電話的網路釣魚詐騙

    隨著資訊防禦變得越來越複雜,雲端防禦技術令漏洞早就堵塞,有些攻擊者開始選擇老派的方法來攻擊電腦。這攻擊涉及發送即時消息或打電話給使用者。攻 擊者自稱來自微軟或電腦安全攻擊,並告訴用戶他們發現其電腦中的問題,(而他們發現問題的方法則從來沒有說明)。然後攻擊者會去用戶那裡親手説明他們安裝 惡意軟件在其電腦中,從而繞開了網路上部署的安全措施。由於這是直接手動的安裝,對於攻擊者來說這是高風險和高成本的攻擊。對付這種攻擊的唯一防禦方法是 常識和良好的用戶培訓。這些“遠端問題檢測”服務並不存在,使用者不應該參照一個陌生人在電話中的指示。

    No.5:中間人攻擊(或瀏覽器中間人)

    在流動和電腦平台日益流行的是中間人攻擊,通常被稱為流覽器中間人攻擊,因為這種攻擊通常通過網站來執行。雖然這種攻擊有很多種形式,但最常見的形 式涉及欺詐或受感染的熱點,其中攻擊者會設置或劫持未加密的Wi-Fi接入點,然後向通過這個接入點連接到網路的使用者提供假冒的網站。這些網站看起來就 像真的網站,用戶甚至不知道攻擊的發生。防禦這種攻擊很棘手,使用者可以使用反惡意軟件來抵禦這種攻擊。

    IBM Trusteer Apex端點安全防護

  • 資安事件層出不窮 中小企業應加強資安防護

    2014/5/15 資料來源:數位之牆

    近年台灣資安事件層出不窮,造成國民個資外洩、電子商務及金融業營運損失、企業面臨駭客攻擊,更對國土安全形成威脅。為加強台灣中小企業防範資安攻擊事件,經濟部工業局委託工業技術研究院執行「資通訊安全產業推動計畫」,針對台灣資安事件與需求進行調查,並歸納出十大國內資安事件,分析常見資安事件與案例,呼籲企業與個人提升危安意識,並提供資安解決方案,協助企業強化資安防護解決方案,將風險與成本降到最低。

    隨著科技的演變及企業營運模式的改變,資安防護的複雜度也日益增加,導致企業必須投入更多資源在建置資通訊安全,以確保公司機密資料不外洩並維持企業商譽。因此,資安逐漸被列為企業營運重要規劃的一環。然而根據資通訊安全產業推動計畫研究發現,2013年臺灣企業基於資安預算有限,會考量集中投資在優先度評估較高的部份資安方案,但也形成缺少全面性資安防護的窘境,使公司暴露於潛在風險之中,不只使資安事件發生的頻率日益上升,損失金額更是倍增。根據美國網路犯罪申訴中心( Internet Crime Complaint Center,IC3)公布「2013年網路詐騙活動報告」,IC3 所收到的網路詐騙申訴案件自2005年起的23.1萬筆成長到2013年的26.2萬筆,損失金額更從1.8 億美元成長到7.8億美元。

    資通訊安全產業推動計畫主持人黃維中指出:「中小企業應重視投資資安解決方案,台灣有許多優秀的業者提供符合成本效益的資安服務,協助中小企業針對惡意攻擊進行事前預防、事中因應與事後處理。企業應將資安與企業獲利並列為重要營運目標,將資安視為保護公司重要資產的必備工具,才是有效降低風險與避免付出更高代價的最佳方法。」

    經濟部工業局資通訊安全產業推動計畫列出十大常見資安事件與案例,做為中小企業借鏡,期望中小企業能以更積極謹慎的態度面對資安威脅。此外,經濟部工業局資通訊安全產業推動計畫為了協助中小企業縮短資安規劃時程,也推薦台灣優良資安解決方案廠商,與資安廠商資料,期望能使中小企業強化資安體質,提高商業競爭力。

    1.資料外洩--經由內部或外部不適當或未經授權之方式,存取、使用或修改資料,並且會直接或間接地對持有該資料的組織、企業或個人,造成有形與無形負面影響之事件。

    案例:2013年2月,台灣Nokia的5個委外行銷網站遭駭,17萬筆個資被公開,150萬筆存有風險。

    2.進階持續性威脅(Advanced Persistent Threat,APT)攻擊事件--駭客以組織性行動並出於經濟利益或競爭優勢,以超過目標防護能力並具有複雜和多樣性的手法,針對單一企業或機關進行客製化且持續性的攻擊。

    案例:國際駭客組織以微軟RTF程式漏洞,針對台灣企業及政府單位發送夾帶後門的熱門議題(如服貿)電子郵件,以竊取目標機密資料。

    解決方案 : Palo Alto Network  WildFire 沙箱檢測

    3.分散式阻斷服務(Distributed Denial-of-Service Attacks,DDoS)攻擊--駭客藉由分散的攻擊方式,聯合網路上能發動阻斷服務(DoS)的複數主機同時發動攻擊,佔用或耗光目標對象主機或系統的資源或服務,讓系統的可用性降低,導致一般使用者無法正常使用系統或主機所提供的服務。

    案例:2013年5月,台菲漁船槍擊事件引發台菲鍵盤戰爭,台灣遭菲律賓駭客以DDoS攻擊後反擊,台灣在此事件中包含總統府、外交部、國防部、海巡署等網站皆遭到DDoS攻擊,也有部份台灣民營網站癱瘓。

     

    解決方案 : F5 ASM 應用程式防火牆

     

    4.資料庫遭駭--企業或組織存放營運所需資料的資料庫,遭內部或外部不適當或未經授權之方式存取、使用或修改,造成被駭對象有形與無形負面影響。

    案例:2013年5月19日,台灣Groupon網站資料庫遭攻擊,台灣會員數約380萬,其中估計有一成會員的電子信箱帳號及密碼可能被盜。

    解決方案 : IBM Guardium 資料庫稽核與非法阻斷

    5.社交工程郵件詐騙--利用民衆疏於防範的心理,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取用戶系統的秘密。

    案例:2013年5月,駭客假冒健保局名義,以二代健保為誘餌,寄發社交工程郵件給中小企業。刑事局於5月27日宣布偵破,以妨害電腦使用罪將嫌犯移送法辦。

    6.手機或即時通訊息詐騙--針對智慧型手機或平板等智慧型行動裝置植入病毒、木馬等惡意程式;或透過傳送詐騙訊息以存取、複製、刪除行動裝置中的個人資料、帳號密碼;或取得系統權限寄送用戶不知情的付費簡報或撥打高額付費電話;或透過傳送位置、開啟裝置鏡頭攝錄、降低裝置執行效能,或直接竊取目標裝置等,甚至用戶本身遺失裝置,也都屬於此事件的手法。此類事件多造成用戶資料外洩、財務損失、裝置癱瘓或遺失遭竊等。

    案例:2014年4月,因為露天拍賣網設立帳號認證機制,並提供0809認證電話,卻反而被歹徒用來結合LINE詐騙,把不知情的民眾當成網拍賣家人頭,被害人等到警方找上門,或者被買家追殺,才發現自己不小心成了詐騙集團共犯。

    7.惡意程式威脅--所謂惡意程式威脅事件,泛指有心人士刻意撰寫具備惡意企圖的程碼,包含電腦病毒、蠕蟲、木馬、間諜軟體、廣告軟體等種類,造成的影響如破壞系統正常運作、耗盡電腦資料、修改或破壞系統設定、複製或刪除檔案、讓系統當機、竄改程式資料、監控電腦活動等隱私侵害、散佈廣告等。

    案例:2012年4月,出現針對Mac電腦的Flashback木馬程式變種,經由Mac OS X系統的Java漏洞感染,主要目的為竊取個人資料,全球有60萬台Mac電腦感染。

     

    解決方案 : Palo Alto Network  WildFire 沙箱檢測

     

    8.網站(頁)遭駭--網站被植入惡意程式、或被癱瘓無法正常運作、或原本頁面被置換成其他頁面、或網站被藏入導向至特定頁面。

    案例:2013年7月,蘋果電腦(Apple)之擁有600萬會員數的開發者網站遭到入侵,導致部分會員的個資可能外洩。

    9.身分帳密遭盜用--惡意人士透過如惡意程式、社交工程、網站系統漏洞等方式,取得目標對象之帳號密碼的事件。

    案例:2013年10月,軟體業者奧多比(Adobe)在部落格中坦承公司系統遭駭客攻擊,駭客除了取得部分用戶資訊,包含使用者帳戶密碼、姓名、信用卡號碼等重要資訊,也取得Acrobat、ColdFusion等部分Adobe產品的原始碼,個資可能外洩的用戶達290萬。

    10. USB威脅事件--透過藏有惡意程式之USB隨身碟感染目標企業、組織或人員的電腦或裝置,進一步入侵目標對象之系統並竊取機密資料、癱瘓系統。

    案例:某位員工利用傳輸線將手機連上PC的USB port充電,導致原先潛伏在手機裡的惡意程式(DroidCleaner),將惡意檔案傳送到公司的PC設備上。