骇客恐将再攻击10企业 调查局：立即检查防护机制 https://imgur.com/3tFwc99 调查局资安站副主任刘家荣提醒，骇客恐将发动下一波攻击，国内企业应立即针对网路防 护机制进行检查。（记者袁世钢／摄影） 【记者袁世钢／台北报导】中油总公司资讯系统、台塑加油站电脑主机日前接续遭骇客入 侵，感染恶意勒索病毒，引发国安疑虑。调查局资安站副主任刘家荣15日表示，骇客使用 的中继云端主机公司负责人为华裔人士；他也提醒，骇客恐将发动下一波攻击，国内企业 应立即针对网路防护机制进行检查。 刘家荣表示， 4日至5日国内共有3家重要能源及科技公司的内部系统、个人电脑及伺服器 等资讯设备，接连遭勒索软体攻击，造成重要档案均无法开启，使营运受到严重影响，并 收到骇客要求交付赎金的电邮。为稳定国内重要能源及科技企业营运、遏止网路犯罪，调 查局遂成立专案小组侦办。 经查发现，骇客在数月前透过Web伺服器、员工个人电脑、网页等途径，入侵公司内部网 路潜伏，窃取特权帐号後侵入网域控制伺服器(AD)，并利用AD的派送功能将勒索加密软体 散布至全公司电脑。骇客利用凌晨时段窜改群组原则(GPO)派送工作排程，并预埋lc.tmp 恶意程式；当员工上班打开电脑时，会立即套用遭窜改的GPO并自动下载，执行勒索软体 。 刘家荣指出，若电脑中的档案遭加密成功，会显示勒索讯息及联络电邮帐号。同时，骇客 也留有连往境外中继站的後门程式，该中继站为骇客向美国云端主机(VPS)服务提供商「 petaexpress.com」所租用，并使用商用渗透工具Cobaltstrike作为远端存取控制器；据 了解，「petaexpress.com」的负责人是华裔人士，而该骇客组织为Winnti Group或与其 关系密切的骇客，目前已由国外司法单位协查。 然而，刘家荣也提醒，根据情资显示，骇客将在近日针对国内10家企业再度发动攻击，研 判遭骇客锁定的10家企业应已遭入侵潜伏长达数月，因此国内企业应立即检查对外网路服 务是否存在漏洞或破口，重要主机应关闭远端桌面协定(RDP)功能等；并观察企业VPN有无 异常登入行为或遭安装SoftEther VPN及异常网路流量，如异常的DNS Tunneling、异常对 国内外VPS的连线等。 此外，国内企业应注意具软体派送功能的系统，如网域/目录(AD)伺服器、防毒软体、资 产管理系统，尤其是AD伺服器的群组原则遭异动、工作排程异常新增等；并更新防毒软体 病毒码，留意防毒告警，极可能是大范围感染前之徵兆；加强监控网域中特权帐号，应限 定帐号使用范围与登入主机，并建立备份机制，离线保存。 https://youtu.be/JycMLjo1aT4 https://tinyurl.com/yb7nmngq -- ♥那位老婆最聪明呢♥? 老婆1:http://imgur.com/KkUvc9d 老婆2:http://imgur.com/JmmKa25 老婆3:http://imgur.com/q5BeNw1 老婆4:http://imgur.com/eCiNdU9 老婆5:http://imgur.com/SeNoJl6 老婆6:http://imgur.com/9uBvTe1 老婆7:http://imgur.com/aA9eOVO 老婆8:http://imgur.com/joCScmk 老婆9:http://imgur.com/Uni2VN8 老婆10http://imgur.com/vq4viMa --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 42.73.19.155 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1589545413.A.3A8.html