安碁揭露臺灣公務機關資安現況：上傳漏洞和SQL Injection是大宗資安事件主因

安碁資訊數位鑑識組資深經理蔡東霖日前參加一場研討會，從資安鑑識的角度，說明他們實際處理資安事件的案件類型。他表示，2022年政府部門最常見的資安事件的發生原因，通常是因為上傳漏洞和SQL Injection（SQL注入）攻擊造成，第二至四名依序為勒索軟體、詐騙信件、網路設備漏洞。

但他也說，駭客往往會利用網路設備漏洞進行跳板攻擊或做到內部橫向移動，即使相關資安事件數量不及漏洞上傳或SQL Injection，卻對政府或企業內部的危害甚大。

至於其他常見發生資安事件的原因，他指出，詐騙信件多是偽造政府單位信件，誘使收件者點開；網路設備漏洞則以駭客利用Fortinet和F5的網路設備漏洞為主；至於癱瘓網站服務的DDoS（分散式阻斷式）攻擊，則是特定時間點才會出現的攻擊形式，例如2022年8月美國眾議院議長裴洛西美國眾議院議長裴洛西訪臺時，就曾出現多起DDoS攻擊；偶爾會出現的資料外洩，則週期性的常見於網路賣場。

安碁資訊是臺灣重要的資安維運中心（SOC）和資安服務業者，在2022年協助客戶處理的資安事件中，有高達九成市政府機關，其中最大宗資安事件原因是上傳漏洞和SQL Injection。

資料來源：安碁資訊，2023年1月

駭客利用網路設備漏洞進行跳板攻擊及內部橫向移動

蔡東霖表示，從該公司協助處理的資安事件中，來源IP位址是一種可判斷攻擊是臺灣境內或是來自境外的攻擊，根據統計，2022年資安事件實際入侵的來源IP位址，過半的攻擊來源IP位址來自臺灣境內IP位址（54.4％），通常都是設備IP位址、因沒有更新而淪為攻擊者幫凶；來自國外IP位址（45.6％）大約四成五，近來他們也發現，這類活動的連線內容也帶有簡體字等識別字眼，攻擊國家則來自香港、美國等地。

若進一步分析來自臺灣或境外來源IP位址的特色，蔡東霖表示，有80％來自臺灣，是防火牆設備或是電子郵件設備，通常是駭客利用漏洞，建立VPN連入公部門網路後，再進行跳板攻擊；若是來自境外的攻擊來源IP位址，則有90％來自VPS（虛擬專用伺服器）或是雲端IP位址。

蔡東霖表示，這類型的攻擊通常因為設備有漏洞卻未進行修補或更新，而成為駭客可用來發動攻擊的原因。

對許多政府部門或企業而言，有時由於未能完整盤點並掌握內部的設備，導致負責人員並不清楚有內部擁有哪些廠牌的設備時，也會造成即便廠商釋出修補程式，相關的資訊或資安部門卻不知道該去下載、套用，而出現無法即時更新的狀況；另外，也可能是設備廠商發現或被通報有漏洞後，駭客已經先利用漏洞發動攻擊，致使來不及完成漏洞修補；還有一種常見的就是設備管理介面，由於可以被外部的IP位址存取，也成為駭客可以用來攻擊的手法之一。

蔡東霖說，這些攻擊來源IP位址，不管是來自臺灣或是境外，超過八成都與設

備存在漏洞、來不及修補更新漏洞，而被駭客利用有關，但面對這樣的情況，更糟糕的是，他也看到有許多政府或企業內不對設備漏洞修補的態度，採取「佛系」資安：不更新、不下線、不採取緩解措施，一切都只等廠商來幫忙修補漏洞。

他也以駭客於2022年5月，利用F5的BIG-IP設備存在CVE-2022-1388這個未經授權的RCE重大弱點為例，如果政府或企業未進行漏洞修補，而且相關設備逕行暴露在網路上，加上網路設備的網頁管理介面沒有限縮可存取的來源IP位址或通訊協定時，就可能會導致駭客得以利用F5設備作為入侵跳板，並取得內部特權帳號後進行內部橫向移動。

他進一步解釋，相關的特權帳號，通常也發現是其他臺主機所使用的相同帳號、密碼，或是使用弱密碼的狀況；另外，安碁也發現，有些單位內部網段的主機之間可存取的通訊協定，並未透過ACL（存取控制清單）或本機防火牆做存取的限縮，致使駭客一旦進到內網後，就可以橫行無阻。

至於臺灣的中小企業，因為缺乏足夠的IT和資安維護能力，所以駭客也會利用像是防火牆等網路設備漏洞進行跳板攻擊，再藉此攻擊其他單位。所以他認為，所有政府或企業都要注意，盤點內部有哪些設備，同時，也必須注意設備的安全性更新公告。

至於駭客若是利用郵件系統的漏洞，也能輕易針對交易郵件加上數位簽章，偽冒成交易對象的郵件伺服器寄出，這麼一來，就容易演變成商業郵件詐騙（BEC）的攻擊。他也以微軟最常見的Exchange郵件伺服器為例，在2022年10月公布CVE-2022-41040 和CVE-2022-41082這兩個漏洞後，11月就看到很多駭客開始利用相關漏洞發動攻擊。

蔡東霖表示，他在協助公務機關進行資安事件鑑識處理時也發現，因為某些單位長官覺得電子郵件伺服器的漏洞修補，必須獲得單位主管同意後才能進行修補，所以在漏洞未修補的空窗期，駭客就趁機修改網站設定檔，新增IIS Module，每一次重新啟動網站伺服器後，就會自動啟動後門程式。

根據安碁資訊的統計，2022年針對臺灣發動跳板攻擊的來源IP，過半來源IP位址來自臺灣境內（54.4％），通常都是設備IP沒有更新淪為攻擊者幫凶；來自國外IP位址（45.6％）大約四成五，這類活動的連線內容也帶有簡體字等識別字眼，攻擊國家則來自香港、美國等地。

資料來源：安碁資訊，2023年1月

上傳漏洞和SQL注入並非新伎倆，仍是資安事件最常見原因

蔡東霖表示，從他協助政府資安事件鑑識處理的經驗來看，許多資安事件發生的原因，並非駭客或惡意軟體用了全新、陌生的手法而使得單位猝不及防，而是透過上傳漏洞和SQL注入來進行攻擊，這些其實都是很老舊的攻擊手法。

上傳漏洞因為沒有對上傳檔案作嚴謹的過濾，導致使用者可以把不同檔案格式，例如ASP、JSP、PHP等可以被伺服器端執行的檔案格式，上傳到網站的目錄內，並藉此取得執行伺服器端命令的權限。

蔡東霖指出，這些上傳的檔案或是木馬程式，經常是因為網站未過濾未經允許上傳的檔案不能上傳網站；或者是廠商未檢查原始碼，導致網站存在上傳範例原始碼；網站帳號密碼外洩，遭到駭客利用；更有些時候，則是因為網站存在上傳工具頁面，導致攻擊者可以不需要登入系統，就可以從此處存取檔案。

為了避免面臨檔案上傳攻擊，蔡東霖建議，資安或資訊部門應該限制網站伺服器上傳目錄為不可執行，外界也不可讀取這些路徑；另外，需設定可上傳檔案格式的白名單，再判斷檔案格式的合法性；合法使用者日常所需上傳的檔案名稱和路徑，可以更改名稱或以亂數取代，圖檔則改變圖片格式。

另外一個常見的資安事件發生原因，則是SQL Injection（SQL注入攻擊或稱資料隱碼攻擊），蔡東霖表示，這樣的資安事件發生原因，主要是使用者輸入的參

數，未進行過濾或程式處理，大部分的網站未經過弱點掃描即上線，不過他說：「發生SQL Injection攻擊的事件雖然多，但多是不重要的系統，引起的關注較少。」

至於攻擊者的特徵，蔡東霖表示，駭客通常知道上傳的頁面位置與用法，即便未使用某些功能的系統，攻擊者也明確知道；其他像是攻擊者雖然沒有破解帳號密碼破，卻知道網站存取的密碼；攻擊者知道特定管理者（通常是廠商）帳號的密碼；以及攻擊來源IP位址的80%，主要是來自網路設備或是VPS（虛擬專用伺服器）IP位址。

為了避免檔案上傳攻擊，安碁資訊數位鑑識組資深經理蔡東霖建議，資安或資訊部門應該限制網站伺服器上傳目錄為不可執行，外界也不可讀取這些路徑。

資料來源：安碁資訊，2023年1月

勒索軟體多從搜尋引擎假下載點或偽冒微軟更新

蔡東霖表示，在公關資訊觀測站中可以發現，2022年臺灣上市櫃公司通報發生資安事件至少有8起，比起2021年的14起似乎變少，但不表示勒索軟體的威脅減少。

他指出，該公司協助政府機關和企業應變處理勒索軟體可以分成兩大類，一種是針對使用者電腦，另外一種則是透過搜尋引擎找到假的雲端下載點、下載假的後門或勒索軟體，其中，2022年常見的勒索軟體是Magniber，主要是利用Edge 和Chrome瀏覽器傳播，偽裝成Windows 10 Update更新來散布勒索軟體。

蔡東霖表示，他們在2022年1月就發現有駭客利用搜尋引擎，讓使用者從假的雲端網址下載惡意程式。對方通常是透過搜尋引擎，找到各種影音或漫畫瀏覽或下載網站、假的知識論壇網站，或是假冒的資料下載節點等，使用者若不慎連入這些網址，後續會從網頁背景下載惡意程式在本機端個人電腦，藉由手動執行下載後的惡意程式後，勒索軟體就將該臺電腦或是NAS儲存系統加密，若是與被加密的電腦或是NAS處在同一內網，也會同步被加密。

針對這種勒索軟體加密電腦或儲存系統的威脅，蔡東霖認為，政府和企業應該針對共用的NAS等儲存系統，針對權限設定適當的讀、寫、刪等帳號權限，避免出現「一人加密、全公司資料遭殃」的窘境。

另外，他也建議，偽了避免檔案遭加密後無法使用，要落實平時的資料備份外，也應該參考「3-2-1備份原則」，做到至少製作三份備份；將備份分別存放在兩種不同儲存媒體；至少一份做異地備份。

安碁資訊協助政府部門處理的勒索軟體攻擊，主要是使用者電腦端遭到勒索軟體加密，攻擊流程則與瀏覽影音漫畫網站，背景下載惡意程式有關係。

資料來源：安碁資訊，2023年1月

DDoS攻擊常見特殊時間點，防資料外洩可導入資料庫稽核

蔡東霖表示，該公司協助處理的DDoS攻擊事件，通常是發生在特殊時刻，例如2022年8月美國眾議院議長裴洛西訪臺時，就有部分政府機關遭到駭客發動的DDoS攻擊，利用流量攻擊DNS服務，造成DNS流量塞爆或因為繁忙而無法提供服務。

他指出，攻擊來源的IP位址，幾乎都有被OSINT（Open-source Intelligence，公開來源情資）列入惡意DDoS，或是FreeProxy的記錄，其中，包括IPv4或IPv6的攻擊IP位址都有，來源分散在世界各地。

不過，DDoS攻擊的防護方式，主要是地端（單位本身設置）的DDoS防護設備，或者是ISP端的流量清洗，不然就是採用CDN（內容交付網路）服務，減少網路頻寬損耗、減少Web伺服器的負載，可以透過在多個中介伺服器之間的負載，協助處理DDoS攻擊流量高峰，以降低對原始伺服器的影響。

至於資料外洩的部份，蔡東霖指出，從刑事局公布的高風險賣場可以發現，許多電商網站仍是2022年個資外洩的主要來源，但若是以外洩數量來看，有些國外論壇直接販售上千萬筆個資資料，則是外洩資料的大宗。

目前來看，造成外洩資料的原因有很多種，但蔡東霖建議政府或企業都應該導入資料庫稽核系統（Database Activity Monitoring，DAM），監控特定資料庫是否有異常存取行為，例如找出某段時間資料庫的行為，抓出特定資料表後，看看回傳比數是否有異常，例如回傳一萬筆以上的資料就是不合理的行為，而這樣的異常可以從資料庫稽核看出。

再者，他也認為，關注一些異常行為，就能進一步追根究柢，找出可能造成資料外洩的原因，例如，我們可以注意網站的Response Size是否有不正常的大小，當存取某個URL網址時，Response Size大於50MB就應該視為異常行為；也可以注意網站圖片的尺寸是否異常，網站圖片通常不會超過50MB，超過也可以視為異常；另外，也可以透過加密的方式保護政府或企業的機敏資料。

造成資料外洩的可能原因則與社交工程和釣魚郵件有關。蔡東霖指出，2022年臺灣有些政府機關，收到假冒技服中心、其他資安公司名義發出的資安通報信件，安碁資訊也是被偽冒的受駭者之一。

經過調查分析，蔡東霖也歸納出駭客攻擊流程的示意圖，首先，受駭單位部分使用者的電子郵件，已經在網路上被公開洩漏；再者，駭客寄送偽冒的資安通報釣魚由見到受駭者的電子信箱；第三，使用者如果點選釣魚郵件中的超連結，就會連結到外部偽冒的微軟Outlook Web Access（OWA）網頁頁面，或者是公務機關經常使用的Mail2000郵件登入頁面；最後，受駭者如果依照偽冒頁面的指示，輸入帳號、密碼並進行變更後，駭客就可以成功竊取使用者電子信箱的帳號密碼，作為後續攻擊之用。

他也分析這些針對公務機關寄送的釣魚信件內文，可以發現有一些異常，例如，單號格式不正確或者使用非臺灣常見的慣用語等，都可以用來判斷釣魚郵件的真假。

安碁資訊也遭到駭客冒名，針對政府機關發送假造的資安通報，目的是要使用者點選連結後，會導引到外部偽冒的微軟Outlook Web Access（OWA）網頁頁面輸入帳號、密碼並進行變更後，駭客就可以成功竊取使用者電子信箱的帳號密碼，作為後續攻擊之用。

資料來源：安碁資訊，2023年1月

駭客攻擊手法多可躲過防毒軟體偵測

如果綜合駭客針對伺服器端的攻擊手法，常見的手法包括：利用上傳漏洞、弱密碼和系統漏洞進行突破；或者是上傳一句話木馬；上傳防毒軟體無法偵測到的盜取密碼工具；架設加密通道；或是者橫向掃描、攻擊其他目標。

蔡東霖認為，安碁資訊綜整2022年協助政府機關和企業處理的資安事件發現，有許多的攻擊手法，都可以躲過防毒軟體的偵測。

他以常見利用系統弱點或應用系統上傳功能或漏洞發動攻擊為例，最常見的像是，未使用上傳功能的系統，但攻擊者卻可以明確知道具體的上傳位置；其次是上傳功能需要特定型態參數與格是，攻擊者可以完全掌握成功上傳；第三，原始碼本身就存在後門；第四，廠商可以透過VPN或直接連線遠端進行系統維護；第五，提供服務的廠商本身就有資安問題等，都有機會利用系統的漏洞或上傳功能進行攻擊。

此外，他也從相關資安事件的處理過程，發現資安業者竟成為系統開發商偵錯與善後的角色，例如，系統發現問題補強後，往往需要再花其他時間人力去查是否還有其他漏洞；或者是系統本身的設計不安全，導致資安事件層出不窮；以及有些常見的漏洞沒有修補，像是phpMyAdmin、上傳程式等。

還有像是資安設備未觸發或是只觸發不明顯的資安事件；資安人員需比對大量記錄才能還原受駭過程；沒有落實基本的資安管理；更有一些使用弱密碼、沒有保存Log檔、沒有安裝防毒軟體、不更新修補系統漏洞、使用共用密碼或是管理介面暴露在網路上，這些都是2022年該公司協助處理政府部門和企業資安事件時，常見的資安事件發生原因。