資安一周第18期：多面向放大攻擊漸成DDoS攻擊主流。打擊網路犯罪全球應讓臺灣加入國際刑警組織。

1115-1121一定要看的資安新聞

#DDoS　＃新攻擊趨勢

Cloudflare：多面向放大攻擊漸成DDoS攻擊主流

根據Cloudflare的網路流量分析，DDoS攻擊者改變了他們的技術，其中多面向放大攻擊（multivector DDoS attacks）頻率及流量的流量正在上升，反觀一度盛行的SSDP和Memcached放大攻擊，則逐漸消退。

此外，在兩個月前，Cloudflare發現了一股新的攻擊趨勢逐漸形成，駭客並不使用SSDP或Memcached單一的放大類型，而是應用許多不同的放大類型，一次攻擊所有的ISP，雖然這個技術並不新穎，規模卻是前所未見的。Cloudflare舉出近期一個達到800Gbps的攻擊，當中總共使用了7種協定為例說明，其中攻擊流量第一名是Portmap的337Gbps，第二名為SSDP的177 Gbps，第三名為DNS的130Gbps，第四名為SNMP為115 Gbps。詳全文

圖片來源／Cloudflare

＃網路犯罪偵辦　＃國際刑警組織

打擊國際網路犯罪臺灣不應缺席，刑事警察局長投書美媒

圖片來源／翻攝自The National Interest

本月15日，內政部警政署刑事警察局長蔡蒼柏投書外交性雜誌The National Interest，指出近年網路犯罪興起與恐怖主義橫行，臺灣必須與全球執法機構合作，他呼籲，應讓臺灣加入國際刑警組織（INTERPOL）。

多年來，臺灣警方為打擊跨境犯罪，已經與其他國家的執法機構合作解決許多刑事案件。關於網路犯罪的問題，在他投書的內容當中提到，對於2017年10月遠東國際商業銀行電腦遭駭一事，臺灣依靠國際刑警組織成員國國家中央局提供的情報，攔截了超過6千萬美元的被盜資金，而這樣的成就也獲得國際上的肯定。蔡蒼柏認為，作為國際警界的一員，臺灣不應被排除於場外，導致關鍵訊息交流出現延誤與差異，進而在全球安全與反恐網路中形成重大缺口。詳全文

＃公有雲配置不當防護機制　＃Amazon　

Amazon S3阻擋公開存取功能上線，以帳戶層級措施防止儲存庫檔案意外洩漏

圖片來源／AWS

Amazon開始為S3服務，提供全新的阻擋公開存取（Block Public Access）功能，這是帳戶等級的保護措施，以提高儲存桶以及物件的安全性。由於S3資料因設定疏失而外洩資料的事件頻頻，這項機制將提供多一道保護，希望協助企業使用公有雲時，減少因為低級錯誤而讓資料可能被公開存取的風險。

Amazon提到，阻擋公開存取是帳戶等級的保護措施，適用各種包括未來創建的儲存桶。無論是由存取控制列表或是政策指定的存取權限，都低於阻擋公開存取的權限，使用者可以善用，確保新創建的專案不會對外曝光。

使用者可以從S3控制臺、CLI、S3 API和CloudFormation模板中設定阻擋公開存取功能。在帳戶公開存取設置當中，關於存取控制列表有兩個選項，另外還有兩個管理儲存桶的政策設定炫選項。詳全文

＃硬體安全　＃GPU旁路漏洞攻擊　＃Nvidia

Nvidia遭爆GPU存在旁路攻擊漏洞，駭客能取得CUDA應用程式內部參數

近年CPU上的旁路攻擊漏洞鬧得沸沸揚揚，硬體安全成為焦點，現在又有研究人員也開始研究GPU旁路攻擊是否真的存在，結果還真的可行。

加州大學研究發現，在許多場景中，GPU運算資源允許被以精細的粒度在多個應用程式間分享，而間諜應用程式則能趁機監控旁路（Side Channel），並嘗試推測出受害者行為。研究人員表示，這是第一次GPU被發現存在旁路攻擊漏洞，而Nvidia將會釋出修補程式。

他們展示了漏洞的這兩種應用，其中一個可以讓CUDA間諜程式竊取其他CUDA應用程式的漏洞，將可能威脅到共用雲端環境中執行的CUDA程式，致使資料被惡意程式偷走。詳全文

圖片來源／加州大學

＃銀行木馬　＃研究報告

銀行木馬Emotet已在全球建立了721個C&C伺服器

圖片來源／趨勢科技

勢科技上周公布了知名銀行木馬Emotet的蹤跡，發現它在今年6月1日到9月15日之間，已在全球建立了721個C&C伺服器，採用8,528個獨立的URL，使用5,849個文件Dropper以及571個執行檔案。

Emotet通常透過垃圾電子郵件進行散布及感染，例如於假冒來源的電子郵件中嵌入惡意的附加檔案或連結，只要受害者開啟或下載惡意的PDF或Word檔案，Emotet就能常駐於受害者的電腦上，進而下載其它的惡意模組，或是伺機感染網路上的其它裝置。US-CERT也曾在今年中把Emotet列為最具破壞力及成本最高的惡意程式之一，並表示每次的Emotet感染事件平均要花費100萬美元來擺平。詳全文

＃物聯網安全

感恩節將至，Mozilla發布電子產品隱私採購指南

為了迎接即將來臨的感恩節及聖誕節購物旺季，Mozilla檢驗市場上70款熱門電子產品，檢視它們的隱私保護及安全性，但只有不到一半的產品，符合Mozilla所制定的最低安全標準。

Mozilla表示，就算外界開始重視物聯網（IoT）裝置的安全及隱私問題，但企業仍持續開發不安全的連網裝置，同時這些企業亦未被要求必須維護裝置的安全性，因此，Mozilla、國際消費者協會及網際網路協會相信，應該要替這些產品設定「底線」，進而提出了5大最低安全準則。

這5大準則包括網路通訊須加密、產品須支援自動更新、須要求強密碼、業者應制定漏洞管理政策，以及須設立容易存取及閱讀的隱私政策。詳全文

＃身犯驗證安全　＃指紋辨識　＃AI

指紋辨識就安全了嗎？研究：AI能產生以假亂真的假指紋

採用指紋辨識的安全設備需要使用者的指紋，因此被認為比設密碼安全，並廣泛用於安全防護的身分驗證，包括門禁系統、電子支付與手機解鎖。但研究人員現在已發展人工智慧繪製而成的假指紋，在一定條件下，像是小面積的指紋辨識，以及辨識解析度低，將將可騙過指紋辨識系統，可能解鎖上述裝置。而這項研究的結果，將用於指紋辨識系統安全的強化。詳全文

＃BGP流量錯誤設定　＃電信網路流量綁架

奈及利亞ISP網路配置出包，Google流量因路由洩露而被導至中國

包括Google搜尋、Google Analytics及G Suite等Google雲端服務，在太平洋時間12日上午發生74分鐘的中斷，主因為流量被導至中國電信，而使得外界一度質疑Google流量遭到挾持。然而，Google指出，是因其他ISP業者公告錯誤的Google Cloud IP位址所造成。奈及利亞的ISP業者MainOne也出面認錯，坦承是在執行預訂的網路升級計畫時，不當配置了邊界閘道協定（BGP），而將屬於Google的前綴（Prefixes）對外公告。詳全文

＃網釣攻擊　＃金融業　＃研究報告

Group-IB：俄羅斯銀行正遭遇網釣攻擊

俄羅斯資安業者Group-IB上周指出，俄羅斯的金融組織正面臨兩大駭客集團──MoneyTaker及Silence，發動的大規模網釣攻擊，駭客所寄出的郵件，假冒為俄羅斯央行及俄羅斯的金融電腦緊急應變中心FinCERT，企圖引誘收信方點選附件，以植入惡意程式。值得注意的是，這些郵件的內文與呈現方式都非常類似官方的標準格式，使得Group-IB不由得猜測駭客可能先前受雇於相關組織，並曾入侵銀行員工的電子郵件信箱，才會如此熟悉銀行系統及金融領域的運作，還能仿冒官方的內容格式。

由於這些鎖定金融組織的駭客集團，通常是在尋找金融系統的網路架構漏洞，一旦成功進駐，就可執行攻擊，並藉由ATM、金融卡交易或是銀行間的轉帳盜走金錢，必須注意。詳全文

#資安生態圈　＃BlackBerry

BlackBerry砸14億美元併購資安公司Cylance

逐漸淡出手機市場的BlackBerry，近年開始往企業商用市場布局，像是商務行動化、物聯網安全等領域。而近期該公司宣布，以14億美元現金併購網路安全公司Cylance。

BlackBerry這次併購Cylance主要有二大目標，首先是整合該家公司的機器學習技術至BlackBerry現有產品線，強化行動端點裝置的安全。第二個目標，則是以該Cylance的嵌入式AI技術為基礎，加速BlackBerry Spark企業物聯網平臺（EoT Platform）的開發。詳全文