近期微軟Exchange Server資安事件引發全球關注,中芯數據資安技術團隊於這2週亦已發出10筆以上的高風險威脅通報,無一例外都是透過Exchange漏洞入侵到單位內部,由於入侵後駭客可以直接獲得system權限,因此駭客可以利用非常高的權限輕易地做到非法之事,如竊取公司重要資料、執行變臉詐騙攻擊(竄改匯款帳戶)、橫向擴散至內部其他重要主機、進行全單位加密勒索等,強烈建議各單位儘速進行Exchange漏洞修補,避免被有心人士趁機入侵至單位內部。
值得擔心的是,在修補後的駭客無法以此漏洞進行入侵,但在修補前,你是否能確認駭客已經進來了!?中芯數據資安技術團隊觀察到,由於此漏洞的特性,非常多的駭客行為近期只是先進行大規模掃描,當發現有此漏洞時,會先將惡意後門植入有問題的設備中,並進行初步的橫向擴散或端點資訊探查,潛伏其中待日後再進行更近一步的攻擊,由於駭客進入後可以直接獲得極高的系統權限,即可以輕易的散佈惡意程式於內部設備中,因此,就算企業主已經將Exchange進行更新,駭客還是能藉由之前早已放入內部的惡意後門進行持續的攻擊,進一步造成單位內部極大的資安危害,如下圖,即為中芯數據IPaaS近期某次通報中,駭客透過漏洞放入惡意webshell,接下來即可透過該webshell進行一系列的情蒐與橫向擴散。
中芯數據資安團隊建議:
各單位可以先初步檢查下路徑,確認路徑中是否有可疑檔案,路徑如下:
<volume>\inetpub\wwwroot\aspnet_client\
<volume>\inetpub\wwwroot\aspnet_client\system_web\
<exchange install path>\FrontEnd\HttpProxy\owa\auth\
<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\
<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\
以上,為近日較為容易出問題的路徑,但只要駭客有心,他依舊可以利用漏洞上傳的其他地方,各單位應評估現有資安防護中,是否能有效針對已著漏洞入侵後,植入未知惡意後門的檢測機制與因應措施。中芯數據IPaaS服務除了會幫各位檢測全球情資及台灣獨有情資資料庫外,透過獨有的Intended Intrusion Hunting(IIH)技術,有別與以往資安設備只對單一行為進行偵測告警,IPaaS服務對於所部署的端點中任何可疑的行為,IIH機制會針對可疑行為的前後動作進行整合判斷,即便駭客利用系統或軟體漏洞進入內網,中芯數據IPaaS皆能立刻發現與立即通報,更提供詳細惡意程式資訊及完整的處置辦法,除了確保單位可以成功偵測到各種最新與未知的威脅之外,並可確保事件處理過程中,單位內業務服務都能正常運行不中斷。
關於中芯數據
中芯數據 (CoreCloud Tech) 成立於 2013 年 9 月,延攬各方專業人才成立大規模的資安技術團隊,搭配由人工智慧技術而成的自動化資安服務平台,為客戶提供意圖威脅即時鑑識服務(IPaaS, Intention Prediction as a Service),達到保護企業網路安全的目的。並於 2015 年正式通過國際標準資安認證機構 IOS27001 認證,可提供企業符合國際標準的資訊安全管理規範,讓客戶能夠專注在自身業務與推廣上。中芯數據作為企業內部資安團隊的延伸,協助企業共同防禦進階威脅。致力提供企業對抗資安威脅所需的解決方案,自從 APT 攻擊手法問世後,企業不可能只靠資安產品解決 APT這類針對性的攻擊威脅,而是需要專業資安人員判讀資安報告後,採取相對應的做法。但多數企業並沒有足夠資安人力,加上員工工作型態正朝向行動化改變,傳統閘道端防護機制早以無法迎合世代需求。 面對無所不在的資安威脅,企業唯有建置完善的網路與資安規劃建置,才能降低駭客入侵的機率。或許添購新世代代資安設備可解決大部分的資安問題,但若產品設定不正確,恐怕將給予駭客更多可趁之機。而中芯數據主動回應資安事件,意圖威脅即時鑑識服務功能強悍,協助共同防禦各種進階資安威脅,使組織得以安全並快速地預防駭客攻擊。
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-03
2024-05-06
2024-05-06