資安趨勢與案例宣導

行政院國家資通安全會報技術服務中心

106年5月

1

大綱

●網路攻擊威脅趨勢

●近期資安事件案例

–資料外洩案例

–應用程式入侵漏洞案例

–環控系統入侵案例

–印表機不當存取案例

–分散式阻斷服務攻擊案例

●潛在資安威脅

●結論

網路攻擊威脅趨勢

3

世界經濟論壇2017全球風險調查報告

科技(Technological)

社會(Societal)

地緣政治(Geopolitical)

環境(Environmental)

經濟(Economic)

關鍵資訊基礎設施崩潰

資料欺詐或盜竊

網路攻擊

10大可能風險 1.極端氣侯

2.大規模難民移民

3.自然災害

4.恐怖攻擊

5.資料欺詐或盜竊

6.網路攻擊

7.非法貿易

8.人為環境災害

9.國家衝突

10.國家治理失靈

4

歷年APCERT演練主題

演練日期 演練主題

第1屆 2005/12/21 Botnet

第2屆 2006/12/19 Handling compromised web sites hosting malicious code designed for use in DDoS attacks

第3屆 2007/11/22 Beijing 2008 Olympic Games

第4屆 2008/12/4 Nailed Down Online Underground Economy

第5屆 2010/1/28 Fighting Cyber Crimes with Financial Incentives

第6屆 2011/2/22 Critical Infrastructure Protection

第7屆 2012/2/14 Advance Persistent Threats and Global Coordination

第8屆 2013/1/29 Countering Large Scale Denial of Service Attack

第9屆 2014/2/19 Countering Cyber-ops with Regional Coordination (DoS)

第10屆 2015/3/18 Cyber Attacks beyond Traditional Sources

第11屆 2016/3/16 An Evolving Cyber Threat and Financial Fraud

第12屆 2017/3/22 Emergence of a New DDoS Threat

● 2005年起，APCERT(亞太地區電腦網路危機處理組織)每年

依資安趨勢定期挑選重要議題，對亞太地區各國間電腦網路

危機處理組織進行演練，強化資安組織應變能力與協同合作

● 近年主題多圍繞分散式阻斷(DDoS)攻擊

Ransomware

APT

DoS

DDoS

DDoS

5

DDoS攻擊趨勢

● 分散式阻斷服務攻擊(Distributed Denial of Service,

DDoS)主要利用殭屍網路與系統弱點，發出大量合法或

偽造的請求，占用大量網路及設備資源，癱瘓攻擊目標

網路及系統

● 近期較大型DDoS攻擊案例大多為混合式攻擊，發動來源

皆以物聯網(IoT)設備為主，所占比例與日俱增

–易於感染，IoT設備普遍不具資安防護能力

–成本便宜，不需再透過釣魚等方式取得控制權

–可控制數量穩定，設備用途單純，長期不關機

● Gartner預測2016年有64億個IoT設備連網，2020年更達

到208億個設備連網

CCTV

6

DDoS攻擊來源探討

● 隨著Mirai攻擊程式釋出，IoT設備將發起更複雜的DDoS

攻擊，包含應用層與加密類型的攻擊

● Mirai殭屍網路數量與能量消長

–作者宣稱掌握30萬殭屍網路大軍

–Mirai殭屍網路活耀於2016年9月至10月，數量於10月達高峰

– 2016/9/21法國網際網路供應商OVH遭攻擊，尖峰流量達1Tbps

● Imperva Incapsula雲端安全服務公司根據其緩解之攻擊

事件追查IP，發現遭感染Mirai之設備遍布164個國家，

其中台灣位居攻擊來源國大宗第7名

Rank Country % of Mirai botnet IPs Rank Country % of Mirai botnet

IPs

1 Vietnam 12.8 6 South Korea 6.2

2 Brazil 11.8 7 Taiwan 4.9

3 United States 10.9 8 Russia 4

4 China 8.8 9 Romania 2.3

5 Mexico 8.4 10 Colombia 1.5

7

DDoS攻擊時間有增長趨勢

● 卡巴斯基2016年第四季釋出的報告指出，有80個國家的

殭屍網路參與DDoS攻擊，其中發起攻擊的多為IoT設備

組成的殭屍網路

– 2016年Q4發現DDoS攻擊時間長度仍以4小時以內為主，但長時間

攻擊事件亦有增長趨勢

8

網通設備遭駭客入侵利用

● 檢視資安防護措施，資訊人員常僅檢測內部系統與網站

主機。對於網通設備僅注重可用性，而忽略資安防護議

題，可能造成根本性的資安風險

使用預設帳密登入 多數設備提供Web介面

● 暴力破解密碼

–弱密碼

–預設帳密

● 利用韌體弱點

–設備老舊或韌體未

即時更新

● Web管理介面弱點

–針對HTTP/HTTPS

等服務

–利用Web攻擊方式

(如:SQL Injection)

9

網通設備造成潛在安全議題

IDS/IPS…

DB/Web/E-Mail

FW

使用者電腦 Anti-spam

機關 A FW/WAF

駭客

● 骨幹封包竊錄

–竊取機敏資訊

● C&C中繼站

–隱匿攻擊意圖

–利用內建功能控制

IDS/IPS…

DB/Web/E-Mail

FW

使用者電腦 Anti-spam

機關 B FW/WAF

● 阻斷網路服務

– 影響服務正常運作

10

我國面臨的資安威脅(1/2)

11

我國面臨的資安威脅(2/2)

● IoT與網通設備普及化，但使用者尚未具備足夠資安意識，

且未了解危害程度，致使屢次成為攻擊加害者

–設備較無完整安全管控機制，駭客可輕易取得管理權限，控制設備

對外進行攻擊

–Mirai感染目標以IoT設備為主，因其只能將攻擊程式存在於記憶體

中，可透過設備重啟方式，刪除Mirai程式，並透過更換預設密碼

避免再次感染

–網通設備可能遭駭客控制，做為中繼跳板，對目標進行APT攻擊

● 企業組織對於資訊安全意識仍待加強

–企業/組織管理階層仍未能投入大量資源強化內部資訊安全

● 資訊安全人才不足，多由相關管理人員兼任

–企業/組織資訊安全人才不足，多由網管人員或採購人員兼任，資

訊設備設置與管理未能考量資安議題

近期資安事件案例

13

政府資安事件通報概況

● 截至106年4月30日，2級與3級事件通報類型分別為分散

式阻斷服務與資料外洩為主

14

資料外洩案例-案例1(1/2)

• 機關A對外服務網站以「身分證字號」作為系統登入帳號 • 民眾至服務櫃臺申請加入網站會員時，採單一預設登入密碼

(12345678)，民眾後續未再登入網站變更預設密碼 • 有心人土以預設密碼登入存取超過3萬筆民眾帳號，導致民眾姓名、身分證字號、地址、連絡電話及電子郵件等個人資料遭盜取

案情提要

應變與改善作為

● 事件發生後，機關A即變更遭異常登入會員帳號密碼，並協助

修改尚未變更預設密碼之會員帳號密碼

● 強化網站會員認證機制：除現有登入所需帳號與密碼，將新增

使用者代碼

● 機關A配合於警調單位調查完畢後，依個人資料保護法規

範，通知相關受影響民眾

15

資料外洩案例-案例1(2/2)

● 國民身分證字號屬個人資料範圍，機關應避免以身份證

字號作為服務系統預設帳號或密碼

–行政院資通安全處於105年11月30日發布院臺護字第1050185463

號，要求各機關避免使用身份證字號作為服務系統預設帳號或密碼

● 存放個人資料或敏感公務資訊之資訊系統應規範具複雜

性的密碼設置原則，並制定密碼變更頻率

16

資料外洩案例-案例2(1/2)

● 機關B接獲外部通知後，即要求廠商進行郵件伺服器檢測，並

檢視相關登入紀錄，釐清受影響範圍

● 為避免災情擴大，機關B除變更相關郵件帳號密碼外，亦調整

資料傳遞方式，要求機關人員以多重驗證方式登入系統查詢

● 依個人資料保護法規範，通知相關受影響民眾

• 機關B於官方網站提供便民服務系統，供民眾填寫緊急聯繫資料包含中英文姓名、身分證字號及緊急聯絡人等個人相關資料

• 透過後端電子郵件系統，轉發民眾登錄資料至服務站特定電子郵件帳號

• 因電子郵件帳號密碼具規則性，遭有心人士破解，進而利用登入電子郵件系統，導致民眾個人資料與資訊外洩

案情提要

應變與改善作為

17

資料外洩案例-案例2(2/2)

●機關因公務需求傳遞機敏資料或民眾個人資料，

應考量資訊傳遞管道安全強度

●資訊系統帳號密碼除應具複雜原則外，亦應避免

使用具規則性或特定字母(如單字)

18

資料外洩案例-案例3(1/2)

● 機關C清查搜尋引擎可取得報表清單，釐清受影響對象與範圍，

除透過存取紀錄，掌握資料流向，亦依個人資料保護法規範，

通知相關受影響員工

● 協請廠商移除已產生報表檔，同時以白名單方式限制報表檔案

存取權限

● 新系統於規劃設計階段已納入資安考量，將導入安全系統發展

生命週期(SSDLC)

• 機關C內部系統提供所屬機關人員列印包含個資資訊功能，系統會自行產出列印報表檔案連結存放於伺服器

• 內部系統未提供公開連結下載報表，但檔案未限制存取權限，有心人士可透過搜尋引擎查找取得，造成機關C員工個人資料資訊外洩

案情提要

應變與改善作為

19

資料外洩案例-案例3(2/2)

●機關應依資訊系統服務對象設置存取來源，內部

使用資訊系統建議以白名單設置存取來源

●除定期檢視資訊系統帳號權限設置外，亦應檢視

檔案/資料夾內容，確認存取權限設置適切性

●存取機敏資料的資訊設備，應避免安裝非必要之

應用軟體

20

應用程式漏洞入侵-案例1(1/2)

● 機關D還原受害資訊系統，同時更新Struts2版本，並全面檢視

內部服務系統更新狀況

● 除於WAF設置阻擋偵測規則，亦檢視阻擋紀錄，確認無其他

資訊設備遭入侵情事

• Apache於106年3月6日官網公告Struts2具安全性漏洞，技服中心於106年3月7日發布資安訊息警訊要求各機關儘速更新

• 機關D內部防禦設備於106年3月8日偵測外部異常連線行為，進一步檢視網頁應用程式防火牆(WAF)，發現對外服務網站遭駭客利用Struts2漏洞植入惡意程式

案情提要

應變與改善作為

21

應用程式漏洞入侵-案例1(2/2)

●機關應掌握內部資訊系統服務狀態(包含應用程式

與版本)，並定期檢視相關應用程式釋出更新情況，

儘速依服務狀態進行系統測試與更新

●定期檢視相關防禦設備紀錄，以儘早發現異常存

取與連線行為，降低受害的影響範圍

22

應用程式漏洞入侵-案例2(1/2)

● 機關E除重新建置受害資訊設備，並更新作業系統與相關應用

程式，亦透過紙本檔案還原遭加密之業務資料內容

● 全面檢視內部資訊設備系統與應用程式更新情況

• 機關E通報表示其內部資訊系統檔案遭勒索軟體加密，並申請技服中心協助調查受害原因

• 經調查發現，因個人電腦未定期更新Flash，導致瀏覽網頁時，感染勒索軟體

• 由於勒索軟體會透過SMB協定(網路芳鄰)找尋共享資料夾，因此造成內部其他資訊設備資料遭加密

案情提要

應變與改善作為

23

應用程式漏洞入侵-案例2(2/2)

● 勒索軟體(Ransomware)從過去被動式攻擊轉為主動式感

染，機關應定期檢視作業系統與應用程式更新情況，關閉

不必要通訊協定(SMB)，並定期備份重要系統與文件資訊

–社交工程

透過電子郵件/檔案下載方式

散布

–作業系統/應用程式漏洞

利用作業系統(如windows)

或應用程式(Flash)漏洞植入

24

環控系統入侵案例(1/2)

● 調整環境控制系統/物聯網設備網路環境，並設置設備存

取權限

● 邀請內部資訊人員協助全面檢視相關環境控制系統權限

設置狀態

• 機關F利用環境控制系統(工控系統)，進行電力、汙水及消防設備管控，以維持機關內部環境運作

• 機關F因未限制存取權限，對外開放查詢服務，導致駭客入侵，並嘗試利用工控系統對外散播惡意程式

案情提要

應變與改善作為

25

環控系統入侵案例(2/2)

●環境控制系統/物聯網設備管理人員應具基本資

安意識，避免不當設置導致遭駭客利用

●環境控制系統/物聯網設備應作好權限管控與存

取限制，同時避免使用預設帳號密碼

●確實掌握部

屬設備資訊

26

印表機不當存取案例(1/2)

• 教育部所屬學術單位/組織陸續接獲駭客利用印表機發出勒索訊息 • 駭客要求學術單位/組織支付特定金額比特幣(Bitcoin)，否則將進行網路攻擊，癱瘓網路服務

案情提要

應變與改善作為

● 教育部除介入掌握所屬學術單

位/組織受影響情況外，亦發布

資安訊息通知，提醒學術單位/

組織儘速調整網路印表機設定，

並變更預設帳號密碼

27

印表機不當存取案例(2/2)

●應檢視網路印表機網路設置狀態，並變更預設帳

號密碼，避免遭不當利用/存取

●關閉不必要通訊埠(如：Port 9100)或調整配置方

式

28

分散式阻斷服務攻擊案例(1/3)

● 受害金控機關主動與網路服務提供者

(ISP)聯繫，請其協助阻擋攻擊來源，並

清洗攻擊流量，以恢復網站正常運作

● 金融監督管理委員會亦成立緊急應變專

案小組，協調各金控機關與ISP業者進行

聯防

• 金融監督管理委員會接獲金控機構通報，疑似遭受分散式阻斷服務(Distributed Denial of Service, DDoS)攻擊事件，導致客戶無法正常透過網頁下單

• 多個金控機構於2月1日陸續接獲駭客發出勒索訊息，要求支付特定金額比特幣(Bitcoin)，並發動試探性攻擊行動癱瘓網站服務

案情提要

應變與改善作為

29

分散式阻斷服務攻擊案例(2/3)

●機關應於事前檢視內部網路架構與需求，設置多

層次防禦機制，降低DDoS攻擊造成的影響

●透過事前完善的準備作業，始能快速且有效地減

少攻擊事件造成的影響

30

分散式阻斷服務攻擊案例(3/3)

●機關資訊設備應定期更新，並作好安全防護設置，

以避免遭利用作為駭客攻擊工具

–NTP伺服器服務設定/調校

NTP軟體版本升級至4.2.7之後的版本

在ntp.conf配置文件中新增Disable Monitor選項，關閉monlist

–DNS伺服器服務設定/調校

停用DNS遞迴功能

停用DNS對外服務功能

設定DNS Response Rate Limiting

註：詳細設備調整說明可參考通報應變網站「政府機關分散式阻斷服務防禦與應變作業程序v2.0」

潛在資安威脅

32

無線鍵盤/滑鼠弱點(1/3)

● 多款使用非藍牙傳輸之2.4 GHz頻段無線滑鼠/鍵盤，因

未採用合適加密方式，存在滑鼠動作與鍵盤按鍵可被竊

聽(Eavesdrop)與偽冒插入(Injection)輸入資訊的弱點，

稱為Mousejack弱點

● 滑鼠與鍵盤因硬體無法更新，USB dongle所用晶片可能

無法更新韌體，導致修補不易

● 多家廠商受到影響

33

無線鍵盤/滑鼠弱點(2/3)

滑鼠移動/鍵盤敲擊

USB dongle PC

傳送滑鼠/鍵盤封包內容(移動、輸入)

透過監聽方式，竊取傳輸資料，(包含使用中的RF address)

1

利用此RF address送出配對請求給dongle，由於dongle對此address處於listening 狀態，因此會接受該配對請求，完成配對

2

偽冒合法滑鼠/鍵盤操作受害電腦

3

資料來源：http://www.mousejack.com/

34

無線鍵盤/滑鼠弱點(3/3)

● 技服中心已透過相關聯繫管道，通知廠商進行弱點修補，

仍有部分產品具有安全疑慮

● 建議採用無線藍芽裝置，或已完成弱點修補無線裝置產

品，抑或改以有線鍵盤滑鼠設備替代

35

結論

● 物聯網之布建與應用快速成長，利用IoT設備發動攻擊已

成為未來攻擊趨勢

● 近期資安趨勢與案例顯示，進階持續性威脅、勒索軟體、

分散式阻斷服務攻擊(DDoS)及密碼猜測取得控制權等情

形層出不窮，建議機關持續強化人員資安防護意識與資

訊系統防護能量

● DDoS攻擊防禦與應變須透過事前完善的準備作業，始能

快速、有效的減少攻擊事件造成的影響

● 機關應強化內部管控機制，加強IoT與網通設備管理，避

免遭利用參與網路攻擊；對於軟體系統開發，亦應注意

安全系統發展生命週期(SSDLC)

報告完畢 敬請指教