全球規模最大的網域註冊託管服務商 GoDaddy.com,日前遭駭侵者攻擊,導致網站託管登入資訊遭到外洩。
全球規模最大的網域註冊託管服務商,管理七千七百萬個網域、客戶人數超過 1900 萬名的 GoDaddy.com,對外公布遭駭侵者攻擊的資安通報;該攻擊事件導致儲存在該公司的的網站託管登入資訊遭到外洩。
GoDaddy 是在一封寄給受影響用戶的 Email 中揭露這次攻擊事件,據了解,該公司在去年 10 月 19 日起觀察到某些伺服器發生異常,經過調查後發現有不明駭侵者取得了某些伺服器 SSH 連線服務的使用權,受到影響的帳號約有 28,000 個。
SSH 是對伺服器發出指令以進行遠端操作的重要基礎服務,一旦駭侵者可以取得 SSH 連線權限,就有極高機會可以進行各種操作,包括取得更高權限、不法竊取伺服器內的資料和檔案,甚至遠端執行任意程式碼。
GoDaddy 發出的資安通報說,這次外洩的資訊,僅限於網站託管服務用戶用於其網站的登入資訊,並不包括用戶登入整個 GoDaddy 網站的登入資訊,也不包含個資。目前 GoDaddy 已經重置所有潛在受害者的登入密碼,未提供這次駭侵攻擊的其他詳細資訊。 twcert 發表在 痞客邦 留言(0) 人氣(103)
資安廠商發現一周以來,全球有超過九十萬個以 WordPress 架設的網站,遭到某特定駭侵團體鎖定駭入。
資安廠商 Wordfence 發表研究報告指出,該公司的資安團隊近期發現針對 WordPress 網站的大規模駭侵行動。
該公司說,四月底開始觀察到某特定駭侵團體的攻擊活動開始大量增加達三十倍之多;一周以來,全球有超過九十萬個以 WordPress 架設的網站,遭到該特定駭侵團體鎖定駭入。
Wordfence 指出,攻擊活動來自高達 24,000 個以上不重覆 IP 位址,且於 5 月 3 日時達到最高峰,約有 50 萬個不同的網域名稱,遭到高達兩千萬次以上的攻擊嘗試。
Wordfence 說,這波大規模攻擊行動主要都是攻擊這些 WordPress 網站外掛程式的 XSS 漏洞。被攻擊的網站使用的多種外掛程式,大多含有多種未被修復的資安漏洞,主要都是 XSS 防護方面出現問題,因此遭到駭侵者鎖定。至於到底是哪個駭侵團體發動此波攻擊,目前尚無清楚的資訊。
Wordfence 建議全球為數眾多的 WordPress 網站管理者,一定要隨時將 WordPress 主程式與外掛程式更新到最新版本,也建議在自己的網站上安裝「網站應用程式防火牆」(website application firewall, WAF」,以阻擋可能發生的攻擊。twcert 發表在 痞客邦 留言(0) 人氣(46)
近期勒索病毒事件頻傳,發生多起企業遭駭客攻擊事件,導致感染勒索病毒而造成損害。提醒大家須留意不明郵件、不隨意點擊可疑連結與檔案,並確保所有作業系統與軟體完成安全性更新,及時修補漏洞。企業發生資安事件並造成實際損害的大部分原因,是遭受社交工程攻擊。常見的社交工程是駭客散布含有惡意程式的釣魚郵件,利用聳動的標題或內容,促使受害者點擊惡意連結或附檔,導致無意間洩漏個資、公司機密或是被駭客植入惡意軟體。社交工程還包含網路釣魚、USB或CD儲存媒體暗藏惡意程式、偽裝成知名程式的惡意程式,以及透過社群媒體散播惡意程式等方式進行攻擊。twcert 發表在 痞客邦 留言(0) 人氣(48)
資安廠商指出,在世界各國都觀察到針對 Windows RDP 進行暴力嘗試法攻擊的次數,於疫情大流行期間激增數倍。
俄國資安廠商卡巴斯基日前發布研究報告指出,該公司的研究人員在世界各國都觀察到針對 Windows RDP 進行暴力嘗試法攻擊的次數,於疫情大流行期間,以數倍的規模激增。
Windows RDP 是微軟 WIndows 工作站、伺服器使用的專有應用層連線協定,可用以遠端遙控操作;駭侵者利用暴力試誤法猜測受害者使用的可能登入資訊,不論是純以亂數猜測,或參考字典檔,甚至是透過已經外洩的該用戶其他帳號登入資訊,只要被駭侵者猜到了,系統就極可能遭到駭入。
卡巴斯基觀察到,在諸多因為疫情而封城、民眾必須在家工作的國家,這類針對 Windows RDP 進行的暴力試誤駭侵攻擊的上升幅度也愈大。
以美國為例,在疫情尚未爆發的二月初,每日觀察到的 RDP 暴力攻擊次數約為二十萬次上下;到了四月初則暴增至七倍,每日高達一百四十萬次。
同樣的情形也出現在德國,二月初這類攻擊每日愈觀測到十萬次,四月中旬則高達八十萬次;俄羅斯則是從二十萬次以下增加到近一百萬次,也有五六倍的成長。
卡巴斯基建議,企業的 IT 人員應確實做好 Windows RDP 連線的資安防護設定,例如使用高強度密碼、僅容許 RDP 透過企業自有 VPN 連線、啟用二階段登入驗證等。如果不使用 Windows RDP,一定要封鎖 Port 3389 的連線。
另外企業也應對在家上班的員工,提供充分的資安宣導、培訓課程與技術支援,而且要及時更新各種應用軟體與作業系統,同時提供完善的備份機制。 twcert 發表在 痞客邦 留言(0) 人氣(21)
資安事件摘要twcert 發表在 痞客邦 留言(0) 人氣(379)
資安專家發現有駭侵者在暗網上出售一批含有大量 Facebook 用戶個資的資料庫,受害者多達兩億六千七百萬名用戶。
著名的獨立資安研究者 Bob Doachenko 日前發表研究報告指出,他發現有駭侵者在暗網上出售一批含有大量 Facebook 用戶個資的資料庫,受害者多達兩億六千七百萬名用戶。
Bob Diachenko 是在網路上發現這個 Elasticsearch 資料庫,內含的 Facebook 用戶個資欄位相當多元,包括用戶的全名、電話號碼、Facebook 用戶 ID 等,可供駭侵者用來當成發動各種駭侵攻擊的素材。
代管這個資料庫的 ISP,在 Bob Diachenko 向其通報後,立即撤下了這個資料庫。
當原本的資料庫遭撤下後,沒過多久,Bob Diachenko 又在另一台伺服器上發現另一個資料庫,除了原本的內容外,又多加了四千兩百萬筆資料;而且這個資料庫馬上遭到不明駭侵者攻擊,在資料庫上留下訊息,要擁有者加強其伺服器的資安防護工作。
而在新增的資料中,還多了包括用戶 Email、生日、性別等個資欄位。Diachenko 認為這些資料是在 Facebook 尚未關閉其 Social graph 相關 API 前,透過程式搜刮取得的。
這批外洩的 Facebook 用戶個資,以美國的 Facebook 用戶為主;讀者如果擔心自己的 Facebook 帳號是否也遭洩露,可以到 https://amibreached.com/搜尋。 twcert 發表在 痞客邦 留言(0) 人氣(9)
越來越多企業單位讓員工遠距辦公,來因應企業可能遭遇之各種緊急事件。虛擬私人網路(Virtual Private Network, VPN) 可讓遠距工作者與企業之間建立專屬加密通道,以保障遠距存取企業內部網路的安全性。隨著VPN系統的使用量遽增,資安議題亦更為重要。關於如何做好VPN的資安防護呢?以下六點資安防護提醒:twcert 發表在 痞客邦 留言(0) 人氣(195)
資安廠商指出,以COVID-19(新冠肺炎、武漢肺炎)為主題的駭侵攻擊案例數量,今年三月份較一月份增加了三百倍之多。
資安廠商 ZSCALER 日前發表研究報告指出,該公司觀察到以COVID-19為主題的駭侵攻擊案例數量,今年三月份較一月份增加了三百倍之多。
該公司說,一月時該公司觀察到的這類攻擊,為數僅有 1,200 次;到了三月份則暴增到 380,000 次。
報告指出,各類駭侵團體非常喜歡搭上各種全球熱議話題的便車,以引誘受害者上勾;而在現今全球受到肺炎疫情嚴重衝擊的情況下,以肺炎疫情為主題的駭侵攻擊,數量增多也是可預期之事。
報告進一步分析指出,自從全球疫情爆發以來,首先觀察到的現象,就是肺炎相關新網域名稱登錄數量大量增加;其中疑似用以發動駭侵攻擊的可疑新域名,數量高達 130,000 個以上;光是三月份增加了近十萬個。
報告也列舉一些代表性的肺炎駭侵攻擊案例,包括針對企業受害者的釣魚信件,經常會假冒企業內的 IT 單位,發送 VPN 或測試主機連結給在家工作的員工,但實際上導向的是惡意網站,企圖騙取員工用以登入公司各系統的資訊。
針對個人的駭侵行動,則常會假冒政府防疫單位或公益團體,要求用戶登入並且捐款,實際上是在騙取用戶的各種金融服務相關機敏資訊。
在巴西則有一種透過惡意 PowerPoint 簡報檔進行攻擊的手法。檔案偽稱內含遭肺炎病毒汙染的旅館清單,誘使用戶開啟檔案,同時植入惡意軟體,竊取用戶鍵盤輸入內容或電腦內的檔案。 twcert 發表在 痞客邦 留言(0) 人氣(25)
資安公司發現一大批卡片消費資料在暗網上待價而沽,總筆數高達四十萬筆,受害者主要來自南韓與美國的銀行等金融業者。
設立於新加坡的資安公司 Group-IB發表研究報告指出,該公司發現一大批卡片消費資料在暗網上待價而沽,總筆數高達四十萬筆;受害者主要來自南韓與美國銀行等金融業者。
這筆在暗網上的資料是由不明身分者於四月九日上傳,要價高達兩百萬美元,一筆資料相當於五美元;出售者還說這些資料有 30%~40% 的正確性。
在這批資料中,有近一半(49.9%)來自南韓的銀行與金融機構,另外 49.3% 則來自美國的銀行與金融機構。Group-IB 指出,在暗網上很少看到來自南韓的資料,所以相當罕見。
這些外洩的資料,主要以記錄在信用卡磁條上的資訊(Track 2)為主,包括銀行識別碼(BIN)、卡號或帳號、有效日期等,有些還包括三位數安全碼(CVV)。該公司說,這些資訊通常都是從被惡意軟體植入的 POS 終端機或 ATM 刷卡機洩漏的,不過在這個案例中未能確認資料來源。
Group-IB 公司表示,自 2019 年起,愈來愈多亞太國家的各種刷卡資料,被盜取出售的案例愈來愈頻繁。在 2019 年十月,來自印度的刷卡資料就有一百三十萬筆,2019 年二月和 2018 年十一月也有兩批巴基斯坦的大量刷卡記錄在暗網上求售。 twcert 發表在 痞客邦 留言(0) 人氣(31)
資安廠商發現 Microsoft Teams 的一個資安漏洞,駭侵者可利用該漏洞傳送一張 GIF 圖檔,受害者讀取後便會遭駭;駭侵者甚至可藉以散布這種攻擊手法,並且取得整個單位的 Teams 帳號控制權限。
資安廠商 CyberArk 發現 Microsoft Teams 的一個資安漏洞,並發展出概念證實的攻擊手法,證明駭侵者可利用該漏洞傳送一張 GIF 圖檔來攻擊 Microsoft Teams。
該公司展示的攻擊方法,係利用 Microsoft Teams 的 DNS 組態設定漏洞;攻擊者只要先劫持兩個 Microsoft Teams 的子網域,取得兩個驗證用的 token,再傳送一張 GIF 圖檔給受害者,受害者讀取後便會遭駭。
受害者的 Microsoft Teams 被駭侵者接管後,駭侵者即可取得受害者帳號內的資訊和檔案,甚至可藉由呼叫 Teams API 進行各種操作,散布這種攻擊手法,最後取得整個單位的 Teams 帳號控制權限。
CyberArk 指出,駭侵者除了可以取得用戶在 Microsoft Teams 中的共享檔案外,也能取得成員間的對話記錄,甚至如登入資訊、機密檔案等資訊。
在 CyberArk 提出的報告中,包括一支示範影片,詳細說明整個漏洞機制與攻擊示範流程。
這個漏洞同時影響 Microsoft Teams 的網頁版與桌機版應用程式。
CyberArk 於三月將此一發現向微軟通報,微軟很快就修復了這兩個設定出現問題導致易受攻擊的子網域,並且在日前釋出修補程式,修復了這個資安漏洞。 twcert 發表在 痞客邦 留言(0) 人氣(172)
資安宣導 (2)