被列為 2018 臺灣前十大威脅來源。為了遏止這類駭客行為,科技公司與當地警政單位合作或許是最有效率的做法之一。
昨日下午(4/22),微軟數位安全中心與法務部調查局共同分享雙方合作的成果,談及去年 8 月破獲 VPN 非法 IP 攻擊,以及今年 3 月成功下架 Necurs 殭屍網路等兩大案例。
Necurs 殭屍網路是如何侵犯用戶電腦?微軟舉例,公司曾再為其 58 天調查中發現,一台遭 Necurs 電腦發送高達 380 萬封垃圾郵件,收到感染郵件的潛在受害人數超過 4,000 萬;這些「Necurs 垃圾郵件」散布涵蓋了金融業木馬、勒索程式、挖礦軟體、竊取線上帳密、個茲與機密資料,對於全球產業影響不容小覷。
雙方合作大致流程是,微軟 DCU 透過大數據、機器學習演算法每日監測近 6.5 兆的資安情資中,掌握了 Necurs 的定向,再經由「網路威脅情報計畫」(C2O Program),將取得的情資分享予 35 個國家的執法單位,其中也包含臺灣。
▼ 微軟 DCU 將蒐集來的大數據,以視覺化方式呈現於後台,方便分析人員快速掌握異常現象。
2020 年 3 月 10 日,微軟 DCU 展開了全球性的掃蕩行動,並順利將 Necurs 下架。以臺灣為例,微軟 DCU 與法務部調查局簽署協議後,微軟 DCU 臺灣辦公室開始偕同調查局、國家資通安全會報技術中心(NCCST)、臺灣網路資訊中心(TWNIC)、中華電信展開合作。
微軟表示,在監測 Necurs 過程中,發現北臺灣某個 VPN IP(117.56.XXX.XXX)網路訊號異常,該 IP 位址惡意連線次數在不到一個月的時間內,次數從 16 上升至 1,588,上升幅度達 100 倍,這對分析人員來說絕對是一個異常現象。
深入調查後發現,此非法 IP 遭到阿爾及利亞、法國、荷蘭等 21 個海外惡意網域名稱伺服器、24 個惡意程式集勒索軟體發送惡意病毒攻擊臺灣,微軟藉由轉發釣魚郵件、勒索軟體上所蒐集到的情資提供給法務部調查局做後續追蹤。
去年 8 月,調查局成功取下該異常 IP 位址,地點就發生在北臺灣一間圖書館上的 LED 燈光設備中控台,而非電腦,該單位成功取下後,惡意病毒訊號也隨之消失。
法務部調查局資安處處長 吳富梅說:「去年截自目前為止已經破獲 78 起案件,此次與微軟數位安全中心簽訂協議後,透過病毒情資的分享,我們在最短的時間內發現流量異常的 IP,進而成功取下透過 IoT 的網路攻擊,避免臺灣成為殭屍網路及其他惡意程式的跳板。」
這起案例最讓人意外的是,感染源是在 IoT 設備上,而非電腦,足以顯現黑帽駭客技術正不斷進化,而在疫情肆虐全球期間,不少企業採遠端工作方式維持運作,公司資安備受挑戰,企業又該如何防範成為惡意攻擊的受害者?
微軟 DCU 提出建議,隨著企業大量採取遠距辦公型態,企業 IT 已經變成 Home IT,需要管理的電腦設備擴大到員工家中的電腦,這些電腦、網路環境很可能因為老舊,容易成為企業資安的漏洞。因此,企業除了要確保作業系統、應用程式須更新至最新版本,還要加強員工資安意識的教育,將多重要素驗證(MFA)、整合進階威脅防護 ATP 機制、點對點加密與保護機制列為疫情間資安防護的重點,未來面對下一波疫情也能做好資安防護工作。