駭客工具的氾濫VS企業所面對的資安威脅

2017/05/26

在2017年4月，駭客組織The Shadow Brokers(影子掮客)在網路上發佈出與NSA(美國國家安全局)有著關係的秘密組織Equation Group(方程式組織)所撰寫的弱點利用(Exploit)程式，其中包含有攻擊SWIFT(Society for Worldwide Interbank Financial Telecommunication，環球銀行金融電信協會)與泛用性較廣的微軟作業系統Windows攻擊程式。

(註：SWIFT是一個世界級的金融電文網路，銀行和其他的金融機構都將通過他與同業之間交換電文，SWIFT的用戶包含有銀行、貿易機構、債券經理人、信託服務公司等與金融交易密不可分的角色。)

圖1：Equation Group所撰寫的攻擊程式

受威脅的系統

在這次所洩漏出的攻擊程式中大部分都是利用微軟Windows作業系統用以進行檔案交換之「伺服器訊息區塊(Server Message Block)」功能上的缺陷進行攻擊，無論是SMBv1、SMBv2、SMBv3皆有可能成為受害的對象，除上述攻擊程式之外還有針對像是NetBIOS、SMTP、IMAP、KERBEROS、WebDAV等服務進行的弱點利用(Exploit)程式。其中影響較易遭利用且影響範圍較廣泛的是名叫「Eternal Blue(永恆之藍)」的攻擊程式，Eternal Blue是利用微軟在2017年3月所發佈漏洞編號為MS17-010的系統弱點進行攻擊，使有缺陷的SMB伺服器可遭遠端代碼執行(Remote Code Execution)攻擊，家用版作業系統從Windows XP至Windows 10、伺服器版作業系統從Windows Server 2000至Windows Server 2012皆是受影響範圍。

圖2：弱點利用程式與其所攻擊的目標服務列表(資料來源 https://pastebin.com/5gkb6HLJ)

在Shodan上可以發現，將近有三萬四千個位在台灣的SMB伺服器暴露在網際網路之中，這些主機可能是因為開啟了共享資料夾(Shared Folder)或是網路共享(HomeGroup)的功能，且均未經由防火牆(Firewall)做存取管控串列限制(Access Control List)導致服務埠號於公用網路上裸奔(如止不住的資料外洩問題一文所述之MongoDB資料外洩問題)，若企業沒有相對應之管控防禦措施，攻擊者將可輕易藉由開放服務針對此類已知漏洞進行攻擊，企業即可能因此成為受害的對象。

(註：Shodan.io是一個伺服器開放服務的搜尋引擎，該服務平台會記錄且收集網際網路上可以任意存取的服務與其詳細資訊，通常駭客會利用此平台找尋可攻擊之目標。)

圖3：Shodan搜尋結果

衍生問題

2017年5月上旬全球爆發了極其嚴重的勒索病毒攻擊事件，勒索病毒「WannaCrypt0r 2.0」流竄在全球數十個國家之中，「WannaCrypt0r 2.0」利用了Eternal Blue(永恆之藍)的漏洞原理攻擊SMB伺服器，藉由遠端執行代碼將惡意加密程式送進目標主機內，並將受害主機的數百種格式的檔案進行加密勒索攻擊，且由於該勒索病毒具蠕蟲(Worm)特性會主動對該系統可連線目標持續搜尋並攻擊具漏洞的系統，使得原本攻擊型態為被動執行的勒索病毒轉變為主動攻擊的方式入侵個人電腦與伺服器主機，並持續的往區域網路及網際網路擴散，因此當此惡意勒索病毒爆發後，即造成全球短時間內大量用戶受害之情況。

「WannaCrypt0r 2.0」可經由企業對外開放且具MS17-010弱點的外部服務伺服器進入，或是經由電子郵件社交工程與網頁掛馬(Drive-by Download)等攻擊直接入侵至企業內部，若此時企業內部之個人電腦與伺服器群為同一個區域網路中且相關系統又未經安全性更新以及存取限制管控的情況下，「WannaCrypt0r 2.0」即可快速的擴散至各內部系統中，直到整個企業網路淪陷為止。

圖4：慘遭WannaCrypt0r攻陷的民生服務系統 (資料來源freebuf.com)

企業因應方法

在本事件中因駭客工具的氾濫，導致攻擊者可輕易取得相關攻擊工具並進一步研究漏洞原理研製勒索攻擊蠕蟲，造成全球性的資安事件發生導致許多使用者以及企業的損失。我們該如何將風險降到最低，並使自己或企業不易成為受害的對象，以下提出幾點應對的參考措施：

方法一：安全性更新

在The Shadow Brokers(影子掮客)發佈這些駭客工具之前，微軟(Microsoft)已經在2017年3月發佈了這些弱點所對應的安全性更新，通常微軟(Microsoft)會在每個月的第二個禮拜二也就是俗稱的Patch Tuesday(週二修補日)釋出當月最新的安全性更新，企業內部可以定期派送此安全性更新，以確保主機系統的安全。

方法二：關閉未使用的服務並建立良好的存取控制

-企業外部服務：

主機中服務開的越多，可能遭受的資安風險也相對越大。只要其中的一個服務爆出資安漏洞，即可能因此漏洞而導致整台主機淪陷，因此不必要開啟的服務建議應將其關閉或進行阻擋，以降低不必要的風險。如上述案例，網頁伺服器應僅允許來源IP存取TCP Port 80(HTTP)與TCP Port 443(HTTPS)等網頁服務專用的埠號，其他未使用之服務埠號如TCP Port 21(FTP)、TCP Port 23(Telnet)等應進行阻擋或關閉。針對管理用的埠號如TCP Port 3389(RDP)則可利用VPN或ACL存取限制進行管控，避免直接開放存取以降低攻擊者利用已知漏洞或零時差漏洞直接針對開放埠號進行攻擊而導致伺服器淪陷。

-企業內部網路：

企業內部建議可依部門區分各自的網段，如此倘若企業內部有個人電腦不幸遭受感染，即可藉由網段區隔機制縮受害範圍。如企業需使用檔案共享，建議可啟用一個企業內部中控之資料分享伺服器，以取代公司內部員工點對點的檔案分享，並可將個人電腦防火牆設置為拒絕TCP Port 139(NetBIOS)及TCP Port 445(SMB)的連入。

(註：若企業內部有使用Activity Directory，因TCP Port 139與TCP Port 445為檔案複寫服務(File Replication Service)所用，關閉後可能會導致Activity Directory功能異常，需特別注意。)

方法三：進行服務伺服器的弱點掃描檢測 (Vulnerability Assessment)

透過定期執行主機弱點掃描檢測，可找出主機中尚未被修正的漏洞並針對該些問題進行風險評估管理，將已具備安全性更新的漏洞進行修補，無法立即修補且無安全性更新的漏洞則可訂立改善計劃或採用變向可提升安全性的方式進行改善。

其他訊息

產業訊息

駭客工具的氾濫VS企業所面對的資安威脅

其他訊息

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！