Embed Size (px)
Citation preview
行政院
國家資通安全會報技術服務中心
電話: 02-2733-9922 傳真: 02-2733-1655
地址: 106 台北市大安區富陽街 116 號資訊研析組
電子郵件: [email protected]
資安聯防監控月報
108 年 3 月 NCCST-SOC2-2019-03
關於行政院國家資通安全會報技術服務中心(以下簡稱技服中心)資
安聯防監控月報:
技服中心以政府資安聯防監控之角色,彙整與綜合分析政府資安資
訊,期提升政府機關資安聯防能力。目前收容資料內容包括各政府
機關資安監控中心(Security Operation Center, SOC)委外服務業者所
回傳之事件單與關聯事件單,本月報就 SOC 業者回傳的事件單進
行彙整與分析,內容分為 3 部分:
1. 聯防監控綜覽:說明政府機關整體資安威脅趨勢與來源。
2. 威脅種類分析:藉由業務類別、資安責任等級及威脅種類
之交叉分析,說明本月各類型機關主要威脅種類。
3. 聯防監控回饋建議:分析事件單觸發技服中心中繼站黑名
單威脅狀況、跨機關事件來源 IP 及惡意威脅(入侵攻擊類
與惡意程式類)連線 IP,並整合技服中心情資,以不同面向
提供多元資安情資,包含近期技服中心資安研究、惡意電
子郵件檢測分析、殭屍網路攻擊威脅、網路潛在資安風險
及入侵指標檢測分析之資安情資,供政府機關與 SOC 業者
作為資安環境布建防禦之參考。
請參考國家資通安全通報應變網站,了解最新訊息;若需轉載、
引用或對本月報資料有更多需求,請洽詢:
2
目錄
1. 聯防監控綜覽........................................................................................................... 6
1.1. 整體威脅趨勢................................................................................................ 6
1.2. 威脅來源分析................................................................................................ 7
1.3. 資安訊息情報彙整...................................................................................... 10
2. 威脅種類分析......................................................................................................... 12
2.1. 整體威脅種類分析...................................................................................... 12
2.2. 業務類別與威脅種類交叉分析.................................................................. 15
2.3. 資安責任等級與威脅種類交叉分析.......................................................... 21
3. 聯防監控回饋建議................................................................................................. 24
3.1. 技服中心中繼站黑名單分析...................................................................... 24
3.2. 聯防監控事件單威脅 IP 分析 .................................................................... 25
3.3. 技服中心近期資安研究資訊...................................................................... 26
3.3.1. 機關監視系統遭外部漏洞探測行為分析....................................... 26
3.3.2. 智慧家居系統弱點分析................................................................... 28
3.4. 惡意電子郵件檢測分析.............................................................................. 30
3.4.1. 電子郵件檢測分析情資................................................................... 30
3.5. 殭屍網路攻擊威脅情資.............................................................................. 37
3.5.1. 物聯網殭屍網路............................................................................... 37
3.5.2. 行動裝置殭屍網路........................................................................... 40
3.6. 網路潛在資安風險情資.............................................................................. 41
3.6.1. 已知漏洞類風險............................................................................... 41
3.6.2. 遠端控制類風險............................................................................... 43
3.6.3. 資料庫與檔案服務類風險............................................................... 45
3.6.4. 入侵指標檢測分析........................................................................... 46
附錄 1:機關(構)業務類別與資安責任等級說明 .................................................... 48
附錄 2:資安事件分類說明 ...................................................................................... 50
附錄 3:聯防監控回饋建議入侵偵測指標彙整 ...................................................... 51
3
表目錄
Cisco 三款 VPN 路由器產品存在安全漏洞 ................................... 10
Mozilla Firefox 瀏覽器存在安全漏洞 ................................................. 11
資安事件類別主要影響機關業務類別與事件彙整.......................... 14
綜合行政類資安威脅分析.................................................................. 15
內政衛福勞動類類資安威脅分析...................................................... 16
外交國防法務類資安威脅分析.......................................................... 16
交通環境資源類資安威脅分析.......................................................... 17
財政主計金融類資安威脅分析.......................................................... 17
經濟能源農業類資安威脅分析.......................................................... 18
教育科學文化類資安威脅分析.................................................. 18
非行政院所屬類資安威脅分析.................................................. 19
各業務類別與威脅種類交叉分析.............................................. 20
A 級機關資安威脅分析 .............................................................. 21
B 級機關資安威脅分析 .............................................................. 22
C 級機關資安威脅分析 .............................................................. 22
各資安責任等級與威脅種類交叉分析...................................... 23
技服中心中繼站黑名單觸發情形.............................................. 24
跨機關且跨 SOC 威脅來源 IP ..................................................... 25
入侵攻擊類事件前 10 大威脅來源 IP ....................................... 25
惡意程式類事件前 10 大連線目標 IP ....................................... 26
機關監視系統設定公開 IP 位址統計 ........................................ 27
監視系統漏洞探測攻擊指標資訊.............................................. 28
108 年 3 月惡意郵件排名列表 .................................................. 30
內含 Powershell 惡意文件受害偵測指標前 10 大列表 ............ 33
2 階惡意程式受害偵測指標前 10 大列表 ................................ 34
PowerShell 權限管理原則說明 .................................................. 36
相關 PowerShell 事件稽核設定 ................................................. 36
相關 PowerShell 事件稽核 ......................................................... 37
MIRAI 各變種攻擊指標排名列表 ............................................... 38
MIRAI 受害偵測指標影響概況 ................................................... 39
108 年 3 月惡意域名列表 .......................................................... 40
已知漏洞資訊.............................................................................. 41
WebDAV 網路協定漏洞探測前 10 大威脅資訊 ........................ 42
AVTECH 網路監控主機漏洞探測前 10 大威脅資訊 .................. 42
Apache Struts2 網頁框架漏洞探測前 10 大威脅資訊 .............. 43
Drupal 內容管理系統漏洞探測前 10 大威脅資訊 .................... 43
4
RDP 遠端桌面前 10 大攻擊指標 ................................................ 44
Telnet 遠端控制前 10 大攻擊指標 ............................................. 44
VNC 遠端控制前 10 大攻擊指標 ............................................... 44
SSH 遠端控制前 10 大攻擊指標 ................................................ 45
PostgreSQL 資料庫前 10 大大量嘗試登入攻擊指標 ................ 45
MySQL 資料庫前 10 大大量嘗試登入攻擊指標 ....................... 46
MSSQL 資料庫前 10 大大量嘗試登入攻擊指標 ....................... 46
受害偵測指標影響概況統計...................................................... 47
各業務類別機關(構)數量 ........................................................... 48
各資安等級機關(構)數量 ........................................................... 49
5
圖目錄
107 年 1 月至 108 年 3 月事件單分布趨勢 .................................... 7
事件單國外來源 IP 所屬國家分布 ...................................................... 8
事件單國內來源 IP 所屬 ISP 分布........................................................ 9
各類攻擊分布趨勢.............................................................................. 13
智慧家居系統頁面.............................................................................. 29
108 年 3 月內含 PowerShell 惡意文件偵測分布圖 .......................... 31
108 年 3 月 PowerShell 攻擊機關業務類別分布 .............................. 32
108 年 3 月 PowerShell 攻擊機關資安責任等級分布 ...................... 32
108 年 3 月 PowerShell 下載 2 階惡意程式類型 .............................. 33
攻擊次數前 5 大變種類型比例圖 ............................................. 38
6
1. 聯防監控綜覽
針對技服中心聯防監控1收集之資安事件單,進行整體資安威脅趨
勢與來源分析。事件單係為 SOC 業者研判並發單告知政府機關進
行處理的資安事件。本章針對 108 年 3 月(以下簡稱本月)事件單進
行整體威脅趨勢與國內外威脅來源分析。
1.1.整體威脅趨勢
本月 SOC 業者回傳之有效事件單2共 12,781 件,近一年事件單數
量詳見圖 1。威脅種類前 3 名為掃描刺探類(41%)、入侵攻擊類
(35%)及惡意程式類(13%)。
依政府機關業務類別區分,本月事件單前 3 名分別為綜合行政類
的入侵攻擊類事件 1,485 件、外交國防法務類的入侵攻擊類事件
1,142 件及經濟能源農業類的掃描刺探類事件 1,083 件。
依政府機關資安責任等級區分,本月事件單前 3 名分別為 A 級機
關的入侵攻擊類事件 3,610 件、A 級機關的掃描刺探類事件 2,677
件及 A 級機關的惡意程式類事件 1,088 件。
1聯防監控自 103 年 2 月執行,目前回傳來源包含:中華電信、安碁資訊、數聯資安、關貿網
路、德欣寰宇、漢昕科技及政府網際服務網(GSN)等。
2有效事件單係指符合資安聯防監控之數據回傳欄位與格式規範的事件單。
7
107 年 1 月至 108 年 3 月事件單分布趨勢
1.2.威脅來源分析
觀察整體事件單來源 IP,本月國外攻擊來源前 3 名分別為美國
(41%)、加拿大(10%)及中國(9%),詳見圖 2。本月國外攻擊來源國
家觸發事件前 3 名分別為「弱點與漏洞利用」、「外部主機執行
大規模弱點掃描攻擊」及「密碼猜測行為」。
另外,與中國相關事件還包含「高風險攻擊事件」、「弱點掃描
行為」及「網頁攻擊事件」,根據過往情資,近期中國持續為前 3
名攻擊來源國家,建議機關協同 SOC 業者加強監控相關威脅來源
事件,並持續注意國外攻擊來源國家威脅。
8
事件單國外來源 IP 所屬國家分布
事件單來源 IP 屬國內部分,大部分攻擊來源主要為政府網際服務
網(GSN)占 53%,其次為中華電信股份有限公司占 24%,以及遠
傳電信股份有限公司占 5%,詳見圖 3。
本月國內事件單來源 IP 之事件單數量低於上月,事件種類前 3 名
分別為入侵攻擊類的「弱點與漏洞利用」、惡意程式類的「後門
間諜程式行為」及政策規則類的「內部主機疑似進行 P2P 連
線」。
9
事件單國內來源 IP 所屬 ISP 分布
(上圖為 108 年 2 月,下圖為 108 年 3 月3)
3學術網路 IP 將依據使用單位的屬性,分別歸類至政府機關與學術單位。
10
1.3.資安訊息情報彙整
「資安訊息情報」係指最新之資安漏洞、攻擊活動及資安公告等
重要訊息,根據近期內外部情資彙整資安訊息情報,作為各機關
加強聯防監控使用,詳見表 1 與表 2。
Cisco 三款 VPN 路由器產品存在安全漏洞
警訊編號 NCCST-ANA-2019-0024
情報摘要 Cisco 三款 VPN 路由器產品存在安全漏洞,允許遠端攻擊者執行任意程式
碼,請儘速確認並進行修正
內容說明 研究團隊發現 Cisco RV110W、RV130W 及 RV215W 三款 VPN 路由器產品
存在安全性漏洞(CVE-2019-1663),肇因於此三款產品之網頁管理介面程式
未完整驗證用戶提交的資料,導致未經授權的遠端攻擊者可針對目標設備
發送特製的 HTTP 請求,進而造成遠端攻擊者可以管理員權限執行任意程
式碼
影響平台 RV110W Wireless-N VPN Firewall:韌體版本 1.2.2.1 以前的所有版本
RV130W Wireless-N Multifunction VPN Router:韌體版本 1.0.3.45 以前的所
有版本
RV215W Wireless-N VPN Router:韌體版本 1.3.1.1 以前的所有版本
建議措施 目前 Cisco 官方已針對此弱點釋出修復版本,請各機關可聯絡設備維護廠
商或參考以下建議進行更新:
1.連線至網址:https://software.cisco.com/download/home,點擊「Browse
All」按鈕
2.按照型號下載更新檔:
(1)RV110W Wireless-N VPN Firewall:
點擊「Routers > Small Business Routers > Small Business RV Series Routers
> RV110W Wireless-N VPN Firewall > Wireless Router Firmware」選擇
1.2.2.1 或後續版本進行下載
(2)RV130W Wireless-N Multifunction VPN Router:
點擊「Routers > Small Business Routers > Small Business RV Series Routers
> RV130W Wireless-N Multifunction VPN Router > Small Business Router
Firmware」選擇 1.0.3.45 或後續版本進行下載
(3)RV215W Wireless-N VPN Router:
11
點擊「Routers > Small Business Routers > Small Business RV Series Routers
> RV215W Wireless-N VPN Router > Wireless Router Firmware」選擇
1.3.1.1 或後續版本進行下載
3.使用設備之管理頁面功能進行韌體更新
Mozilla Firefox 瀏覽器存在安全漏洞
警訊編號 NCCST-ANA-2019-0036
情報摘要 Mozilla Firefox 瀏覽器存在安全漏洞(CVE-2019-9810 與 CVE-2019-9813),
允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明 根據 Mozilla 發布的安全性公告顯示,Mozilla Firefox 瀏覽器由於別名資訊
不正確或類型混淆等原因,導致存在可繞過邊界檢查(Bounds check)而產生
緩衝區溢位問題,以及可對記憶體任意進行讀取與寫入之漏洞(CVE-2019-
9810 與 CVE-2019-9813)。攻擊者可藉由誘騙使用者點擊含有惡意程式碼的
連結,導致遠端執行任意程式碼。
影響平台 Mozilla Firefox 66.0(含)以前版本
Mozilla Firefox ESR 60.6.0(含)以前版本
建議措施 1.請確認瀏覽器版本,點擊瀏覽器選單按鈕,點選「說明」-->「關於
Firefox」,可查看當前使用的 Mozilla Firefox 瀏覽器是否為受影響之版本
2.更新方式如下:
(1)開啟瀏覽器,點擊選單按鈕,點選「說明」-->「關於 Firefox」,瀏覽
器將執行版本檢查與更新
(2)點擊「重新啟動以更新 Firefox」完成更新
3.保持良好使用習慣,請勿點擊來路不明的網址連結
12
2. 威脅種類分析
根據本月事件單整體威脅種類進行各類別內容分析,並以業務類
別、資安責任等級及威脅種類進行交叉分析,比較近 2 個月事件
變化量,分析各業務類別與資安責任等級現況。
2.1.整體威脅種類分析
本月整體資安事件依照資安事件分類4統計,前 3 名分別為掃描刺
探類(41%)、入侵攻擊類(35%)及惡意程式類(13%)。與上月比較,
掃描刺探類比例下降 3%、入侵攻擊類比例上升 2%及惡意程式類
比例不變,詳見圖 4。以下彙整各資安事件類別,其主要影響機關
業務類別與主要觸發事件,詳見表 3。
4詳見附錄 2:資安事件分類說明。
13
各類攻擊分布趨勢
(上圖為 108 年 2 月,下圖為 108 年 3 月)
14
資安事件類別主要影響機關業務類別與事件彙整
編號 資安事件類別 主要機關業務類別 主要觸發事件
1 系統服務類 內政衛福勞動
教育科學文化
群組成員新增刪除
網頁服務中止
新增刪除修改帳號
2 入侵攻擊類 綜合行政
外交國防法務 弱點與漏洞利用
3 阻斷服務類 內政衛福勞動 外部主機疑似進行阻斷服務攻擊
4 惡意程式類 綜合行政
內政衛福勞動
後門間諜行為
病毒存取行為
5 政策規則類 綜合行政
內政衛福勞動
內部主機疑似進行 P2P 連線
稽核原則變更
6 掃描刺探類 經濟能源農業
教育科學文化 外部主機執行大規模弱點掃描攻擊
7 尚需調查類 交通環境資源
綜合行政 網路異常行為
15
2.2.業務類別5與威脅種類交叉分析
針對政府機關業務類別與威脅種類進行交叉分析,以雷達圖呈現
各威脅種類分布比例,實線區域為本月,虛線區域為上月分布,
藉此瞭解各業務機關遭遇資安威脅種類分布情形,相關內容詳見
表 4 至表 11,同時將各種威脅種類事件單經各業務類別機關數量
平減為平均每一機關之事件量並與上月資訊進行比較,瞭解各業
務類別機關遭遇資安威脅的增減情形,相關內容詳見表 12。
綜合行政類資安威脅分析
機關業務類別
綜合行政類
近兩月平均事件量
本月 1.2
上月 1.6
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 弱點與漏洞利用
2 惡意程式類 病毒存取行為
5詳見附錄 1:機關(構)業務類別與資安責任等級說明。
16
內政衛福勞動類類資安威脅分析
機關業務類別
內政衛福勞動類
近兩月平均事件量
本月 22.4
上月 23.0
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 弱點與漏洞利用
2 惡意程式類 後門間諜行為
外交國防法務類資安威脅分析
機關業務類別
外交國防法務類
近兩月平均事件量
本月 8.3
上月 4.6
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 弱點與漏洞利用
17
交通環境資源類資安威脅分析
機關業務類別
交通環境資源類
近兩月平均事件量
本月 4.9
上月 5.5
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 弱點與漏洞利用
2 惡意程式類 疑似後門程式操作
財政主計金融類資安威脅分析
機關業務類別
財政主計金融類
近兩月平均事件量
本月 6.5
上月 7.6
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 內部主機執行掃描探測攻擊
疑似 BOT 活動行為
2 掃描刺探類 網站應用程式攻擊
密碼猜測行為
3 惡意程式類 後門間諜程式行為
18
經濟能源農業類資安威脅分析
機關業務類別
經濟能源農業類
近兩月平均事件量
本月 18.3
上月 35.6
項次 主要資安威脅 資安威脅主要觸發事件
1 掃描刺探類 弱點掃描行為
2 入侵攻擊類 弱點與漏洞利用
教育科學文化類資安威脅分析
機關業務類別
教育科學文化類
近兩月平均事件量
本月 21.9
上月 6.3
項次 主要資安威脅 資安威脅主要觸發事件
1 掃描刺探類 外部主機執行大規模弱點掃描
攻擊
2 入侵攻擊類 內部主機單次連線惡意網域
內部主機進行可疑地區連線
教育科學文化類本月事件量上升,分析發現主要為外部主機探測
機關資訊設備是否開啟 8,291 通訊埠,推測攻擊者嘗試針對
19
MikroTik 路由器作業系統進行探測,其作業系統圖形化管理介面
Winbox 模組於 107 年遭揭露存在不安全的身分驗證漏洞(CVE-
2018-14847),相關漏洞說明與防護建議詳見 107 年 9 月資安聯防
監控月報。
非行政院所屬類資安威脅分析
機關業務類別
非行政院所屬類
近兩月平均事件量
本月 2.2
上月 1.0
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 弱點與漏洞利用
2 政策規則類 內部主機疑似進行 P2P 連線
各業務類別與威脅種類交叉分析6
6表內藍色粗體數字為本月各類資安事件,紅色數字為上月各類資安事件,兩者均經各業務類別機關數量平減為平均每一
機關之事件量,事件量上升者以黃底表示,事件增加率為 10 倍以上者以紅底表示。
事件
業務
1 . 入侵 攻擊 類
2 . 惡意 程式 類
3 . 阻斷 服務 類
4 . 掃描 刺探 類
5 . 政策 規則 類
6 . 系統 服務 類
7 . 尚需 調查 類
1 ~ 7
合 計
綜合
行政
0.6 0.3 0.0 0.2 0.1 0.0 0.0 1.2
1.0 0.3 0.0 0.2 0.1 0.0 0.0 1.6
內政
衛福
勞動
6.3 6.2 3.0 3.8 2.7 0.3 0.1 22.4
5.0 8.8 4.2 3.2 1.5 0.2 0.1 23.0
外交
國防
法務
7.4 0.0 0.0 0.8 0.1 0.0 0.0 8.3
4.4 0.0 0.0 0.1 0.1 0.0 0.0 4.6
交通
環境
資源
1.9 1.5 0.0 0.8 0.1 0.0 0.6 4.9
2.5 1.1 0.0 0.9 0.1 0.0 0.9 5.5
財政
主計
金融
2.3 1.3 0.3 1.9 0.6 0.1 0.0 6.5
1.8 3.1 0.2 1.9 0.5 0.1 0.0 7.6
經濟
能源
農業
5.5 1.5 0.1 10.7 0.4 0.0 0.1 18.3
2.7 0.8 0.1 31.5 0.4 0.0 0.1 35.6
教育
科學
文化
4.7 0.1 0.0 16.3 0.4 0.4 0.0 21.9
0.7 0.2 0.0 4.9 0.3 0.2 0.0 6.3
非行
政院
所屬
1.2 0.0 0.1 0.3 0.6 0.0 0.0 2.2
0.5 0.0 0.0 0.1 0.4 0.0 0.0 1.0
合計 29.9 10.9 3.5 34.8 5.0 0.8 0.8 85.7
18.6 14.3 4.5 42.8 3.4 0.5 1.1 85.2
2.3.資安責任等級7與威脅種類交叉分析
針對政府機關資安責任等級與威脅種類進行交叉分析,以雷達圖
呈現各威脅種類分布比例,實線區域為本月,虛線區域為上月分
布,藉此瞭解各業務機關遭遇資安威脅種類分布情形,相關內容
詳見表 13 至表 15。同時將各種威脅種類事件單經各資安責任等級
機關數量平減為平均每一機關之事件量,並與上月資訊進行比
較,瞭解各資安責任等級機關遭遇資安威脅的增減情形,以利對
各資安責任等級機關提出改善建議,相關內容詳見表 16。
A 級機關資安威脅分析
機關資安責任等級
A
近兩月平均事件量
本月 112.6
上月 91.5
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 弱點與漏洞利用
2 掃描刺探類 弱點掃描行為
7詳見附錄 1:機關(構)業務類別與資安責任等級說明。
22
B 級機關資安威脅分析
機關資安責任等級
B
近兩月平均事件量
本月 5.2
上月 12.6
項次 主要資安威脅 資安威脅主要觸發事件
1 掃描刺探類 垃圾郵件 SPAM
C 級機關資安威脅分析
機關資安責任等級
C
近兩月平均事件量
本月 0.2
上月 0.1
項次 主要資安威脅 資安威脅主要觸發事件
1 入侵攻擊類 弱點與漏洞利用
2 政策規則類 內部主機疑似進行 P2P 連線
23
各資安責任等級與威脅種類交叉分析8
8表內藍色粗體數字為本月各類資安事件,紅色數字為上月各類資安事件,兩者均經各資安責任
等級機關數量平減為平均每一機關之事件量,事件量上升者以黃底表示。
事件
業務
1 . 入侵 攻擊 類
2 . 惡意 程式 類
3 . 阻斷 服務 類
4 . 掃描 刺探 類
5 . 政策 規則 類
6 . 系統 服務 類
7 . 尚需 調查 類
1 ~ 7
合 計
A 級
機 關
51.9 15.3 3.6 37.6 2.7 0.5 1.0 112.6
50.6 16.9 5.1 14.8 2.2 0.4 1.5 91.5
B 級
機 關
1.0 1.0 0.0 2.4 0.8 0.0 0.0 5.2
1.4 1.5 0.0 9.1 0.5 0.1 0.0 12.6
C 級
機 關
0.1 0.0 0.0 0.0 0.1 0.0 0.0 0.2
0.1 0.0 0.0 0.0 0.0 0.0 0.0 0.1
合 計 53.0 16.3 3.6 40.0 3.6 0.5 1.0 118.0
52.1 18.4 5.1 23.9 2.7 0.5 1.5 104.2
3. 聯防監控回饋建議
技服中心聯防監控收集之資安事件單,進行整體資安威脅趨勢與來源
分析。本章將分析結果進行彙整,提供政府機關與 SOC 業者作為資
安環境布建防禦之參考。
3.1.技服中心中繼站黑名單分析
技服中心根據 SOC 業者回傳之資安事件單,彙整中繼站黑名單情資
於各級政府機關之實際連線活躍情形,作為各機關加強監控使用。本
月中繼站黑名單情資共 294 筆不重複 IP 紀錄,統計本月事件單,來
源或目的 IP 屬於中繼站黑名單情形詳見表 17,並標示 IP 是否曾被資
安網站9列為黑名單,建議機關與 SOC 業者特別關注。
技服中心中繼站黑名單觸發情形10
編號 中繼站黑名單 IP 國別 事件單數量 事件內容
*1 5.135.213.204 FR 9 內部主機連線至惡意 IP
2 202.181.24.243 HK 3 內部主機連線至惡意 IP
3 208.109.248.8 US 2 內部主機連線至惡意 IP
4 112.217.184.90 KR 2 內部主機連線至惡意 IP
5 123.201.118.20 IN 1 內部主機連線至惡意 IP
*6 141.105.71.116 RU 1 後門/間諜程式行為
7 174.127.99.220 US 1 內部主機連線至惡意 IP
8 198.245.63.197 CA 1 內部主機連線至惡意 IP
9 203.121.170.205 TH 1 內部主機連線至惡意 IP
10 210.209.86.152 HK 1 內部主機連線至惡意 IP
11 211.232.98.9 KR 1 內部主機連線至惡意 IP
12 212.118.6.160 JO 1 內部主機連線至惡意 IP
9PassiveTotal: https://www.passivetotal.org/
VirusTotal IP Information: https://www.virustotal.com/
Google Safe Browsing: https://www.google.com/transparencyreport/safebrowsing/diagnostic/
10表內威脅來源 IP 標示星號(*)者表示曾被列入資安網站黑名單
25
3.2.聯防監控事件單威脅 IP 分析
技服中心根據 SOC 業者回傳之資安事件單,彙整事件單中威脅 IP 之
實際連線活躍情形,作為各機關加強監控使用。
本月事件單中,跨機關(4 個以上)且跨 SOC(2 個以上)之威脅來源 IP
共 15 個,詳見表 18。
跨機關且跨 SOC 威脅來源 IP
編號 事件單來源 IP 國別 跨機關數 跨 SOC 數 威脅類別 備註
1 102.165.51.154 US 6 3 掃描刺探類 暴力破解(SMTP)
2 176.121.14.189 UA 5 3 掃描刺探類 SQL 資料隱碼攻擊
3 47.254.197.180 CA 4 4 掃描刺探類 通訊埠掃描探測
4 150.109.10.183 US 4 3 掃描刺探類 暴力破解(TELNET)
5 185.53.91.93 NL 4 3 掃描刺探類 暴力破解(TELNET)
6 5.188.86.156 RU 4 2 掃描刺探類 SQL 資料隱碼攻擊
*7 114.207.112.18 KR 4 2 掃描刺探類 SQL 資料隱碼攻擊
8 176.121.14.177 UA 4 2 掃描刺探類 SQL 資料隱碼攻擊
9 176.121.14.180 UA 4 2 掃描刺探類 SQL 資料隱碼攻擊
10 176.121.14.186 UA 4 2 掃描刺探類 SQL 資料隱碼攻擊
11 188.120.231.209 RU 4 2 掃描刺探類 SQL 資料隱碼攻擊
12 193.106.29.66 UA 4 2 掃描刺探類 通訊埠掃描探測
13 54.172.146.181 US 3 3 掃描刺探類 漏洞探測(CVE-2017-5638)
14 150.109.18.17 US 3 3 掃描刺探類 暴力破解(TELNET)
15 150.109.21.164 US 3 3 掃描刺探類 暴力破解(TELNET)
針對本月入侵攻擊類事件單中,前 10 大的威脅連線來源 IP 詳見表
19,建議機關與 SOC 業者特別關注並進行處理。
入侵攻擊類事件前 10 大威脅來源 IP
編號 事件單來源 IP 國別 事件單數量 事件內容 備註
1 167.88.177.232 CA 145 弱點與漏洞利用 --
2 102.165.51.154 US 143 弱點與漏洞利用 CVE-2018-9995
3 167.88.181.46 CA 137 弱點與漏洞利用 --
4 167.88.177.251 CA 112 弱點與漏洞利用 --
5 167.88.181.17 CA 100 弱點與漏洞利用 --
26
編號 事件單來源 IP 國別 事件單數量 事件內容 備註
6 185.156.177.123 RU 136 弱點與漏洞利用 暴力破解(RDP)
7 205.205.150.2 CA 135 弱點與漏洞利用 --
8 79.9.79.36 IT 34 弱點與漏洞利用 --
9 80.82.70.187 NL 29 弱點與漏洞利用 暴力破解(VNC)
10 103.229.126.248 HK 19 弱點與漏洞利用 --
此外,針對本月惡意程式類事件單中,前 10 大的威脅連線目標 IP 詳
見表 20。
惡意程式類事件前 10 大連線目標 IP11
編號 事件單目標 IP 國別 事件單數量 事件內容 備註
*1 203.205.146.22 CN 13 後門/間諜程式行為 --
*2 209.17.68.100 US 12 後門/間諜程式行為 --
*3 23.20.239.12 US 10 後門/間諜程式行為 --
*4 203.205.218.69 CN 10 後門/間諜程式行為 --
*5 195.157.15.100 GB 10 疑似進行惡意程式連線 --
*6 199.59.242.151 US 7 後門/間諜程式行為 --
*7 203.205.151.193 CN 7 後門/間諜程式行為 --
*8 91.195.240.126 DE 6 疑似進行惡意程式連線 疑似 C2 伺服器
*9 198.71.233.254 US 5 後門/間諜程式行為 --
10 200.200.201.44 BR 4 後門/間諜程式行為 --
3.3.技服中心近期資安研究資訊
技服中心根據近期內外部情資彙整資訊,進行資安研析,本章節提
供回饋情資供機關防護參考,作為各機關聯防監控使用。
3.3.1. 機關監視系統遭外部漏洞探測行為分析
現今監視攝影機普及使用於政府機關,透過監測影像進行應用與分
析,包含治安維護、關鍵設施監視、天候環境監測、道路車流管控
及災害預防。監視系統因應管理需求,已由傳統閉路電視(Closed-
Circuit Television)封閉迴路環境轉換至網路監控攝影機 (IP
11表內威脅來源 IP 標示星號(*)者表示曾被列入資安網站黑名單
27
Camera/Network Camera),網路監控攝影機是以電腦做為系統平台,
利用網路傳輸監控影像與聲音,透過 TCP/IP 網路架構讓管理者能
方便透過網路頁面或軟體進行管理。
近期發現多個機關監視系統設定公開的網際網路 IP 位址,使系統
暴露於網路環境,可遭外部人士透過網頁 URL 進行系統存取,進
而增加監視系統遭資安攻擊之風險。機關監視系統設定公開 IP 位
址統計詳見表 21,技服中心已發布警訊通知相關機關進行處理。
機關監視系統設定公開 IP 位址統計
編號 機關業務類別 IP 數 總機關數 資安責任等級機關數
A B C
1 綜合行政 49 33 2 3 28
2 經濟能源農業 3 3 1 0 2
3 非行政院 3 1 0 0 1
4 內政衛福勞動 2 2 0 0 2
5 外交國防法務 0 0 0 0 0
6 交通環境資源 0 0 0 0 0
7 財政主計金融 0 0 0 0 0
8 教育科學文化 0 0 0 0 0
技服中心近期發現外部 IP對政府機關監視設備進行漏洞探測行為,
詳細漏洞說明請參考 EDB-3959612與 EDB-4050013,漏洞可能造成
系統資訊洩漏 (information disclosure) 、繞過系統身分驗證
(authentication bypass)、命令注入弱點(command injection)及執行遠
端執行腳本(remote code execution),相關攻擊指標(IoA)詳見表 22。
12 https://www.exploit-db.com/exploits/39596
13 https://www.exploit-db.com/exploits/40500
28
監視系統漏洞探測攻擊指標資訊
編號 攻擊指標 國家 編號 攻擊指標 國家
1 199.38.245.243 US 11 185.244.25.135 NL
2 68.183.108.6 US 12 206.189.209.61 US
3 185.244.25.151 NL 13 185.234.216.24 IE
4 46.29.162.207 RU 14 124.199.96.109 TW
5 185.244.25.106 NL 15 36.73.34.84 ID
6 134.209.255.129 DE 16 207.192.230.64 US
7 139.59.73.220 IN 17 199.38.245.214 US
8 209.52.149.41 CA 18 178.128.247.154 NL
9 91.196.149.73 UA 19 202.172.56.40 SG
10 147.135.121.117 US 20 60.48.192.193 MY
針對機關監視系統遭外部漏洞探測情境之防禦,提供相關建議措施:
1. 盤點與檢視機關內部是否使用相關監視系統,並確認是否使用
公開 IP 位址。
2. 評估機關內部管理需求,建議更改監視系統為私有 IP,且將
內網與外網做分隔,以防外來非法人士登入。
3. 系統上所有帳號需設定強健的密碼,並定期更換,非必要使用
的帳號請將其刪除或停用。
4. 建議設備前端使用應用程式防火牆(WAF)或實體網路防火牆進
行防護,採用白名單方式進行存取過濾,並監控相關設備異常
連線行為。
5. 建議進行系統安全性更新,並定期更新至最新版本。
3.3.2. 智慧家居系統弱點分析
近期發現部分機關建置智慧家居系統,詳見圖 5,共計 21 個機關
之可於網際網路直接存取服務管理與 phpMyAdmin 資料庫管理介
面,該系統 phpMyAdmin 後台頁面使用預設密碼,目前已發現部
分機關遭駭客利用此弱點上傳網頁型後門。
29
另,駭客可於登入其 phpMyAdmin 頁面後,破解取得系統管理者
帳號之密碼,登入機關智慧居家管理平台系統管理,針對機關內
部之電燈與冷氣等實體設備進行直接操作,並進行電力切斷等影
響機關實體服務。
智慧家居系統頁面
針對該智慧家居系統之防禦,以下為本中心建議措施:
1. 盤點檢視機關內部是否存在相關設備,並檢視該設備之
phpMyAdmin 介面是否暴露於網路。
2. 若確認存在該設備且具 phpMyAdmin 管理頁面,應限制該設備
僅供內部存取,且需設定強健的密碼並定期更換。
3. 請檢視網頁存取紀錄與主機應用程式日誌,分析相關異常行為
(如登入失敗、流量異常上升、非正常時間之登入行為及非預期
30
之網頁連線行為),確認設備未遭駭客入侵。
3.4.惡意電子郵件檢測分析
本章節分享惡意電子郵件檢測分析情資,並提供近期惡意電子郵
件分析,供機關資安聯防參考。
3.4.1. 電子郵件檢測分析情資
本月檢測之前 10 大惡意信件主旨、惡意檔案檔名及相關數量詳見
表 23,建議機關與 SOC 業者特別關注。
108 年 3 月惡意郵件排名列表
編號 中繼站 主旨 檔名 數量 md5
1 v39t67xz.ru Re: Order 00130897 00130897.xls 197
E4C6BF30EE02D674
5F84651D36CE1C71
7560B6F3
2 copmu.com Notice of Intending
Law suit
Notice of Court
Filing 29910-
25664-00.doc
181
48FFA3B1A810E6B5
6724221F313E7C9A
D8E09871
3 filmhd24.ru
Re: Provide Quotation
and Proforma invoice
for order QR-#345443
C:\Users\n3o\AppD
ata\Local\Temp\A.
R
142
B6D79C103B1DCC4
26DAC2D7E7E4185
C5A84A1E8B
4 secured.icbegypt.com Incomming Payment Swift.jpg.lnk.zip 102
EBD42911DACEC33
EC33B9A52427E6FF
92D7451FD
5 ruit.live
TOP URGENT-
REQUEST FOR
QUOTE
Request for
Quotation_pdf.exe 69
6ABA46FA2766C6D
E0B154B7D3E9BE1
174DF78348
6 oganiru.in
RFQ VIC-2019-3767-
MODERN
ELECTRICAL -
NOUFAL/URGENT
133981135.doc 68
274715D7DA2BECA
3401A02E36E62E29
B04C2CA17
7 ruga.africa
MV DA AN VOY 35 //
AGENT
APPOINTMENT
DA AN Ship
Particulars.xlsx 66
D416ADF06DFF929
BE41F3DA5AD9FB
BA23BE6A3F9
31
編號 中繼站 主旨 檔名 數量 md5
8 remenelectricals.com
PROFORMA
INVOICE AND
BANK DETAILS
INVOICE
256667833822.xlsx 65
1710EDD0F021702C
71E3A12B6C5D3DD
F13516DB6
9 rogamaquinaria.com
Vendor Shipping Docs
(Commercial Inv, BL
& Packing List)
Shipping Docs
(Commercial Inv,
BL & Packing
List).xlsx
60
18AD04661B5F7366
BA7725B789DB5AB
A5E26F6CD
10 sakixx.ml Inquiry - Ref. No. 34-
8636
Ref. No. 34-
8637.xls 58
C4B7D8317F4B0561
9A67972E8AE215D
D9BA4EE6F
PowerShell 惡意程式統計資訊
本月透過惡意電子郵件檢測機制蒐集 519 個含有 PowerShell 攻擊
手法之社交工程手法散播之惡意文件,偵測分布圖詳見圖 6,其橫
軸為 3 月份日期,縱軸為惡意文件數量,相關受影響之機關業務
類別詳見圖 7,資安責任等級分布詳見圖 8。
108 年 3 月內含 PowerShell 惡意文件偵測分布圖
32
108 年 3 月 PowerShell 攻擊機關業務類別分布
108 年 3 月 PowerShell 攻擊機關資安責任等級分布
PowerShell 攻擊對象分別為綜合行政類(26%)、交通環境資源類
(15%)及經濟能源農業類(14%),透過資安責任等級分類,可發現
A 級類型機關為主要的攻擊目標。
33
技服中心由 519 個 PowerShell 相關惡意文件解析出 1,240 個執行
腳本,經萃取機制取得惡意程式下載站、中繼站連線資訊及第 2
階惡意程式,其中高風險之惡意腳本數量為 374 個,低風險之惡
意腳本數量則為 67 個,剩餘腳本判斷為無風險。經分析,高風險
PowerShell 惡意腳本中,總計取得 487 個 2 階惡意程式,經防毒
靜態掃描偵測,其威脅類別分布如圖 9,分別為 EMOTET 殭屍網
路惡意程式(96%)、TROJ 木馬惡意程式(4%)。
108 年 3 月 PowerShell 下載 2 階惡意程式類型
經分析原始惡意文件取得受害偵測指標(Indicator of Compromise,
IoC) 詳見表 24,另透過分析 2 階惡意程式,取得第 2 階段的受害
偵測指標詳見表 25。
內含 Powershell 惡意文件受害偵測指標前 10 大列表
編號 受害偵測指標 相異 MD5 惡意文件數量
▪ 1 fosterscomp.com 41
34
編號 受害偵測指標 相異 MD5 惡意文件數量
▪ 2 ggrotta.com 30
▪ 3 gsgsc.com 30
▪ 4 gurleyevents.com 30
▪ 5 imagine8ni.com 30
▪ 6 mrpiratz.com 26
▪ 7 outpoststudios.com 26
▪ 8 wonderfulbrandss.com 26
▪ 9 toolbeltonline.com 21
▪ 10 ahmuhsinunlu.com 19
2 階惡意程式受害偵測指標前 10 大列表
編號 受害偵測指標 惡意 URL 惡意程式
▪ 1 181.15.177.100
http://181.15.177.100:443/attrib/cod
ec/nsip/merge/
https://181.15.177.100/attrib/schema
/nsip/
EMOTET
▪ 2 181.129.83.122
http://181.129.83.122/ringin/chunk/
nsip/
http://181.129.83.122/health/
EMOTET
▪ 3 181.170.252.83
http://181.170.252.83/balloon/rtm/ns
ip/merge/
http://181.170.252.83/acquire/arizon
a/
EMOTET
▪ 4 74.36.4.206 http://74.36.4.206/devices/chunk/nsi
p/merge/ EMOTET
35
編號 受害偵測指標 惡意 URL 惡意程式
▪ 5 toolbeltonline.com http://toolbeltonline.com/wp-
content/uploads/JZsFf/ EMOTET
▪ 6 71.43.73.58 http://71.43.73.58:443/tpt/schema/
http://71.43.73.58:443/stubs/enable/
EMOTET
TROJ
▪ 7 200.114.142.40 http://200.114.142.40:8080/devices/
badge/nsip/ EMOTET
▪ 8 216.221.73.45 https://216.221.73.45/glitch/pdf/nsip
/merge/ EMOTET
▪ 9 mireiatorrent.com http://mireiatorrent.com/wp-
includes/uSVt/ EMOTET
▪ 10 24.137.254.148 http://24.137.254.148/balloon/
http://24.137.254.148/iplk/
EMOTET
TROJ
針對 PowerShell 無檔案威脅手法攻擊,以下提供相關建議供機關
防護參考。
1. 參考表 24 與表 25 PowerShell 相關受害偵測指標資訊,評估是
否進行偵測阻擋。
2. 盤點使用者主機針對 PowerShell 檔案之執行權限(使用 Get-
ExecutionPolicy 指令),並依機關使用需求調整執行權限(使用
Set-ExecutionPolicy),亦可搭配機關 AD 架構,統一進行群組
權限設定及管理,PowerShell 權限說明詳見表 26。
3. 開啟 PowerShell 日誌記錄功能,包含啟用指令碼區塊紀錄
(Module logging)、模組紀錄(Module Load) 、指令碼區塊
ScriptBlock 及啟用轉譯紀錄(Transcription logging),記錄相關
PowerShell 執行紀錄,相關設定詳見表 27。
4. 使用事件檢視器(Event Tracing for Windows, ETW) 檢視事件記
36
錄檔,並於 Microsoft->Windows->PowerShell->Operational 下
查看相關紀錄,以白名單或已知黑名單進行偵測與分析,如
WMI 與 DLL 相關高風險項目事件,並關注表 28 中相關事件
代碼。
PowerShell 權限管理原則說明
選項 說明
Restricted 關閉 PowerShell 腳本檔執行功能,此為預設設定值。
RemoteSigned
使用者本機電腦所撰寫的腳本檔,不需要簽署就可執
行;但是從網際網路下載的腳本檔就必須經過受信任
發行者的簽署才能執行。
AllSigned 只允許執行受信任發行者簽署的 PowerShell 腳本。
Unrestricted 預設任何腳本檔皆可被執行,但是於執行網際網路下
載的腳本檔時,會先出現警告的提示視窗。
相關 PowerShell 事件稽核設定
功能說明 功能路徑
開啟模組紀錄 群組原則編輯器 - 系統管理範本 - Windows 元
件 - Windows PowerShell -開啟模組紀錄
打開 PowerShell 指令
碼區塊紀錄
群組原則編輯器 - 系統管理範本 - Windows 元
件 - Windows PowerShell - 打開 PowerShell 指令
碼區塊紀錄
(英文版為 Administrative template->Windows
Components->Widnows PowerShell->Script
BlockLogging)
打開 PowerShell 轉譯
群組原則編輯器 - 系統管理範本 - Windows 元
件 - Windows PowerShell - 打開 PowerShell 轉譯
(Administrative template->Windows Components-
>Widnows PowerShell-> Transcription logging)
37
相關 PowerShell 事件稽核
EventID 說明
4103 PowerShell V3 Module logging 紀錄
4104 PowerShell V5(Windows 7 與 Server 2008)之 Script
BlockLogging 紀錄(Module Load 與 ScriptBlock)
4105 PowerShell 命令執行開始
4106 PowerShell 命令執行結束
3.5.殭屍網路攻擊威脅情資
技服中心長期監控全球殭屍網路攻擊動向與發展趨勢,透過分析
自行蒐集之殭屍網路樣本取得進階攻擊樣態,製作殭屍網路攻擊
指標(IoA)偵測規則,並結合中心自有網路攻擊威脅誘捕系統,偵
測來自世界各地的殭屍網路攻擊情勢,除能鎖定攻擊來源 IP,亦
能藉由長期追蹤攻擊來源,辨識殭屍網路之新型態攻擊變化,以
下提供近期物聯網殭屍網路與行動裝置殭屍網路之威脅情資,供
機關進行資安聯防參考。
3.5.1. 物聯網殭屍網路
MIRAI 殭屍網路攻擊情資
MIRAI 為主要攻擊家用路由器、網路監控器等 IoT 裝置之殭屍網
路族群,根據技服中心蜜網系統於本月份捕獲之 MIRAI 殭屍網路
攻擊次數高達 8,617,064 次,其中包含許多變種類型,可見該殭屍
網路持續散布與感染各種物聯網設備,為不可忽視的威脅,以下
列出攻擊次數最多的前 5 大變種類型,占全體攻擊比例約 57%詳
見圖 10。
38
攻擊次數前 5 大變種類型比例圖
此外,依攻擊次數進行排序,提供攻擊指標(IoA)、來源國家、攻
擊次數及變種類型資訊,詳見表 29。依受害偵測指標(IoC)影響機
關進行排序,提供 IP、URL 等相關資訊,詳見表 30。
MIRAI 各變種攻擊指標排名列表
編號 攻擊指標 國家 攻擊次數 變種類型
1 104.168.138.60 US 602,400 AK1K2
2 185.244.25.164 NL 518,749 DARK
3 102.165.37.59 US 488,849 SORA
4 34.73.239.134 US 419,567 iDdosYou
5 35.193.235.224 US 259,301 iDdosYou
6 109.201.134.30 NL 257,030 OWARI
7 217.61.110.142 DE 251,546 yami
8 104.248.93.195 NL 207,070 iDdosYou
39
編號 攻擊指標 國家 攻擊次數 變種類型
9 46.101.156.58 DE 193,603 MIORI
10 185.244.25.109 NL 177,314 DARK
MIRAI 受害偵測指標影響概況
編號 受害偵測指標 惡意下載網站 URL
1 139.59.25.145 http://139.59.25.145/bins/sora.mpsl
http://139.59.25.145/bins/sora.x86
2 174.138.11.85
http://174.138.11.85/bins/September.x86
http://174.138.11.85/bins/September.arm
http://174.138.11.85/bins/September.arm7
3 104.248.39.135
http://104.248.39.135/k1ra1/kirai.x86
http://104.248.39.135/k1ra1/kirai.arm
http://104.248.39.135/kir41/kirai.x86
4 46.101.156.58 http://46.101.156.58/gaybub/miori.x86
5 68.183.83.82 http://bignets.ddns.net/k1ra1/kirai.x86
6 138.197.162.98 http://138.197.162.98/bins/x86.light
7 178.128.203.112 http://178.128.203.112/bins/bot.x86
8 194.147.32.198 http://194.147.32.198/bins/bot.x86
9 206.189.171.223 http://206.189.171.223/bins/bot.x86
針對上述惡意程式與攻擊情資,建議採取以下防護措施:
1. 建議修改設備之預設帳號密碼,並符合密碼複雜性原則,避免
遭駭客利用字典檔進行暴力破解攻擊。
2. 建議勿將設備放置於公開網路中,以免增加惡意程式透過網路
入侵的機率。
3. 建議定期更新廠商推出的最新版本韌體,確保設備免遭惡意程
式利用已知漏洞進行攻擊。
4. 建議考量該殭屍網路對機關可能造成之影響,評估是否將上述
來源 IP 納入資安設備黑名單進行偵測阻擋。
5. 建議檢視相關設備連線紀錄,觀察是否存在上述情資之來源 IP
40
連線,並進行必要應變處置。
3.5.2. 行動裝置殭屍網路
少爺殭屍網路攻擊情資
少爺殭屍網路為主要針對行動裝置進行攻擊之族群,技服中心於
本月份追蹤少爺殭屍網路之最新動向,近期駭客仍偽冒日本快遞
公司-佐川急便使用 SMS 簡訊詐騙的手法,發送惡意 APK 下載
連結誘騙使用者點擊。
此惡意連結亦包含駭客註冊的惡意域名,而盜取個人隱私資料的
惡意 APK 則藏於下載連結內,點擊則會被引導至偽冒佐川網站下
載惡意 APK,後續並以快遞服務為由,要求安裝惡意 APK。
同時,本中心也發現駭客大量註冊與佐川急便相似的惡意域名,
規則為 sagawa 再加上 2 至 5 碼隨機產生英文字母,本月追蹤駭客
持續使用之惡意域名的變化情形詳見表 31。
108 年 3 月惡意域名列表
項次 域名名稱 項次 域名名稱 項次 域名名稱
1 sagawa-hng.com 11 sagawa-vzx.com 21 sagawa-swa.com
2 sagawa-bz.com 12 sagawa-sri.com 22 sagawa-vzd.com
3 sagawa-base.com 13 sagawa-sso.com 23 sagawa-hnd.com
4 sagawa-mna.com 14 sagawa-sga.com 24 sagawa-hnl.com
5 sagawa-sgu.com 15 sagawa-smi.com 25 sagawa-sdi.com
6 sagawa-sho.com 16 sagawa-mqa.com 26 sagawa-sdu.com
7 sagawa-smo.com 17 sagawa-mqr.com 27 sagawa-sre.com
8 sagawa-vzk.com 18 sagawa-sji.com 28 sagawa-sya.com
9 sagawa-sha.com 19 sagawa-smu.com 29 sagawa-sge.com
10 sagawa-sta.com 20 sagawa-sru.com 30 sagawa-sro.com
針對上述惡意程式與攻擊情資,建議採取以下防護措施。
1. 建議避免透過第三方市集或點擊連結下載安裝來路不明的應
用程式。
41
2. 建議避免點擊來路不明簡訊之網頁連結,以免遭社交工程攻
擊,洩漏私人隱私資訊。
3. 建議考量此殭屍網路對機關可能造成之影響,評估是否將上
述惡意域名納入資安設備黑名單進行偵測阻擋。
3.6.網路潛在資安風險情資
技服中心長期關注政府機關網路潛在資訊安全風險並進行內部研
究分析,以下列出近期關注之資安風險類別分別為遠端控制類、已
知漏洞類及資料庫與檔案類,並針對各資安風險類別分享前 10 大
可疑外部 IP,供機關進行資安聯防參考。
3.6.1. 已知漏洞類風險
已知漏洞類風險為駭客透過已知資安漏洞,嘗試對機關進行入侵行
為,並針對相關威脅來源 IP 進行分析,進階找出下載站或 C2 伺服
器,其中威脅來源 IP 視為攻擊指標(IoA),下載站或 C2 伺服器則為
受害偵測指標(IoC)。表 32 彙整近期已知漏洞資訊14,依各漏洞類型
提供前 10 大攻擊指標(IoA),供機關聯防參考,詳見表 33 至表 36。
已知漏洞資訊
編號 已知漏洞類型 漏洞編號 CVSSv3.0 漏洞評鑑分數
1 WebDAV 網路協定 CVE-2018-8175 6.5
CVE-2017-7269 9.8
2 AVTECH 網路監控主機 EDB-40500 --
3 Apache Struts2 網頁框架
CVE-2018-11776 8.1
CVE-2017-12611 9.8
CVE-2017-9805 8.1
4 Drupal 內容管理系統 CVE-2019-6340 8.1
14Exploit Database: https://www.exploit-db.com/
Common Vulnerabilities and Exposures: https://cve.mitre.org/
42
編號 已知漏洞類型 漏洞編號 CVSSv3.0 漏洞評鑑分數
CVE-2018-7602 9.8
CVE-2018-7600 9.8
WebDAV 網路協定漏洞探測前 10 大威脅資訊
編號 攻擊指標 國別
1 47.52.255.202 HK
2 5.188.62.15 RU
3 47.52.93.9 HK
4 47.52.244.24 HK
5 198.11.173.103 US
6 193.112.79.249 CN
7 202.28.64.1 TH
8 132.232.63.23 CN
9 14.63.165.157 KR
10 62.234.211.243 CN
AVTECH 網路監控主機漏洞探測前 10 大威脅資訊
編號 攻擊指標 國別 受害偵測指標
1 199.38.245.243 US 46.29.162.207
2 37.48.78.43 NL 199.38.245.231
199.38.245.214
3 185.244.25.106 NL
147.135.121.113
147.135.23.231
147.135.21.158
4 185.244.25.151 NL 185.244.25.134
185.244.25.207
5 185.244.25.207 NL 185.244.25.134
6 185.244.25.135 NL --
7 134.209.54.205 US 157.230.168.17
8 134.209.255.129 DE 134.209.255.213
9 159.203.183.19 US 198.199.123.110
10 209.52.149.41 CA --
43
Apache Struts2 網頁框架漏洞探測前 10 大威脅資訊
編號 攻擊指標 國別 受害偵測指標
1 210.61.241.106 TW 169.254.126.117
2 211.72.135.242 TW --
3 1.34.136.67 TW --
4 36.91.90.247 ID --
5 36.225.64.4 TW --
6 36.225.171.4 TW --
7 122.146.59.20 TW --
8 125.227.0.181 TW --
9 140.186.203.249 US --
10 211.72.135.243 TW --
Drupal 內容管理系統漏洞探測前 10 大威脅資訊
編號 攻擊指標 國別 受害偵測指標
1 162.214.7.197 US www.ureport.lk
mariakaltner.at
2 162.144.158.227 US --
3 94.23.255.34 FR --
4 192.99.0.107 CA --
5 216.126.34.182 US --
6 192.99.15.139 CA --
7 213.97.80.165 ES --
8 192.99.35.63 CA --
9 149.56.41.138 CA --
10 108.61.21.131 US --
3.6.2. 遠端控制類風險
遠端控制類風險屬使用者透過網路協定或應用服務,進行遠端操作
系統設備行為,因此相關設備開放遠端操作服務常成為駭客攻擊目
標,進而成為受害設備遭惡意利用,機關設備如無相關管理需求,
建議關閉遠端操作服務。以下彙整近期遠端控制類別前 10 大攻擊
指標(IoA),供機關進行聯防參考,詳見表 37 至表 40。
44
RDP 遠端桌面前 10 大攻擊指標
編號 攻擊指標 國別
1 211.48.148.52 KR
2 121.135.170.180 KR
3 114.33.108.215 TW
4 211.253.25.127 KR
5 179.43.146.146 CH
6 179.43.183.170 CH
7 160.242.192.120 TG
8 51.15.191.156 FR
9 200.111.121.83 CL
10 211.119.17.220 KR
Telnet 遠端控制前 10 大攻擊指標
編號 攻擊指標 國別
1 173.249.31.29 DE
2 14.225.3.37 VN
3 61.60.192.44 TW
4 61.57.95.207 TW
5 185.165.169.63 SC
6 61.60.204.131 TW
7 37.210.184.115 QA
8 165.227.217.248 US
9 134.209.34.220 US
10 208.68.37.186 US
VNC 遠端控制前 10 大攻擊指標
編號 攻擊指標 國別
1 85.93.20.126 PL
2 84.14.109.130 US
3 89.248.172.175 NL
4 85.93.20.118 PL
5 60.249.192.116 TW
6 185.156.177.92 RU
7 104.232.39.132 US
8 104.232.39.137 US
45
編號 攻擊指標 國別
9 172.245.142.157 US
10 216.170.120.139 US
SSH 遠端控制前 10 大攻擊指標
編號 攻擊指標 國別
1 94.26.234.3 RU
2 94.26.234.6 RU
3 94.26.234.7 RU
4 185.246.128.25 RU
5 102.165.37.59 US
6 94.26.234.36 RU
7 104.168.138.60 US
8 185.244.25.164 NL
9 141.98.81.100 PA
10 5.188.87.51 IE
3.6.3. 資料庫與檔案服務類風險
資料庫與檔案服務類風險屬駭客對資料庫與檔案伺服器進行密碼
暴力破解或對資料庫已知弱點進行探測,進而對資料進行惡意利
用、資訊洩漏或加密勒索等行為,以下彙整近期資料庫類前 10 大
攻擊指標(IoA)嘗試大量登入機關資料庫與檔案伺服器行為,供機
關進行聯防參考,詳見表 41 至表 43。建議機關應設置防火牆規
則,確認個別系統僅開放所需對外提供服務之通訊埠,過濾內外
部異常網路連線。
PostgreSQL 資料庫前 10 大大量嘗試登入攻擊指標
編號 攻擊指標 國別
1 212.200.148.246 RS
2 148.251.152.172 DE
3 107.181.166.65 US
4 162.243.51.21 US
5 95.85.59.22 NL
46
編號 攻擊指標 國別
6 68.183.223.36 DE
7 18.217.150.219 US
8 159.203.127.117 US
9 162.243.7.211 US
10 192.241.135.81 US
MySQL 資料庫前 10 大大量嘗試登入攻擊指標
編號 攻擊指標 國別
1 212.200.148.246 RS
2 162.243.51.21 US
3 95.85.59.22 NL
4 216.158.226.135 US
5 68.183.96.120 US
6 35.226.195.195 US
7 192.241.190.136 US
8 129.150.98.168 US
9 45.63.8.155 US
10 207.148.27.156 US
MSSQL 資料庫前 10 大大量嘗試登入攻擊指標
編號 攻擊指標 國別
1 121.125.64.169 KR
2 61.219.113.208 TW
3 27.100.244.190 KR
4 205.209.176.209 US
5 183.110.79.176 KR
6 185.234.216.223 IE
7 66.79.179.222 US
8 23.224.185.102 US
9 125.227.102.230 TW
10 198.44.228.9 US
3.6.4. 入侵指標檢測分析
本章節分享異常流量之受害偵測指標(IoC)檢測分析情資,包含 IP
47
型與機關相關 HTTP 請求之入侵指標,供機關進行資安聯防參考,
詳見表 44。
受害偵測指標影響概況統計
編號 受害偵測指標 機關下載 URL 特徵
1 xmr-asia1.nanopool.org -- MINER
2 xmr-eu1.nanopool.org -- MINER
3 xmr-eu2.nanopool.org -- MINER
4 xmr-us-west1.nanopool.org -- MINER
5 xmr-us-east1.nanopool.org -- MINER
6 xmr-jp1.nanopool.org -- MINER
7 pool.minexmr.uk -- MINER
8 indonesias.me -- MINER
9 indonesias.website -- MINER
10 indonesiasgo.website -- MINER
11 static.125.1.202.116.clients.
your-server.de
/api/auth/getToken?user=silent&v
er=10&key=[HASH 值]
/request/autok?user=luxsoft&ver=
10&key=[HASH 值]
/request/fail?user=luxsoft&ver=10
&key=[HASH 值]
/api/silent/error?user=silent&ver=
10&key=[HASH 值]
BACKDOOR
12 storedig.shop
/wp-
content/upgrade/update/log/new/in
dex.php
BACKDOOR
13 f321y.com:8888
/buff2.dat
/docv8k.dat
/dhelper.dat
TROJAN
本月報將提供之入侵偵測指標進行分類包含 IP 與 URL 型,並彙
整於附錄 3,供機關與 SOC 業者進行聯防監控部署參考。
48
附錄 1:機關(構)業務類別與資安責任等級說明
為綜整分析各不同業務屬性之機關(構)受威脅情形,本月報將
SOC 監控之「政府機關」參考行政院業務分工區分為:內政衛福
勞動、外交國防法務、交通環境資源、財政主計金融、經濟能源
農業及教育科學文化等 6 類,再加上綜合行政(含行政院非屬前 6
類之機關及省、直轄市、縣市政府等)及非行政院(總統府、四院及
其所屬),共計 8 類(詳見表 45)。另外,依資安責任等級區分政府
機關(構)為 A、B 及 C 共 3 級機關(詳見表 46)。
各業務類別機關(構)數量15
機關(構)類型 業務類別 機關(構)個數
政府機關
綜合行政 2,437
內政衛福勞動 79
外交國防法務 159
交通環境資源 122
財政主計金融 54
經濟能源農業 102
教育科學文化 50
非行政院 77
小計 3,080
15各業務類別排序參考行政院院本部組織架構圖。
49
各資安等級機關(構)數量16
機關(構)類型 資安等級 機關(構)個數
政府機關
A 72
B 378
C 2,630
小計 3,080
16參考政府機關(構)資通安全責任等級分級作業規定。
50
附錄 2:資安事件分類說明
本月報事件分類方式,係依照 US-CERT17分為系統服務、入侵攻
擊、阻斷服務、惡意程式、政策規則、掃描刺探及尚需調查等 7
類,其定義如下:
系統服務類:為預期與非預期之設備維修或系統更新造成之中
斷服務事件。
入侵攻擊類:為系統遭攻擊成功獲取非法權限。
阻斷服務類:為遭到大量惡意阻斷服務事件。
惡意程式類:為偵測到主機含有惡意程式如:木馬、後門等。
政策規則類;為違反機關之資安政策所造成的事件。
掃描刺探類:為偵測到掃描事件或漏洞利用的非成功攻擊事
件。
尚需調查類:為可疑但跡證不足,需更多資料關聯證明是否為
資安事件。
17US-CERT: Federal Agency Incident Categories
51
附錄 3:聯防監控回饋建議入侵偵測指標彙整
1. IP 型入侵偵測指標
編號 IP 國家 編號 IP 國家
表 17 技服中心中繼站黑名單觸發情形
1 5.135.213.204 FR 7 174.127.99.220 US
2 202.181.24.243 HK 8 198.245.63.197 CA
3 208.109.248.8 US 9 203.121.170.205 TH
4 112.217.184.90 KR 10 210.209.86.152 HK
5 123.201.118.20 IN 11 211.232.98.9 KR
6 141.105.71.116 RU 12 212.118.6.160 JO
表 18 跨機關且跨 SOC 威脅來源 IP
1 102.165.51.154 US 9 176.121.14.180 UA
2 176.121.14.189 UA 10 176.121.14.186 UA
3 47.254.197.180 CA 11 188.120.231.209 RU
4 150.109.10.183 US 12 193.106.29.66 UA
5 185.53.91.93 NL 13 54.172.146.181 US
6 5.188.86.156 RU 14 150.109.18.17 US
7 114.207.112.18 KR 15 150.109.21.164 US
8 176.121.14.177 UA
表 19 入侵攻擊類事件前 10 大威脅來源 IP
1 167.88.177.232 CA 6 185.156.177.123 RU
2 102.165.51.154 US 7 205.205.150.2 CA
3 167.88.181.46 CA 8 79.9.79.36 IT
4 167.88.177.251 CA 9 80.82.70.187 NL
5 167.88.181.17 CA 10 103.229.126.248 HK
表 20 惡意程式類事件前 10 大連線目標 IP
1 203.205.146.22 CN 6 199.59.242.151 US
2 209.17.68.100 US 7 203.205.151.193 CN
3 23.20.239.12 US 8 91.195.240.126 DE
4 203.205.218.69 CN 9 198.71.233.254 US
52
編號 IP 國家 編號 IP 國家
5 195.157.15.100 GB 10 200.200.201.44 BR
表 22監視系統漏洞探測攻擊指標資訊
1 199.38.245.243 US 11 185.244.25.135 NL
2 68.183.108.6 US 12 206.189.209.61 US
3 185.244.25.151 NL 13 185.234.216.24 IE
4 46.29.162.207 RU 14 124.199.96.109 TW
5 185.244.25.106 NL 15 36.73.34.84 ID
6 134.209.255.129 DE 16 207.192.230.64 US
7 139.59.73.220 IN 17 199.38.245.214 US
8 209.52.149.41 CA 18 178.128.247.154 NL
9 91.196.149.73 UA 19 202.172.56.40 SG
10 147.135.121.117 US 20 60.48.192.193 MY
表 29MIRAI 各變種攻擊指標排名列表
1 104.168.138.60 US 6 109.201.134.30 NL
2 185.244.25.164 NL 7 217.61.110.142 DE
3 102.165.37.59 US 8 104.248.93.195 NL
4 34.73.239.134 US 9 46.101.156.58 DE
5 35.193.235.224 US 10 185.244.25.109 NL
表 33 WebDAV 網路協定漏洞探測前 10 大威脅資訊
1 47.52.255.202 HK 6 193.112.79.249 CN
2 5.188.62.15 RU 7 202.28.64.1 TH
3 47.52.93.9 HK 8 132.232.63.23 CN
4 47.52.244.24 HK 9 14.63.165.157 KR
5 198.11.173.103 US 10 62.234.211.243 CN
表 34 AVTECH 網路監控主機漏洞探測前 10 大威脅資訊
1 199.38.245.243 US 6 185.244.25.135 NL
2 37.48.78.43 NL 7 134.209.54.205 US
3 185.244.25.106 NL 8 134.209.255.129 DE
4 185.244.25.151 NL 9 159.203.183.19 US
5 185.244.25.207 NL 10 209.52.149.41 CA
53
編號 IP 國家 編號 IP 國家
表 35 Apache Struts2 網頁框架漏洞探測前 10 大威脅資訊
1 210.61.241.106 TW 6 36.225.171.4 TW
2 211.72.135.242 TW 7 122.146.59.20 TW
3 1.34.136.67 TW 8 125.227.0.181 TW
4 36.91.90.247 ID 9 140.186.203.249 US
5 36.225.64.4 TW 10 211.72.135.243 TW
表 36 Drupal 內容管理系統漏洞探測前 10 大威脅資訊
1 95.140.123.130 RS 6 51.255.152.130 FR
2 162.144.158.227 US 7 74.223.38.183 US
3 91.197.208.8 FI 8 217.107.219.112 RU
4 85.126.200.23 AT 9 212.172.221.16 DE
5 148.228.54.18 MX 10 163.172.195.235 FR
表 37 RDP 遠端桌面前 10 大攻擊指標
1 211.48.148.52 KR 6 179.43.183.170 CH
2 121.135.170.180 KR 7 160.242.192.120 TG
3 114.33.108.215 TW 8 51.15.191.156 FR
4 211.253.25.127 KR 9 200.111.121.83 CL
5 179.43.146.146 CH 10 211.119.17.220 KR
表 38 Telnet 遠端控制前 10 大攻擊指標
1 173.249.31.29 DE 6 61.60.204.131 TW
2 14.225.3.37 VN 7 37.210.184.115 QA
3 61.60.192.44 TW 8 165.227.217.248 US
4 61.57.95.207 TW 9 134.209.34.220 US
5 185.165.169.63 SC 10 208.68.37.186 US
表 39 VNC 遠端控制前 10 大攻擊指標
1 85.93.20.126 PL 6 185.156.177.92 RU
2 84.14.109.130 US 7 104.232.39.132 US
3 89.248.172.175 NL 8 104.232.39.137 US
4 85.93.20.118 PL 9 172.245.142.157 US
5 60.249.192.116 TW 10 216.170.120.139 US
54
編號 IP 國家 編號 IP 國家
表 40 SSH 遠端控制前 10 大攻擊指標
1 94.26.234.3 RU 6 94.26.234.36 RU
2 94.26.234.6 RU 7 104.168.138.60 US
3 94.26.234.7 RU 8 185.244.25.164 NL
4 185.246.128.25 RU 9 141.98.81.100 PA
5 102.165.37.59 US 10 5.188.87.51 IE
表 41 PostgreSQL 資料庫前 10 大大量嘗試登入
1 212.200.148.246 RS 6 68.183.223.36 DE
2 148.251.152.172 DE 7 18.217.150.219 US
3 107.181.166.65 US 8 159.203.127.117 US
4 162.243.51.21 US 9 162.243.7.211 US
5 95.85.59.22 NL 10 192.241.135.81 US
表 42 MySQL 資料庫前 10 大大量嘗試登入
1 212.200.148.246 RS 6 35.226.195.195 US
2 162.243.51.21 US 7 192.241.190.136 US
3 95.85.59.22 NL 8 129.150.98.168 US
4 216.158.226.135 US 9 45.63.8.155 US
5 68.183.96.120 US 10 207.148.27.156 US
表 43 MSSQL 資料庫前 10 大大量嘗試登入
1 121.125.64.169 KR 6 185.234.216.223 IE
2 61.219.113.208 TW 7 66.79.179.222 US
3 27.100.244.190 KR 8 23.224.185.102 US
4 205.209.176.209 US 9 125.227.102.230 TW
5 183.110.79.176 KR 10 198.44.228.9 US
2. DN 型入侵偵測指標
編號 DN 編號 DN
表 23 108 年 3 月惡意郵件排名列表
1 v39t67xz.ru 6 oganiru.in
2 copmu.com 7 ruga.africa
3 filmhd24.ru 8 remenelectricals.com
4 secured.icbegypt.com 9 rogamaquinaria.com
5 ruit.live 10 sakixx.ml
表 24 內含 Powershell 惡意文件受害偵測指標前 10 大列表
1 fosterscomp.com 6 mrpiratz.com
2 ggrotta.com 7 outpoststudios.com
3 gsgsc.com 8 wonderfulbrandss.com
4 gurleyevents.com 9 toolbeltonline.com
5 imagine8ni.com 10 ahmuhsinunlu.com
表 44 受害偵測指標影響概況統計
1 xmr-asia1.nanopool.org 6 xmr-jp1.nanopool.org
2 xmr-eu1.nanopool.org 7 pool.minexmr.uk
3 xmr-eu2.nanopool.org 8 indonesias.me
56
編號 DN 編號 DN
4 xmr-us-west1.nanopool.org 9 indonesias.website
5 xmr-us-east1.nanopool.org 10 indonesiasgo.website
URL 型入侵偵測指標
編號 URL 編號 URL
表 25 2 階惡意程式受害偵測指標前 10 大列表
1 http://181.15.177.100:443/attrib/codec/nsip/merge/ 9 http://71.43.73.58:443/tpt/schema/
2 https://181.15.177.100/attrib/schema/nsip/ 10 http://71.43.73.58:443/stubs/enable/
3 http://181.129.83.122/ringin/chunk/nsip/ 11 http://200.114.142.40:8080/devices/badge/nsip/
4 http://181.129.83.122/health/ 12 https://216.221.73.45/glitch/pdf/nsip/merge/
5 http://181.170.252.83/balloon/rtm/nsip/merge/ 13 http://mireiatorrent.com/wp-includes/uSVt/
6 http://181.170.252.83/acquire/arizona/ 14 http://24.137.254.148/balloon/
7 http://74.36.4.206/devices/chunk/nsip/merge/ 15 http://24.137.254.148/iplk/
8 http://toolbeltonline.com/wp-content/uploads/JZsFf/
表 30 MIRAI 受害偵測指標影響概況
1 http://139.59.25.145/bins/sora.mpsl 8 http://104.248.39.135/kir41/kirai.x86
2 http://139.59.25.145/bins/sora.x86 9 http://46.101.156.58/gaybub/miori.x86
3 http://174.138.11.85/bins/September.x86 10 http://bignets.ddns.net/k1ra1/kirai.x86
4 http://174.138.11.85/bins/September.arm 11 http://138.197.162.98/bins/x86.light
5 http://174.138.11.85/bins/September.arm7 12 http://178.128.203.112/bins/bot.x86
6 http://104.248.39.135/k1ra1/kirai.x86 13 http://194.147.32.198/bins/bot.x86
58
編號 URL 編號 URL
7 http://104.248.39.135/k1ra1/kirai.arm 14 http://206.189.171.223/bins/bot.x86
