資安網站連結

＊TACERT 網站

＊教育機構資安通報

平台

＊教育部全民資安素

養網

＊TANet 系統安全與

惡意程式偵測技術

研發建置計畫

TACERT 資安電子季報由臺灣學術網路危機處理中心(TANet Comput-

er Emergency Response Team,簡稱 TACERT)中心負責編撰，自 2012

年度起，每季將匯整當季學術網路資安事件類型趨勢、安全性公告、

資安事件個案分析、重要資安新聞回顧等資訊，期能提供學術網路使

用者學習資安知識與能力，共同加強學術網路的防護。

T A C E R T 資安電子季報簡介

最新消息

◆ 教育部於 102 年 10 月執行「教育部 102 年度學術機構分組資通安

全通報演練計畫」，並委由臺灣學術網路危機處理中心(TACERT)

辦理。透過本次演練檢視所有機關(構)學校的資料更新程度，並了

解各區域、縣市網路中心及機關(構)學校通報反應能力。

T A C E R T 資安電子季報 - 1 0 2 年第三季

T A C E R T 資 安 電 子 季 報 - 第 三 季

目錄 :

最 新消息 1

本 季資安 事件類

型 趨勢 2

安 全性公 告 2

個 案分析 - 散 播垃

圾 郵件的 惡意程

式 m . e x e 報告

3

個 案分析 -來自手

機 簡訊的 惡意程 式

分 析報告

5

本 季重點 新聞回 顧 7

資 安新知 -惡意軟

體 「 N e t T r a v e l e r 」 8

T A C E R T 組 織介

紹 8

近期資安活動

2013/9~2013/10 102 年度資安系列競賽(財團法人資訊工業策進會)

2013/10/23~10/25 TANET 2013 臺灣網際網路研討會(教育部資訊及科

技教育司)

教育機構資安通報平台自 102 年 7 月至 9 月，共成立

2,539 張資安事件單資安事件類型大致可分為 INT

(Intrusion ，入侵攻擊)與 DEF (Deface，網頁攻擊)兩種類

型。本季 INT 類型佔所有資安事件類型中的98%，其 INT

類型(圖 2)又以「系統入侵」、「殭屍網路 BOT」及「對

外攻擊」的子類型比率最高，觀察本季學術網路資安事

件有較下降的趨勢。

DEF 類型(圖 3)以「惡意網頁」、「網頁置換」、「釣魚

網站」的子類型佔前三名。目前只要於 TANet 中偵測到

有釣魚網站、嚴重的mail spam 或其他嚴重影響網路資源

的資安事件發生，教育部電算中心會先進行封鎖作業，

以避免造成更大之危害，待受害單位完成資安事件通報

應變處理後，並通過教育部電算中心的複審確認已無安

全性風險，才可解除限制。有關 TANet ANTI-SPAM 網

址： http://rs.edu.tw/tanet/spam.html。

※ 102/07/10 微軟 7 月份發佈 7 項安全公告，請儘速更新。

※ 102/07/29 Google Chrome 存在多種弱點，請使用者儘速更新！

※ 102/08/07 播放軟體 KMPlayer 更新機制異常，請各單位注意並提高警覺！

※ 102/08/13 微軟 8 月份發佈 8 項安全公告，請儘速更新。

※ 102/08/27 中文輸入軟體「自然輸入法」高風險漏洞警訊！

※ 102/09/11 微軟 9 月份發佈 13 項安全公告，請儘速更新。

※ 102/09/14 Adobe Flash Player /AIR 存在系統存取的弱點，請使用者儘速更新！

※ 102/09/18 Adobe Reader / Acrobat 存在系統存取的弱點，請使用者儘速更新！

本季資安事件類型趨勢

安全性公告

頁 2 T A C E R T 資安 電子 季報 -第 三季

圖 1. 102 年第三季資安事件類型比例圖

圖 2. 102 年第三季 INT 子類型前三名比例圖

圖 3. 102 年第三季 DEF 子類型前三名比例圖

0

200

400

600

800

1000

1200

102/7 102/8 102/9

97% 94%

97%3% 6%

3%

DEF

INT

0

50

100

150

200

250

300

350

400

450

102/7 102/8 102/9

41% 46%

37%

26%

20%

34%

28%24%

20% 系統被入侵

殭屍電腦(Bot)

對外攻擊

0

2

4

6

8

10

12

14

16

102/7 102/8 102/9

56%

33%

27%

22%

36%

24%

17%

24%

40%

惡意網頁

網頁置換

釣魚網頁

※ 前言：

資安事件個案分析 -散播垃圾郵件的惡意程式 m . e x e 分析報告 - 1

頁 3 T A C E R T 資安 電子 季報 - 1 0 2 年 第三季

圖 4 使用 autoruns 於登錄機碼中發現 m.exe 會於開機時自動執行

一. 將此惡意程式下載於 VMware 系統執行，並側錄感

染的測試 VM主機網路流量並分析其行為，側錄時

間為 2013/05/31-2013/06/06，側錄檔 pcap 共約

1.39GB。

二. 測試 VM 主機環境：

● 作業系統： Win7 Enterprise (x64)

● IP 位址： 140.xx.xx.60

● 未安裝系統修補套件

四. 惡意程式 m.exe行為：

1. 執行 m.exe 後，該程式會自行轉變為隱藏檔執行。

2. 在 登 錄 機 碼 中 寫 入 開 機 自 動 執 行，名 稱 為

SonyAgent 試圖讓人誤以為是 SONY的相關程式，且

無供應商名稱。

3. 惡意程式m.exe 會去連結啟用許多系統的 dll 檔，以

開啟網路相關服務。位於 C:\Windows\SysWOW64

\和 C:\Windows\System32\ 共有 36 個 dll 系統檔。

4. 測試 VM 主機被開啟的 Port 及 Serivce ：

1) TCP Port 80 ：作為郵件中繼站(Mail Re-

lay)、HTTP 中繼站(HTTP Relay)

2) UDP Port 53 ：作為 DNS proxy server

圖 6 指令 netstat 顯示出本機 TCP port 80 和 UDP port 53 被啟用

通報時間: 2013-06-04 11:04:20

事件單編號: AISAC-241XX

通報機關名稱: XXXXX國民小學

影響等級: 1級

事件分類: INT

事件說明: 此 IP(210.xx.xx.90)電腦主機向外發送廣告信件。

圖 5 使用 procexp 顯示惡意程式 m.exe 執行中

※ 事件說明：

一. 透過收容惡意程式資料庫網站 Malc0de Database尋找 IP 210.xx.xx.90所感染的惡意程式為：

2013-05-21，http://audpuu5b.zeqromoj.ru/m.exe，檔圖為黃色螞蟻 。

資安事件個案分析 -散播垃圾郵件的惡意程式 m . e x e 分析報告 - 2

頁 4 T A C E R T 資安 電子 季報 - 1 0 2 年 第三季

3) 惡意程式 m.exe執行後，觀察 port和 IP的連線狀

況如下，一開始的程序會顯示 m.exe，但部分會轉

為 Unknown 的 PID=0 程序執行，較不易被發現。異

常程序都會連至外部 IP的 port 80。

5. 測試 VM 主機網路架構如圖 8所示。

6. 作為 DNS 代理伺服器 (DNS Poxy Server)：

1) 紀錄中發現很多 zbots透過此測試 VM主機去做

DNS service，主要替其他中繼站做 fast-flux網

域名稱解析。

2) 測試 VM主機收到 zbots的網域名稱 query 後，會

轉向測試 VM主機預設的 DNS伺服器(此例為

140.117.11.1 和 168.95.1.1)進行網域名稱詢問，

解析後再回覆給 zbots，因此測試 VM主機也作為

的 DNS proxy server。

3) 至少有 2145 個 zbots (112 個國家)向此測試 VM主

機做網域名稱詢問，解析出的網域名稱有 198個。

※ 建議措施：

1. 此惡意程式容易夾帶於郵件連結或各式附檔(doc,pdf,xls,…)中，應避免直接開啟。

2. 檢查主機帳密是否安全，遠端桌面連線非必要可關閉。

3. 感染惡意程式主機會被當作中繼站跳板，同時也會將自己的個人資料外洩。

4. 來路不明的檔案不要輕易開啟，可以先透過 Virustotal 進行線上掃描。

5. 時常用網路流量監看工具(netstat, tcpview, …)是否有異常流量及 Port 被啟用，以便找出可

疑的執行程式。

6. 可用程序監看工具(procexp)將該異常程式移除，可用登錄機碼工具(autoruns)檢查開機自動

執行的登錄碼有無異常。

7. 線上檢測惡意網站：

(1). https://www.virustotal.com/en/

(2). http://sitecheck.sucuri.net

(3). http://www.siteadvisor.com

Internet

Test Infected VM

DNS Server168.95.1.1

Layer 1

Zombie Bots

Step1-2: DNS Query&Reply

C&C or Relay Stations

Infected Group Hosts:A. HTTP RealyB. DNS ProxyC: Mail RelayD: Netbios Scan Mail Receivers

Step2-1: HTTP

(htm, php, exe, …)

Fast-Flux Relay

Layer 2 Layer 3

Step3-1: SPAM Mail

Step1-1: DNS Query&Reply

Step3-2: SPAM Mail Delivery

Step2-2: HTTP

(htm, php, exe, …)

Step2-3: unknown

圖 7 currport 的 port 紀錄 圖 7 currport 的 port 紀錄

圖 8 紅色主機為此測試 VM 主機

*詳細完整個案分析報告，請參閱 TACERT 網站！

※ 前言：

智慧型手機已經是目前市場主流的手持設備，可說是小型移動式電腦。該設備幾乎都能透過 WiFi 或

3G 等方式上網，然而與一般電腦不同的是，大多的使用者都不會在手機裡安裝防毒軟體，一旦被駭

客入侵可能就會造成個人資料外洩。

主要原因是因為使用者還是將智慧型手機當作是一般的手機，沒有電腦的觀念。

※ 事件經過：

1. 某網友在國內知名 BBS 站[PTT]的反詐騙版[Bunco]發文，表示自己疑似收到詐騙的 SMS簡訊。

2. 由截圖發現該簡訊會以『XXX 被偷拍的是你麼』為主旨(XXX 是該用戶姓名)，並附上一個 URL

作為連結。

3. 發信來源的門號為簡訊代轉發的公司，主要提供「手機版簡訊平台」服務讓使用者不會透露自己

發送的門號，很適合做為駭客使用。

4. 此簡訊提供網址 IP [199.101.117.21] 的國別為 US 美國 LA。

5. 實地將該網址“http://199.101.117.21/index.php”點入，透過 Firefox 的瀏覽器監看工具可以看到其

行為，是下載一個 Android 所用的程式安裝檔，其檔名為『images.apk』。

6. 先將該 APK 檔用線上 Virustotal 檢測，惡意程式的檢出比例為 2/45，確實為一個後門程式。

※ 惡意程式的測試過程：

1. 使用虛擬機器 VirtualBox 配合 Genymotion 智慧型裝置模擬器，創建一個 Andorid 4.2.2 的手機平台

2. 使用 Wireshark 側錄該設備的網路流量。

3. 使用實體 IP 並安裝該『images.apk』，安裝時的軟體名稱為“Sys Config”，且圖示為 iPhone的設

定樣式。

4. 該程式“Sys Config” 要求的隱私及存取權限有：

(1). 讀取手機狀態和識別碼。(2).SMS 簡訊的發送、讀取、編輯。(3).設備的概略位置。

(4). 修改和刪除 SD 卡的內容。(5).完整網路的存取及狀態。(6).啟動時自動執行。

(7). 測試能否存取受保護的儲存裝置。

資安事件個案分析 -來自手機簡訊的惡意程式攻擊分析報告 - 1

頁 5 T A C E R T 資安 電子 季報 - 1 0 2 年 第三季

圖 9 HTTP 的 Header 動作為 File Transfer

資安事件個案分析 -來自手機簡訊的惡意程式攻擊分析報告 - 2

頁 6 T A C E R T 資安 電子 季報 - 1 0 2 年 第三季

5. 安裝完成後會該程式無法點入，會一直出現「很抱歉，Sys Config 已停止」的訊息，此時其實已經在

背景執行網路行為，重開機後依然會出現該訊息，自動背景執行。

6. 觀察側錄的網路流量封包：

1) 透過封包分析發現該程式會一直向 IP: 216.244.79.37 的 port 80傳送資料，使用的方式為

HTTP POST。因為測試主機並無登入任何帳號和密碼，從網路行為上來看應該是會竊取個

資。

2) 該程式會將左下紅框的資料 POST 至 Server 端的 /index.php/Backdoor/task_query 下，而

Server 端成功接收後回覆 HTTP/1.1 200 OK。

3) IP [216.244.79.37] 位於美國的西雅圖，實際開啟該網站為一個 Web的登入畫面，並且顯示是

簡體中文，該主機可能是被大陸駭客用來當作跳板。

4) 網域名稱為“member.updatalook.com”的正解為 IP [216.244.79.37]，然而並無反解。

7. 觀察側錄的網路流量封包

1) 透過設備終端機指令 netstat 記錄到當時手機資料正在被傳輸給駭客，如圖 10 所示。

2) Process State :PS

8. 解決方式

1) 使用內建的應用程式管理將該程式移除「Sys Config」。

2) 更改內存的密碼，如 Google 和 Facebook等。

3) 備份個人資料至外部或雲端，通訊錄可以用 Gmail自動同步備份。

4) 若擔心惡意程式移除不乾淨，建議設備還原至原廠設定。

※ 建議措施：

1. 盡量不要安裝來路不明的軟體，除非能確定它的功能作用。

2. 安裝軟體時看注意軟體會存取的權限，避免較高權限被使用。

3. 當軟體安裝完後無法開啟或有錯誤時，先關閉網路並盡速移除。

4. 安裝不明檔案前先透過 Virustotal 進行線上掃毒，或安裝手機的防毒軟體。

5. 網路上很多論壇會提供號稱是某某破解版的 APK 供人下載，未來很有可能會被駭客用來植入

後門的一個途徑，務必小心避免個資外洩。

*詳細完整個案分析報告，請參閱 TACERT 網站！

tcp6 0 1 ::ffff:140.x.x.147:55724 ::ffff:216.244.79.37:80 CLOSE_WAIT

tcp6 0 0 ::ffff:140.x.x.147:47972 ::ffff:216.244.79.37:80 TIME_WAIT

tcp6 0 0 ::ffff:140.x.x.147:36675 ::ffff:216.244.79.37:80 TIME_WAIT

tcp6 0 0 ::ffff:140.x.x.147:60116 ::ffff:216.244.79.37:80 TIME_WAIT

tcp6 0 1 ::ffff:140.x.x.147:46847 ::ffff:74.217.75.7:443 CLOSE_WAIT

tcp6 0 0 ::ffff:140.x.x.147:48030 ::ffff:216.244.79.37:80 ESTABLISHED

tcp6 0 0 ::ffff:140.x.x.147:49093 ::ffff:216.244.79.37:80 TIME_WAIT

tcp6 0 0 ::ffff:140.x.x.147:39076 ::ffff:216.244.79.37:80 ESTABLISHED

圖 10 手機資料正在被傳輸給駭客

K M P l a y e r 官方證實遭下毒，已交調查單位 ！

如何防範勒索軟體 C y p t o L o c k e r

*新聞來源： iThome

勒索軟體-CyptoLocker透過釣魚郵件入侵，並將受害者電腦的檔案全數加密，導致檔案無法存

取，而且採用高超的加密技術，讓受害者無法自行復原，並限期 3天支付 9,000元贖金，否則

將毀損解密金鑰。基本上受害者不可能自行破解，只能放棄檔案或選擇交付贖金。

頁 7 T A C E R T 資安 電子 季報

A n d r o i d 系 統“ M a s t e r K e y ” 漏 洞 導致 更 多惡意 程 式得 以 繞過憑 證

- 本 季重 點資 安新 聞回顧

*新聞來源： iThome

韓國知名影音播放程式 KMPlayer 官方證實遭駭客攻擊，駭客利用程式更新向用戶散佈惡意程

式，全案已送交相關單位進行調查。

國家資安通報上週公告，KMPlayer 軟體更新遭駭，駭客透過假冒軟體更新向 KMPlayer 用戶散

佈惡意程式，部份用戶可能被側錄鍵盤、連線到中繼站，政府已循管道向韓國方面反映。

KMPlayer 官方上週透過該軟體向用戶發佈緊急說明，證實 KMPlayer 受到外部駭客攻擊散佈病

毒，從 7 月 26 日到 8 月 8 日下載安裝 KMPlayer 的用戶，可能遭到感染，強烈建議這些用戶儘

快以最新防毒軟體檢查電腦。

*新聞來源： Naked Security

到 102 年 8 月為止，SophosLabs 的研究員已經發現很多被稱為"Master Key"漏洞的 Android 惡意

程式樣本。"MasterKey"漏洞的運作方式是利用 Android 系統上的 app 是以 ZIP 的檔案格式，藉

由擴充的 APK (Android Package)來傳輸。APK 文件裡有一個特別命名過的子目錄，這個子目錄

裡儲存一個其他檔案檢查和(checksum)的數位簽章列表；在應用程式被安裝之前，APK 裡的文

件會被讀取，並且與被這個稱為 MANIFEST.MF 的列表做比較。假如比較的時候發現任何不符

合的項目，APK 就無法通過驗證，並且會被拒絕安裝。但是，如果你放了兩個相同檔名的 APK

檔案在你的裝置，儘管理論上對 ZIP 格式的文件這麼做是無效的，Android 系統仍然會驗證第一

個檔案，但卻安裝並使用第二個。因此，這看起來就像擁有了一把 master key。因為你可以有

效的「借用」一些第三方的封包、程式檔案、資料、程式名稱、圖示，以及數位簽章。

只要做到下面兩點，就可降低被 Android 惡意程式感染的風險： 1.只從 Google Play 商店下載

安裝 app 2.在行動裝置上使用掃毒軟體。

個人自保方法：

1.不要開啟來路不明郵件和可疑郵件的附件檔案

2.立即更新防毒軟體

3.立即執行防毒軟體掃描

4.立即備份檔案，並確保備份檔與電腦隔離

5.落實每天備份和掃毒

被駭後的緊急應變措施：

1.立即切斷受駭 PC的網路，避免災情擴大

2.更新防毒軟體，清查網內其他電腦

3.搶救還沒被加密的檔案

4.若有備份，開始復原檔案

5.用新版防毒軟體清除，或重灌電腦

電話：(07)525-0211 傳真：(07)525-1535

網路電話代表號： 98400000

電子郵件: service@cert.tanet.edu.tw

地址：高雄市鼓山區蓮海路 70 號(國立中山大學)

臺灣學術網路危機處理中心(TANet Computer Emergency Re-

sponse Team,簡稱 TACERT)於 2010 年 6 月正式成立，由教育

部委由國立中山大學進行營運。主要的任務為協助處理 TANet

各連線單位的電腦網路資通安全危安事件。除了扮演教育體系

的資訊安全應變窗口，並盡力維護台灣學術網路的使用安全。

TACERT 主要營運項目包含：(1)資安事件的通報應變(2)資安

事件的技術支援與諮詢服務(3)資安預警情資(4)資安防護教育

訓練(5)資安通報演練(6)資安電子季報。

T A C E R T 組織 介紹

資安新 知 - 惡 意軟體「 N e t T r a v e l e r 」簡介

cert.tanet.edu.tw

NetTraveler(也被稱作「Travnet」或「Netfile」)的名稱主要來自早期版本惡意軟體所出現的字串

集「NetTraveler Is Running!」，此惡意軟體被 APT 用來監視受害者，目前觀察到的已知樣本最

早在 2005 年，但是根據推論指出最早出現的活動是在 2004 年，所觀察到最大量的活動是在 2010

年到 2013 年之間。

NetTraveler 透過魚叉式網路釣魚攻擊搭配 Microsoft Office documents 已知的漏洞 CVE-2012-

0158 和 CVE-2010-3333 入侵受害者電腦，雖然微軟已經發布補釘修補這些漏洞，但是這些漏洞

仍然是有效的並且被針對性攻擊所利用。

目前 NetTraveler 主要被來自中國的威脅用來進行惡意的資料竊取工具，其主要目標包含政府機

構、大使館、石油和天然氣公司、科技研究機構、大學、私人企業、軍事程包商和行動主義者，

感興趣的領域包含空間探索、奈米技術、能源生產、核能發電、藥物與其他人之間的通訊。

雖然並沒有使用到零時差漏洞攻擊等先進的技術，但是 NetTtraveler 的攻擊者已經成功滲透世界

各地數百名目標，其中又以蒙古、印度和俄羅斯最多。

*參考資料：

卡巴斯基報告-NetTraveler(又名 Travnet)

臺灣學 術網路危機處理中 心 ( T A C E R T )

圖 11 .TACERT 網站

頁 8