中芯數據於 2025 年 228 連假協同彰基資安主任粘良祁及資安同仁阻擋駭客攻擊,與其他資安事件不同,在駭客透過其他內部設備入侵的第一時間,中芯數據立即通知彰基同仁,使資安主任粘良祁能準確掌握駭客入侵路線及橫向位置,並針對攻擊手法進行精準化處理,成功擋下駭客 228 連假的第一波攻擊,避免發生大規模的資安事件。
馬偕醫院資安事件歷歷在目,駭客團體 Crazy Hunter 持續攻擊不同單位,近期中芯數據已協助多個單位阻擋該駭客組織的攻擊,於3月1日晚上中芯數據發現駭客透過內部其他設備進行橫向攻擊,並嘗試獲得內部高權限的帳密。以往其他案例由於沒有專業的MDR廠商,因此當帳密遭竊後,駭客可以輕易地橫向至各處進行資料竊取或加密,但透過中芯數據偵測並立即發處告警通報單,彰基同仁無需再自行調查確認,更重要的是中芯數據也於第一時間提供針對性的處理方法,讓彰基可以立即著手處理。
資安主任粘良祁表示:『透過中芯數據 MDR 通報,省下以往收到告警後,還需要單位內部資訊人員再自行調查的時間。此外,單位資訊人員倘若自行確認調查則有時候會有誤判、或是只能以詢問的方式判斷,無謂的消耗人力與時間。 現在收到通報後,資訊人員可以直接依照所建議的處理方式開始進行處置而不用調查或是再確認,極大的加快了反應速度,還避免平時收到大量誤報的可能。』
駭客組織攻擊通常是多點、多種、多層次的進行入侵,以往單位透過資安設備都會看到阻擋大量攻擊,如 5000 次、10000 次等,但真實的資安事件中,駭客的攻擊通常都是繞過這些資安設備進入到單位內部,所以真正應該處理的攻擊往往都是沒有被偵測或被阻擋的行為。
透過中芯數據的 MDR 團隊,當有異常行為時,會立即協助單位進行確認與調查,使得駭客就算利用這種單位內常見的連線方式,還是能第一時間發現並進行通報。在本次事件中,除了上述第一時間通報外,還可以在當下讓單位資訊人員快速地掌握整體狀況。
本次彰基的事件中,雖然駭客嘗試盜取多組帳號、透過不同設備以及弱點試圖入侵內部重要主機,但由於中芯數據戰情室的分析同仁專業地監控,發現當下立即通報、協助處理惡意程式、中斷惡意行為,還可以提出整體橫向擴散主機範圍,各主機異常行為及影響等,使單位資訊人員能擺脫過往瞎子摸象式緩慢且不確定的處理,輕鬆且清楚地進行應對。
最終在中芯數據分析團隊協同資安主任粘良祁和彰基資安團隊努力下,成功在連假期間阻擋駭客的第一波攻擊,中芯數據接下來將協同其他資安團隊,一起守護彰基的安全。
中芯數據資安團隊建議:
- 駭客攻擊類型多元,且於內部橫向時,經常會用內網常用之協定及 port(3389、135、445)。因此建議針對內部的連線進行控管,將非必要的連線進行阻擋,必要或無法關閉的連線需有相對應的監控方案,以分析是否為駭客攻擊 。
- 該駭客團體使用之惡意程式可能有合法簽章,駭客有機會用知名程式的簽章,如無法確認正常程式是否有遭冒用,將可能進一步遭受入侵,故單位應擁有關於簽章程式行為的監控分析配套措施。
- 單位需盡快評估對於端點行為的分析機制,如 EDR、MDR,以避免駭客透過合法設備、合法帳號、合法連線方式等進行入侵,並評估現行資安事件處理方案及平時資安告警處理方案,若上述資安處理方案沒有完整的計畫流程將使單位遭駭可能性增加,且處理上會費時費力。
從技術層面上出發,攻擊流程中,駭客可以從弱點入侵或外部獲得帳號密碼,故不會有登入失敗的行為,使一般資安人員與傳統防護方式很難發現,為有效防範此類型以合法帳號與服務的攻擊方式,建議建置針對未知惡意後門的檢測機制與因應措施,建立此機制時需特別注意以下問題:
- 每日大量告警是否有辦法進行全面確認。
- 資安人員能否分析告警是否為資安攻擊。
- 是否有人員鑽研最新的攻擊手法,針對單位進行調整。
- 如何在攻擊發生的第一時間給予佐證資料。
由於這個組織所用惡意程式及中繼站時常在更換,以往利用黑名單、病毒碼、惡意中繼站封鎖等機制可能無法長時間有效阻擋攻擊,故以上問題無法有效處理,將使駭客能輕易進行攻擊,並潛伏於單位內部,透過中芯數據IPaaS服務作為您內部資安團隊的延伸,共同防禦進階威脅。
本次資安事件 IOC:
|
惡意程式名稱 |
SHA256 |
|
appitob.exe |
17253e483d0f8c40b617f34465277e65e43378fda907e0a43121380883a30abb |
|
result.exe |
a6293cfe4193ccd4cd4717fbe14cd8c0fdf321328683f35e8a4c68bfc1d5b741 |
|
za.sys |
c38a7b26aa4fb1852ba472799bf8a98cf29f9cfc237197af8dade653ad434cf5 |
|
zaa.exe |
37a7cdf5961ebb65ed3b90a1d2cb6549e463f8ccd6df005ce98542da1905ca3b |
|
svc.exe |
e82c5eed5a30398708d83548eb2d2d2a6dd0988b7b759f4efee924ad26632e31 |
|
mssqld.exe |
7e6847a75713db7968f4343a42ac11535c1fd85db3afb1a4bc5409b5bd76bb7b |
|
beacon_x64.exe |
fe6dbeeba24ff42d076036be35ceb6787319994ac9c1d386c2d11618c4ac02a1 |
|
go.exe |
edca2f8a156d4649ed5b7025c50879e647c3d3d2d918eb0c3b710343b9ac407d |
|
hunter.exe |
2dc17e0e702af50a1b4220cbce08d03a3b2fcdcd9bde9b510471dd5fcf12085b |
|
go.exe |
9bbeccf3f218f64ea366ce52df59ca3d4324de3149b6a2e4118c3a3ec33a63cd |
|
stop.exe |
2ab1bef3c6fbab3260b2ebe713f0d0bf6e401e3eaae867f9df120662dd649e55 |
中芯數據 IPaaS 服務每年防範超過 500 筆駭客入侵事件,專門透過行為分析將繞過資安設備的駭客找出來,透過不限次數的 IR 事件調查服務,有別其他家MDR服務通報單位後仍需要單位資安人員進一步確認,甚至是單位自行決定是否為資安事件,中芯數據IR服務會針對端點上可疑行為的前後動作進行整合判斷。故就算駭客利用系統或軟體漏洞進入,甚至透過內部設備或合法管道進行入侵,中芯數據IPaaS皆能立刻發現,並立即通報提供詳細惡意程式資訊及完整的處置辦法,除了確保單位可以成功偵測到各種最新的威脅之外,處理過程中單位內的服務都能正常運行不中斷。
關於中芯數據 (CoreCloud Tech)
中芯數據為客戶提供意圖威脅即時鑑識服務(IPaaS, Intention Prediction as a Service),達到保護企業網路安全的目的。致力提供企業對抗資安威脅所需的解決方案,自從 APT 攻擊手法問世後,企業不可能只靠資安產品解決 APT這類針對性的攻擊威脅,而是需要專業資安人員判讀資安報告後,採取相對應的做法。但多數企業並沒有足夠資安人力,加上員工工作型態正朝向行動化改變,傳統閘道端防護機制早已無法迎合世代需求。 面對無所不在的資安威脅,企業唯有建置完善的網路與資安規劃建置,才能降低駭客入侵的機率。中芯數據 Cyber Defense Center 作為您企業內部資安團隊的延伸,協助企業共同防禦進階威脅。https://www.corecloud.com.tw/
熱門新聞
2025-03-03
2025-03-03
2025-03-05
2025-03-03
2025-03-05
