資安一周第73期：勒索軟體與物聯網安全議題持續成焦點，除了建議受害企業不付贖金，FBI警告家用IoT勿與筆電連在同一Wi-Fi網路

1212-1218一定要看的資安新聞

勒索軟體

勒索軟體演化出新手法，將電腦以安全模式重開機以躲過防毒偵測

圖片來源／擷取自SophosLabs

Sophos研究團隊SophosLabs自2018年夏天發現Snatch勒索軟體，今年10月再次偵測到這隻軟體時，它已演化出可在Windows電腦安全模式下運作的能力，能讓電腦在重新開機進入安全模式之際，再對檔案執行加密。SophosLabs認為，這種能力使得這隻勒索軟體更加危險，因為安全模式下，防毒軟體通常不會啟動。

經由種種線索，安全公司判斷Snatch背後是使用俄語的駭客組織，主要鎖定企業攻擊，會將受害系統磁碟上的資訊加密以勒索，而被加密的檔案都會多出.abcde的副檔名，目前美國、加拿大和幾個歐洲國家，都有感染的企業通報。SophosLabs分析其程式碼得知，Snatch透過暴力破解公開於網際網路的服務，如RDP、VNC、TeamViewer，或以WebShell或SQL Injection手法滲透入企業網路，之後在內部散布。更多內容

殭屍病毒、物聯網安全

新版Echobot殭屍病毒所使用的漏洞攻擊程式增加到77個

圖片來源／擷取自Carlos Brendel's Twitter

基於Mirai程式碼的新一代殭屍病毒Echobot，於今年初快速崛起，安全研究人員Carlos Brendel在12月12日指出，Echobot殭屍病毒所利用的漏洞攻擊程式數量已達到77種，比6月其他研究人員發現的26種更多。而這些攻擊程式不僅鎖定了路由器、IP攝影機，還包括VoIP電話、展示系統、智慧家庭控制器、軟體、資料分析平臺、NAS，甚至是生物辨識掃描器。關於Echobot的目的，與其他殭屍病毒一樣，是感染眾多裝置並形成殭屍網路，進而利用對這些裝置的控制權，來發動大規模的分散式服務阻斷攻擊。更多內容

物聯網安全

FBI警告筆電不應和物聯網裝置共用Wi-Fi網路

圖片來源／擷取自FBI

隨著智慧家電及物聯網應用興起，一般用戶也成駭客下手的目標。美國聯邦調查局（FBI）本周呼籲大眾，連網攝影機、遊戲機及智慧喇叭等物聯網裝置，切記別和筆電設於同一Wi-Fi網路。

FBI指出，這些各式新興家用資訊裝置，將可能以消費者不知道的方式蒐集資訊，並傳到不明去處，還會讓駭客透過駭入上述IoT裝置入侵Wi-Fi網路，再經由家用路由器擴散到各個連網裝置，包括儲存隱私資訊和密碼的筆電。同時，FBI也再次呼籲用戶應變更所有IoT裝置的預設密碼，密碼不要共用且愈長愈好，並檢查IoT裝置搭配的App的資訊蒐集設定，關閉不必要的存取權限。此外，用戶也應啟動IoT裝置的自動更新，確保升級到最新版本軟體及韌體。更多內容

企業雲端帳號安全

G Suite在2020年6月將強制第三方App支援OAuth

Google祭出強化G Suite帳號安全措施，要求企業用戶使用支援OAuth協定的第三方App，才能存取G suite帳號。例如，Google指出，企業員工可能想用iOS郵件App，收發工作相關郵件，但這可能讓G Suite帳號陷入被劫持的風險。由於這類存取方式只驗證帳號、密碼，若帳密因為用戶和其他網站共用密碼而被駭客取得，駭客就可以直接存取G Suite相關資訊。若App支援OAuth協定，將讓G Suite可以獲取更多登入資訊，以防止帳密為第三人所用，而且，OAuth也允許G Suite執行管理員定義的登入政策，像是用硬體金鑰或啟用白名單等安全管控。這項措施將分二階段實施，在2020年6月15日，用戶不得新增未支援OAuth的第三方App存取G Suite帳號，到了2021年2月15日，將全面禁止任何不支援OAuth協定的第三方App。此外，微軟在之前也已經宣布，將在2020年10月13日禁止只有帳密驗證的第三方App存取Office 365/Exchange Online。更多內容

全球駭客搶旗攻防賽

DEF CON CTF主辦人在HITCON CTF論壇，首度公開PWN College開源課程

圖片來源／黃彥棻攝、擷取自PWN College

該如何透過現在流行的搶旗攻防賽（CTF），吸引更多對資安有興趣的資安人才呢？DEF CON CTF主辦單位O.O.O.（Order of the Overflow）主辦者，也同時是美國亞歷桑納州立大學資工系教授Yan Shoshitaishvili（網路暱稱Zardus），於日前參加在臺舉辦的HITCON CTF論壇時，正式宣布將他在大學開設的PWN College課程，透過開源方式釋出，希望可以作為全世界培育資安人才的入門教材。而這個開源專案用在教育領域是可以授權免費使用，但如果企業有興趣用來作內部的資安基礎訓練課程，也有企業授權方案供其使用。在HITCON CTF論壇之外，期間還有HITCON CTF（搶旗攻防賽）決賽在進行，由來自10個國家、加上臺灣的Balsn CTF決賽冠軍，以及趨勢科技CTF決賽冠軍，總計14個隊伍一起參賽，最終由中國隊Tea Deliverers獲得冠軍，並直接獲得晉級2020 DEF CON CTF決賽的資格。更多內容

勒索軟體

微軟認為企業支付勒索軟體贖金，難脫助長網路犯罪之嫌

近年勒索軟體肆虐政府機關或企業的事件頻傳，似乎付不付贖金都難辦。事實上，對於勒索軟體受害者，包括NoMoreRamsom組織，以及許多資安專家都曾建議，付贖金是最不被建議的選項，過去FBI雖曾在2015年建議企業付款花錢消災，但今年，FBI已改變態度，認為支付贖金並不是好方法。然而，市場上也有一些資安業者的業務，就是協助企業付贖金以救回檔案。對於這樣的問題，微軟也抱持不建議付贖金的看法，在12月16日，微軟偵測及回應團隊（DART）資深網路安全顧問Ola Peters指出，他們不建議企業或政府機關支付贖金，以免助長網路犯罪，並建議企業用戶，應將管理權限帳密和一般使用者的帳密切分，使用多因素驗證、特權存取管理方案，並要定期備份公司的關鍵系統、應用及檔案並定期測試，確保事件發生時能有效復原檔案系統。更多內容

勒索軟體

美國路易斯安那州今年三度遭勒索軟體攻擊，近日紐奧良市宣布進入緊急狀態

圖片來源／擷取自LaToya Cantrell's Twitter、nola.gov

繼路易斯安那州因勒索病毒攻擊在7月宣布全州進入緊急狀態（Emergency Declaration），位於該州南部的紐奧良市，在12月13日（上週五）傳出政府電腦檔案遭勒索加密勒贖，疑似是Ryuk的勒索軟體，而這次事件也成為該州今年以來第3次攻擊事件。由於此次事件對紐奧良市造成極大影響，紐奧良市長LaToya Cantrell宣布進入緊急狀態，並在推特上持續公布新的情況，例如，他在12月16日（本週一）指出，該市政府網站（http://nola.gov）仍然關閉，但他們已經架設了一個臨時的網站，以供民眾支付停車費、影像拍攝的違規罰單，繳納停車稅、銷售及使用稅，以及提供311非緊急市政服務的臨時管道。更多內容

資安教育訓練、銀行公會

銀行公會推動金融資安聯防教育訓練，包含7大實務面的內容

為協助臺灣的銀行業者提升資安防護能量，強化成員的資安意識，中華民國銀行商業同業公會（銀行公會）在12月11日到13日，首次舉辦資安聯防相關教育訓練計畫，讓會員能免費報名參與，提供實務面的訓練內容，包括金融資安治理與管理、資安風險管理與稽核、行動應用程式弱點與防護、滲透測試服務與防護、數位鑑識服務與處理，以及資安事故處理與防護演練。

對於教育訓練計畫的未來發展，銀行公會金融業務電子化委員會主任委員朱永榕表示，他們預計在未來一年或一年半內，還會持續舉辦四次這樣的訓練課程，期望讓銀行業者學習到更多資安實務，並落實到日常工作。此外，銀行公會現已成立了CSIRT輔導小組，期望帶動會員發展，並強調落實資通安全聯防機制的重要性。更多內容

資安預測

趨勢科技在臺公布2020資安預測，BEC詐騙、IoT攻擊手法更複雜

圖片來源／羅正漢攝

對於即將到來的2020年，趨勢科技在11月發布下一年的資安預測報告，他們根據複雜、暴露、配置錯誤與防禦性這四大面向，列出未來要注意的17個安全議題。近日，臺灣趨勢科技在一場活動上，公布他們從此報告整理出的資安威脅重點。

趨勢科技臺灣區暨香港區總經理洪偉淦表示，從整體威脅來看，雖然許多新的科技正被討論，不過，現行主要面對的還是傳統環境之下的威脅。他指出，近年時常談及的勒索軟體、APT攻擊並未減緩，但攻擊手法會變得更複雜，勒索軟體攻擊也成常態，而在IoT與5G的發展之下，新的資安挑戰也將隨之出現，此外，由於企業雲端使用比例提升，錯誤設定所引發的資料外洩事件，將會更為普遍。更多內容 

更多資安動態
●載有2.9萬名臉書員工資料的硬碟遭歹徒從車內竊走
●Visa警告：加油站POS系統成為FIN8駭客集團的新目標
●Mozilla要求Firefox外掛開發商啟用2FA
●部分英特爾CPU存在Plundervolt漏洞，駭客可透過操縱電壓來偷取敏感資料
●微軟Patch Tuesday列出36個安全漏洞
●駭客入侵Ring監視器，嚇壞家中小孩