【资讯处-转知】 (ANA事件单通知:TACERT-ANA-2021061010063434)(【资安讯息】日本NISC分享勒索软件攻击警示与防护建议,供参考运用)

发布编号:TACERT-ANA-2021061010063434

发布时间:2021-06-10 10:09:35

事故类型:ANA-资安讯息

发现时间:2021-06-09 16:16:36

影响等级:低

 

[主旨说明:]

【资安讯息】日本NISC分享勒索软件攻击警示与防护建议,供各会员参考运用

 

[内容说明:]

转发 国家资安资讯分享与分析中心 资安讯息警讯 NISAC-ANA-202106-0512

日本NISC近期分享勒索软件攻击与防护建议予其关键基础设施营运商,技服中心综整防护建议供各会员参考运用,详见建议措施。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

N/A

 

[建议措施:]

1. 【预防】防止勒索软件感染近期勒索软件入侵途径包含以下5种管道:

    (1) 经由网际网络直接攻击连网设备之漏洞。

    (2) 利用特定通讯协定(RDP、SMB)或已知漏洞进行攻击。

    (3) 因应疫情建构之远距办公环境资安防护不足。

    (4) 从海外据点等资安防护较弱的地点进行攻击。

    (5) 透过其他恶意软件进行感染。

    因应前述勒索攻击之可能途径,建议采取以下防护措施:

      (1) 检视对外服务主机之安全性

      应尽速进行安全性更新、管控外部管理主机之功能、仅开放必要服务并关闭不必要之通讯埠(如137, 138, 139, 445, 3389等)、落实IT资产管理。

      针对SMB与 RDP等通讯协定应采「原则禁止,例外开放」政策,启用SMB时亦应禁用SMBv1协定,请重新检视包括防火墙在内的对外服务主机均符合前述设定。

      (2) 请关注以下已知被勒索软件利用的软件与设备漏洞,并及时进行修补:

        ■ Fortinet VPN 设备漏洞 (CVE-2018-13379)

        ■ Ivanti VPN 设备Pulse Connect Secure 漏洞 (CVE-2021-22893、CVE-2020-8260、CVE-2020-8243、CVE-2019-11510)

        ■ Citrix Application Delivery Controller、Citrix Gateway、Citrix SD-WAN WANOP 漏洞 (CVE-2019-19781)

        ■ Microsoft Exchange Server 漏洞 (CVE-2021-26855 等)

        ■ SonicWall SMA100 漏洞 (CVE-2021-20016)

        ■ QNAP NAS 漏洞 (CVE-2021-28799、CVE-2020-36195、CVE-2020-2509 等)

        ■ Windows Domain Controller 漏洞 (CVE-2020-1472等)

      (3) 针对远距办公携出、长期休假等长时间未受到组织管控之电脑,在重新使用前应立即进行安全性修补、病毒扫描等防护措施。

      (4) 近期发现Emotet恶意程式的后继者IcedID恶意程式,会透过电子邮件进行攻击,各防毒软件已制作病毒码,应及时进行防毒软件更新、执行定期扫描、建立电子邮件防护机制等防护措施。

2. 【预防】降低资料加密造成之损害

    备份虽为对抗勒索软件之有效措施,惟骇客为增加取得赎金之机会,会先窃取机敏资料后再进行资料加密,若被骇者不缴付赎金,即公开机敏资料。面对前述双重勒索之攻击,应重新检视与制定严格的机敏资料管理措施,相关防护措施如下:

    (1) 确认定期备份机制与设定

    确认即使在勒索软件感染的情况下,备份资料也受到保护。例如采取3-2-1备份原则,将资料复制3份备份,保存在2种不同类型的储存媒体,并将其中1份备份离线存放。

    (2) 确认备份资料可有效还原。

    (3) 针对机敏资料进行存取控制管控与资料加密。

    (4) 确认组织已制定系统重建与资料还原计画,并妥善施行。

3. 【侦测】及时侦测未授权之存取行为

    组织应考设置专职之监控人员或透过自动化机制快速侦测未经授权之存取行为,防护措施如下:

    (1) 加强对服务器、网络设备及个人电脑等设备之日志监控。

    (2) 可利用端点侦测及回应机制(Endpoint Detection and Response, EDR)、持续诊断与缓解机制(Continuous Diagnostics and Mitigation, CDM)等加强侦测异常行为。

4. 【应变/复原】快速事件应变处理

    组织应建立统一之事件应变处理机制,以利于遭受勒索软件攻击时,冷静进行事件应变处理,防护措施如下:

    (1) 确认组织已制定勒索软件应变计画,包含资料加密、资料外洩及阻断服务等攻击之应变处理与营运持续计画。

    (2) 确认组织员工发现勒索软件感染迹象时,能及时联系系统管理人员。

    (3) 确认组织内外部连系管道与沟通机制,以便于遭勒索软件攻击时,可迅速连系相关利害关系单位(包括承包商、相关组织及政府机关等)。

 

[参考资料:]

日本NISC情资原文

(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。

教育机构资安通报应变小组

网址:https://info.cert.tanet.edu.tw/

专线电话:07-5250211

网络电话:98400000

E-Mail:service@cert.tanet.edu.tw

编辑