Sep. 25, 2020
資安研討會
親愛的客戶,您好:
【內文要點】
1. 政府機關將VPN帳號供資訊服務供應商進行遠端操作與維運,因此駭客便從該單位的委外廠商入侵。
2. 駭客從政府機關委外的資訊服務供應商開始入侵,之後控制AD伺服器,藉由GPO群組原則將惡意程式派送到每一臺電腦。
完整揭露中油、台塑遭勒索軟體攻擊事件調查結果,駭客集團入侵途徑大公開【新聞來源:iThome】
【內文要點】 根據調查局偵辦的結果,駭客首先從Web伺服器、員工電腦等途徑,入侵公司系統長期潛伏及探測,而後竊取帳號權限,進入AD伺服器,利用凌晨時段竄改群組派送原則(GPO),同時預埋lc.tmp惡意程式到內部伺服器中,等到員工上班打開電腦後,電腦立即套用遭竄改的GPO,依據指令就會自動將勒索軟體載到記憶體中來執行。最後檔案加密成功,再顯示勒索訊息及聯絡電子信箱,向企業勒索贖金。
歡迎參加商丞科技2020年9月25日 『Preempt身份識別與防止威脅存取平台與Cimtrak檔案完整性監控 (FIM)、系統設定監測、防止竄改(勒索)軟體』網路視訊研討會。
讓您防止網頁被竄改移入惡意程式碼、監控Windows AD異動、啟用多因子身分確認、分析VPN遠端與內部連線行為、偵測可疑行為並攻擊並阻斷蛙跳(橫向移動lateral movement)。
一、Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP):洞察身份與風險、即時行為分析與偵測威脅、有條件的存取Conditional Access軟體
1. 許多客戶雖有導入特權帳號管理軟體,可是因為下列原因無法發揮應有功能去保護系統並成為駭客入侵的入門捷徑:
需要管理特權帳號的個人電腦、主機與網路設備的數量龐大,可是因為預算問題沒有完整納入管理而造成入侵漏洞
許多客戶的現有應用軟體、第三方系統管理工具(如備份、稽核軟體)的執行,如納入特權帳號管理來自動更改密碼,因密碼是Hard Code寫死在軟體中,如果特權帳號管理軟體更改了密碼,將造成服務無法啟用
2. 駭客一旦入侵後,將使用被盜的憑證關閉惡意軟體偵測服務,下載用於盜竊憑證、持續性、偵察與其他活動的工具,清除事件日誌並進行偵察與蛙跳(橫向移動lateral movement)
4.
Preempt可以偵測並保護NETLOGON protocol (CVE-2020-1472) 漏洞所導致的駭客攻擊。
【資料來源】
5. Windows重大漏洞Zerologon可讓駭客輕易掌控AD網域 (位於Netlogon遠端協定的CVE-2020-1472漏洞,可讓未授權使用者取得管理員權限來控制整個網域。駭客一旦開採成功便能駭入,並控制公司Active Directory網域,危及所有連網電腦。微軟在8月Patch Tuesday發布第一階段修補,預計明年第一季進行更完整的修補。
【資料來源】
Preempt是業界唯一的使用者行為分析防火牆 Behavior Firewall,可持續追蹤企業每個實體的身份、異常行為與風險,並根據風險自動調整反應。在不中斷用戶工作效率的情況下,盤問身分或重定向異常或危險行為。如果風險增加,該解決方案可以減少用戶權限、強制更改密碼或最終根據策略阻止
Preempt持續監控網路和所有實體,以識別入侵的跡象。透過將多因子身份驗證MFA ,擴展到任何應用程式或網路資源,Preempt可盤問可能受到攻擊的帳號,以便在沒有任何管理員參與的情況下自動確認或解決事件。當他們的憑證被濫用時,可向有效用戶發出警報,可減少可疑用戶的權限,並可自動阻止已確認的威脅以防止破壞或資料丟失
被竊取的帳號與設備-防止惡意軟體、勒索軟體或攻擊者使用被竊取的用戶憑證、設備或服務帳號來攻擊網路
橫向移動-識別並阻止橫向移動(蛙跳)技術,如傳遞雜湊Pass-the-Hash與特權升級 Privilege Escalation
基礎架構攻擊-防止暴力攻擊、偽造PAC檔、嘗試蒐集Active Directory資料及先進持續威脅APT(如黃金票證 Golden Ticket),這些攻擊可以允許攻擊者無限期存取網路上的任何資源
第三方用戶-當供應商、承包商或合作夥伴等,第三方存取敏感伺服器時,防止或請求批准
二、CIMTRAK FIM:檔案完整性監控、即時偵測異動、防止竄改(勒索)重要資料與設定、快速復原軟體
Cimcor公司是完整性驗證的領導者-安全性、法規遵循與卓越營運
市場上唯一同時提供即時異動偵測、自動復原與防止覆蓋竄改等三種功能的同類型產品
市場上第一套即時檔案完整性監控系統(已獲得專利)
唯一可提供即時返轉Roll-back與還原Restoration的完整性監控系統
唯一在工具中完全整合的票務系統的檔案完整性監控
唯一具有防止異動功能的完整性管理工具
世界上第一家也是唯一一家,通過通用標準認證的EAL(評估等級保證)Level 4+的完整性軟體
唯一被列入美國國防資訊系統局,統一功能批准產品清單的完整性軟體
第一款獲得連續診斷與緩解 Continuous Diagnostics & Mitigation(CDM)批准的完整性管理產品
支援伺服器、網路設備、工作站與POS系統、資料庫、Active Directory / LDAP、PCI 設定、雲端設定(Azure、Google Cloud、Oracle Cloud、Amazon Web Services)、VMware ESX / ESXi設定、Kubernettes設定與Docker設定等廣泛的基礎設施
選購訂閱Trusted File Registry™: 保護您的Windows、Linux作業系統,並提供可信賴的檔案登記Trusted File Registry,防止軟體更新(如Windows Security update) Patch時誤判
異動時即時通知:讓您深入了解您的IT環境中發生的情況
自動啟動更正:讓您能夠採取即時、自動的更正,以補救或完全阻止異動
協助客戶符合SWIFT CSP、NYDFS(23 NYCRR Part 500)、PCI DSS、ISO 27001、NIST 800-171等標準的法規要求
防止網頁被竄改移入惡意程式碼、監控 Windows AD 下列的異動:
Creation and deletion of all objects
Changes in group membership
Changes in directory service object properties
Reset password
Lock/Unlock accounts
Create or delete account
Enable or disable account
Group membership changes
Change GPO
歡迎您的蒞臨指導。
會議時間:2020年09月25日 週五下午 14:00 ~ 16:00
會議方式: Zoom 網路視訊研討會
聯絡人: Gina Kao 高碧真小姐
電話:2914-8001 分機2227
報名方式: 請以電子郵件報名
(請按此)。
無法參加,但對產品有規劃需求,請與我們連絡。
< 新聞中心