粉絲團
藉自動更新系統散佈惡意程式 建立殭屍大軍 企業及政府請盡快建置重要主機異動監控機制
南韓最高政治中心青瓦台網站於昨日爆發網站遭受駭客攻擊,導致網頁被置換並關閉事件,引起全球矚目。根據趨勢科技全球病毒防治中心 Trend Labs 的最新研究發現,韓國雲端儲存服務軟體「 SimDisk 」伺服器在此波攻擊中疑似遭駭客攻擊並置入檔名為「 SimDiskup exe. 」的惡意程式,其透過自動更新系統散佈至使用者端,試圖造成大量的感染,成為受駭客控制的網路「殭屍大軍」,進一步發動 DDoS 攻擊試圖癱瘓政府網站。
根據趨勢科技 Trend Labs 最新分析發現,駭客攻擊韓國雲端儲存服務廠商「 SimDisk 」的伺服器並取得控制權後,即置換「 SimDisk exe. 」執行檔,並透過自動更新系統散佈一隻名為「 SimDiskup exe. 」的惡意程式至使用者端,一旦更新下載完成,此裝置將遭惡意程式感染,該惡意程式會連回特定網址接收指令,並下載另一隻名為 DDOS_DIDKR.A 的惡意程式,以培養網路「殭屍大軍」,並運用這些受感染裝置針對政府網站發動 DDoS 攻擊,以癱瘓目標網站。
趨勢科技資深顧問簡勝財表示:「這次的攻擊手法鎖定伺服器弱點,在取得伺服器控制權後方能透過樞紐系統,如自動更新系統可快速而廣泛的散佈至使用者端。我們強烈建議政府機構與企業應該重視伺服器資安維護,並同步進行自身 IT 資安能力檢測,以避免成為此波或下波攻擊的受害者。同時,當企業或一般消費者在下載使用這類免付費軟體前應審慎思考其安全性,才能將受駭機率降到最低。」
面對匿名者駭客組織發動的全球性攻擊,趨勢科技建議雲端服務商、企業與政府可加強對網路流量、 Login 日誌以及伺服器等的監控,將企業內外部的資訊流量與行為透明化,並於企業內部的重要主機建立檔案異動監控機制,並確保企業內伺服器與 IT 系統都已經更新俱備最新防護。
