您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
進入內容區塊

內政部警政署保安警察第一總隊全球資訊網

:::

資安訊息

發布日期:115-06-08

發布單位:保安警察第一總隊

資安週報-第 44 期(115/5/4 - 115/5/10)
資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標

事件通報:
       近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息

應留意監視器設備異常下載與可疑指令執行行為 及早發現受駭跡象
       本週總計接獲39件公務機關與特定⾮公務機關事件通報,公務機關非法⼊侵事件中以異常連線占多數。本週偵測到多起監視器遭入侵,疑似針對/cgi-bin/nobody/路徑下之CGI執行命令注入攻擊 ,並透過內建BusyBox wget指令下載惡意程式 。
       由於監視器設備受駭情境已非首次出現,建議各機關除持續落實帳密管理、韌體更新及管理介面存取限制外,亦可依設備運作情形主動檢視是否出現異常行為,例如非預期CGI存取行為、異常對外下載行為、wget或sh等可疑指令痕跡,以及 /mnt/firmware等目錄下之不明檔案 ,以利及早發現受駭跡象。

防護建議:
除修補漏洞外,應:
以攻擊為出發評估潛在風險
.攻擊者利用命令注入控制監視器設備系統惡意程式下載後建立持續性遠端控制管道

針對潛在風險執行相應改善
.定期更新設備韌體與修補漏洞,降低命令注入攻擊成功風險
.限制管理介面與CGI功能對外存取,避免設備暴露於網際網路
.強化設備行為監控機制,即時發現異常下載與可疑指令執行
.定期檢查設備目錄與執行檔,清查未授權程式與異常檔案

聯防監控:
        近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層面更大竊取資料與破壞資通系統

防禦迴避高居首位 偵測刺探仍具威脅
       本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示,本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法,占比15.5%,攻擊者通常會透過關閉或刪除指令紀錄,並利用合法的系統工具間接執行惡意命令,以達到規避監控的目的。因應此類威脅,建議導入端點防護措施,加強指令紀錄的稽核能力,限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測並消除其行為痕跡。
       「偵測刺探」事件本週占比為13.7%,為本週占比次高的攻擊階段,顯示攻擊者持續加強對目標環境的前期偵查與資訊蒐集行動。觀察到的主要手法包括IP 區段掃描、主動式掃描、以及憑證資訊蒐集。攻擊者透過自動化工具大規模掃描外部網段與公開服務,以識別可存取主機、開放埠與系統類型,同時蒐集與帳號憑證相關的資訊,作為後續登入嘗試或攻擊行動的基礎。部分活動顯示攻擊者會先進行廣泛探測,再逐步聚焦特定服務與帳號目標,以提高後續攻擊成功率。此類行為多屬攻擊前期準備階段,雖不直接造成破壞,但能有效提升後續滲透與入侵效率。建議強化對異常掃描流量與登入探測行為的監控,定期檢視對外資產暴露情形,並結合威脅情資分析掃描來源,以提前辨識潛在攻擊準備活動。

防護建議:
建議機關採取下列防護措施:

防禦迴避(Defense Evasion)
.強化端點防護機制(EDR/防毒)並定期更新規則
.啟用並保留系統與指令操作紀錄,避免遭關閉或刪除
.限制 PowerShell、PsExec、WMI 等高風險工具使用權限
.加強特權帳號管理,落實最小權限與多因素驗證(MFA)
.監控異常指令執行、程序注入與可疑系統工具使用行為
.建立集中式日誌保存機制,避免攻擊者清除本機紀錄

偵測刺探(Reconnaissance)
.強化對外服務與網段的掃描行為監控
.部署 IDS/IPS 或流量分析機制,偵測異常探測流量
.定期盤點與檢視對外暴露資產,降低攻擊面
.監控異常登入嘗試與憑證蒐集行為
.封鎖已知惡意來源IP,並結合威脅情資分析掃描來源
.針對公開服務落實弱點修補與存取限制
.建立異常掃描與探測行為告警機制

資料來源:國家資通安全研究院資安週報重點節錄