投資人專區投資人專區 (7)宏碁資訊投資人專區
投資人專區投資人專區 (7)宏碁資訊投資人專區
資安通報:駭客組織使用微軟Exchange 0-Day攻擊的防護策略
資安通報:駭客組織使用微軟Exchange 0-Day攻擊的防護策略
提升防護建議
  • Microsoft 官方已經釋出 Exchange 修補檔案,請遵循 Microsoft 建議進行更新
  • 若需要近一步的協助,也可連繫趨勢科技技術支援部門 Trend Micro Technical Support.
關鍵字
時差漏洞,Exchange Server
Autodesk 2021/1最新公告
Autodesk 2021/1最新公告
Autodesk 2021/1最新公告
關鍵字
Fusion 360、Autodesk將停售盒裝軟體
宏碁資訊取得微軟Azure Expert MSP
宏碁資訊取得微軟Azure Expert MSP
台灣唯一具MSP與LSP雙認證的資訊服務廠商
以全球技術水準 協助企業部署高效雲端應用商業模式
關鍵字
MSP,MS,微軟,宏碁資訊,LSP
Skype for Business Online將於2021/7/31終止服務
Skype for Business Online將於2021/7/31終止服務
升級至Microsoft Temas 輕鬆創造高效協作環境
關鍵字
Teams,Skype, EOS , 終止服務
宏碁資訊6811今登興櫃,股價大漲超過7成
宏碁資訊6811今登興櫃,股價大漲超過7成
宏碁資訊協助經濟部順利通過「108年政府機關(構)資通安全稽核」評鑑
宏碁資訊協助經濟部順利通過「108年政府機關(構)資通安全稽核」評鑑
確保國人擁有更安全穩定的便民資通訊服務
關鍵字
宏碁資訊,AEB,經濟部,資通安全稽核,商業司
宏碁資訊6811登錄興櫃
宏碁資訊6811登錄興櫃
助攻企業數位轉型 成長動能有看頭
關鍵字
宏碁資訊,AEB,數位轉型, 興櫃, 6811
AEB宏碁資訊捐贈VR軟硬體支持東華大學沉浸式教案開發
AEB宏碁資訊捐贈VR軟硬體支持東華大學沉浸式教案開發
回饋教育體系 培育數位內容創作人才
關鍵字
宏碁資訊,AEB,東華大學,VR,虛擬實境,沈浸式
關於SolarWinds受到感染,Microsoft的建議
關於SolarWinds受到感染,Microsoft的建議
關於SolarWinds受到感染,Microsoft的建議
源起

請注意,Microsoft正在偵測複雜的資安威脅攻擊,這是包含受感染的第三方軟體(SolarWinds)。 在12月13日星期日,Microsoft Defender發佈了最新偵測機制,提醒客戶這些惡意檔案的存在,並建議隔離和觀察您的裝置。

從12月16日(星期三)太平洋標準時間下午11:00 /美國東部標準時間上午11:00開始,Microsoft變更惡意程式偵測動作,從偵測告警機制改變成直接進行惡意檔案封鎖。正如最近的威脅分析師報告-Microsoft Defender for Endpoint(windows.com)所分享。即使惡意應用程序仍在進行,依然會隔離惡意檔案

為了解決這個問題,我們強烈建議您隔離並觀察發出此警報的裝置。若特殊狀況需要使用此裝置,請執行以下動作以排除SolarWinds檔案,避免服務中斷。當您完成調查後,能夠還原這些原本設定。

執行 Microsoft Defender排除SolarWinds檔案的步驟

For manual MDAV via PowerShell InstructionsPATH Computer Configuration -> Administrative Templates -> Windows Components -> Microsoft Defender Antivirus (or Windows Defender Antivirus) -> Threats -> Specify threat alert levels at which default action should not be taken when detected.
Value name: 2147771206
Value: 6

For SCEP via GPO Instructions:PATH: Computer Configuration -> Administrative Templates -> Windows Components -> Endpoint Protection-> Threats -> 指定當偵測到時不執行預設動作的威脅警報級別。
Value name: 2147771206
Value: 6
備註:若您沒有看到「Endpoint Protection」,請查看: Manage Endpoint Protection using Group Policies - Configuration Manager | Microsoft Docs

 

For MDAV and SCEP via SCCM Instructions:

PATH:  Assets and Compliance, Endpoint Protection -> Antimalware Policies -> Threat overrides -> Enter Threat name: Trojan:MSIL/Solorigate.BR!dhaPATH:  Assets and Compliance, Endpoint Protection -> Antimalware Policies -> <Select relevant policy> -> Threat overrides -> Enter Threat name: Trojan:MSIL/Solorigate.BR!dh

Override action: Allow 

 

For MDAV via MEM using PowerShell Instructions:

利用以下內容建立Powershell script :

Set-MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

Name it: Allow_SolarWinds.ps1

Save it to e.g. c:\temp

Browse to https://endpoint.microsoft.com

Devices -> Windows -> Powershell scripts

Click on "+Add"

Name: Allow SolarWinds temporarily

Description:  Allow SolarWinds temporarily while patching.

Click on "Next"

Script location: Browse to e.g. c:\temp\Allow_SolarWinds.ps1

Run this script using the logged on credentials: No

Enforce script signature check: No

Run script in 64 bit Powershell Host: Yes

Click on Next

Scope tag: <default>

Click on Next

 

Assignments:

Click on "+Select groups to include"

Select the "Security Group" that has your Windows 10 based systems.

Click on Select

Click on Next

 

<Review>

Click on Add

 

Note:  For MEM (Intune) Powershell script troubleshooting, 請查看:C:\ProgramData\Microsoft Intune Management Extension\Logs\IntuneManagementExtension.log

For manual MDAV via PowerShell Instructions:

Launch PowerShell as Admin

Set-MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

 

For manual SCEP via PowerShell Instructions:

Launch PowerShell as Admin
Import-Module “$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1”

Set-MProtPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

 

若想取得上述說明的更新內容,請參考https://aka.ms/detect_solorigate

 

 

關於SolarWinds受到感染,趨勢科技的建議
關於SolarWinds受到感染,趨勢科技的建議
關於SolarWinds受到感染,趨勢科技的建議
影響範圍

據信,Sunburst是通過Orion網路監控程式的某一個遭駭版本散播的。根據SolarWinds的SEC檔案,攻擊者將惡意程式碼插入了合法程式碼中,因此下載該軟體的人都可能受到威脅,但此流程發生於組建過程,原始程式碼儲存庫未受影響。
根據SolarWinds SEC的檔案指出,從2020年3月至6月,有接近18,000位客戶下載了該版本。一旦該惡意程式碼出現在系統中,它將執行上述行為。包括美國政府機構在內的多個組織皆報告受到了這起攻擊的影響。

解決方案
  1. SolarWinds發出安全公告,建議所有受影響的客戶立即更新軟體至不含惡意程式碼的版本,並列出了適當的產品及其版本。
  2. 美國國土安全部在對美國政府機構的指示中命令將裝有上述軟體的系統離線,並且在重建之前不得連上網路。該指示文件將此類電腦視為遭駭機器,並要求更改電腦的帳號密碼。美國國土安全部並建議其他有使用SolarWinds Orion的組織可以考慮類似的步驟。
  3. 趨勢科技產品:
  • 病毒碼更新至16.415.00版本,可偵測與該攻擊相關的惡意檔案為:
    • Backdoor.MSIL.SUNBURST.A
    • Trojan.MSIL.SUPERNOVA.A
  • 趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址
  • 趨勢科技 Deep Security過濾規則:
    • 1010669 - Identified Malicious Domain – SolarWinds
    • 1010675 - Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
    • 1010676 - Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
  • 趨勢科技TippingPoint過濾規則:
    • 38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
    • 38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
  • 趨勢科技DDI 偵測規則:
    • 4491- SUNBURST - DNS (RESPONSE)
12/17(四) 宏碁資訊興櫃掛牌前法人說明會
12/17(四) 宏碁資訊興櫃掛牌前法人說明會
宏碁資訊於12月17日舉行興櫃掛牌前法人說明會,以「C3A+P」作為協助企業數位轉型的成長動能
關鍵字
宏碁資訊, 6811,興櫃, 數位轉型
資安通報:重大目標式勒索病毒攻擊通報
資安通報:重大目標式勒索病毒攻擊通報
IOCs與病毒碼偵測

趨勢科技產品病毒碼版本16.341.00 已可偵測下列威脅,建議您使用以下IOCs 資訊進行普查,以確認環境是有相關紀錄,若發現遭駭客入侵情況,請立即針對可疑主機進行處理。

Detection

Sha1

Ransom.Win32.DOPPELPAYMER.ZTHK-A

c79b288c4d17de5bd69386c5c022800559af1478

Trojan.Win32.DRIDEX.ZTHK-A

87919bdf11bdcd0ef8c0525ad6ad33a90e9952f8

Trojan.Win32.DRIDEX.ZTHK-A

eabaee5a1af3117f6a0feecdeec70bfd4b26fbb2

Backdoor.Win64.COBEACON.SMYXAK-A

D17E8A9A92CEC57A11750FCD4F592D810D9DFB8C

Backdoor.Win64.COBEACON.SMYXAK-A

FB6D8F187D579CF9D75979F66D7ADADC27594B7C

Backdoor.Win64.COBEACON.SMYXAK-A

C252E31043495A6C718EA83FFBBAE689F467AC8A

Backdoor.Win64.COBEACON.SMYXAK-A

7E97498B2B8E62C84FE05AD2C80B2B929228C285

Backdoor.Win64.COBEACON.SMYXAK-A

4F7E50F5744B9EE999BB11B42D2ECC0931466AE2

 
  • 中繼站清單 :

IP

Country

145.249.106.102

NL

145.249.106.99

NL

limitedhangout.wtf

N/A

www. limitedhangout.wtf

N/A

162[.]243[.]152[.]164

US

79[.]143[.]181[.]30

DE

77[.]220[.]64[.]36

IT

217[.]79[.]184[.]243

DE

 
  • 應立即修補CVE-2020-1472 (Zerologon 漏洞),並使用趨勢科技產品加強偵測與防護偵測相關規則如下:

  Product

Rule ID

Rule Name

Deep Discovery Inspector

4453

CVE-2020-1472 - Zerologon Privilege Escalation - DCERPC (Request)

4455

CVE-2020-1472 - Zerologon Privilege Escalation - SMB2 (Request)

4459

CVE-2020-1472 - Zerologon Privilege Escalation - SMB (Request)

Deep Security

1010519 

Netlogon Elevation of Privilege Vulnerability (CVE-2020-1472)

1010521 

Netlogon Elevation of Privilege Vulnerability Over SMB(CVE-2020-1472)

1010539

Identified NTLM Brute Force Attempt (ZeroLogon)(CVE-2020-1472)

Tipping Point

38166

MS-NRPC: Microsoft Windows Netlogon ZerologonAuthentication Bypass Attempt

38235

MS-NRPC: Microsoft WindowsNetrServerAuthenticate Request

 

CVE-2020-1472 弱點修補參考微軟說明, 參考連結 https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

關鍵字
勒索病毒
宏碁資訊通過ISO 45001+14001驗證
宏碁資訊通過ISO 45001+14001驗證
宏碁資訊持續打造幸福企業 通過ISO 45001+14001驗證
宏碁資訊助力中信兄弟導入台灣職棒賽事第一張電子票券
宏碁資訊助力中信兄弟導入台灣職棒賽事第一張電子票券
優化球迷觀賽購票體驗 掌握數位消費軌跡
關鍵字
宏碁資訊,兄弟,職棒,購票
宏碁資訊獲得遠傳頒發 2020「永續楷模獎」
宏碁資訊獲得遠傳頒發 2020「永續楷模獎」
善盡公民社會責任 企業永續經營意圖的表彰
關鍵字
宏碁資訊,遠傳,CSR,永續
103::  
103 :  1   2   3   4   5   6   7  : :