投資人專區投資人專區 (8)宏碁資訊投資人專區
AdobeAdobe (11)創意的未來,由 Adobe 提供技術支援
投資人專區投資人專區 (8)宏碁資訊投資人專區
AdobeAdobe (11)創意的未來,由 Adobe 提供技術支援
宏碁資訊協助經濟部順利通過「108年政府機關(構)資通安全稽核」評鑑
宏碁資訊協助經濟部順利通過「108年政府機關(構)資通安全稽核」評鑑
確保國人擁有更安全穩定的便民資通訊服務
關鍵字
宏碁資訊,AEB,經濟部,資通安全稽核,商業司
宏碁資訊6811登錄興櫃
宏碁資訊6811登錄興櫃
助攻企業數位轉型 成長動能有看頭
關鍵字
宏碁資訊,AEB,數位轉型, 興櫃, 6811
AEB宏碁資訊捐贈VR軟硬體支持東華大學沉浸式教案開發
AEB宏碁資訊捐贈VR軟硬體支持東華大學沉浸式教案開發
回饋教育體系 培育數位內容創作人才
關鍵字
宏碁資訊,AEB,東華大學,VR,虛擬實境,沈浸式
關於SolarWinds受到感染,Microsoft的建議
關於SolarWinds受到感染,Microsoft的建議
關於SolarWinds受到感染,Microsoft的建議
源起

請注意,Microsoft正在偵測複雜的資安威脅攻擊,這是包含受感染的第三方軟體(SolarWinds)。 在12月13日星期日,Microsoft Defender發佈了最新偵測機制,提醒客戶這些惡意檔案的存在,並建議隔離和觀察您的裝置。

從12月16日(星期三)太平洋標準時間下午11:00 /美國東部標準時間上午11:00開始,Microsoft變更惡意程式偵測動作,從偵測告警機制改變成直接進行惡意檔案封鎖。正如最近的威脅分析師報告-Microsoft Defender for Endpoint(windows.com)所分享。即使惡意應用程序仍在進行,依然會隔離惡意檔案

為了解決這個問題,我們強烈建議您隔離並觀察發出此警報的裝置。若特殊狀況需要使用此裝置,請執行以下動作以排除SolarWinds檔案,避免服務中斷。當您完成調查後,能夠還原這些原本設定。

執行 Microsoft Defender排除SolarWinds檔案的步驟

For manual MDAV via PowerShell InstructionsPATH Computer Configuration -> Administrative Templates -> Windows Components -> Microsoft Defender Antivirus (or Windows Defender Antivirus) -> Threats -> Specify threat alert levels at which default action should not be taken when detected.
Value name: 2147771206
Value: 6

For SCEP via GPO Instructions:PATH: Computer Configuration -> Administrative Templates -> Windows Components -> Endpoint Protection-> Threats -> 指定當偵測到時不執行預設動作的威脅警報級別。
Value name: 2147771206
Value: 6
備註:若您沒有看到「Endpoint Protection」,請查看: Manage Endpoint Protection using Group Policies - Configuration Manager | Microsoft Docs

 

For MDAV and SCEP via SCCM Instructions:

PATH:  Assets and Compliance, Endpoint Protection -> Antimalware Policies -> Threat overrides -> Enter Threat name: Trojan:MSIL/Solorigate.BR!dhaPATH:  Assets and Compliance, Endpoint Protection -> Antimalware Policies -> <Select relevant policy> -> Threat overrides -> Enter Threat name: Trojan:MSIL/Solorigate.BR!dh

Override action: Allow 

 

For MDAV via MEM using PowerShell Instructions:

利用以下內容建立Powershell script :

Set-MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

Name it: Allow_SolarWinds.ps1

Save it to e.g. c:\temp

Browse to https://endpoint.microsoft.com

Devices -> Windows -> Powershell scripts

Click on "+Add"

Name: Allow SolarWinds temporarily

Description:  Allow SolarWinds temporarily while patching.

Click on "Next"

Script location: Browse to e.g. c:\temp\Allow_SolarWinds.ps1

Run this script using the logged on credentials: No

Enforce script signature check: No

Run script in 64 bit Powershell Host: Yes

Click on Next

Scope tag: <default>

Click on Next

 

Assignments:

Click on "+Select groups to include"

Select the "Security Group" that has your Windows 10 based systems.

Click on Select

Click on Next

 

<Review>

Click on Add

 

Note:  For MEM (Intune) Powershell script troubleshooting, 請查看:C:\ProgramData\Microsoft Intune Management Extension\Logs\IntuneManagementExtension.log

For manual MDAV via PowerShell Instructions:

Launch PowerShell as Admin

Set-MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

 

For manual SCEP via PowerShell Instructions:

Launch PowerShell as Admin
Import-Module “$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1”

Set-MProtPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

 

若想取得上述說明的更新內容,請參考https://aka.ms/detect_solorigate

 

 

關於SolarWinds受到感染,趨勢科技的建議
關於SolarWinds受到感染,趨勢科技的建議
關於SolarWinds受到感染,趨勢科技的建議
影響範圍

據信,Sunburst是通過Orion網路監控程式的某一個遭駭版本散播的。根據SolarWinds的SEC檔案,攻擊者將惡意程式碼插入了合法程式碼中,因此下載該軟體的人都可能受到威脅,但此流程發生於組建過程,原始程式碼儲存庫未受影響。
根據SolarWinds SEC的檔案指出,從2020年3月至6月,有接近18,000位客戶下載了該版本。一旦該惡意程式碼出現在系統中,它將執行上述行為。包括美國政府機構在內的多個組織皆報告受到了這起攻擊的影響。

解決方案
  1. SolarWinds發出安全公告,建議所有受影響的客戶立即更新軟體至不含惡意程式碼的版本,並列出了適當的產品及其版本。
  2. 美國國土安全部在對美國政府機構的指示中命令將裝有上述軟體的系統離線,並且在重建之前不得連上網路。該指示文件將此類電腦視為遭駭機器,並要求更改電腦的帳號密碼。美國國土安全部並建議其他有使用SolarWinds Orion的組織可以考慮類似的步驟。
  3. 趨勢科技產品:
  • 病毒碼更新至16.415.00版本,可偵測與該攻擊相關的惡意檔案為:
    • Backdoor.MSIL.SUNBURST.A
    • Trojan.MSIL.SUPERNOVA.A
  • 趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址
  • 趨勢科技 Deep Security過濾規則:
    • 1010669 - Identified Malicious Domain – SolarWinds
    • 1010675 - Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
    • 1010676 - Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
  • 趨勢科技TippingPoint過濾規則:
    • 38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
    • 38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
  • 趨勢科技DDI 偵測規則:
    • 4491- SUNBURST - DNS (RESPONSE)
12/17(四) 宏碁資訊興櫃掛牌前法人說明會
12/17(四) 宏碁資訊興櫃掛牌前法人說明會
宏碁資訊於12月17日舉行興櫃掛牌前法人說明會,以「C3A+P」作為協助企業數位轉型的成長動能
關鍵字
宏碁資訊, 6811,興櫃, 數位轉型
資安通報:重大目標式勒索病毒攻擊通報
資安通報:重大目標式勒索病毒攻擊通報
IOCs與病毒碼偵測

趨勢科技產品病毒碼版本16.341.00 已可偵測下列威脅,建議您使用以下IOCs 資訊進行普查,以確認環境是有相關紀錄,若發現遭駭客入侵情況,請立即針對可疑主機進行處理。

Detection

Sha1

Ransom.Win32.DOPPELPAYMER.ZTHK-A

c79b288c4d17de5bd69386c5c022800559af1478

Trojan.Win32.DRIDEX.ZTHK-A

87919bdf11bdcd0ef8c0525ad6ad33a90e9952f8

Trojan.Win32.DRIDEX.ZTHK-A

eabaee5a1af3117f6a0feecdeec70bfd4b26fbb2

Backdoor.Win64.COBEACON.SMYXAK-A

D17E8A9A92CEC57A11750FCD4F592D810D9DFB8C

Backdoor.Win64.COBEACON.SMYXAK-A

FB6D8F187D579CF9D75979F66D7ADADC27594B7C

Backdoor.Win64.COBEACON.SMYXAK-A

C252E31043495A6C718EA83FFBBAE689F467AC8A

Backdoor.Win64.COBEACON.SMYXAK-A

7E97498B2B8E62C84FE05AD2C80B2B929228C285

Backdoor.Win64.COBEACON.SMYXAK-A

4F7E50F5744B9EE999BB11B42D2ECC0931466AE2

 
  • 中繼站清單 :

IP

Country

145.249.106.102

NL

145.249.106.99

NL

limitedhangout.wtf

N/A

www. limitedhangout.wtf

N/A

162[.]243[.]152[.]164

US

79[.]143[.]181[.]30

DE

77[.]220[.]64[.]36

IT

217[.]79[.]184[.]243

DE

 
  • 應立即修補CVE-2020-1472 (Zerologon 漏洞),並使用趨勢科技產品加強偵測與防護偵測相關規則如下:

  Product

Rule ID

Rule Name

Deep Discovery Inspector

4453

CVE-2020-1472 - Zerologon Privilege Escalation - DCERPC (Request)

4455

CVE-2020-1472 - Zerologon Privilege Escalation - SMB2 (Request)

4459

CVE-2020-1472 - Zerologon Privilege Escalation - SMB (Request)

Deep Security

1010519 

Netlogon Elevation of Privilege Vulnerability (CVE-2020-1472)

1010521 

Netlogon Elevation of Privilege Vulnerability Over SMB(CVE-2020-1472)

1010539

Identified NTLM Brute Force Attempt (ZeroLogon)(CVE-2020-1472)

Tipping Point

38166

MS-NRPC: Microsoft Windows Netlogon ZerologonAuthentication Bypass Attempt

38235

MS-NRPC: Microsoft WindowsNetrServerAuthenticate Request

 

CVE-2020-1472 弱點修補參考微軟說明, 參考連結 https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

關鍵字
勒索病毒
宏碁資訊通過ISO 45001+14001驗證
宏碁資訊通過ISO 45001+14001驗證
宏碁資訊持續打造幸福企業 通過ISO 45001+14001驗證
宏碁資訊助力中信兄弟導入台灣職棒賽事第一張電子票券
宏碁資訊助力中信兄弟導入台灣職棒賽事第一張電子票券
優化球迷觀賽購票體驗 掌握數位消費軌跡
關鍵字
宏碁資訊,兄弟,職棒,購票
宏碁資訊獲得遠傳頒發 2020「永續楷模獎」
宏碁資訊獲得遠傳頒發 2020「永續楷模獎」
善盡公民社會責任 企業永續經營意圖的表彰
關鍵字
宏碁資訊,遠傳,CSR,永續
宏碁資訊獲世界資訊科技暨服務業聯盟頒發全球首獎
宏碁資訊獲世界資訊科技暨服務業聯盟頒發全球首獎
台灣醫院感染管制與抗藥性監測管理系統勇奪 COVID-19最佳產業解決方案全球首獎
關鍵字
WISTA, covid-19,宏碁資訊,得獎,疾管署
宏碁資訊攜手ITM與旭聯資安,推出BlockSeal區塊鏈檔案存證解決方案
宏碁資訊攜手ITM與旭聯資安,推出BlockSeal區塊鏈檔案存證解決方案
推出獨家加速擴容技術,濃縮百萬筆數據加速上傳,大幅降低資料上鏈成本
TrendMicro OfficeScan XG終止技術服務通知
TrendMicro OfficeScan XG終止技術服務通知
詳情

受版本影響

產品版本平台語言
OfficeScanXG / XG SP1Windows 中、英文

升級方案

產品建議升級版本說明平台下載最新Patch
Apex OneApex One 2019
Readme (英文)
Readme (中文) 
Windows
英文Patch 3(支援Win 10 2004(20H1)) 
中文Patch 3(支援Win 10 2004(20H1)) 
  • 安裝中/英文版後,可直接更新Patch 3。
  • 用戶可至趨勢科技的下載中心查看並獲取產品相關重要更新(如:Critical Patch等),以及參閱升級所需文件。(如:系統需求、升級手冊、標準安裝手冊、管理員手冊)。
  • 升級前注意事項:
  • 支援、需求與限制:
  • Apex One用戶端不再支援 Windows 95、98、Me、Vista、XP、8、NT、2000、2003、2008 或 Itanium 架構平台。Windows 7只支援 SP1 以上版本,Windows 8只支援 8.1 以上版本,2008 只支援 2008 R2 版本。請保留舊版的OfficeScan 伺服器來管理舊版作業系統用戶端。
  • Apex One伺服器(包含SQL資料庫)和用戶端之間將使用加密通訊,請務必確保Apex One伺服器、SQL資料庫和用戶端都支援TLS 1.2安全通訊協定。(參考KB
  • Apex One伺服器安裝在Windows 2012 R2須先安裝KB2919442、KB2919355更新。
  • Apex One伺服器安裝在Windows 2016建議安裝KB4093120更新。
  • Apex One伺服器將開始使用SQL資料庫(不建議使用SQL 2016以下版本),且不支援SQL Server AlwaysOn。如果沒有指定,將會自動安裝SQL Express。
  • 若 OfficeScan 11.0 SP1 [ 伺服器通訊埠 ] 使用 4343,規劃使用 [ 移動用戶端 ] 做用戶端移轉升級,並且 Apex One[ 伺服器通訊埠 ] 改採 443 的客戶。請務必先將OSCE 11 SP1用戶端更新至 Hotfix b6633,避免升級後造成通訊埠不正確問題。
  • 為提升憑證安全性,更新Apex One Patch3後,將限制憑證的密鑰匯出。如果還記得憑證備份密碼,可忽略以下步驟。如果忘記當初憑證備份密碼,請參考以下備份憑證步驟:

備份 Apex One 伺服器與用戶端間的伺服器驗證憑證 1. 執行命令提示字元 (cmd.exe)
2. 將路徑導向至 {伺服器安裝路徑}\PCCSRV\Admin\Utility\CertificateManager 資料夾
例如:cd C:\Program Files (x86)\Trend Micro\Apex One\PCCSRV\Admin\Utility\CertificateManager
3. 執行命令
CertificateManager.exe -b [憑證備份密碼] C:\CA.zip
例如:CertificateManager.exe -b P@$word C:\CA.zip

務必安排離峰時段,並小規模逐步部署,以避免影響單位日常營運。(參考時間:Apex One升級約2小時,更新Patch 3約半小時,部署約30台用戶端約30分鐘。實際仍以貴單位環境實測為主)建議更新前先停用用戶端自動更新Hotfix,再針對網域群組來進行分批部署,操作步驟請參考這份文件的P.20~21。

 

宏碁資訊股票公開發行申報生效 股票代號6811
宏碁資訊股票公開發行申報生效 股票代號6811
宏碁資訊服務股份有限公司宣布,向證券櫃檯買賣中心申報首次辦理股票公開發行,已於今(16)日生效,股票代號為6811
雲端商機大爆發 宏碁小金雞獲利連番漲
今周刊:雲端商機大爆發 宏碁小金雞獲利連番漲
宏碁集團十隻小金雞中,已有三家於去年下半年到二○年上半年進入資本市場,盛傳第四季還會有一隻小金雞公開亮相,這家公司正是去年繳出亮眼成績的宏碁資訊。
關鍵字
宏碁資訊,雲端,數位轉型,AI
138::