請注意，Microsoft正在偵測複雜的資安威脅攻擊，這是包含受感染的第三方軟體(SolarWinds)。 在12月13日星期日，Microsoft Defender發佈了最新偵測機制，提醒客戶這些惡意檔案的存在，並建議隔離和觀察您的裝置。

從12月16日（星期三）太平洋標準時間下午11：00 /美國東部標準時間上午11:00開始，Microsoft變更惡意程式偵測動作，從偵測告警機制改變成直接進行惡意檔案封鎖。正如最近的威脅分析師報告-Microsoft Defender for Endpoint（windows.com）所分享。即使惡意應用程序仍在進行，依然會隔離惡意檔案。

為了解決這個問題，我們強烈建議您隔離並觀察發出此警報的裝置。若特殊狀況需要使用此裝置，請執行以下動作以排除SolarWinds檔案，避免服務中斷。當您完成調查後，能夠還原這些原本設定。

For manual MDAV via PowerShell Instructions
PATH Computer Configuration -> Administrative Templates -> Windows Components -> Microsoft Defender Antivirus (or Windows Defender Antivirus) -> Threats -> Specify threat alert levels at which default action should not be taken when detected.
Value name: 2147771206
Value: 6

For SCEP via GPO Instructions:
PATH: Computer Configuration -> Administrative Templates -> Windows Components -> Endpoint Protection-> Threats -> 指定當偵測到時不執行預設動作的威脅警報級別。
Value name: 2147771206
Value: 6
備註：若您沒有看到「Endpoint Protection」，請查看： Manage Endpoint Protection using Group Policies - Configuration Manager | Microsoft Docs

For MDAV and SCEP via SCCM Instructions:

PATH:  Assets and Compliance, Endpoint Protection -> Antimalware Policies -> Threat overrides -> Enter Threat name: Trojan:MSIL/Solorigate.BR!dhaPATH:  Assets and Compliance, Endpoint Protection -> Antimalware Policies -> <Select relevant policy> -> Threat overrides -> Enter Threat name: Trojan:MSIL/Solorigate.BR!dh

Override action: Allow 

For MDAV via MEM using PowerShell Instructions:

利用以下內容建立Powershell script ：

Set-MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

Name it: Allow_SolarWinds.ps1

Save it to e.g. c:\temp

Browse to https://endpoint.microsoft.com

Devices -> Windows -> Powershell scripts

Click on "+Add"

Name: Allow SolarWinds temporarily

Description:  Allow SolarWinds temporarily while patching.

Click on "Next"

Script location: Browse to e.g. c:\temp\Allow_SolarWinds.ps1

Run this script using the logged on credentials: No

Enforce script signature check: No

Run script in 64 bit Powershell Host: Yes

Click on Next

Scope tag: <default>

Click on Next

Assignments:

Click on "+Select groups to include"

Select the "Security Group" that has your Windows 10 based systems.

Click on Select

Click on Next

<Review>

Click on Add

Note:  For MEM (Intune) Powershell script troubleshooting, 請查看：C:\ProgramData\Microsoft Intune Management Extension\Logs\IntuneManagementExtension.log

For manual MDAV via PowerShell Instructions:

Launch PowerShell as Admin

Set-MpPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

For manual SCEP via PowerShell Instructions:

Launch PowerShell as Admin
Import-Module “$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1”

Set-MProtPreference -ThreatIDDefaultAction_Ids 2147771206 -ThreatIDDefaultAction_Actions 6

若想取得上述說明的更新內容，請參考https://aka.ms/detect_solorigate。

據信，Sunburst是通過Orion網路監控程式的某一個遭駭版本散播的。根據SolarWinds的SEC檔案，攻擊者將惡意程式碼插入了合法程式碼中，因此下載該軟體的人都可能受到威脅，但此流程發生於組建過程，原始程式碼儲存庫未受影響。
根據SolarWinds SEC的檔案指出，從2020年3月至6月，有接近18,000位客戶下載了該版本。一旦該惡意程式碼出現在系統中，它將執行上述行為。包括美國政府機構在內的多個組織皆報告受到了這起攻擊的影響。

1. SolarWinds發出安全公告，建議所有受影響的客戶立即更新軟體至不含惡意程式碼的版本，並列出了適當的產品及其版本。
2. 美國國土安全部在對美國政府機構的指示中命令將裝有上述軟體的系統離線，並且在重建之前不得連上網路。該指示文件將此類電腦視為遭駭機器，並要求更改電腦的帳號密碼。美國國土安全部並建議其他有使用SolarWinds Orion的組織可以考慮類似的步驟。
3. 趨勢科技產品：

• 病毒碼更新至16.415.00版本，可偵測與該攻擊相關的惡意檔案為：
  • Backdoor.MSIL.SUNBURST.A
  • Trojan.MSIL.SUPERNOVA.A
• 趨勢科技網頁信譽評等服務已經封鎖avsvmcloud.com網域及相關的惡意網址
• 趨勢科技 Deep Security過濾規則：
  • 1010669 - Identified Malicious Domain – SolarWinds
  • 1010675 - Identified HTTP Backdoor Win32.Beaconsolar.A Runtime Detection
  • 1010676 - Identified HTTP Trojan.MSIL.Sunburst.A Traffic Request
• 趨勢科技TippingPoint過濾規則：
  • 38626 : HTTP: Trojan.MSIL.Sunburst.A Runtime Detection
  • 38627 : HTTP: Backdoor.Win32.Beaconsolar.A Runtime Detection
• 趨勢科技DDI 偵測規則:
  • 4491- SUNBURST - DNS (RESPONSE)

趨勢科技產品病毒碼版本16.341.00 已可偵測下列威脅,建議您使用以下IOCs 資訊進行普查，以確認環境是有相關紀錄，若發現遭駭客入侵情況，請立即針對可疑主機進行處理。

• 中繼站清單 :

• 應立即修補CVE-2020-1472 (Zerologon 漏洞)，並使用趨勢科技產品加強偵測與防護偵測相關規則如下：

CVE-2020-1472 弱點修補參考微軟說明， 參考連結 https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

受版本影響

升級方案

• 安裝中/英文版後，可直接更新Patch 3。
• 用戶可至趨勢科技的下載中心查看並獲取產品相關重要更新（如：Critical Patch等），以及參閱升級所需文件。(如：系統需求、升級手冊、標準安裝手冊、管理員手冊)。
• 升級前注意事項：
• 支援、需求與限制：
• Apex One用戶端不再支援 Windows 95、98、Me、Vista、XP、8、NT、2000、2003、2008 或 Itanium 架構平台。Windows 7只支援 SP1 以上版本，Windows 8只支援 8.1 以上版本，2008 只支援 2008 R2 版本。請保留舊版的OfficeScan 伺服器來管理舊版作業系統用戶端。
• Apex One伺服器（包含SQL資料庫）和用戶端之間將使用加密通訊，請務必確保Apex One伺服器、SQL資料庫和用戶端都支援TLS 1.2安全通訊協定。（參考KB）
• Apex One伺服器安裝在Windows 2012 R2須先安裝KB2919442、KB2919355更新。
• Apex One伺服器安裝在Windows 2016建議安裝KB4093120更新。
• Apex One伺服器將開始使用SQL資料庫（不建議使用SQL 2016以下版本），且不支援SQL Server AlwaysOn。如果沒有指定，將會自動安裝SQL Express。
• 若 OfficeScan 11.0 SP1 [ 伺服器通訊埠 ] 使用 4343，規劃使用 [ 移動用戶端 ] 做用戶端移轉升級，並且 Apex One[ 伺服器通訊埠 ] 改採 443 的客戶。請務必先將OSCE 11 SP1用戶端更新至 Hotfix b6633，避免升級後造成通訊埠不正確問題。
• 為提升憑證安全性，更新Apex One Patch3後，將限制憑證的密鑰匯出。如果還記得憑證備份密碼，可忽略以下步驟。如果忘記當初憑證備份密碼，請參考以下備份憑證步驟：

備份 Apex One 伺服器與用戶端間的伺服器驗證憑證
1. 執行命令提示字元 (cmd.exe)
2. 將路徑導向至 {伺服器安裝路徑}\PCCSRV\Admin\Utility\CertificateManager 資料夾
例如：cd C:\Program Files (x86)\Trend Micro\Apex One\PCCSRV\Admin\Utility\CertificateManager
3. 執行命令
CertificateManager.exe -b [憑證備份密碼] C:\CA.zip
例如：CertificateManager.exe -b P@$word C:\CA.zip

務必安排離峰時段，並小規模逐步部署，以避免影響單位日常營運。（參考時間：Apex One升級約2小時，更新Patch 3約半小時，部署約30台用戶端約30分鐘。實際仍以貴單位環境實測為主）建議更新前先停用用戶端自動更新Hotfix，再針對網域群組來進行分批部署，操作步驟請參考這份文件的P.20~21。

• 智慧辦公：從雲端辦公室、視訊會議、訪客實名制到超雲行動工作平台，每個都是數位轉型中智慧辦公不可或缺的解決方案！
• 資安防護：當雲端辦公成為後疫情時代新常態，企業加速數位轉型，從行動安全連線、多因子認證到行動裝置管理，資安防護更是優先議題！

所有方案內容請按我看細節

我們經過經濟部工業局審核與肯定的項目如下:

• 資安的服務能量
• 自主研發能力
• 資安業者技術能量

未來，宏碁資訊會持續發展先進資安防護措施，建構安全強固的產業環境，敬請期待!!

軟協公告網址看這裡

• 資安顧問服務Blue Team Service
• 內網行為檢視
• 系統合規盤點

帳號安全

• 特權帳號管理
• 多因子認證
• 虛擬私人網路

資料保護

• 機敏資料備份分權還原
• 資料保全
• 混合雲資料備份

相關細節請按我看內容

趨勢科技建議可採取以下防範措施 :

• 趨勢科技產品病毒碼版本15.849.00已可偵測下列威脅，請盡速更新

• 若有使用微軟網域服務，請注意網域控制站(DC)是否出現異常排程、異常帳號
• 檢查是否有異常網域群組原則(GPO)或異常檔案的建立、派送
• 監控網域與本機管理群組使用者帳號的新增記錄
• 檢視重要伺服器或電腦上是否出現異常的工作排程
• 使用多因子驗證登入，降低因使用者遭網路釣魚攻擊導致帳密洩漏、密碼暴力破解，而被駭客登入的風險
• 確認所有軟體與作業系統完成安全性更新，尤其是提供對外服務之伺服器。
• 密碼設定符合安全性要求，包含長度、複雜度等。
• 記錄遠端桌面服務登入記錄，建議重要主機(如ERP)登入記錄應儲存至遠端日誌收集系統，以後稽核追蹤。
• 部署多層次資安防護機制解決方案，除了端點防護解決方案以外，進階沙箱分析隔離不明檔案，應用程式控管與行為監控則可防止可疑檔案執行，並避免系統遭到未經授權的變更
• 利用DDI以及Deep Security過濾網路中出現可疑的內網擴散等攻擊活動
• 在Apex One中啟用勒索病毒防護功能,請點我連結
• 勒索病毒攻擊手法日新月異防不勝防，務必以三二一原則妥善備份重要檔案（三份備份，分別存放在兩種不同類型的裝置，一份放在異地或安全地點）