2019年新世代企業安全防護之道

文/張凱棊  捷睿智能產品經理

隨著科技進步便利你我生活同時網路威脅(Cyber Threat)也隨之而來。近年來可從報章雜誌、網路媒體介紹國內外知名駭客入侵事件。常見的駭客攻擊不外乎勒索軟體與物聯網和工業控制威脅2大類。勒索軟體,由於加密貨幣興起,有不少駭客也看準比特幣的匿名性等特性,開始利用比特幣從事犯罪交易。2013年9月,加密勒索軟體CryptoLocker使用2048位元的RSA加密金鑰,並將其回傳至主控病毒行動的伺服器。CryptoLocker威脅受害者,若不以比特幣(Bitcoin)或付費卡在三天內繳款,就會將所有加密檔案刪除。2016年3月出現第一個在OS X作業系統上運作的勒索軟體KeRanger。該病毒加密受害者的個人檔案,並且要求1 BTC的贖金以解密檔案。2016年4月病毒Manamecrypt 宣稱加密受害者檔案,並且要求1/3 BTC來解密檔案。 2017年5月WannaCrypt利用Windows系統漏洞進行入侵感染全球超過230,000台電腦,此病毒要求支付價值等同於300美元的比特幣才可解密所有遭加密檔案。2017年10,發現新型勒索軟體「Bad Rabbit」,Bad Rabbit加密了用戶的檔案表後要求支付比特幣解鎖。

閱讀全文 “2019年新世代企業安全防護之道”

台灣網路維運社群發展之路

時間又到了春暖花開的時節,台灣網路維運社群恰好是在一年前杜鵑花開的春季之時開始萌芽。

NOG這個名詞雖然對大部分人來說很陌生,但是在網路技術人員的世界裡,網路維運社群(Network Operators’ Group)卻是早就在世界各地蓬勃發展的社群組織,舉北美地區的NANOG (North American NOG)為例,就是源自於美國國家科技基金會(National Science Foundation,NSF)於1987年開始進行的第一個以國家教育與研究為用途的高速網際網路骨幹計畫,該計畫早期夥伴包括NSF、ANS(Advanced Network & Services Inc.?)、IBM、MCI通訊及密西根州,經過多次定期聚會與交流,逐漸發展為區域型技術會議的形式,最終於1994年在聖地牙哥舉辦的會議中確立了將更多元的網路維運者納入組織,並正式以NANOG為名建立北美地區的網路維運社群。

閱讀全文 “台灣網路維運社群發展之路”

臺灣學術網路(TANet)推動IPv6之歷程成果與未來展望

一、前言

臺灣學術網路(Taiwan Academic Network;以下簡稱 TANet)係由教育部及各主要國立大學,於民國 79 年所共同建立之全國性教學及研究用途之電腦網路,提供包括157所大專校院、511所高中(職)、732所國中、2630所國小等各級學校連線至網際網路,使用者(在校教職員生)約為500萬人左右,為國內極大型網際網路服務提供者之一,服務的應用範圍極為廣泛,需要有大量獨立 IP 位址(Internet Protocol Address)供各級學校使用。因此,配合全球IPv6的推廣,教育部資訊及科技教育司(前身為電子計算機中心)自民國89年申請取得IPv6位址起,民國92年參加IPv6建置發展計畫,積極參與IPv6技術與應用的試驗以及各校IPv6網路環境的升級佈建。

二、重要歷程與成果

為迎接IPv6網路新世代的來臨,教育部於民國98年先透過「新一代校園寬頻有線及無線網路環境計畫」將既有的 TANet 各區域網路中心及縣市教育網路中心之路由器進行汰舊換新,提升其功能至可支援 IPv6 網路資訊新科技應用服務環境,使TANet骨幹網路全面支援 IPv4/IPv6 雙協定網路(Dual-Stack),當時屬於國內率先佈建支援 IPv6 的網路先驅之一,後續更進一步要求各級學校將校園網路環境逐步調整達到支援IPv6 協定,俾便 TANet 能順利過渡轉換至 IPv6 環境中。TANet 在推廣 IPv6 的首要任務便是讓各級學校的 Web 網站及 DNS 服務具有 IPv6 協定的能力,目前各縣市國中、小學網站首頁及DNS服務均已全面支援 IPv6。

經上述推動 Web 及 DNS 服務建構 IPv6 的成功推廣經驗,TANet不但鼓勵各縣市在國中、小學班級教室內佈建IPv4/IPv6 雙協定的網路語音系統,以測試在 IPv6 網路環境也能有 IPv4 一樣的通話品質,經此大規模的網路語音即時通話的使用,也驗證此一應用可順暢的在IPv6 的網路環境運作,更接續再導入校園無線網路支援 IPv4/IPv6 雙協定(Dual-Stack)的建置,以提供校園可使用 IPv6 支援行動載具進行教學活動或是上網查詢資料的能力,

近年教育部積極投入臺灣學術網路(TANet)的網路基礎建設,民國105年由教育部、中央研究院與國家高速網路與計算中心三方在度合作規劃「教育學術研究骨幹網路頻寬效能提升計畫」,選擇暗光纖(Dark Fiber)骨幹網路架構,配合資通訊技術整合規劃技術,同步世界級學術頻寬水準,打造出國家級高品質、高可靠度、高頻寬特性之TANet 100G教育學術研究光纖骨幹網路,加上各級連線學校均已完備IPv4/IPv6雙協定(Dual- Stack)的基礎網路環境,臺灣學術網路(TANet)早已完備接軌全球IPv6學術網路的連網能力,提升我國學研競爭能力。TANet 100G骨幹網路自啟用2年以來,全面承載IPv4/IPv6服務及運用所需的頻寬,根據統計臺灣學術網路(TANet)的傳統IPv4訊務量與IPv6訊務量的比例約為4:1,舉例來說,臺灣學術網路(TANet)連接國際的30G頻寬,其中IPv4訊務量約為16G~20G,而IPv6的訊務量維持在4G~5G左右。日益增加的IPv6流量,在網路管理與資訊安全上,是臺灣學術網路(TANet)努力的目標。

三、臺灣學術網路(TANet)IPv6位址分配現況

臺灣學術網路(TANet)經由 APNIC核發取得[/32] IPv6位址,教育部即著手建立校園IPv6位址配發政策,TANet IPv6位址分配原則如表1。若以TANet取得的[/32] IPv6位址計算,共可核發出16個[/36] IPv6位址,目前已分配出15個[/36] IPv6位址給13個區網(表2)、中研院及教育部本身使用,另配置25個[/39] IPv6位址給22縣市教育網,以供區網及縣市教育網配置[/48] IPv6位址給轄下各連線學校或研究單位使用。

表1:臺灣學術網路(TANet)IPv6位址分配原則

單位 IPv6配發原則
教育部 /36
中央研究院 /36
區域網路中心(區網) /36
縣(市)教育網路中心(縣市教育網) /39
各級連線學校 /48
各級學研單位 /48

 

表2:臺灣學術網路(TANet)IPv6位址配置統計表

區網中心 (/36位址) 負責國立學校 學研單位數 (/48位址) 教育網路中心 (/39位址) 連線總數(/39及/48)
臺北區網1 臺灣大學 41 臺北市教育網 42
臺北區網2 政治大學 29 新北市教育網 31
基隆市教育網
桃園區網 中央大學 29 桃園市教育網 32
金門縣教育網
連江縣教育網
竹苗區網 交通大學 21 新竹縣教育網 24
新竹市教育網
苗栗縣教育網
臺中區網 中興大學 49 臺中市教育網* 52
彰化縣教育網
南投區網 暨南國際大學 19 南投縣教育網 20
雲嘉區網 中正大學 20 雲林縣教育網 23
嘉義縣教育網
嘉義市教育網
臺南區網 成功大學 61 臺南市教育網* 63
高屏澎區網 中山大學 33 高雄市教育網* 37
屏東縣教育網
澎湖縣教育網
宜蘭區網 宜蘭大學 16 宜蘭縣教育網 17
花蓮區網 東華大學 14 花蓮縣教育網 15
臺東區網 臺東大學 11 臺東縣教育網 12
新竹區網 清華大學 2 2
合計 /48計 345段 /39 計25段 370
註1:*表示該縣市教育網中心配給2組/39位址。
註2:區網連線包含大專校院及部分高中職校,各連線單位配置[/48]位址。
註3:縣市教育網連線包含高中職校及國中小學,各連線學校配置[/48]位址。

 

四、未來展望

綜觀未來 TANet 於校園網路 IPv6 之運用,除持續擴大網路語音系統、無線

網路環境及漫遊等相關應用服務使用 IPv6 的比例提高外,教育部將持續推動IPv6政策,透過臺灣學術網路管理會及技術小組,廣泛納入IPv6推動相關議題,研擬開發IPv6技術能力;教育部資訊及科技教育司配合網路基礎建設的提升,將IPv6列為臺灣學術網路(TANet)的推動項目指標,並擴大涵蓋範圍(有線、無線網路)。例如完備IPv6基礎建設,除設備具備IPv4/IPv6雙協定功能外,骨幹網路頻寬升級至100G外,主要縣市教育網路頻寬亦已達到4G~12G,各級學校連線頻寬也逐年升級至300M以上。使用者裝置如電腦、平板、手機等多元化教學工具亦逐步廣泛性支援IPv6連線,未來在配合如機房服務向上集中的國家政策下,臺灣學術網路(TANet)上所有網路服務系統都必須優先提供IPv6服務,同時考量資安防護政策,如推動DNSSEC0 安全防護,完善DNS IPv6的支援等,此外,為達人才培育願景,推動數位校園、智慧學習的目標,教育部在教學面、資源面及環境面均會同步規劃臺灣學術網路(TANet)各項IPv6推廣策略,以達全面性IPv6升級目標。

加密勒索病毒對資安帶來的衝擊

張宏義/國立嘉義大學資訊管理學系 教授

隨著科技的進步與時間的累積,加密勒索病毒的種類已經有著成千上萬種的類型,最耳熟能詳的莫過於2017年5月份的驚天案例 WannaCry勒索病毒[1],該勒索病毒大規模感染了包括西班牙電信、英國國民保健署、聯邦快遞和德國鐵路股份公司等等。據當時的報導,至少有99個國家在同一時間遭受到該勒索病毒的感染,且都被要求支付等同於300美元的比特幣才可以解密,可見勒索病毒的影響範圍之廣,對於勒索病毒不管是政府機關或者是民間企業都是需要加以重視。WannaCry的影響範圍之所以可以達到這麼的廣泛,進而達到全球攻擊,是因為WannaCry是利用了目前世界最被廣泛使用的Microsoft Windows系統中的永恆之藍(Eternal Blue)漏洞,WannaCry經過網際網路對Microsoft Windows作業系統進行攻擊,是一種加密型勒索軟體兼具蠕蟲病毒。該病毒利用AES-128和RSA演算法惡意加密檔案,並在完成加密後自行刪除原始檔案以勒索比特幣。加密勒索病毒實質地造成使用者影響,特別是許多企業組織也因此造成重要或營運文件被加密等損失[2]。甚至傳出許多工業控制系統、工業生產線的因感染加密型勒索病毒而導致停工的案例,如2018年8月時台灣的科技業龍頭台積電感染了WannaCry的一個變種,導致台積電的生產網路中斷3日才陸續恢復正常,當季損失78億台幣的營收。事後調查起因為準備上線的一部本身已帶有病毒的新機台,在未經網路隔離及防毒系統處理的人為疏忽因素所造成[3]。本作者也在查詢加密勒索病毒的資料時,被感染勒索病毒,如圖1。因此,加密勒索病毒對企業帶了不小的衝擊,姑且不論是否要付贖金取得解密金鑰救回檔案,如何追蹤加密行勒索病毒的感染途徑以避免再度衝擊內部網路及營運是大多數企業組織較為重視的議題之一

感染加密勒索病毒的電腦畫面

根據來自NTT Security的2018年全球威脅情報報告(GTIR)[4]指出勒索病毒的影響較前年上升了350%,其中WannaCry為勒索病毒的傳播速度設定了新標準,在一天內影響了400,000台機器和150個國家。在此同時,賽門鐵克[5]與Recorded Future[6]對於2018年勒索病毒的觀察均發現勒索病毒的變種愈來愈多樣化,Recorded Future更進一步指出,在2017年1月起13個月內發現的勒索病毒變種就增加了74%。SentinelOne[7]一份針對勒索病毒的研究調查指出其散佈感染主要途徑為釣魚電子郵件或社群網路、經被入侵的網站下載(Drive-by-download)、透過Botnet或蠕蟲病毒感染。其中經被入侵的網站下載的感染途徑曾在2016年造成大量的正常使用者被勒索病毒感染,攻擊者透過廣告聯盟發放會出現在大型網站如:《紐約時報》、BBC 、MSN 等的惡意廣告,藉此安裝勒索軟體或病毒。在大型網站或入口網網頁中由廣告聯盟透過Json或腳本(script),讓瀏覽網頁的使用者在觀看網頁時,重導到真正放置廣告圖片的第三方主機中。攻擊者透過入侵或租用廣告等方式,取得第三方主機的存取權限,並植入隨機感染的勒索軟體或病毒。這類的方法能夠於大量的合法網站快速散播且不需與個別網站進行溝通即可擴大勒索軟體或病毒感染範圍。

加密勒索病毒是如何運作的呢? 加密技術為勒索軟體的重點之一,目前已從過去的對稱式金鑰加密(symmetric key cryptography)改良成非對稱式金鑰加密(asymmetric key cryptography),如圖2。在2017年,林敬黃與王周玉的論文「勒索病毒感染途徑個案鑑識分析為例」[2]中提到,當使用者機器被勒索病毒感染時將透過多個 Proxy Server(通常是合法但已被駭客入侵的proxy server) 連上C&C (Command & Control) Server請求 Public Encryption Key。在C&C Server中,會為每個感染的機器產生成一對Public/Private Encryption Key,並將Public Encryption Key傳回到受感染的主機(Private Encryption Key不會離開C&C Server)。然後,Public Encryption Key將用來加密對用戶來說是最重要的文件,勒索成功後,在要求贖金過程,為求隱匿網路位址,要求受害者使用高匿名性的比特幣(Bitcoin)進行贖金支付。

典型的基於非對稱金鑰加密的勒索病毒運作流程[8]
2017年利用勒索病毒及虛擬貨幣挖礦程式獲利的惡意程式數量持續攀升,儼然成為駭客的主要攻擊手法。而全球企業因勒索病毒而損失的總金額高達50億美元,比起2016年增加了四倍之多,而台灣受勒索病毒攻擊的次數更是高達千萬次以上,全球排名向上升了兩名[9]。McAfee lab提到超過60%的C&C Server是以HTTP協定當作攻擊者與受害主機之間的通道,目的是為了向駭客的C&C Server溝通,因企業的防火牆通常會允許80 Port通過,加上大量的HTTP流量讓可疑流量不易被發現,因此HTTP協定經常被駭客做為攻擊的管道。根據文獻[10],C&C伺服器利用不同協定做為溝通管道的比例如下圖3所示。

C&C伺服器使用不同協定比例圖[10]
因HTTP流量讓可疑流量不易被發現的緣故,要完全防止主機受到惡意程式感染變得十分困難,因此若能從受害主機的HTTP流量中即早發現試圖進行惡意活動的流量,將能有效減少資料外洩以及受其他惡意程式威脅的風險。早期一般採用黑名單機制,由專屬組織來判定惡意網站、惡意伺服器的IP或是惡意的域名並記錄下來,以防有任何主機受害,但如果專屬組織在評估該網站是惡意網站時誤判,或是該網站太新而來不及評估都可能導致惡意網站無法及時記錄在黑名單中,因此黑名單和白名單機制存在一些缺點。對於偵測未知攻擊手法可以利用正常主機的連線行為,來判斷該連線是否異常,而通常需收集正常主機之間的關係。Xu等人[11]提出主機之間共同拜訪網站數量為判斷的特徵,但是利用這種正常主機行為模型都需要大量的正常主機資料。有些學者以惡意軟體封包上的HTTP協定特徵來判斷該封包是否為惡意,Chiba等人[12]蒐集2011年八月到2012年十二月的惡意軟體封包建立模型,雖然不需要大量的正常主機資料,但卻反而需要大量惡意軟體封包資料,此外因為是以已知惡意軟體為基礎建立模型,可能對未知惡意軟體無法做出有效的偵測。

隨著利用HTTP可疑流量進行溝通的惡意軟體日益增加,研究人員也開始致力於提出解決方案,在學術研究上,有不少學者以預測流量的方式,提出HTTP可疑流量的偵測演算法。Ma等人[13]的研究中提到惡意軟體和正常使用者所發出的HTTP流量不論是在網域名稱、連線行為或是HTTP封包上都有所不同,在HTTP協定上仍有許多非主機之間連線行為特徵,例如:HTTP封包中referer欄位是否被使用,使用的HTTP標頭數量等都可以被利用來建立正常主機模型,用來偵測未知攻擊,不需要依靠大量主機資料才能建立模型。Zarras 等人[14]提出每一個應用程式所發出的HTTP封包中,HTTP Header 的順序會有所不同,主要原因是RFC文件中並未規定HTTP Header的順序,因此每個應用程式在實作HTTP協定時需自行設定順序,因此HTTP Header的順序可以用來偵測惡意軟體所發出的HTTP流量。Chiba等人[11]認為受害主機內的惡意軟體所發出的HTTP request中含有固定的關鍵字,因此在計算兩個HTTP request封包的相似度時,應該要將關鍵字去除,才能降低誤判率,該研究驗證結果可減少2% 的誤判率。Matin等人[15]為了偵測惡意軟體所發出HTTP封包,從User-Agent的觀點出發,將User-Agent分為五種類型。(1) Legitimate user’s browser:指的是一般使用的瀏覽器。(2) Empty:指User-Agent為空值。(3) Specific:指非瀏覽器類型的User-Agent。(4) Spoofed:指的是惡意軟體為了避免被偵測到,會入侵使用者正在使用的瀏覽器,利用合法瀏覽器發出惡意活動的流量。(5) Discrepant:指惡意軟體偽造瀏覽器所發出的HTTP封包,在User-Agent的欄位上改成和使用者一樣的瀏覽器,而非入侵使用者的瀏覽器。為了要分辨Empty類型惡意封包,方法是這類型的封包大多是要進行更新服務,若某個網址只有少數的使用者用Empty類型封包發出請求,則可能是惡意軟體所發出的;如果是合法的Specific類型封包,其出現的頻率應該會大於那些惡意的Specific類型封包,透過統計每一個Specific類型封包的在網路中的出現次數便可以建立偵測模型;另外,一般使用者大部份不會在系統中安裝兩個不同版本以上的相同瀏覽器。透過調查一個主機中出現兩個不同版本而相同瀏覽器的HTTP封包是不是因為剛好瀏覽器更新造成,再加上統計每個瀏覽器版本封包在網路中出現的次數,便能給予可疑封包一定的惡意程度。

近年來機器學習、深度學習及人工智慧技術日益成熟,Chao等人[16]於2018年提出以支援向量機(Support Vector Machine,SVM)模型,來進行HTTP可疑流量偵測的演算法開發,有別於其他研究,該研究利用HTTP協定上GET封包、POST封包以及RESPONSE封包的特徵建立一個有效GET請求封包偵測模型,結合SVM技術,將一群少數主機的在正常情況下,所發出的HTTP流量當作訓練資料,建立一個正常主機模型,再將惡意軟體所發出HTTP流量以及不包含在訓練資料的另一個主機所發出流量當作測試資料,當現時流量的惡意分數大於0.5時則判定該流量為惡意流量,該演算法向管理人員提出警告,如公式1所示,P(x)1代表在Stream x中GET封包被判斷為惡意的數量;P(x)2代表在Stream x中POST封包被判斷為惡意的數量;P(x)3代表在Stream x中RESPONSE封包被判斷為惡意的數量,W1W2W3則是各代表每一個類型封包的權重,T(x)則是Stream x中GET封包、POST封包以及RESPONSE封包的數量總合。該預測模型比利用惡意流量建立的預測模型擁有較高的未知惡意流量偵測能力,其偵測率達到88%。

 

參考文獻

  1. [Online] WannaCry-維基百科,
    Available: https://zh.wikipedia.org/wiki/WannaCry (Accessed on Dec. 25,2018)
  2. 林敬皇 and王周玉, “勒索病毒感染途徑個案鑑識分析, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.
  3. [Online] iThome Online,陳曉莉,台積電遭病毒感染原因出爐:新機台安裝軟體時操作不慎Available: http://www.ithome.com.tw/news/125007 (Accessed on Dec. 6,2018)
  4. [Online] NTT Security,2018 Global Threat Intelligence Report, NTTDATA NTT Security, 2018,
    Available: https://www.nttsecurity.com/docs/librariesprovider3/resources/gbl-ntt-security-2018-gtir-summary-uea.pdf?sfvrsn=e8c7f625_4 (Accessed on Dec. 6, 2018)
  5. [Online] Symantec, 2018 Internet Security Threat Report, Symantec ISTR vol.23 , March, 2018.
    Available: https://www.symantec.com/content/dam/symantec/docs/reports/istr-23-executive-summary-en.pdf (Accessed on Dec. 10, 2018)
  6. [Online] Allan Liska, 5 Ransomware Trends to Watch in 2018, Recorded Future blog,
    Available: https://www.recordedfuture.com/ransomwaretrends-2018 (Accessed on Dec. 12, 2018)
  7. SentinelOne: Global Ransomware Study 2018, SentinelOne Report, 2018,
    Available:https://go.sentinelone.com/rs/327MNM087/images/Ransomware%20Research%20Data %20Summary%202018.pdf (Accessed on Dec. 12, 2018)
  8. Cabaj, M. Gregorczyk, W. Mazurczyk, “Software-define d networking-base d crypto ransomware detection using HTTP traffic characteristics,” Computers and Electrical Engineering, Vol. 66, 2018, pp.353-368.
  9. [Online]趨勢科技2017年度資安總評報告以獲利為主的駭客攻擊稱王Available:http://www.trendmicro.tw/tw/aboutus/newsroom/releases/articles/20180309101025.html (Accessed on Dec. 24, 2018)
  10. Jian-Zhi Zhao, On the Study of HTTP Based Suspicious Traffic Detection Mechanism, Master Thesis, Department of Information Management, National Central University, Taoyuan city, Taiwan, 2016.
  11. Kuai Xu, Feng Wang, Lin Gu, “Behavior analysis of internet traffic via bipartite graphs and one-mode projections,” IEEE/ACM Transactions on Networking, 22(3), pp.931-942, 2014.
  12. Daiki Chiba et al., “BotProfiler: Detecting Malware-Infected Hosts by Profiling Variability of Malicious Infrastructure,” IEICE Transactions on Communications, 2016(5), pp.1012-1023, 2016.
  13. Justin Ma et al., “Beyond blacklists: learning to detect malicious web sites from suspicious URLs,” 15th ACM SIGKDD international conference on Knowledge discovery and data mining. pp.1245-1254, 2009.
  14. Zarras et al., “Automated generation of models for fast and precise detection of http-based malware,” 12th Annual International Conference on Privacy, Security and Trust, pp. 249-256, 2014.
  15. Grill Martin, Rehak Martin, “Malware detection using HTTP user-agent discrepancy identification, “IEEE International Workshop on Information Forensics and Security (WIFS), 2014, pp.221-226.
  16. 趙健智 and 陳奕明, “基於SVM之可疑HTTP流量偵測, “台灣網際網路研討會(TANET), Oct. 24-16, 中壢, 台灣, 2018.

數位化世界的煉金術─訊號、資料、資訊、知識跟智慧

生活在今天的現代人,大概每天都要聽到一大堆的科技時髦術語,今天是大數據,明天就是人工智慧,後天又來了一個互聯網、區塊鏈等等等等。但是所有這些時髦術語的背後其實都有一些最基本的概念。如果不能理解這些基本術語跟他們之間的關係,只是一昧的把這些時髦術語囫圇吞棗地塞進腦袋裡面,就像你的腸胃沒辦法消化乳糖,卻拼命的把營養的牛奶往肚裡吞一樣,其實只會害你拉肚子,一點好處都沒有。

閱讀全文 “數位化世界的煉金術─訊號、資料、資訊、知識跟智慧”