【资安日报】2021年11月26日

继9月金管会明文规定，符合一定规模的金融业者必须设立资安长，当时估计可能有65家银行、保险公司，证券商、期货商、投顾业者，将依法设立资安长。最近金管会将资安长与专责单位的要求，延伸到上市柜公司，他们针对3种资格的企业，分别要求配置指定的资安人力与资源，希望企业能因此更加重视资安。

而在漏洞与攻击手法的揭露，也相当值得注意，因为，CronRAT木马程式是利用工作排程器cron的逻辑漏洞，以看起来没有问题的程式码当幌子，使得防毒软件都视为无害；另一个要留意的则是Printjack的打印机攻击手法，因为这些手法也很有可能出现实际的攻击行动。

【攻击与威胁】

乌克兰逮捕5名专门攻击行动装置的骇客组织成员

乌克兰安全局（SSU）于11月24日宣布，他们逮捕了专门远端攻击行动装置的国际骇客组织“Phoenix”5名成员，这些嫌犯住在基辅和哈尔科夫，学历为高职毕业。该组织的目标是远端存取受害者行动装置的账号，劫持电子支付与银行账户，或是出售个资来牟利。该组织持续活动超过2年，数百人受害。此外，这些人以100至200美元的价码，提供攻击他人手机的服务。

英国交通部网站疑遭攻击，出现色情广告

英国交通部（DfT）的网站于11月25日，惊传出现提供色情服务的广告，这起事故最早由The Crow网站发现，他们观察到整个dft.gov.uk网域，都被导向受密码保护的WordPress登入网页，DfT获报后正着手调查。

为了隐藏攻击意图，木马软件竟加入不会执行的程式码

资安业者Sansec发现名为CronRAT的木马程式，正锁定做为电商平台的Linux操作系统而来，攻击者将其用于侧录取信用卡的资料。该木马程式混淆研究人员的方式相当特别，是透过一段呼叫Linux工作排程器cron的程式码，并设定于2月31日执行多项工作，而能规避所有的防毒引擎侦测。研究人员指出，攻击者实际将有问题的Bash程式，存放在工作排程的名称字段，并透过多层Base64算法加以埋藏。

研究人员揭露Printjack打印机攻击手法

资安研究员Giampaolo Bella和Pietro Biondi近期发布研究论文，揭露称为Printjack的3种攻击手法，包含了集结打印机发动DDoS攻击、发送重复的打印工作瘫痪打印机、监听打印的内容等。其中，最严重的可能是监听攻击，因为打印机多半没有透过加密保护要传送的打印资料，研究人员指出，攻击者搭配打印机的漏洞，就有可能以明文的方式取得打印内容。

 

【漏洞与修补】

WordPress安全插件Hide My WP存在SQL注入漏洞

超过26,000个WordPress网站采用，防堵SQL注入与XSS攻击的插件Hide My WP，被发现严重的SQL注入漏洞，一旦攻击者利用，就能在未经身份验证的状态下，停用这款外挂软件。这项漏洞是资安业者Patchstack在稽核客户网站的插件安全性时所发现的，该业者表示，这样的漏洞相当严重，攻击者只需要如SQLmap的工具，就能加以利用。该公司通报后，开发者已于10月26日发布6.2.4版修补漏洞。

 

【资安防御措施】

金管会预告修法，要求上市柜公司设置资安长与专责单位

金融监督管理委员会于11月25日发布公告，研拟修正“公开发行公司建立内部控制制度处理准则”第9条之1及第47条，明定达到一定规模的上市柜公司，应配置适当的资安人力，并依据不同的规模，要求设置资安长或主管，以及配置专责的资安人员等要求。在修订的法规后，符合规模百亿元，或主要经营电商等条件的上市柜公司，共约111家，将需于2022年底设立资安长并成立专责单位。

台湾骇客年会HITCON 2021将于11月26日举行

台湾骇客年会（HITCON）将于11月26日、27日于中央研究院人文社会科学馆举行，这次的主题与武汉肺炎疫情爆发后，居家工作（WFH）与云端服务的盛行，带来的资安态势变化，企业需要适应分散式的网络边界，而成为现今防御方式所需要因应的挑战。

本次年会另一个探讨的焦点，则是与智慧装置有关──这些装置促成了Society 5.0、虚实整合系统（CSP）等趋势，但也带来新的资安问题，而需要骇客之间通力合作，推进资安的发展。

 

【近期资安日报】

2021年11月25日

2021年11月24日

2021年11月23日