[資安預警]社交工程攻擊通告:請加強防範駭客假冒公務名義發送之惡意電子郵件

 

轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0003
 
[內容說明:]
技術服務中心近期接獲情資且自惡意電子郵件服務檢測中發現,
駭客製作惡意程式(使用RTLO方法)誘使使用者點擊,
以取得使用者權限或執行遠端程式。
目前發現駭客利用此手法,冒用公務名義發送公務相關標題的電子郵件,
誘使收件者開啟惡意附件後植入惡意程式。
 
已知本波攻擊信件特徵如下:
遭冒名寄件者:rio@ey.gov.tw
主旨:103.2.27議程修正說明如附(密)
惡意附件:規劃本年2月27日閉門會議議程(密).7z
連線中繼站:70.167.87.3、70.184.255.216、203.114.109.50、www.moea.onmypc.org、www.moeaidb.ocry.com
該郵件夾帶偽冒寄件者之憑證簽署檔(smime.p7s),
技術服務中心特別呼籲相關單位加強警戒。
 
 
[影響平台:]
所有Microsoft環境系統
 
[建議措施:]

1. 本警訊提供2種阻擋方式:(1)自動設定、(2)手動設定,建議使用自動設定方式

 
2.  
(1) 自動設定 
a. 至「資安文件下載區」下載「BlockRTLO.rar」設定檔
(https://www.ncert.nat.gov.tw/Download/privilegedDocList.do) 
b. 若作業系統為Windows XP/Vista、Server 2003,執行block_rtlo_winxp,vista.reg 
c. 若作業系統為Windows 7,執行block_rtlo_win7.reg 
d. 重新開機 
 
(2) 手動設定 
a. 先在HKEY_Current_User/Control Panel/Input Method下新增字串值EnableHexNumpad=1,
   或執行上述連結中enable_hex_numpad.reg設定檔 
b. 點選”開始”→”執行”→輸入”gpedit.msc” 
c. 點開”電腦設定”→”Windows設定”→”安全性設定” 
d. 在”軟體限制原則”上點選右鍵→”建立新原則” 
   (如果之前有設過別的軟體限制原則,此步驟可忽略) 
e. 點開”軟體限制原則”→在”其他原則”上點選右鍵→”新增路徑規則”→在”路徑”處輸入”*[202E]*” 
(註1),安全性等級=”不允許”→”確定” 
f. 重新開機 
3. 確認電子郵件附加檔案屬性後才點擊該檔案,若發現檔案名稱中存在異常字元
   (如rcs, exe, moc等可執行檔案副檔名的逆排序),請提高警覺。 
4. 將郵件附檔儲存至硬碟中,利用命令提示字元視窗查看其檔名。
   由於命令提示字元視窗並不支援Unicode,故該手法並無作用。 
5. 安裝防毒軟體並更新至最新病毒碼,並使用防毒軟體掃描郵件附檔。 
6. 建議取消「隱藏已知檔案類型的副檔名」功能,設定方式詳見如下: 
(1) 滑鼠點選【開始】→【控制台】→【資料夾選項】,出現資料夾選項視窗。 
(2) 於資料夾選項視窗點選「檢視」,將「隱藏已知檔案類型的副檔名」選項取消核選,
     再點選「套用」→「確定」即可完成設定。 
7. 請勿開啟未受確認之電子郵件附件。 
8.阻擋以上惡意中繼站,並確實更新防火牆。 
9.加強宣導與防範駭客利用電子郵件進行社交工程攻擊。