【資安】攻擊預警:資訊設備遭xDedic地下黑市入侵通知。

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201606-0036

近日接獲卡巴斯基(Kaspersky)情資,發現學術單位內資訊設備疑似已遭入侵並於黑市進行伺服器控制權銷售,為避免不必要之資安風險,請針對該主機進行詳細檢查並加強相關防範措施。

卡巴斯基實驗室於2016年6月15日公佈發現「xDedic」地下黑市的資訊,xDedic為一買賣被入侵的遠端桌面協定伺服器(RDP伺服器)的平台。xDedic地下黑市販賣全球超過7萬台被感染伺服器許可權,根據公佈的報告顯示,xDedic於2014年開始營業,並在2015年中快速增長。到2016年5月,該黑市共有來自174個國家的70,624台伺服器在販售。在大中華地區(中國大陸、臺灣和香港),已有超過100家知名大型企業和ISP的伺服器受到感染並被xDedic在地下黑市販售,受害的單位包括政府、營運商、電商、醫院、房地產公司和學校等機構。

請依據建議措施之檢查措施檢視自身伺服器是否遭到入侵。如確實遭到入侵,請立即依建議措施進行處置並加強防範措施。

[影響平台:]
N/A

[建議措施:]
一.檢查措施:
若主機/伺服器已遭入侵並當作販售目標,可能被安裝木馬程式(Trojan)或作為代理伺服器(xDedic Socks System)協助轉送惡意流量。
使用者可檢查下列惡意程式檔案是否存在電腦中:
1.SCClient 木馬程式(\Windows\System32\scclient.exe)
2.3proxy 代理伺服器(\AppData\Local\Temp\pxsrvc\pxsrvc.exe)

由於被入侵伺服器可能移作其他非法用途,因此就算找不到上述惡意程式,並不能保證伺服器未遭受感染,使用者可針對目標電腦進行隔離並監控網路流量,查看是否有特定連線向以下中繼站報到:
http://37.49.224[.]144:8189/manual_result
http://37.49.224[.]144/ptest.php
http://37.49.224[.]144/sp.php
http://37.49.224[.]144/test_servers.xml
http://37.49.224[.]144/gfileset.php
http://5.56.133[.]145
http://191.101.31[.]126/ptest.php
http://191.101.31[.]126/sp.php
http://191.101.31[.]126/test_servers.xml
http://191.101.31[.]126/gfileset.php
http://191.101.31[.]126:8189/manual_result
http://q968787.ignorelist[.]com:32973
http://q968787.mooo[.]com:32973
http://q968787.homenet[.]org:32973
http://q968787.strangled[.]net:32973
http://q96b7b7.ignorelist[.]com:32973
http://q96b7b7.mooo[.]com:32973
http://q96b7b7.homenet[.]org:32973
http://q96b7b7.strangled[.]net:32973

二.處理措施
1. 觀察資訊設備是否有異常之網路連線行為,並檢查主機是否有不明之系統服務或程式執行中。
2.建議重新安裝受害資訊設備之作業系統,重設所有帳號密碼並更新至最新的修補程式。
3.檢查相同網路內的其他電腦,評估主機/伺服器內財物或敏感資料外洩的風險,並執行系統之安全修補措施(例如重新安裝、掃描電腦及重設所有帳號密碼等)
4.檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠與連線,檢視是否有必要開啟 RDP 服務 (遠端桌面服務),若無必要即關閉。

[參考資料:]
1.
https://www.facebook.com/notes/kaspersky-lab/%E5%8D%A1%E5%B7%B4%E6%96%AF%E5%9F%BA%E7%8E%87%E5%85%88%E7%99%BC%E7%8F%BE-xdedic%E9%BB%91%E5%B8%82%E8%B2%A9%E8%B3%A37%E8%90%AC%E5%8F%B0%E4%BC%BA%E6%9C%8D%E5%99%A8/1125267984196409/
2.
https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/
3.
https://securelist.com/files/2016/06/xDedic_marketplace_ENG.pdf
4.
https://en.wikipedia.org/wiki/XDedic