法务部调查局揭露企业常见受骇类型，从台湾遇害实例验证攻击趋势

面对层出不穷的资安事件，负责维护国家安全与侦查重大犯罪的法务部调查局，旗下设有资通安全处，身负防制电脑犯罪与相关鉴识的重责，是最能掌握国内组织遇害现况的单位之一。

近日，这个单位的资通安全处科长刘嘉明，揭露了国内企业的遇骇现况，期望让更多组织能了解常见受骇类型，并重视相关问题。

基本上，调查局资安团队主要任务有5大内容，包括电脑犯罪案件预防、网安情资搜集、电脑犯罪案件侦办、中继站查处，以及相关资安鉴识。在运作架构上，资通安全处在六大直辖市也都成立资通安全科，提升业务侦办能量。

对于电脑犯罪案件侦办方面，刘嘉明特别说明了对于境外敌对势力渗透的调查。在这类APT攻击中，骇客有攻击型与窃取资料型，两者是以分工方式合作，而且是由不同的骇客单位发起，原因在于，攻击型是大量发动容易发现，而窃取资料型则是以不被发现为主，但两者又有一定程度的犯意联系。例如，攻击型的骇客透过中继站，寄送恶意邮件到组织内部，组织受害后又会主动连线到另一个中继站，而另一组骇客，则是连线到上述的第二个中继站去窃取档案。

在此当中，他特别强调，调查局会透过追查中继站，来了解国内的受害状况，也就是从中继站发现攻击的迹象，进而通知企业或组织遇害。因此，不少企业可能在收到通知时，会以为调查局在监控他们，否则如何知道自己出问题，其实，这主要是案件追踪上的发现。他也举例，今年6月底铨叙部公布的个资外泄事件，经事后追查发现是101年6月30日前的资料遭窃，而调查局早在同年3月，就通知他们被入侵。

在电脑犯罪案件侦办上，调查局会透过中继站来了解国内的受害状况，进而追踪到有企业遭受入侵的现象。

期望推动多层次防护观念

对于近年企业防护上的状况，从调查局近年的侦查经验中，刘嘉明归纳出三大重点，是企业必须关注的面向。

多层次防护

首先，是缺乏多层次防护。他解释，一般已建构资安完善资安防护的企业，通常骇客从入侵到窃取资料，是需要一段时间。但如果企业被入侵后，对方即可任意窃取资料，受害公司等于完全没有因应的时间。因此，他希望企业都该具备多层次防护的架构。

委外管理

第二，是委外管理的问题，虽然公务机关这些年的安全程度，确实逐步提高，但以最近的趋势而言，他们看到，透过委外厂商入侵公务机关的情形，越来越多，而且私人机关也要注意风潮，因为许多公司也很依赖委外厂商。

因此，像是委外业者的程式撰写方式，以及系统维护观念是否安全等，都是企业应该要去关注的面向。

网络流量监控

最后，则是企业往往不知道内部网络流量异常的现况，缺乏相关监控措施，这也让骇客可能长期潜伏，一直躲在公司内部，暗中持续窃取资料。

对于企业攻击因应与证物保存，法务部调查局资通安全处科长刘嘉明指出，在调查局的侦办经验中，发现企业存在许多资安问题，建议企业需建立多层次防护，他并以近年电脑犯罪、资安事件的5大常见问题，提醒企业要对这些面向能有攻击因应。

勒索软件问题严重，国内企业愿意付赎金的比例高

国内企业面对那些资安攻击？过去我们只能从厂商报告中看见一些统计数字，刘嘉明从近期调查局办理的事件中，整理出五大常见问题类型，包括勒索软件、社交工程、骇客提升权限、Web Shell，以及离职员工。

以勒索软件攻击而言，他指出，日前国内金融业才发生大规模PC遭遇勒索软件的事件，引发金融圈与社会关注，而他所指的就是10月下旬国泰投信的遭遇。接着，他还提及近期一家旅行社的委外业者，其应用系统遭遇勒索软件的事件。由于发生在委外业者身上，虽然理论上应由该业者负起责任，但因为已经冲击到旅行社营运，因此最后旅行社决定自己先付赎金来因应。

然而，国内企业遭遇勒索软件付赎金的案例多吗？毕竟多数企业遭遇了勒索软件，通常不愿公开，多半是态势严重而被民众揭露才曝光，是否付赎金并无具体事例，也没有企业勇于承认。刘嘉明指出，其实这些业者在遇害后，付赎金的比例其实相当高，这主要也是因为骇客勒索的赎金，多是企业可负担的金额，这也让企业支付的意愿增加。

因此，他也呼吁，企业或委外厂商都应做好备份工作。在服务器的安全管理之外，员工电脑是企业容易疏忽的部分，同时，也提醒即便是备份资料，也有被加密的可能性。

调查局上述的举例，也呼应到其他重大事件。例如，最近，我们针对今年8月医疗院所遭勒索软件攻击的追踪报导中，就从医院得知曾发生多个备份均遭加密的情形，并听闻有医院支付赎金的状况。显然这些问题，已突显出国内在勒索软件攻击下的现况，企业必须重视与做好因应。

另外，对于不幸遭遇勒索软件的企业与用户，刘嘉明也指出可善用No More Ransom的网站，这里集结了国际刑警组织与资安业者等提供的解密的资源，受害者可以不用付赎金就能就会被加密的档案，为复原资料提供了另一些机会。

社交工程难防，预设密码与明码Web.config浮滥

对于近年电脑犯罪常见的攻击手法上，刘嘉明指出社交工程、钓鱼邮件的问题，虽然这类问题可能不易解决，因为企业内部总是会有人中招，但依然是企业必须关注的面向。

特别的是，也要注意邮件账号遭盗用，可能带来的风险。像是骇客利用窃取的信件内容，散布恶意程式给公司其他同仁，还有商业电子邮件诈骗的威胁，因此，企业在因应上一定要有双重验证，例如打电话再确认是否变更汇款账号。

对于社交工程与钓鱼邮件的问题，刘嘉明表示，这类问题可能不易解决，因为企业内部总是会有人中招，例如，面对复杂的电子邮件寄件者伪冒与窜改手法，有经验的人虽然能从邮件标头去分辨，但要让一般民众都懂得识别，并不容易，因此，他认为透过DMARC验证机制来防范，会比较有效。同时，他也指出钓鱼邮件及邮件账号遭盗用的问题，企业不能再忽视。他以最近TWCERT发布的攻击警讯为例，是有已知恶意IP地址对企业Office 365账号进行暴力破解攻击，提醒企业注意相关防护。

对于企业邮件账号被盗的后果，他也举例说明，假若公司双方的联络人，有一方邮件账号被入侵，这意味着骇客可以监控到邮件的内容，因此，接下来的骇客攻击有两种显而易见的方式，一是窃取原始邮件内容，并将恶意附档包含在邮件中，然后寄送给原寄件人的部属与同事；另一种就是用于商业电子邮件诈骗（BEC），针对公司财务相关人员，假冒合作伙伴或自己的主管，骗称临时要将款项转至另一金融账号。因此，他强调，这些事件的因应上，一定要有双重验证，例如打电话再确认是否要变更汇款账号。

同时，他指出提升权限与Web Shell的问题，也是侦办过程中常发现的状况。刘嘉明表示，前者多半发生在委外业者，并强调，预设密码与明码Web.config的状况很严重。

以预设密码的问题而言，像是近期多家医院遭受勒索软件攻击事件，就是因为委外业者在应用系统上使用了预设密码；而在网站系统使用明码Web.config的状况上，他认为8成为委外业者都没有做好这方面的防护，使用明码储存连线字串，让骇客可以轻易透过web.config搜集到数据库账号密码，取得最高权限，以管理者身份存取资料。因此，他也提醒，企业要在这方面督促委外厂商注意。

较特别的是，他还提到了另一个企业内部也很普遍的问题，那就是一旦有员工PC不小心被入侵，IT人员在维修时，很可能因为使用了管理者账号最高权限账号，而被键盘侧录程式或恶意软件MimiKatz截取，虽然骇客使用这招已经行之有年，但一直很管用。

对于控制网站服务器的Web Shell攻击手法，调查局也在很多案件的追踪入侵过程当中，发现了“一句话木马”这个网页型后门程式的存在，由于这种攻击是在网页中插入“一行”指令，利用网页的GET或POST以传送指令文字，因此不容易被发现。

另外，关于离职员工方面的问题，也是近年企业不可忽视的因素。像是离职后仍然可登入公司网络，应该要立即停用账号，以及员工在快要离职前，违规下载企业资料，可能是为了跳槽之用，要有异常存取行为监控机制。

企业若遭入侵，配合调查时仅记两大关键：记录保留与防护证明

对于调查局的案件处理，刘嘉明指出，企业在配合时有两大准备工作，企业必须牢记，一方面是要保留记录，另一方面则是需要提供适当的安全防护，包括明确的重要资安资产，以及资讯保护证明与说明。

对于电脑与防火墙的记录保存，他表示，在调查局的经验中，发现很多公司内部并没有相关政策，就容易发生保存时间太短，或是入侵过程中遭到删除。他建议，企业必须要做好集中记录保管。另外他也强调，保存记录的类型包含除错与资安事件，前者资料量大，而他们最需要的仅是后者，储存用量其实相对也比较小。

以调查局资安团队的任务而言，简单来说，包括了电脑犯罪案件预防、网安情资搜集、电脑犯罪案件侦办、中继站查处，以及相关资安鉴识。其中，关于电脑犯罪案件预防，刘嘉明表示，他们主要针对-机关、大专院校、上市柜公司与关键基础设施等机关，宣导防制电脑犯罪与教育训练，特别的是，今年也纳入资本额2亿元以上的企业；而在网安情资搜集方面，他表示，以行政院资通安全处目前对他们的要求而言，讲求的是要精准，而不是快，因此他们现有掌握的情资中，有8成比例都经得起考验。另外，为了因应明年大选，调查局今年8月份还新成立了假讯息防制中心。

 

对于台湾企业遭遇勒索软件攻击的问题，法务部调查局资通安全处科长刘嘉明指出，多数业者都是以付赎金了事。对于这样的现况，他表示，调查局当然也不希望受骇企业付款，但企业们会盘算如何可以损失最小化，但也很可能付了赎款，却得不回应的二次伤害。但对调查局而言，他们不会因为企业已付赎金而停止调查，仍会努力持续追踪。