肆虐全球甚巨的Necurs僵尸网络,曾名列台湾2018年10大威胁来源。为全面杜绝Necurs带来的伤害,微软数字安全中心(Digital Crimes Unit,DCU)与台湾法务部调查局在2019年签订C2O恶意程序中继站观测平台合作协议,共享计算机犯罪情报资料,同年8月破获VPN非法IP攻击;今年3月更在多国执法单位合作下,共同摧毁Necurs。
微软分享病毒情报资料给35国执法单位,共同摧毁Necurs僵尸网络
微软DCU在2012年即发现Necurs,这庞大的僵尸网络是垃圾邮件生态系统中最大的威胁之一,全球受感染计算机超过900万部。微软曾在为期58天的调查中发现,一台被Necurs感染的计算机发送出高达380万封垃圾邮件给超过4,060万名潜在受害者,而Necurs发送的垃圾邮件恶意攻击包括传播金融业木马、勒索程序、挖矿软件、窃取线上帐密/个人信息与机密资料,对于全球产业运行造成巨大影响。
微软通过大数据与机器学习算法掌握到Necurs的情报资料,并通过“网络威胁情报计划”(C2O Program)将取得的Necurs情报资料分享给包括台湾在内35个国家的执法单位,并在2020年3月10日进行全球性大规模扫荡行动,成功将Necurs下架。
台湾微软与调查局携手合作,成功遏止非法VPN IP肆虐
根据微软提供给调查局的C2O恶意程序中继站观测平台情报资料显示,从2017年4月开始至今,台湾约有超过48,000个IP地址受黑成为Necurs,是被不明人士所控制,还有多达23万个网络IP遭受入侵。
微软使用机器学习协助分析大量情报资料,查出超过90个以上的异常IP地址需要做进一步分析。其中一个非法IP地址117.56.XXX.XXX,从2019年的6月13日到7月6日的恶意连接次数从16次上升到1,588次,深入侦测这个非法IP,发现有包括阿尔及利亚、法国以及荷兰等21个海外IP、17个可疑域名名称服务器、24个恶意程序以及勒索软件等通过这个非法IP发送恶意病毒攻击台湾,借此转发钓鱼邮件与勒索软件。
微软DCU台湾办公室是与调查局、国家资通安全会报技术服务中心(NCCST)、台湾网络信息中心(TWNIC)、中华电信协助合作,并将搜集的情报资料交由调查局进行后续关注,进而在2019年8月成功取下这个IP地址上被感染的IoT设备,为LED灯光设备中控台,取下的同时恶意病毒信号也随之消失,避免台湾成为僵尸网络以及其他恶意程序的跳板。
远程工作带来隐藏安全威胁,微软助企业对抗另一波数字疫情
此外,根据微软亚太地区DCU观测,自新冠肺炎疫情爆发后,网络黑客通过网络钓鱼与勒索软件制造的恶意攻击增加5倍。随着企业因应疫情采取远程工作,IT人员更面临前所未有的安全挑战,员工在家办公的计算机,失去企业完善安全防护网的保护,不仅成为黑客攻击与勒索病毒的新目标,也成为进一步攻击目标企业的跳板。
微软全球商务支持中心信息安全暨风险管理协理林宏嘉提醒,企业因应疫情的同时,安全也不能松懈。除了员工远程工作使用的计算机与设备环境,必须确保操作系统与应用程序更新到最新版本,同时需要加强员工的安全意识教育,并将多重要素验证(MFA)、集成高端威胁防护ATP机制、点对点加密与保护机制列为安全防护重点。微软全球3,500位安全团队每天分析6.5万亿笔安全情报资料,并提供企业客户包括智能侦测、智能防护、智能回应、智能预测等4大面向的安全防御,以对抗数字环境下看不见的另一波疫情。
(首图来源:微软)