暗藏危機的http
剛才在翻公司過往的文件,偶然發現公司2008年合作夥伴的合作資料。想著好久沒見了,想去看看網站是否還在。結果是http port 80連線,想寫信提醒更新https時發現警訊。原來https 443 port已經被New CobaltStrike found!,如此即便外界連線,駭客會利用這個443 port來攻擊目標電電腦。
原來在不知不覺中,port 443被資安設備擋下,系統才改連到port 80 ,雖然面對各種各樣的攻擊,但是警覺心和網站信譽分析,是真的有在發揮作用。也就是因為多了一個公益的,想把企業未升級https的事情告訴企業,才意外發現企業的443 port 已被攻陷。
從技術上看,資安設備擋了443 https,所以我只能轉而看到80port 的內容,屬於不安全連線。但是443 port有攻擊程式,這點我覺得很肯定資安設備的功能。
今天一開信箱,就看到momo電子發票中獎通知,4000元,以為交了好運。提醒各位讀者,絕對不要從信裡面的連結去點,要從google搜尋momo官方網站。就在搜尋官方網站網址時,意外發現FB上有momo發票詐騙的消息,所以我開始警覺。
再進一步分析來信,發現寄件者的網域有問題,連結也有問題,所謂的問題是結尾不是以.tw台灣為結尾。代表是境外網域。所謂的電子發票服務平台也是很可疑的:https://jiujiu-eu.szshysh(dot)com/
除了生氣,我們還能做什麼?我們可以讓網路上更容易查到momo電子發票中獎詐騙的訊息,讓更多的人得以查證。資安離我們很遠,也離我們很近,就在生活中,我們隨時都面臨社交工程釣魚的威脅,保持冷靜,永不信任,時時驗證,才能在資安之海中,常保安康。
台灣現在的網路安全態勢
2026的核心關鍵字是「騙」,投資詐騙和戀愛詐騙,導致許多自然人受騙上當。而法人,尤其是上班族,遇到的是「鯨釣式詐騙」,現在俄羅斯駭客,從公司的工商登記中找負責人的名字,然後以負責人的名義,要收信的人建立一個line群組,把條碼發給他,然後聽候指示。或者要公司同仁以姓名─職稱方式進到群組。這是和以前投資詐騙同一群人的操作手法,營造騙局然後獲取金錢,再搞失聯。
下一波要注意的是─AI輔助攻擊,現在用AI寫程式已很風行,但是AI從開放原始碼中找軟體漏洞效率很高,是CVE(通用漏洞編號)瘋狂增加的主因。
如何做才安全?
一、不點擊、當面查證,把「人」這個最弱的點守住
二、對來信、來電,一律採白名單制,零信任,永不信任、隨時驗證。在每一個小細節裡,將AI也化為自己的盾牌。
根因很重要,筆者在成為資安人員以前是資訊人員兼資訊講師,電腦壞了就重新安裝作業系統和應用軟體,但在接觸資安後,我發現「尋找根因」的重要性,只是重灌,駭客還是可以再度入侵。RCE(遠端執行任意程式碼)其實是很可怕的,代表可以下載,可以執行,可以洩露電腦內的任何資料。
那這種資安風險,不常發生,一但發生損失就很大,該怎麼轉移風險呢?該怎麼降低風險呢?
轉移:保資安險,國內的資安險有分DM,固定金融的,還有核保人員審核報價的
降低:選購具AI功能的資安設備、良好的資安意識教育訓練
研發日誌要怎麼寫
筆者曾當過民營資安公司的研發工程師,但是是一直到自己創業,才開始研發日誌。日誌會是長這樣,最上方標頭是這則日誌要解決的問題。然後內容區標注所下的指令以及成敗(O or X),並且備註自己的心得。
筆者靠著研發日誌,一路通過ITE的網路通訊人員和開放式系統人員,雖然這二個證照有考古題,但是實機操作的過程,尤其是學linux的過程,研發日誌是很寶貴的經驗,我所記下的研發日誌也都是永久保存。至今我有10本活頁式筆記本,專門用來記錄下不同科目、類型的研發。
從研發痛點也可以找商機,例如有概念但沒有技術能力實現,此時AI的幫助就很大了,但是AI有一個「重現性」的弱點,不同時候問會有不同的答案。所以問了什麼 答了什麼,就成為和AI互動的研發日誌的重點,在接觸更多資安技術後,我也習慣改用Cherry Tree這個軟體來存研發日誌。或者用手機上電子記事本的功能。
但是格式仍然是大標題─想解決的問題。 內容區記指令和他們生效與否。
對PICO UTM 100的威脅獵捕證言
這是我管理的第二台PICO UTM 100,第一台是我辦公室的環境,約有10台電腦;第二台是服務的另一家公司環境,約有15台電腦(含手機和平板)。第一台自己辦公室的環境,之前老舊的WiFi分享器被攻下,所以換了一台新的WiFi分享器。現在只有當誤瀏覽網站時,才會跳警告訊息。
而第二台就比較複雜了,由於使用的成員多,含金量也比較高,所以引起俄羅斯駭客的注意。駭客首先是用社交工程手法發釣魚信件侵入二台內部電腦,掃描連接埠ports,10分鐘內掃30個port被觸發警報,並連接DNS摸熟網路環境。
然後下一步,比較特別的,駭客的提權,走的是ntp 123 port(系統校時用),並且直接使用俄羅斯的IP,由於來源國特定,我就直接走地理區域封鎖,將辦公室往俄羅斯地區IP的連入和連出連線都封鎖。但是因為駭客同時也攻下了第二台的老舊WiFi,所以內部IP也遭受利用,這點就要請中華電信協助更新。
值得一提的是,第一台和第二台設備,最大的差別在第一台是接在WiFi前面,由WiFi發DHCP,這樣沒辦法精確鎖定受駭IP位址。第二台設備則是由中華電信的接入點發DHCP,如此可以精確追蹤受駭電腦。
我開始使用PICO UTM以後,每天都針對第二台設備在寫威脅獵捕報告,對我而言就像以前寫研發日誌一樣,是很大的成長,尤其現在也在進修滲透測試的相關知識,感覺這個俄羅斯駭客很有耐心。本來我一度覺得自己的能力無法面對國外駭客有組織的攻擊,但在AI的協助分析下,目前第二台已經逐漸進入狀況。
第三台會是在那裡呢?就等讀者主動連繫了,專業有價,我們公司這台PICO UTM 100和網路上同行的報價相近,但是我們有售後服務,代為過濾並進行專業建議,這是網購所沒有的服務。
目前發現的IOC入侵指標如下,歡迎進一步與本公司連繫:
IOC IP ADDRESS
185.94.111 dot1
商品參考網址:
暗藏危機的http 剛才在翻公司過往的文件,偶然發現公司2008年合作夥伴的合作資料。想著好久沒見了,想去看看網站是否還在。結果是http port 80連線,想寫信提醒更新https時發現警訊。原來https 443 port已經被New CobaltStrike found...
