臺東縣政府教育處公告
公告編號:B108003527
發布日期:108 年 11 月 6 日
本公告指定特定學校簽收
【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路

內容

(ANA事件單通知:TACERT-ANA-2019110602115959)(【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路)

 

教育機構ANA通報平台

發佈編號:TACERT-ANA-2019110602115959     發佈時間:2019-11-06 14:59:02

事故類型:ANA-攻擊預警                                                  發現時間:2019-11-04 01:35:22

影響等級:低

 

[主旨說明:]【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路

[內容說明:]

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-0001
本中心接獲國際情資,駭客利用Lemon_Duck PowerShell嘗試利用EternalBlue SMB漏洞,暴力攻擊MS-SQL服務或Pass-the-hash攻擊系統,迴避資安防禦機制,入侵終端系統執行惡意勒索並散播惡意程式。
受感染系統會以下列方式散播:
1. EternalBlue:SMB漏洞利用。
2. USB和網路磁碟:腳本會將惡意Windows *.lnk shortcut files與DLL files寫入感染系統中的USB或連線的網路磁碟機中,並透過Windows *.lnk漏洞(CVE-2017-8464)散播惡意程式。
3. Startup file:腳本將惡意檔案寫入Windows系統上的啟動位置(如開始中的啟動裡),並在統重啟後執行。
4. MS-SQL Server暴力破解: 使用腳本置中的密碼表嘗試暴力破解SQL Server的SA帳戶。
5. Pass the Hash攻擊: 利用腳本中的hash table執行Pass the Hash攻擊。
6. 使用WMI在遠端系統上執行惡意指令。
7. RDP暴力破解。
攻擊來源資訊:
- Potential C2:
27.102.107[.]41
- Potential Brute Force:
113.140.80[.]197 - Port Scanning/Brute force (CN)
120.253.228[.]35 - Port Scanning/Brute force port 3389 (CN)
112.133.236[.]187 - Brute Force port 445 (India)
58.62.125[.]245 - Brute Force port 445/Port Scanning (CN)
- Potential Scanning:
58.221.24[.]178 - Port Scanning (CN)
221.4.152[.]250 - Port Scanning port 1433 (CN)
182.140.217[.]226 - Port scanning (CN)
1.202.15[.]246 - Port scanning port 3389 (CN)
Additionally the following are potential host indicators:
- Scheduled task named Rtsa
- Listening port of 65529
- Service with a randomly generated name
- Mutexes within PowerShell called LocalIf and LocalMn

 

[影響平台:]

所有Windows系統

 

[建議措施:]

1. 安裝Windows SMB 安全更新。
2. 關閉網路芳鄰(SMBv1)。
3. 使用高強度密碼。
4. 安裝Windows CVE-2017-8464 漏洞相關安全更新。
5. 建議封鎖攻擊來源IP。

 

[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

 


發佈編號 發佈時間
事故類型 ANA-攻擊預警 發現時間 2019-11-04 01:35:22
影響等級    
[主旨說明:]【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路
[內容說明:]
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-0001
本中心接獲國際情資,駭客利用Lemon_Duck PowerShell嘗試利用EternalBlue SMB漏洞,暴力攻擊MS-SQL服務或Pass-the-hash攻擊系統,迴避資安防禦機制,入侵終端系統執行惡意勒索並散播惡意程式。
受感染系統會以下列方式散播:
1. EternalBlue:SMB漏洞利用。
2. USB和網路磁碟:腳本會將惡意Windows *.lnk shortcut files與DLL files寫入感染系統中的USB或連線的網路磁碟機中,並透過Windows *.lnk漏洞(CVE-2017-8464)散播惡意程式。
3. Startup file:腳本將惡意檔案寫入Windows系統上的啟動位置(如開始中的啟動裡),並在統重啟後執行。
4. MS-SQL Server暴力破解: 使用腳本置中的密碼表嘗試暴力破解SQL Server的SA帳戶。
5. Pass the Hash攻擊: 利用腳本中的hash table執行Pass the Hash攻擊。
6. 使用WMI在遠端系統上執行惡意指令。
7. RDP暴力破解。
攻擊來源資訊:
- Potential C2:
27.102.107[.]41
- Potential Brute Force:
113.140.80[.]197 - Port Scanning/Brute force (CN)
120.253.228[.]35 - Port Scanning/Brute force port 3389 (CN)
112.133.236[.]187 - Brute Force port 445 (India)
58.62.125[.]245 - Brute Force port 445/Port Scanning (CN)
- Potential Scanning:
58.221.24[.]178 - Port Scanning (CN)
221.4.152[.]250 - Port Scanning port 1433 (CN)
182.140.217[.]226 - Port scanning (CN)
1.202.15[.]246 - Port scanning port 3389 (CN)
Additionally the following are potential host indicators:
- Scheduled task named Rtsa
- Listening port of 65529
- Service with a randomly generated name
- Mutexes within PowerShell called LocalIf and LocalMn
此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
所有Windows系統
[建議措施:]
1. 安裝Windows SMB 安全更新。
2. 關閉網路芳鄰(SMBv1)。
3. 使用高強度密碼。
4. 安裝Windows CVE-2017-8464 漏洞相關安全更新。
5. 建議封鎖攻擊來源IP。
[參考資料:]
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw
公告期間: 108 年 11 月 6 日 ~ 108 年 12 月 6 日
承辦人員:教育網路中心 廖家華
聯絡電話:322002 分機 2314