肆虐全球甚鉅的 Necurs 殭尸网路,曾名列台湾 2018 年 10 大威胁来源。为全面杜绝 Necurs 带来的伤害,微软数位安全中心(Digital Crimes Unit,DCU)与台湾法务部调查局在 2019 年签订 C2O 恶意程式中继站观测平台合作协议,共享电脑犯罪情资,同年 8 月破获 VPN 非法 IP 攻击;今年 3 月更在多国执法单位合作下,共同摧毁 Necurs。
微软分享病毒情资给 35 国执法单位,共同摧毁 Necurs 殭尸网路
微软 DCU 在 2012 年即发现 Necurs,这庞大的殭尸网路是垃圾邮件生态系中最大的威胁之一,全球受感染电脑超过 900 万部。微软曾在为期 58 天的调查中发现,一台被 Necurs 感染的电脑发送出高达 380 万封垃圾邮件给超过 4,060 万名潜在受害者,而 Necurs 发送的垃圾邮件恶意攻击包括散布金融业木马、勒索程式、挖矿软体、窃取线上帐密/个资与机密资料,对于全球产业运作造成巨大影响。
微软透过大数据与机器学习演算法掌握到 Necurs 的情资,并透过「网路威胁情报计画」(C2O Program)将取得的 Necurs 情资分享给包括台湾在内 35 个国家的执法单位,并在 2020 年 3 月 10 日进行全球性大规模扫蕩行动,成功将 Necurs 下架。
台湾微软与调查局携手合作,成功遏止非法 VPN IP 肆虐
根据微软提供给调查局的 C2O 恶意程式中继站观测平台情资显示,从 2017 年 4 月开始至今,台湾约有超过 48,000 个 IP 位址受骇成为 Necurs,是被不明人士所控制,还有多达 23 万个网路 IP 遭受入侵。
微软使用机器学习协助分析大量情资,查出超过 90 个以上的异常 IP 位址需要做进一步分析。其中一个非法 IP 位址 117.56.XXX.XXX,从 2019 年的 6 月 13 日到 7 月 6 日的恶意连线次数从 16 次上升到 1,588 次,深入侦测这个非法 IP,发现有包括阿尔及利亚、法国以及荷兰等 21 个国外 IP、17 个可疑网域名称伺服器、24 个恶意程式以及勒索软体等透过这个非法 IP 发送恶意病毒攻击台湾,藉此转发钓鱼邮件与勒索软体。
微软 DCU 台湾办公室是与调查局、国家资通安全会报技术服务中心(NCCST)、台湾网路资讯中心(TWNIC)、中华电信协力合作,并将蒐集的情资交由调查局进行后续追蹤,进而在 2019 年 8 月成功取下这个 IP 位址上被感染的 IoT 设备,为 LED 灯光设备中控台,取下的同时恶意病毒讯号也随之消失,避免台湾成为殭尸网路以及其他恶意程式的跳板。
远距工作带来隐藏资安威胁,微软助企业对抗另一波数位疫情
此外,根据微软亚太地区 DCU 观测,自Cv新冠疫情爆发后,网路骇客透过网路钓鱼与勒索软体製造的恶意攻击增加 5 倍。随着企业因应疫情採取远距工作,IT 人员更面临前所未有的资安挑战,员工在家办公的电脑,失去企业完善资安防护网的保护,不仅成为骇客攻击与勒索病毒的新目标,也成为进一步攻击目标企业的跳板。
微软全球商务支援中心资讯安全暨风险管理协理林宏嘉提醒,企业因应疫情的同时,资安也不能鬆懈。除了员工远距工作使用的电脑与设备环境,必须确保作业系统与应用程式更新到最新版本,同时需要加强员工的资安意识教育,并将多重要素验证(MFA)、整合进阶威胁防护 ATP 机制、点对点加密与保护机制列为资安防护重点。微软全球 3,500 位资安团队每天分析 6.5 兆笔资安情资,并提供企业客户包括智慧侦测、智慧防护、智慧回应、智慧预测等 4 大面向的资安防御,以对抗数位环境下看不见的另一波疫情。
