微軟聯手 35 國摧毀 Necurs 殭屍網路,與調查局共享情資攻破非法 IP 位址

作者 | 發布日期 2020 年 04 月 22 日 13:00 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


肆虐全球甚鉅的 Necurs 殭屍網路,曾名列台灣 2018 年 10 大威脅來源。為全面杜絕 Necurs 帶來的傷害,微軟數位安全中心(Digital Crimes Unit,DCU)與台灣法務部調查局在 2019 年簽訂 C2O 惡意程式中繼站觀測平台合作協議,共享電腦犯罪情資,同年 8 月破獲 VPN 非法 IP 攻擊;今年 3 月更在多國執法單位合作下,共同摧毀 Necurs。

微軟分享病毒情資給 35 國執法單位,共同摧毀 Necurs 殭屍網路

微軟 DCU 在 2012 年即發現 Necurs,這龐大的殭屍網路是垃圾郵件生態系中最大的威脅之一,全球受感染電腦超過 900 萬部。微軟曾在為期 58 天的調查中發現,一台被 Necurs 感染的電腦發送出高達 380 萬封垃圾郵件給超過 4,060 萬名潛在受害者,而 Necurs 發送的垃圾郵件惡意攻擊包括散布金融業木馬、勒索程式、挖礦軟體、竊取線上帳密/個資與機密資料,對於全球產業運作造成巨大影響。

微軟透過大數據與機器學習演算法掌握到 Necurs 的情資,並透過「網路威脅情報計畫」(C2O Program)將取得的 Necurs 情資分享給包括台灣在內 35 個國家的執法單位,並在 2020 年 3 月 10 日進行全球性大規模掃蕩行動,成功將 Necurs 下架。

台灣微軟與調查局攜手合作,成功遏止非法 VPN IP 肆虐

根據微軟提供給調查局的 C2O 惡意程式中繼站觀測平台情資顯示,從 2017 年 4 月開始至今,台灣約有超過 48,000 個 IP 位址受駭成為 Necurs,是被不明人士所控制,還有多達 23 萬個網路 IP 遭受入侵。

微軟使用機器學習協助分析大量情資,查出超過 90 個以上的異常 IP 位址需要做進一步分析。其中一個非法 IP 位址 117.56.XXX.XXX,從 2019 年的 6 月 13 日到 7 月 6 日的惡意連線次數從 16 次上升到 1,588 次,深入偵測這個非法 IP,發現有包括阿爾及利亞、法國以及荷蘭等 21 個國外 IP、17 個可疑網域名稱伺服器、24 個惡意程式以及勒索軟體等透過這個非法 IP 發送惡意病毒攻擊台灣,藉此轉發釣魚郵件與勒索軟體。

微軟 DCU 台灣辦公室是與調查局、國家資通安全會報技術服務中心(NCCST)、台灣網路資訊中心(TWNIC)、中華電信協力合作,並將蒐集的情資交由調查局進行後續追蹤,進而在 2019 年 8 月成功取下這個 IP 位址上被感染的 IoT 設備,為 LED 燈光設備中控台,取下的同時惡意病毒訊號也隨之消失,避免台灣成為殭屍網路以及其他惡意程式的跳板。

遠距工作帶來隱藏資安威脅,微軟助企業對抗另一波數位疫情

此外,根據微軟亞太地區 DCU 觀測,自武漢肺炎疫情爆發後,網路駭客透過網路釣魚與勒索軟體製造的惡意攻擊增加 5 倍。隨著企業因應疫情採取遠距工作,IT 人員更面臨前所未有的資安挑戰,員工在家辦公的電腦,失去企業完善資安防護網的保護,不僅成為駭客攻擊與勒索病毒的新目標,也成為進一步攻擊目標企業的跳板。

微軟全球商務支援中心資訊安全暨風險管理協理林宏嘉提醒,企業因應疫情的同時,資安也不能鬆懈。除了員工遠距工作使用的電腦與設備環境,必須確保作業系統與應用程式更新到最新版本,同時需要加強員工的資安意識教育,並將多重要素驗證(MFA)、整合進階威脅防護 ATP 機制、點對點加密與保護機制列為資安防護重點。微軟全球 3,500 位資安團隊每天分析 6.5 兆筆資安情資,並提供企業客戶包括智慧偵測、智慧防護、智慧回應、智慧預測等 4 大面向的資安防禦,以對抗數位環境下看不見的另一波疫情。

(首圖來源:微軟)