【資安日報】2022年12月28日，GuLoader惡意軟體下載器又有新Shellcode規避偵測技術；台積電在年底前設置資安長一職

在資安分析技術不斷進步之下，攻擊者也持續找出新的規避偵測的技術，本日有兩起資安人員研究公布亦突顯此一情形，包括新的Shellcode技術與新繞過Windows MoTW的方法。

南韓警察廳揭露集權鄰國發動大規模網釣與勒索軟體攻擊行動，值得關注，近千位外交專家與數十個購物網站成為鎖定攻擊目標。

在國內，金管會要求臺灣上市櫃大型企業在2022年底需設置資安長，今年已有多家公司陸續任命，如今台積電亦推出副總經理林錦坤擔任，明年底上市櫃第二級公司也要注意，必須設置資安專責主管與人員。

【攻擊與威脅】

CrowdStrike揭露GuLoader惡意軟體下載器的新發現，表示這款採用大量反分析技術的惡意軟體，最近又有新的Shellcode技術，將會使用NtQueryVirtualMemory API，掃描整個記憶體的處裡程序，在每個記憶體頁面（Page）以查找任何與VM相關的字串，來檢測是否在檢測環境中運行，一旦發現如VMSwitchUserControlClass，VM3DService Hidden Window，VMDisplayChangeControlClass，以及vmtoolsdControlWndClass等的DJB2 Hash值，就會停止執行。此外，在調用每個API之前，也會針對API執行斷點檢查。

卡巴斯基在12月27日針對MoTW繞過的攻擊手法提出警告，指出他們最近發現許多攻擊者開始這麼做，例如，他們發現APT駭客Lazarus Group旗下BlueNoroff組織，正使用新的伎倆來欺騙這項安全機制。簡單來說，MoTW的安全功能，會針對從網路下載的檔案給予一個標籤，因此攻擊者開始把真正的攻擊酬載（Payload）像是誘餌文件、惡意腳本，隱藏在像是ISO或VHD的檔案格式。

，說明子公司遭遇網路攻擊，當中表示他們的子公司BTC.com在12月3日遭受網路攻擊，造成公司230萬美元的加密貨幣資產，以及客戶持有的70萬美元加密貨幣遭竊。在事件應變方面，該公司表示已在技術上採取行動以攔截駭客，並且通報中國深圳的執法單位，且目前公司營運正常，但沒有公布調查結果，也沒有說明攻擊管道與事件如何發生。

南韓警察廳揭露近期該國發現的資安威脅現況，根據，警方首先揭露北韓駭客鎖定南韓外交專家學者發動大規模網釣攻擊，這波行動從今年4月開始，有892名收到假冒執政高層、外交官員名義的釣魚信，並有49人上當；另也提及他們首次發現這批北韓駭客使用勒索軟體攻擊，造成當地13家線上購物網站的19臺伺服器遇害，其中並有兩家業者因此支付了約6萬元的比特幣贖金。

Cookie Theft（pass-the-cookie attack）的Session劫持技術存在多年，可繞過MFA的保護機制，去年10月最近國內有商業Youtube頻道表示受害，例如3C達人廖阿輝在12月25日的影片中，說明誤信了一個以合作廠商名義、傳來遊戲DEMO下載的檔案，該惡意連結並不是在郵件內文中，而是存在郵件附檔PDF中，點擊執行後，曾跳出錯誤提醒視窗，一天後發現其Youtube頻道被盜。由於假合作廠商名義的威脅早已時有所聞，若收到訊息的人要開啟可疑的檔案，建議應在隔離的測試環境或VM執行。

近日Azure一項重大漏洞的技術細節公開，根據SecurityWeek報導指出，這是資安研究人員Emilien Socchi在今年12月22日揭露，該漏洞並稱之為ACSESSED，是今年2月時通報，微軟在8月31日已修補，如今研究人員公開相關技術細節，指出這個漏洞影響了啟用Allow access from portal功能的用戶，將允許攻擊者從任何位置（包括未暴露在網際網路上的執行個體）跨租戶存取ACS實例的資料層，並說明其研究經過與PoC概念驗證的過程。

【漏洞與修補】

Apache在12月22日針對旗下的ShardingSphere-Proxy修補重大漏洞，根據cve.org網站的說明，受影響的是5.3.0之前的版本，漏洞編號為CVE-2022-45347，問題出在ShardingSphere-Proxy在使用MySQL作為資料庫後端時，在MySQL客戶端認證失敗後，並沒有完全清理資料庫Session，這使得攻擊者將可利用一個特殊的MySQL客戶端（也就是認證失敗不會關閉客戶端），進而繞過身分驗證。該漏洞已在Apache ShardingSphere 5.3.0版本修補。

【資安防禦措施】

趕在2022年底之前，屬於金管會規範為第一級公司的台積電，在12月27日下午發布公告，任命該公司現任資訊技術及資材暨風險管理資深副總經理林錦坤，出任台積電首任資訊安全長，而最近一周設置資安長的上市櫃公司，還有潤泰新、匯橋、潤泰全、鴻準、可寧衛、和桐、大同、富爾特與群翊等，其中有些公司並非被要求的第一級公司，但也開始主動設置資安長一職，強化組織內部的資安發展。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

隨著2023年即將到來，上市櫃第二級公司也要注意設置資安專責主管，以及至少1名資安專責人員的期限會在2023年底。

金管會在12月27日公布未來三年將推動的金融資安行動方案2.0，延續1.0版所提出的四大策略，適用範圍也擴大，並聚焦資安的落實與深化，共訂定40項措施，當中新增12項、擴大適用範圍5項、持續性措施23項。

對此，金管會也簡單說明9項推動重點，值得關注的部分，包括：定期召開資安長連繫會議；深化核心資料保全；因應數位轉型及網路服務開放將聚焦多元金融身分驗證框架級標準；鼓勵建置SOC並達一定規模金融機構，朝向檢驗資安監控及防禦部署有效性的模擬與演練；鼓勵零信任網路部署；以及擴大攻防演訓與重大資安事件支援演訓等。

【其他資安新聞】

近期資安日報

https://www.ithome.com.tw/news/154920