臺中區網的夥伴,您好:
轉知TACERT-ANA- 2016012103010303,【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護。
如底下原信件。
煩請 貴單位協助公告及轉發轄下單位,儘速採取建議措施,以防止遭受相關攻擊。
本訊息同步公告於台中區網網站:
http://www.tcrc.edu.tw/index.php/282-pass-the-ticket
======================
中興大學計資中心
研究發展組 敬上
電話:(04)22840306#765
傳真:(04)22871774
台中市南區國光路250號
======================
From: service [mailto:service@cert.tanet.edu.tw]
Sent: Thursday, January 21, 2016 4:02 PM
To: service@cert.tanet.edu.tw
Subject: (ANA事件單通知:TACERT-ANA-2016012103010303)(【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護)
教育機構ANA通報平台
發佈編號 TACERT-ANA-2016012103010303
發佈時間 2016-01-21 15:50:08
事故類型 ANA-攻擊預警
發現時間 2016-01-21 00:00:00
影響等級 高
[主旨說明:]
【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2016-0010 近期發現駭客在入侵機關網域伺服器(DC,Domain Controller),取得系統內處理使用者身分認證之預設帳號krbtgt所對應的密碼雜湊值後,即可任意登入網域內的所有主機,在機關內部進行擴散攻擊。 依實際案例與相關研究資料顯示,駭客首要條件需成功入侵DC,取得主機管理者權限後才能從中擷取預設帳號krbtgt的密碼雜湊值,進而施行後續Pass-the-Ticket手法,達到內部擴散的目的。 請各級政府機關加強DC防護並留意DC內具管理者權限帳號之登入使用狀況,避免密碼遭竊取後所帶來的攻擊。 此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發。
[影響平台:]
Windows作業系統
[建議措施:]
1.確認DC主機之安全性
a.確認DC主機內具管理者權限帳號的登入來源與使用狀況是否存在異常
b.檢測DC狀況,確認是否存在惡意程式或其他入侵跡象
2.若DC遭入侵,則建議應採取以下應變措施
a.參考微軟提供之DC建置安全作業要點進行DC重建作業,網址如下:https://technet.microsoft.com/en-us/library/dn487446.aspxb.重新設定DC內預設帳號krbtgt密碼兩次,重設後應重開機以確保設定啟用;依微軟建議,兩次設定間隔應在10至12小時,可參考以下兩種密碼更改方式
(1).手動更改krbtgt密碼,步驟可參考104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例分享簡報p.43~p.44,網址如下:http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251
(2).可利用微軟提供之powershell工具重新設定krbtgt密碼,網址如下:https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51#content
3.重新檢視DC管理維運方式
a.以本機登入操作為主,避免遠端登入進行管理
b.限縮DC內具管理者權限帳號之使用
c.定期檢視系統內管理者權限帳號之登入與使用狀況
4.此則警訊僅作通知,無需進行通報作業。如機關發現遭駭情事,請依內部資安事故處理程序處理,並至通報應變網站執行通報作業。
[參考資料:]
104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例(Pass-the-Ticket)分享 http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251 微軟技術文件 https://technet.microsoft.com/en-us/library/dn487446.aspx
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw
==========================================================================================================================
請參閱區網中心e-mail (如附檔)。