2025/3/17 -2025/3/21 資安一週大事

WiFi、去認證攻擊

[3月17日] 警惕！九成以上 Wi-Fi 網絡缺乏針對去認證攻擊的保護

根據 Nozomi Networks Labs 的最新報告，全球大多數 Wi-Fi 網絡都缺乏有效的安全防護，特別是對一種名為 「去認證攻擊」（Deauthentication Attack）的駭客手法毫無防備。

這項研究分析了 超過 50 萬個 Wi-Fi 網絡，發現只有 6% 具備足夠的安全防禦，讓駭客有機可乘，影響範圍甚至涵蓋 醫療機構、工業設施等關鍵領域。因此，了解並採取防護措施對於 個人用戶與企業 都至關重要。

🔹 什麼是「去認證攻擊」

去認證攻擊（Deauthentication Attack）是一種針對 Wi-Fi 網路的 阻斷式攻擊（Denial of Service, DoS），駭客透過偽造「去認證（Deauthentication）封包」，駭客可以藉此讓設備斷線，並誘導使用者連上假的 Wi-Fi（惡意存取點），進而攔截密碼、竊取資料，甚至入侵系統。

⚠️ 去認證攻擊的影響

1. Wi-Fi 斷線干擾：駭客可讓目標設備頻繁掉線，影響正常上網。

2. 釣魚與資料竊取：受害者可能會被誘導連接到駭客建立的「惡意 Wi-Fi 熱點」，駭客可藉此攔截帳號密碼、信用卡資訊等敏感數據。

3. 中斷企業或關鍵系統運作：在醫院、工業設備或金融機構，去認證攻擊可能導致嚴重業務中斷，甚至影響安全性。

🚨 關鍵網絡面臨重大風險

報告也指出，近半年來的駭客活動主要集中在 攻擊影響階段，也就是當攻擊成功後，駭客利用漏洞竊取數據或癱瘓系統的過程。同時，大量新發現的漏洞被評為「高風險」，顯示出醫療、工業等基礎設施面臨越來越嚴重的網路安全威脅。

🛡 如何提升 Wi-Fi 安全？

1. 避免使用公用 Wi-Fi，特別是沒有密碼的免費熱點。

2. 啟用 WPA3 安全協議（如果路由器支援）。

3. 關閉未使用的 Wi-Fi 設備，減少潛在攻擊目標。

4. 使用 VPN 保護網路連線，避免資料被竊取。

5. 定期更新路由器和設備的韌體，修補已知漏洞。

資料來源：

https://www.helpnetsecurity.com/2025/03/14/wi-fi-networks-deauthentication-attacks/

供應鏈攻擊、GitHub

[3月18日] GitHub Action 安全風險：供應鏈攻擊事件分析

這起事件是一起透過 GitHub Actions 機制發動的供應鏈攻擊，影響了多個開發工具，可能導致機密資訊外洩。

定期檢查使用的 GitHub Actions 是否安全、限制金鑰的使用範圍，並保持開發環境的監控，避免類似攻擊發生。這次事件再次提醒我們，開發工具的安全性至關重要，一旦供應鏈環節被攻破，影響範圍可能非常廣泛。

🚨攻擊手法

1. 入侵開發流程的自動工具

   • GitHub Actions 是用來自動化開發流程的工具，攻擊者先入侵其中一個名為 "reviewdog/action-setup@v1" 的工具，並偷偷植入惡意程式碼。

2. 竊取關鍵憑證

   • 被植入惡意程式碼的工具會竊取 CI/CD（持續整合與部署）所使用的金鑰，這些金鑰就像開發者用來部署程式的「鑰匙」，一旦落入壞人手中，可能會被濫用來進一步攻擊。

3. 連鎖感染

   • 另一個工具 "tj-actions/eslint-changed-files" 依賴於已被入侵的工具，因此攻擊者得以進一步取得 "tj-actions/changed-files" 的存取權令牌，這些令牌可用來存取程式碼或其他機密資訊，導致更嚴重的資料洩漏風險。

⚠️ 供應連攻擊為何嚴重

1. 影響範圍廣，難以控制

   • 供應鏈攻擊通常針對企業或開發團隊所依賴的第三方工具、軟體元件或服務。一旦攻擊成功，受影響的組織不僅包括直接目標，還會擴及使用相同供應鏈的所有企業與個人，影響層面極為廣泛。

2. 隱蔽性高，難以察覺

   • 供應鏈攻擊往往利用合法軟體、更新或第三方服務來散播惡意程式碼，受害者可能在毫無察覺的情況下安裝了帶有惡意程式的版本，導致防禦機制難以偵測。

3. 破壞力大，影響關鍵系統

   • 許多供應鏈攻擊的目標是關鍵基礎設施，如政府機關、金融機構、醫療系統或工業控制系統。一旦這些系統遭到攻擊，可能導致大規模的資料外洩、業務中斷，甚至影響公共安全。

4. 連鎖效應，擴散速度快

   • 由於現代開發環境高度依賴開源軟體、第三方 API 和自動化工具，攻擊者只要入侵供應鏈中的一個環節，就能藉由軟體更新、自動部署或依賴關係擴散到大量使用者，造成難以挽回的影響。

5. 修復成本高，影響企業信譽

   • 受害企業可能需要投入大量資源來修復受影響的系統，調查攻擊來源，並強化資安機制。此外，一旦供應鏈攻擊導致機密資料外洩或客戶受害，企業的信譽與品牌形象將嚴重受損，甚至面臨法律責任。

🛠️ 如何應對供應鏈攻擊？

• 嚴格審查第三方供應商的安全措施

• 定期進行軟體組件的安全檢測

• 強化軟體開發的安全性，落實 Zero Trust 原則

• 採用簽章驗證技術，確保軟體未被篡改

• 監控異常行為，及早偵測潛在攻擊

供應鏈攻擊的嚴重性不容忽視，因為它影響層面廣、潛伏時間長，且可能造成毀滅性後果。企業與開發者必須提高警覺，確保每個供應鏈環節的安全，以降低潛在風險。

資料來源：

https://www.bleepingcomputer.com/news/security/github-action-hack-likely-led-to-another-in-cascading-supply-chain-attack/

StilachiRAT、RDP

[3月19日] 隱匿性極強的 StilachiRAT 威脅，可竊取敏感資訊並監控 RDP 會話

資安專家發現了一種名為 StilachiRAT 的新型電腦病毒，它是一種 遠端存取木馬（RAT），專門攻擊 Windows 電腦。這類病毒的目標是讓駭客能夠 遠端控制受害者的電腦，進行非法活動。

🔹 StilachiRAT 功能

StilachiRAT 具備多種惡意功能，讓駭客能夠 遠端控制受害者的 Windows 電腦，執行各種攻擊行為。以下是它的主要功能：

1. 竊取敏感資料

• 竊取 密碼、瀏覽器儲存的登入資訊、銀行帳戶資料

• 讀取 鍵盤輸入紀錄（Keylogging），監視受害者打字內容

• 偷偷錄製 螢幕截圖，竊取機密資訊

2. 監控遠端桌面

• 能夠監看或操控受害者的電腦螢幕

• 遠端開啟或關閉電腦上的應用程式

• 可能竊取企業內部系統的存取權限

3. 橫向移動攻擊

• 如果受害者的電腦連接公司或家庭網路，病毒可能進一步感染其他設備

• 讓駭客能夠入侵更多內部系統，擴大攻擊範圍

4. 躲避偵測與持久化運行

• 透過加密技術，隱藏自身程式碼，讓防毒軟體難以偵測

• 具有 自動重新啟動機制，即使受害者關機或刪除部分檔案，病毒仍能存活

• 可能偽裝成系統正常程式，降低使用者的警覺

🚨 可能攻擊方式

1. 電子郵件釣魚攻擊

   攻擊者會寄送偽裝成官方通知或工作相關的電子郵件，誘導受害者開啟惡意附件或點擊釣魚連結。這些附件通常是 Excel、Word 文件、PDF 檔案或 ZIP 壓縮檔，內含隱藏的惡意程式碼。一旦受害者開啟文件，病毒就會自動下載並執行，電腦開始受到控制。

2. 惡意網站和假冒下載

   StilachiRAT 可能隱藏在假冒的軟體下載網站或免費破解程式（如盜版 Office、遊戲、影視軟體）中。受害者下載並安裝這些程式時，病毒就會偷偷執行。有些攻擊手法甚至會利用瀏覽器漏洞，只要受害者點擊惡意網站的連結，病毒就可能自動下載並執行。

3. 軟體供應鏈攻擊

   攻擊者可能入侵開發者的 GitHub、軟體更新系統，偷偷植入 StilachiRAT。受害者下載更新後，電腦就會被感染。這類攻擊影響範圍較大，可能波及企業或政府機構。

🛡 如何避免感染 StilachiRAT？

• 不點擊來路不明的郵件附件或連結。

• 只從官方網站下載軟體，不使用破解軟體。

• 啟用 Windows Defender 或其他資安軟體的即時防護。

• 定期更新系統和軟體，修補安全漏洞。

• 關閉未使用的遠端桌面（RDP），並使用強密碼。

資料來源：

https://www.helpnetsecurity.com/2025/03/18/stealthy-stilachirat-steals-data-may-enable-lateral-movement/

BadBox、殭屍網路、供應鏈攻擊

[3月20日] BadBox 2.0：全球百萬台電視設備遭駭，成為網路犯罪工具

最近揭露了一項大規模的網路攻擊行動名為 BadBox 2.0。這場攻擊的目標是 中國製的白牌智慧電視和多媒體播放裝置，全球至少有 100 萬台設備 已經遭到感染，駭客透過惡意軟體感染這些設備，讓它們變成駭客控制的「殭屍網路」。

🔹 BadBox 2.0 的優勢

相比舊版 BadBox，BadBox 2.0 在 隱蔽性、攻擊手法、影響範圍 等方面都有重大提升，讓它成為 更強大、更難對抗的殭屍網路。以下是 BadBox 2.0 的主要優勢：

1. 更廣泛的感染範圍

• 不僅攻擊 中國白牌智慧電視，還影響 更多類型的連網設備（如機上盒、智慧顯示器等）。

• 全球 至少 100 萬台設備 已感染，影響範圍遠超 BadBox 1.0。

2. 更進階的感染方式

• 除了 供應鏈攻擊，還可能利用：

  • 固件後門：透過設備內建韌體植入惡意軟體。

  • 雲端更新：偽裝成正常的系統更新，自動感染設備。

  • 應用偽裝：透過惡意應用程式或側載 (Sideloading) 方式安裝病毒。

3. 更強的隱蔽性與持久性

• 可能使用 進階的加密技術 來隱藏惡意流量，避免被安全軟體偵測。

• 透過 多層備援機制（如感染後自我修復）確保惡意軟體不會被輕易移除。

• 可能具備 防分析機制，讓資安研究人員更難解析其運作方式。

4. 更多元的攻擊用途

• 廣告詐欺與點擊欺詐：駭客可透過受感染設備 偽造點擊、觀看廣告 來獲利。

• 提供非法代理伺服器：允許其他網路犯罪分子 匿名使用受感染設備 來發動攻擊。

• DDoS 攻擊（可能新增）：受控設備可被用來攻擊特定網站或服務，癱瘓其運作。

• 數據竊取（可能新增）：有機會蒐集使用者 觀看紀錄、登入憑證 等敏感資訊。

🚨 感染方式

這款惡意軟體的傳播方式主要有兩種：

1. 供應鏈感染：當使用者購買新設備時，惡意軟體可能已經預先安裝在裝置中，使用者開機後就會自動連上駭客的網路。

2. 偽裝成正常應用程式：駭客可能會透過第三方應用商店或非官方下載來源，提供被植入惡意程式的應用程式，誘騙使用者安裝。

🛡 如何保護自己？

• 避免購買來路不明的智慧電視或播放裝置，特別是價格異常便宜的品牌。

• 安裝來自官方應用商店的軟體，不要從未知網站下載應用程式。

• 定期更新設備韌體與應用程式，修補可能的安全漏洞。

• 關閉不必要的遠端存取功能，減少駭客入侵的機會。

• 監控家中網路流量，若發現異常流量（如設備在沒使用時仍大量連線），可能是已遭駭。

這次的 BadBox 2.0 攻擊 顯示，網路犯罪分子已經將目標鎖定在智慧家電上。要確保個人隱私與資安，選擇信譽良好的品牌、安裝官方軟體，並定期更新設備，才能降低風險！

資料來源：

https://www.ithome.com.tw/news/167946

PHP、資安漏洞

[3月21日] PHP-CGI 高風險漏洞 CVE-2024-4577 攻擊再起，臺灣成主要受害者

最近一個名為 CVE-2024-4577 的重大漏洞被駭客再次利用，台灣成為主要攻擊對象。這波攻擊在過去一個月內急劇增加，超過 50% 的攻擊都針對台灣的伺服器，駭客主要利用這個漏洞來入侵伺服器進行挖礦、安裝惡意軟體等行為。

🔹 CVE-2024-4577 漏洞介紹

CVE-2024-4577 是 PHP-CGI (PHP Common Gateway Interface) 的一個遠端程式碼執行 (RCE) 漏洞，駭客可以透過這個漏洞繞過安全限制，在受害伺服器上執行惡意程式碼，進而完全掌控伺服器。

這個漏洞的問題出現在 PHP 處理網址參數的方式上，當 PHP-CGI 未正確過濾某些特殊字元時，駭客可以偽造請求來執行未經授權的指令，導致伺服器被攻陷。

⚠️ 攻擊方式

駭客利用這個漏洞的主要方式如下：

1. 構造惡意 HTTP 請求：

   駭客會發送特殊格式的請求，讓 PHP-CGI 執行任意命令，無需帳號密碼即可存取伺服器。

2. 上傳後門程式：

   成功入侵後，駭客會上傳「Web Shell」（一種遠端控制工具），以獲取長期存取權限。

3. 部署惡意軟體：

   駭客可能在伺服器上執行以下行為：

   • 挖礦：讓伺服器的運算資源為駭客挖掘加密貨幣。

   • 安裝勒索軟體：加密網站資料，要求贖金。

   • 竊取資料：獲取用戶資訊、交易記錄等敏感數據。

4. 修改防火牆規則：

   駭客有時會封鎖其他駭客，確保自己能獨占受害伺服器的資源，讓企業難以察覺異常。

🛡️ 如何防範？

• 立即更新 PHP 到最新版本，修補漏洞。

• 關閉不必要的 PHP-CGI 功能，如果伺服器不需要 CGI，應該完全停用。

• 設定 Web 應用程式防火牆 (WAF)，過濾可疑請求。

• 定期檢查伺服器日誌，查看是否有異常存取紀錄。

資料來源：

https://www.ithome.com.tw/news/167962