KC1976資安專案筆記

1. 執行摘要 近期 台灣證券交易所、主計總處、兆豐金與彰銀等網站遭受分散式阻斷服務（DDoS）攻擊 ，引起社會高度關注。本報告旨在深入探討針對此類網路攻擊的有效防禦策略。 報告回顧了近期事件，分析了最新的DDoS攻擊趨勢與常見手法，並著重說明如何利用網站應用程式防火牆（WAF）和內容傳遞網路（CDN）來提升防禦能力。 此外，報告還涵蓋了隱藏原始伺服器、利用邊緣DNS、部署機器人管理等進階防禦技術，並提出了中長期提升網路韌性的建議。 本報告強調，面對日益複雜和頻繁的DDoS攻擊，組織需要採取多層次的安全防護措施，以確保業務運營的持續性。 2. 前言：日益嚴峻的DDoS攻擊威脅 2.1 近期攻擊事件回顧 根據中央通訊社（CNA）的報導，日前台灣證券交易所、主計總處、兆豐金與彰銀等多個重要機構的 網站傳出當機或無法連線 的情況。數位發展部資安署已確認這些網站遭受了分散式阻斷服務（DDoS）的侵擾。一個名為 NoName057的親俄羅斯駭客組織聲稱對這些攻擊負責 ，並持續發動攻勢，目標指向證交所和行政院相關網站 1 。 這些事件凸顯了DDoS攻擊對關鍵基礎設施和金融機構造成的嚴重影響，不僅導致網站服務中斷，更可能引發潛在的金融和聲譽損失。這些事件警示我們，即使是擁有相當安全防護的機構，也難以完全倖免於日益精進的網路攻擊手法。 2.2 DDoS攻擊情勢的演變 近年來，分散式阻斷服務（DDoS）攻擊的頻率和複雜性顯著增加 2 。攻擊流量的規模不斷攀升，許多攻擊已達到兆位元組（Terabit）級別 3 。除了傳統的大流量攻擊外，攻擊者也越來越傾向於使用更複雜的多向量攻擊，針對網路、傳輸和應用程式等多個層面 5 。此外， 勒索DDoS（RDDoS）等新型攻擊手法 也逐漸興起，攻擊者要求受害者 支付贖金以停止攻擊 6 。 物聯網（IoT） 設備因其數量龐大且安全性相對較弱，也成為 駭客組建殭屍網路 、發動DDoS攻擊的常見目標 6 。這些趨勢表明，組織必須不斷提升其防禦能力，以應對日益多樣化和精密化的DDoS攻擊威脅。 2.3 積極防禦措施的重要性 面對現代DDoS攻擊，被動的應對措施往往難以奏效 。組織需要採取多層次的安全防護策略，整合多種防禦機制，才能有效提升抵抗DDoS攻擊的能力。持續的監控、即時的威脅情報以及定期的防禦測試至關...

基礎概念 企業資安核心概念與資安框架 現代企業資訊安全強調「風險管理」： 識別資產與威脅，評估風險並採取適當控制措施來降低風險 。常用的資安框架有 NIST 資安框架與 ISO 27001 等，以提供系統化的方法來管理安全風險。​ teamt5.org freedom.net.tw   NIST 資安框架由美國國家標準與技術研究院制定，包含 辨識、保護、偵測、應變、復原五大核心職能 ，有助於企業檢視自身防禦不足並強化重點項目​。 teamt5.org ISO 27001 則是資訊安全管理系統（ISMS）國際標準，採用機密性、完整性、可用性（CIA）為核心原則，透過 持續性的計畫－執行－檢查－行動（PDCA）循環 ，幫助企業建立、維護並持續改進整體資安管理體系​。對企業而言，遵循這些框架可確保資安措施有條不紊，同時符合監管要求並降低營運風險。 freedom.net.tw ​ freedom.net.tw   駭客攻防概述 常見攻擊手法包括： 社交工程攻擊（例如網路釣魚）、阻斷服務攻擊（DoS/DDoS）、以及進階持續性威脅（APT） 等。 社交工程利用人性弱點誘使目標洩露資訊或執行特定動作，例如偽裝成可靠對象發送釣魚郵件以竊取帳密或植入惡意軟體​（ fortinet.com ）。 DDoS 攻擊則透過大量惡意流量癱瘓目標系統，使其無法回應正常請求，造成服務中斷​（ fortinet.com ）。APT 攻擊屬於高階的定向攻擊，具有針對性、隱密性、持續性，攻擊者往往精心策劃、長期潛伏，針對特定目標量身打造攻擊路徑，甚至結合社交工程以逐步滲透組織內部​（ docutek.com.tw ）。 防禦策略方面，企業應採取「縱深防禦」和「以人為本」並重的方式： 首先 提升安全意識 ，透過員工培訓防範社交工程。例如在收信時提高警覺，不隨意點擊郵件連結、確認寄件人網域，留意內容是否帶有緊迫語氣等​（ neway.com.tw  ）。 其次， 強化身份驗證 ，對重要系統採用雙因子或多因子驗證機制，以防帳密...

前言 隨著數位化時代的發展，API 已成為現代應用程式和服務的核心。無論是網頁應用、行動應用，還是物聯網 (IoT) 設備，API 負責在系統間傳遞資料和執行操作。然而，API 也成為駭客攻擊的主要目標，導致資料洩露、身份冒用及服務中斷等安全問題。因此，確保 API 的安全性至關重要。API 安全性涵蓋了從身份驗證、存取控制到攻擊緩解的多種技術與策略，能有效降低安全風險。本指南將詳細說明 API 面臨的威脅，以及如何透過適當的安全措施來保護 API，確保系統完整性與數據安全。 什麼是 API 安全性？ 應用程式程式設計介面 (API) 是軟體與其他軟體互動的方式。API 安全性是確保 API 免受攻擊與資料洩露的過程。現代網際網路大量依賴 API，因此 API 的安全性至關重要。 API 常見安全風險 漏洞利用： 攻擊者利用 API 的漏洞，透過特殊請求獲取未授權存取。 驗證攻擊： 竊取 API 金鑰或攔截權杖來冒充合法用戶。 授權錯誤： 授權管理不當可能導致未經授權的資料存取。 阻斷服務攻擊 (DoS/DDoS)： 攻擊者透過大量請求使 API 服務中斷。 API 安全策略 為了保護 API 免受攻擊，以下策略應當採取： 強化驗證與授權： 使用 OAuth、API 金鑰和雙向 TLS 來保護 API 存取。 設置速率限制與 DDoS 防護： 防止過量請求影響 API 服務穩定性。 使用結構描述驗證： 確保 API 請求符合預定義的結構，避免異常請求造成安全風險。 Web 應用程式防火牆 (WAF)： 設置 WAF 來封鎖惡意請求與異常流量。 API 驗證方法 驗證機制可確保 API 只...

工具名稱 主要功能 優點 缺點 適用對象 Nessus 網絡和系統弱點掃描，擁有豐富的插件庫，支持全面的系統掃描 高準確性、定期更新、強大的報告功能 需要付費訂閱、學習曲線較陡 中小型企業及安全專業人士 OpenVAS 開源弱點掃描器，支持大量網絡協議並兼容多種系統 開源免費、可高度自訂義、社群支持廣泛 安裝和配置複雜、掃描速度較慢 個人研究者和小型組織 QualysGuard 基於雲的弱點掃描和合規管理解決方案 無需安裝、定期自動更新、提供全面的合規支持 費用高、需要網絡連接支持 大中型企業 Nikto 針對Web服務器的弱點掃描，包括配置問題和安全漏洞檢測 免費、快速、支持多種協議 誤報率較高、缺乏圖形化介面 Web安全專家和測試人員 Burp Suite Web應用滲透測試工具，具有強大的模擬攻擊和漏洞分析功能 高度自定義、強大的攔截功能、支持多種插件 高級版費用高、初學者難以上手 專業滲透測試人員 Acunetix 自動化Web應用弱點掃描，檢測SQL注入、XSS等漏洞 ...

分散式阻斷服務 (DDoS) 攻擊是駭客最常用來癱瘓網站或網絡系統的攻擊方式。以下列出10個以DDoS攻擊聞名的駭客組織，他們對全球企業和政府機構構成重大資安威脅。 1. Lizard Squad Lizard Squad 是最著名的DDoS攻擊組織之一。他們曾多次癱瘓 Sony PlayStation Network 和 Microsoft Xbox Live 的伺服器，並且經常發動大規模攻擊，讓全球的遊戲玩家無法連線。 2. Anonymous Anonymous 是一個去中心化的駭客組織，以多次大規模的DDoS攻擊行動聞名。他們的目標包括政府機構、大型企業及國際組織，以抗議政治、社會議題為主。 3. Fancy Bear Fancy Bear 是與俄羅斯政府有關的駭客組織，專門針對國際政府機構和大型企業發動DDoS攻擊，並涉入多次國際政治事件的網絡攻擊。 4. Armada Collective Armada Collective 是一個以勒索 DDoS 攻擊聞名的駭客組織，他們常威脅企業若不支付贖金，就會發動持續性的 DDoS 攻擊，造成系統癱瘓。 5. LulzSec LulzSec 以娛樂為目的，專門攻擊大型企業及政府機構。他們進行多次DDoS攻擊後，將成功攻擊的網站信息公布於網絡上，常帶有戲謔性質。 6. OurMine OurMine 以攻擊社交媒體帳號聞名，他們曾攻擊 Facebook 創辦人 Mark Zuckerberg 和 Twitter CEO Jack Dorsey 的帳號，並進行DDoS攻擊，以此宣稱“測試”資安系統的漏洞。 7. REvil REvil 是一個知名的勒索軟體組織，但他們也發動過多次 DDoS 攻擊，特別針對那些未支付贖金的企業，進行持續性的攻擊來增加壓力。 8. Carbanak Carbanak 主要針對銀行及金融機構，他們使用DDoS攻擊來掩蓋其網絡竊盜行為，並利用攻擊分散企業對其他惡意活動的注意力。 9. CyberBunker CyberBunker 曾發動過全球最大規模的DDoS攻擊之一，攻擊目標是反垃圾郵件公司 Spamhaus。他們的攻擊導致多國...

二階段驗證 (2FA: Two-factor authentication) 是目前最常見的登入系統安全措施之一。它要求用戶在輸入密碼後，再進行第二步的驗證，例如透過短訊 (SMS) 或應用程式生成的一次性密碼 (TOTP)。儘管 2FA 增強了傳統單一密碼驗證的安全性，但它仍存在一些缺點和挑戰。本文將探討二階段驗證的主要缺點以及潛在的安全風險。 二階段驗證的缺點與挑戰 二階段驗證在增強安全性方面表現良好，但其使用過程中也存在一些問題： 用戶體驗的負擔： 二階段驗證增加了登入流程的複雜性，要求用戶額外的步驟來獲取驗證碼，這可能降低用戶的登入效率並影響用戶體驗。 手機依賴與安全風險： 許多二階段驗證依賴於手機短信 (SMS) 或應用程式。如果手機遺失或被竊，攻擊者可能利用 SIM 卡交換攻擊來獲取驗證碼，從而繞過二階段驗證。 社交工程攻擊的風險： 駭客可能利用釣魚網站或電話詐騙來騙取用戶的二階段驗證碼，這使得即使用戶密碼安全，依然可能遭到攻擊。 時間延遲與同步問題： 有些二階段驗證方法，如 TOTP（基於時間的一次性密碼），可能會因設備時間不同步而導致驗證失敗，增加了登入系統的複雜性。 備份與恢復問題： 當用戶更換設備或遺失設備時，重設二階段驗證可能需要耗費大量時間與資源，甚至可能讓用戶暫時無法登入系統。 二階段驗證的潛在安全風險 雖然二階段驗證被視為有效的資安措施，但它並非萬無一失，仍然有一些潛在的安全風險： SIM 卡交換攻擊： 駭客可以利用 SIM 卡交換來竊取用戶的手機號碼，從而接收驗證碼，繞過二階段驗證並登入用戶的帳號。 釣魚攻擊： 社交工程詐騙仍然有效，駭客可以誘騙用戶在虛假的登入頁面輸入二階段驗證碼，然後立即利用該碼進行惡意登入。 中間人攻擊： 在不安全的網絡中，駭客可以攔截用戶的驗證碼，進行中間人攻擊，從而獲得登入權限。 防範與改進措施 為了降低二階段驗證的風險和改善用戶體驗，企業和個人可以採取以下措施： 使用硬體安全密鑰： 硬體安全密鑰 (如 YubiKey) 提供了比 SMS 和 TO...

一個由駭客組織 FIN7 發起的資安攻擊活動正在利用生成式人工智慧 (AI) 工具進行大規模的社交工程詐騙攻擊。該攻擊活動承諾將普通照片轉換為不雅照，但實際上受害者下載的卻是資訊竊取工具 (infostealers) 和其他惡意軟體，如勒索軟體。 駭客攻擊手法：Deepfake 生成不雅照的騙局 FIN7 駭客組織創建了至少七個網站，這些網站聲稱能使用 "DeepNude Generator" 工具將普通照片轉換為不雅照片。使用者可通過下載生成器或註冊 "免費試用" 來獲得服務，但實際上他們會被誘導下載惡意載荷，包括 Lumma 和 Redline 資訊竊取工具。 這些惡意軟體能夠竊取用戶的敏感資訊，並可能進一步傳播勒索軟體。 資安威脅：企業與個人面臨的風險 這種利用 AI 工具的攻擊手法不僅針對個人，還對企業構成嚴重威脅。駭客會利用企業員工的好奇心或疏忽，讓他們無意中下載惡意文件，從而導致企業系統被入侵或資料外洩。 FIN7 的其他攻擊活動 除了 DeepNude 騙局，FIN7 還利用假冒的熱門品牌網站 (如 SAP Concur、Microsoft 等) 進行廣告誘騙，讓使用者下載惡意擴充工具，進一步散播 NetSupport RAT 和其他惡意軟體。 防範措施 為了保護自己免受這類 AI 驅動的資安威脅，企業和個人應採取以下措施： 教育員工與用戶： 提高資安意識，了解 AI 驅動的詐騙手法及潛在風險。 嚴格管理下載與安裝： 限制從不明網站下載文件，並配置網絡安全策略，防止惡意軟體進入系統。 定期更新修補程式： 確保系統與應用程式安裝最新的修補程式，以避免漏洞被利用。 實施網絡監控與防護工具： 部署防毒軟體和入侵檢測系統 (IDS)，以即時識別並封鎖惡意活動。 結論 AI 工具如 DeepNude 雖然引人注目，但其實是駭客攻擊的新手段之一，利用人們的好奇心傳播惡意軟體。企業與個人應提高警惕，採取適當的安全措施來應對這些日益複雜的資安威脅。 參考來源 Dark Reading 原文 常見問題 ...