按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

駭客組織攻擊台灣網站,政府、財稅單位為首要目標

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-09-13
  • 點閱次數:12555
文章_駭客組織攻擊台灣網站,政府、財稅單位為首要目標

近期,駭客組織NoName057和RipperSec因政治因素,聲稱其已對台灣多個網站發起分散式阻斷服務(Distributed Denial-of-Service, DDoS)攻擊。第一波攻擊目標以政府機關為主,隨後財稅單位、金融機關及部分企業也陸續受到影響。

分散式阻斷服務攻擊是一種常見的網路攻擊手法,攻擊者利用受控的殭屍網路裝置,對目標伺服器發起大規模流量或資源消耗攻擊,使伺服器因無法負荷而無法正常提供服務。此次,NoName057宣稱使用名為「DDoSia」的工具,透過HTTPs Flood及TCP SYN Flood等方式攻擊台灣網站。這類型的攻擊,是利用三向交握的網路連線機制,傳送偽冒來源IP的SYN封包,使伺服器回應偽造IP位址,於伺服器等待回應的期間,攻擊者仍會大量持續傳送SYN請求封包,而偽冒來源IP的封包使得伺服器無法順利收到回覆,並佔用大量伺服器連接埠,導致正常用戶無法連線。

針對此類DDoS攻擊,企業可以採取以下幾種防護措施來降低攻擊對服務的影響:

  • 防火牆 (Firewall):作為基本防護,防火牆能有效阻擋特定協定、Port及IP等異常流量。隨著大數據及人工智慧技術的應用,近期的防火牆較能識別異常流量,並在不影響正常流量的前提下,阻擋DDoS攻擊,或在防火牆上開啟地理IP(Geo-IP)過濾功能,設定阻擋特定國家或地區的IP地址範圍,避免不必要的跨境連線,可以有效降低潛在攻擊來源的影響。
  • 應用程式防火牆(WAF):WAF能監控進入網站的HTTP和HTTPS請求,通過設置特定的閾值來監測每個來源的請求頻率。當來自單一IP或多個IP的請求在短時間內異常增加並超出正常範圍時,可識別為HTTPs Flood攻擊,並採取相應措施。
  • 入侵防禦系統 (Intrusion-Prevention Systems, IPS):透過比對特徵碼,IPS能阻擋異常流量,針對SYN Flood及應用層DDoS攻擊進行特定防護。
  • 交換器 (Switch):具備速率限制與存取控制(Access Control List, ACL)功能,並能透過Traffic Shaping機制防禦低速緩慢攻擊及SYN Flood等DDoS攻擊。
  • 路由器 (Router):利用速率限制及存取控制等功能,啟用入口過濾(Ingress Filtering)機制,檢測並過濾偽造IP位址的攻擊流量,如SYN Flood攻擊。
  • 網路流量清洗 (Flow Cleaning):由服務提供商建立的流量清洗機制,能針對常見的DDoS攻擊類型,如SYN Flood、應用層DDoS攻擊及低速攻擊,提供乾淨的網路環境,保障服務不中斷。

資安業者Sekoia指出,DDoSia工具是NoName057等駭客組織發動DDoS攻擊的核心工具之一,駭客透過C2(Command and Control)伺服器發送指令給殭屍電腦,以大量的惡意流量來癱瘓目標伺服器,這些C2伺服器及殭屍電腦分佈在全球,駭客利用受控設備來進行多點攻擊。為了減少這類攻擊的影響,Sekoia整理了相關的C2伺服器IP清單,企業可將此IP加入相關資安設備,以進行偵測或阻擋來自外部的惡意流量,也能防止內部的電腦因感染惡意軟體而遭駭客操控,進而成為殭屍網路的一部分,參與對外發動攻擊。

IPv4

Date of activation
(YYYY/MM/DD)

Host country

Autonomus System
(AS)

ASN

38.180.95[.]29

2024-02-23

Hong Kong

M247

AS9009

38.180.101[.]98

2024-02-22

Serbia

M247

AS9009

185.39.204[.]86

2024-02-22

Turkey

GIR-AS

AS207713

195.133.88[.]73

2024-02-21

Germany

GIR-AS

AS207713

185.239.48[.]70

2024-02-21

Israel

IL

AS42474

5.252.23[.]100

2024-02-20

Slovakia

STARK-INDUSTRIES

AS44477

193.17.183[.]18

2024-02-19

Spain

NEARIP

AS49600

193.233.193[.]65

2024-02-12

Hong Kong

ADCDATACOM-AS-AP

AS135330

77.75.230[.]221

2024-02-10

Czech Republic

STARK-INDUSTRIES

AS44477

185.234.66[.]239

2024-02-09

Turkey

STARK-INDUSTRIES

AS44477

83.217.9[.]33

2024-02-08

Turkey

GIR-AS

AS207713

83.217.9[.]48

2024-02-08

Turkey

GIR-AS

AS207713

193.187.175[.]252

2024-02-08

France

CLOUDBACKBONE

AS56971

45.84.0[.]235

2024-02-08

Moldova

STARK-INDUSTRIES

AS44477

45.136.199[.]235

2024-02-07

Romania

M247

AS9009

185.234.66[.]126

2024-02-06

Turkey

STARK-INDUSTRIES

AS44477

193.233.193[.]90

2024-02-04

Hong Kong

ADCDATACOM-AS-AP

AS135330

45.89.55[.]4

2024-02-02

Serbia

STARK-INDUSTRIES

AS44477

188.116.20[.]254

2024-02-01

Kazakhstan

ASNLS

AS200590

77.83.246[.]159

2024-01-31

Poland

GIR-AS

AS207713

185.255.123[.]84

2024-01-29

Nigeria

BrainStorm Network

AS136258

195.35.19[.]138

2024-01-26

Brazil

AS-HOSTINGER

AS47583

89.105.201[.]91

2024-01-23

Netherlands

NOVOSERVE-AS

AS24875

5.44.42[.]29

2024-01-23

United Arab Emirates

GIR-AS

AS207713

193.233.193[.]240

2024-01-22

Hong Kong

ADCDATACOM-AS-AP

AS135330

94.131.97[.]202

2024-01-20

Czech Republic

STARK-INDUSTRIES

AS44477

94.140.115[.]89

2023-10-26

Latvia

NANO-AS

AS43513

94.140.115[.]92

2023-07-05

Latvia

NANO-AS

AS43513

77.75.230[.]221

2023-05-15

Czech Republic

STARK-INDUSTRIES

AS44477

161.35.199[.]2

2023-02-10

Germany

DIGITALOCEAN-ASN

AS14061

212.73.134[.]208

2023-01-27

Bulgaria

NETERRA-AS

AS34224

94.140.114[.]239

2023-01-10

Latvia

NANO-AS

AS43513

 

回頁首