:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
北韓木馬程式Volgmer 調查結果,建議請管理者儘速回溯查找是否有連線軌跡,清查是否資訊外洩或感染病毒!(2017/11/17)
 
詳細描述:

Volgmer 通常利用8088 或8080 以SSL 方式傳送加密訊息,HiNet SOC 建議管理者盡速查明過去半年是否有曾到這94個IP的連線紀錄,如下表 IP列表如下:
199[.]68[.]196[.]125
103[.]16[.]223[.]35
113[.]28[.]244[.]194
116[.]48[.]145[.]179
186[.]116[.]9[.]20
186[.]149[.]198[.]172
195[.]28[.]91[.]232
195[.]97[.]97[.]148
199[.]15[.]234[.]120
200[.]42[.]69[.]133
203[.]131[.]222[.]99
210[.]187[.]87[.]181
83[.]231[.]204[.]157
84[.]232[.]224[.]218
89[.]190[.]188[.]42
109[.]68[.]120[.]179
85[.]132[.]123[.]50
80[.]95[.]219[.]72
88[.]201[.]64[.]185
103[.]10[.]55[.]35
45[.]124[.]169[.]36
222[.]44[.]80[.]138
61[.]153[.]146[.]207
41[.]131[.]164[.]156
82[.]129[.]240[.]148
82[.]201[.]131[.]124
31[.]146[.]82[.]22
103[.]27[.]164[.]10
103[.]27[.]164[.]42
112[.]133[.]214[.]38
114[.]79[.]141[.]59
115[.]115[.]174[.]67
115[.]178[.]96[.]66
115[.]249[.]29[.]78
117[.]211[.]164[.]245
117[.]218[.]84[.]197
117[.]239[.]102[.]132
117[.]239[.]144[.]203
117[.]240[.]190[.]226
117[.]247[.]63[.]127
117[.]247[.]8[.]239
118[.]67[.]237[.]124
125[.]17[.]79[.]35
125[.]18[.]9[.]228
14[.]102[.]46[.]3
14[.]139[.]125[.]214
14[.]141[.]129[.]116
180[.]211[.]97[.]186
182[.]156[.]76[.]122
182[.]72[.]113[.]90
182[.]73[.]165[.]58
182[.]73[.]245[.]46
182[.]74[.]42[.]194
182[.]77[.]61[.]231
183[.]82[.]199[.]174
183[.]82[.]33[.]102
203[.]110[.]91[.]252
203[.]196[.]136[.]60
203[.]88[.]138[.]79
43[.]249[.]216[.]6
45[.]118[.]34[.]215
139[.]255[.]62[.]10
128[.]65[.]184[.]131
128[.]65[.]187[.]94
178[.]248[.]41[.]117
185[.]113[.]149[.]239
185[.]115[.]164[.]86
185[.]46[.]218[.]77
213[.]207[.]209[.]36
217[.]218[.]90[.]124
217[.]219[.]193[.]158
217[.]219[.]202[.]199
37[.]235[.]21[.]166
37[.]98[.]114[.]90
78[.]38[.]114[.]15
78[.]38[.]182[.]242
78[.]39[.]125[.]67
80[.]191[.]171[.]32
85[.]185[.]30[.]195
85[.]9[.]74[.]159
89[.]165[.]119[.]105
91[.]106[.]77[.]7
91[.]98[.]112[.]196
91[.]98[.]126[.]92
91[.]98[.]36[.]66
94[.]183[.]177[.]90
95[.]38[.]16[.]188
27[.]114[.]187[.]37
116[.]90[.]226[.]67
113[.]203[.]238[.]98
115[.]186[.]133[.]195
182[.]176[.]121[.]244
182[.]187[.]139[.]132
37[.]216[.]67[.]155
84[.]235[.]85[.]86
103[.]241[.]106[.]15
203[.]118[.]42[.]155
58[.]185[.]197[.]210
123[.]231[.]112[.]147
222[.]165[.]146[.]86
122[.]146[.]157[.]141
140[.]136[.]205[.]209
110[.]77[.]137[.]38
118[.]175[.]22[.]10
125[.]25[.]206[.]15
203[.]147[.]10[.]65
58[.]82[.]155[.]98
61[.]91[.]47[.]142
185[.]134[.]98[.]141

惡意檔案雜湊值如下:
2D2B88AE9F7E5B49B728AD7A1D220E84
9A5FA5C5F3915B2297A1C379BE9979F0
BA8C717088A00999F08984408D0C5288
1B8AD5872662A03F4EC08F6750C89ABC
E034BA76BEB43B04D2CA6785AA76F007
EB9DB98914207815D763E2E5CFBE96B9
143cb4f16dcfc16a02812718acd32c8f
1ecd83ee7e4cfc8fed7ceb998e75b996
35f9cfe5110471a82e330d904c97466a
5dd1ccc8fb2a5615bf5656721339efed
81180bf9c7b282c6b8411f8f315bc422
e3d03829cbec1a8cca56c6ae730ba9a8

管理者可透過自定Snort Rule 或Yara Rule進行偵測,偵測規則如下:

Snort : alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)
Yara :
rule volgmer
{
meta:
description = "Malformed User Agent"
strings:
$s = "Mozillar/"
condition:
(uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $s
}
HiNet SOC 建議管理者先查明過往半年內是否有以上IP的連線紀錄,並儘速更新病毒碼,或可使用HiNet 資安服務 - 防駭守門員進行攔阻,以降低受駭風險。

 
受影響系統:
  • 所有主機
  •  
    解決辦法:

    查明是否有過往連線紀錄,並盡早更新病毒碼。

     
     
    下框