[閒聊] 聊一下關於去年的南韓攻擊事件

看板MIS (IT資訊人員)作者coflame (吾養吾浩然之氣)時間10年前 (2014/03/09 20:16)推噓11(11推 0噓 5→)

留言16則, 9人參與討論串1/1

(文長，慎入，若只想看結論的朋友可以直接END) 最近針對APT稍微做了些功課，關於近期最大一波攻擊：Dark Seoul (黑暗首爾) 事件跟大家聊聊~ 各位網路上都找得到相關資料，在這裡也讓大家對這波攻擊有些了解。當然，先來看一下這波攻擊造成多少災害： 1. 受害對象：南韓金融業、電視台因為工作關係，比較關切金融業的狀況，以這波受害來講，已知的有三家銀行：新韓銀行：員工數13000人、分行1000間以上總資產約6.5兆台幣 (台灣最大的銀行目前約是4.2兆) 農協銀行：資產約5.5兆濟洲銀行所以第一件事，各位可能會意識到，受害的其實是很大間的銀行，銀行的資訊安全等級其實是相對一般產業要高的，尤其大間的銀行又更加重視。那為什麼還是會被入侵呢？稍後來談 2. 受害損傷：銀行被迫停止交易兩小時，核心資料庫及網路銀行停擺、 ATM服務全數失效。當然事後的追查，是不是還有潛伏期間的資料竊取，商譽損失、主管機關的罰鍰、後續客戶追訴的交易損失....等等，難以估計 3. 入侵手法：事前先入侵受信任的網站，暗埋程式 ↓↓ ↓↓ 社交工程 -> 透過網頁下載並植入程式 -> 潛伏並持續收集資訊及暗中擴散入侵 -> 入侵PMS(Patch Management Server)，散播惡意程式(For C&C,Command and Control) -> 取得UNIX伺服器root密碼 (透過user存在連線程式中的密碼紀錄) -> 入侵UNIX，預埋了破壞用的script (其實也有入侵Windows Server預埋script) -> 3/20 發動攻擊，使用script修改MBR(Main Boot Record)後，強制重開機 (至潛伏到發動攻擊之間，有沒有進行資料竊取，目前調查報告中都沒有註明...) -> 系統重開機後，因為MBR被修改導致無法順利開機，大量系統癱瘓。 4. 緊急應變：據說是使用DR機制(Disaster Recovery)，將系統緊急回復/使用備援機，但交易停止時間仍達2小時之久。此時考驗的就是單位的RTO了。 (Recovery Time to Object) 5. 檢討原因：大致上點出幾個疏失主要： A. root密碼於本機儲存 B. 營運網段未隔離次要： A. 社交工程防禦意識不足相信有很多資安大廠會大肆宣揚，說你應該要買更新的資安設備、換更新的防毒軟體，才可以抓到這些APT攻擊。但坦白說，我們來看一下歷程中入侵由社交工程開始，第一個接到的資安設備應該是 AntiSpam或IPS/FW，代表AntiSpam/IPS/FW都沒辦法攔截下來。第二個是AntiVirus，當使用者收到Email並打開附件時，現在的AntiVirus其實會做一次檢查。也沒攔截下來。第三個是OA端受入侵的電腦，持續與C&C Server作回報，走的應該是Web(HTTP/HTTPS) ，這時候負責的應該是Proxy(或者資安公司喜歡講Web Security Gateway) 也沒攔下來。所以一連串來看 IPS -> FireWall -> AntiSpam -> AntiVirus -> Proxy 這麼多設備串連都抓不到.... 但其實最要命的關鍵還是在 root密碼本機存放 + 營運網段未隔離才導致最後的伺服器入侵及破壞。當其實上述兩點也就是資安中的基本要求而已。密碼管理及網段區隔。買再先進的防禦設備，若還是在基本資安工作上有缺漏，只能說功虧一簣。以上是目前的心得，板上的朋友們若也有研究此事，不妨大夥來聊聊心得 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 60.248.90.145 ※ 編輯: coflame 來自: 60.248.90.145 (03/09 20:18)