(文長,慎入,若只想看結論的朋友可以直接END)
最近針對APT稍微做了些功課,
關於近期最大一波攻擊:Dark Seoul (黑暗首爾) 事件
跟大家聊聊~
各位網路上都找得到相關資料,在這裡也讓大家對這波攻擊有些了解。
當然,先來看一下這波攻擊造成多少災害:
1. 受害對象:南韓金融業、電視台
因為工作關係,比較關切金融業的狀況,
以這波受害來講,已知的有三家銀行:
新韓銀行:員工數13000人、分行1000間以上
總資產約6.5兆台幣 (台灣最大的銀行目前約是4.2兆)
農協銀行:資產約5.5兆
濟洲銀行
所以第一件事,各位可能會意識到,受害的其實是很大間的銀行,
銀行的資訊安全等級其實是相對一般產業要高的,
尤其大間的銀行又更加重視。
那為什麼還是會被入侵呢?稍後來談
2. 受害損傷:銀行被迫停止交易兩小時,核心資料庫及網路銀行停擺、
ATM服務全數失效。
當然事後的追查,是不是還有潛伏期間的資料竊取,
商譽損失、主管機關的罰鍰、後續客戶追訴的交易損失....等等,難以估計
3. 入侵手法:
事前先入侵受信任的網站,暗埋程式
↓↓
↓↓
社交工程 -> 透過網頁下載並植入程式 -> 潛伏並持續收集資訊及暗中擴散入侵
-> 入侵PMS(Patch Management Server),散播惡意程式(For C&C,Command and Control)
-> 取得UNIX伺服器root密碼 (透過user存在連線程式中的密碼紀錄)
-> 入侵UNIX,預埋了破壞用的script (其實也有入侵Windows Server預埋script)
-> 3/20 發動攻擊,使用script修改MBR(Main Boot Record)後,強制重開機
(至潛伏到發動攻擊之間,有沒有進行資料竊取,目前調查報告中都沒有註明...)
-> 系統重開機後,因為MBR被修改導致無法順利開機,大量系統癱瘓。
4. 緊急應變:
據說是使用DR機制(Disaster Recovery),將系統緊急回復/使用備援機,
但交易停止時間仍達2小時之久。此時考驗的就是單位的RTO了。
(Recovery Time to Object)
5. 檢討原因:
大致上點出幾個疏失
主要:
A. root密碼於本機儲存
B. 營運網段未隔離
次要:
A. 社交工程防禦意識不足
相信有很多資安大廠會大肆宣揚,說你應該要買更新的資安設備、
換更新的防毒軟體,才可以抓到這些APT攻擊。
但坦白說,我們來看一下歷程中
入侵由 社交工程開始,
第一個接到的資安設備應該是 AntiSpam或IPS/FW,
代表AntiSpam/IPS/FW都沒辦法攔截下來。
第二個是AntiVirus,當使用者收到Email並打開附件時,
現在的AntiVirus其實會做一次檢查。也沒攔截下來。
第三個是OA端受入侵的電腦,持續與C&C Server作回報,走的應該是Web(HTTP/HTTPS)
,這時候負責的應該是Proxy(或者資安公司喜歡講Web Security Gateway)
也沒攔下來。
所以一連串來看
IPS -> FireWall -> AntiSpam -> AntiVirus -> Proxy
這麼多設備串連都抓不到....
但其實最要命的關鍵還是在
root密碼本機存放 + 營運網段未隔離
才導致最後的伺服器入侵及破壞。
當其實上述兩點也就是資安中的基本要求而已。
密碼管理及網段區隔。
買再先進的防禦設備,若還是在基本資安工作上有缺漏,
只能說功虧一簣。
以上是目前的心得,板上的朋友們若也有研究此事,不妨大夥來聊聊心得