纯粹来凑个热闹 做个不专业的分析
现在有的情报:
1.档案被加密
2.网页挂掉
3.开着的机子都还能运作
4."应该"有异地备援
5.使用win server
6.GPO被改(?
7.有WSUS(?
8.防火墙挡很严
以上
不专业分析 分两个面向来看:
1.档案中毒:
1.1通常为随身碟或下载档案,在GPO有阻挡的情况下,随身碟无法使用
另外防毒软件也不是装饰品,即使下载档案或可以使用随身碟都会直接扫毒。
如果想要让病毒扫不到也不是没方法,但在这边不好公开。
1.2另假设真的是档案中毒,扩散感染,依照已知的加密病毒扩散模式,
加密病毒会在与“中继站”取得双向连线后才开始加密。
所以出口防火墙只要有挡住,基本上也不会有事。
1.3理论上只要查防火墙的连线记录就大概知道是不是档案中毒了。
2.被入侵:
2.1破口9成在DMZ区的网页跟服务,DMZ是离内网最近的地区,
对外是开放服务,对内是程式更新(管理服务器)。
架构大概长这样(网络上找的):
https://blog.xuite.net/play.station/twblog/180515066-DMZ
2.2假设某服务被攻破,骇客首先需要知道他进的是哪台服务器,
然后摸网络环境,再来想办法跳到另一台主机。
2.3无论骇客是否有跳到另一台主机,重点都还是进行病毒的散播。
散播基本可以透过三种方式
(1)依已知情报,有AD跟WSUS,只要取得这两台主机的权限即可大量散播病毒。
(2)感染共用档案,让管理员执行档案后扩散感染。
(3)让病毒慢慢爬。
3.个人浅见
3.1排除人员恶意,档案中毒机率过低。
3.2DMZ区检查点:
可上传档案之服务(含图片)>网页服务漏洞>服务漏洞>OS漏洞>其他
3.3现在无法连上中油官网应该是阻断内对外并做清查。
3.4无法使用信用卡只能现金交易,应该是避免病毒扩散出去,先把服务切断。
3.5有备援,但问题不在备援,而是在端点(含各加油站),
只要任一端点的毒没清掉,备援上了就是找死。
3.6以危机处理来说,中油做法算正确,对外断网,对内清查,能营运的持续营运。
以上个人浅见,欢迎讨论
另外我想讲一个
接下在公家机关/国营事业服务的资讯/资安人员可能会面临一件很蠢的事
就是上级要求加强端点防护(个人电脑防毒软件 社交工程 bla bla bla...)
请从节点下手好吗! 节点 节点 节点 很重要 说三次!
端点下功夫只是耗费人力跟时间,效益奇差无比
节点下功夫,方便管理,要死也死一区而已
不从节点下手从端点下手,大家一起死!
举个例子
武汉肺炎是戴口罩比较有用还是关国门比较有用?
当然关国门阿 草
如果台湾北部群聚感染严重,南部未见疫情
请问封城比较有效还是戴口罩?
当然是封城阿 草
节点 懂!?
※ 引述《YummyYummy (优米平方 好想吃大肠)》之铭言:
: ※ 引述《ColeNorris (Cole)》之铭言:
: : 刚刚不小心摔了一跤晕倒 做了一些梦
: : 1.影响的范围远比大家想的还大 连总公司都中标 中油网页也已经死了
: 这个讲法从头到尾都有问题 因为就是总公司中奖
: 网页当然也是服务器主机 从这边开始就能知道你应该是文组
: 结果乱讲却推爆
: : 2.因为炸掉的是中油自身的系统 所以没有扩散到银行
: : (因为金管会很严 中油跟银行中间都会档好)
: : 所以信用卡跟现金能用 但是其他中油自身支付的方式全部炸裂
: 同1 你根本搞不懂自己在讲啥
: 信用卡那些本来就不是中油好吗? JCB/VISA/MASTER又关你屁事啊
: : 3.现在各站点机台只要一开机 或重开机 马上全部都被加密
: : 能够用的只剩下原本就开机 还没有重开机过的机器
: : 现在发公文通知所有站 绝对不能关机或重开机
: : 4.源头是公司没有控管到的随身碟 , 插上去之后就.....GG
: : 5.据说 "没有异地备援机制" 现在各资讯处脸臭到不行
: 很不巧 刚好梦到国中国的中油 是有异地备援的
: 所以清查后 只要总公司发文就能重建了
: 所以你听谁讲的?
: : 6.因为系统炸裂 第一线员工变成整个下午没事做
: : 因为这根本不是他们能处理的情况 整个超闲der
: : 中油应该算是资安法中的关键基础设施
: : 我看这次真的要飞了
: 真巧,我刚好午睡睡到现在才醒来
: 看你的IP还没飞又乱讲
: 你应该是想挑战法务对吧?
: 讲一下真正最怪的地方
: 1.中油服务器居然WIN平台90%以上 这是很匪夷所思
: 你说用户端就算了 服务器要开WIN是干三小?
: 2.一条龙的总公司管理
: 所以这次是总公司被当成突破口 然后被攻破后 居然变成GPO
: 稍微了解皮毛的都知道 企业组织上层直接派发命令给大家电脑
: 那要怎么档?
: PS 真正的"听说" 赛X铁X的亚太区人物 应该被叫去夹软蛋了