(文长,慎入,若只想看结论的朋友可以直接END)
最近针对APT稍微做了些功课,
关于近期最大一波攻击:Dark Seoul (黑暗首尔) 事件
跟大家聊聊~
各位网络上都找得到相关资料,在这里也让大家对这波攻击有些了解。
当然,先来看一下这波攻击造成多少灾害:
1. 受害对象:韩国金融业、电视台
因为工作关系,比较关切金融业的状况,
以这波受害来讲,已知的有三家银行:
新韩银行:员工数13000人、分行1000间以上
总资产约6.5兆台币 (台湾最大的银行目前约是4.2兆)
农协银行:资产约5.5兆
济洲银行
所以第一件事,各位可能会意识到,受害的其实是很大间的银行,
银行的资讯安全等级其实是相对一般产业要高的,
尤其大间的银行又更加重视。
那为什么还是会被入侵呢?稍后来谈
2. 受害损伤:银行被迫停止交易两小时,核心数据库及网络银行停摆、
ATM服务全数失效。
当然事后的追查,是不是还有潜伏期间的资料窃取,
商誉损失、主管机关的罚锾、后续客户追诉的交易损失....等等,难以估计
3. 入侵手法:
事前先入侵受信任的网站,暗埋程式
↓↓
↓↓
社交工程 -> 透过网页下载并植入程式 -> 潜伏并持续收集资讯及暗中扩散入侵
-> 入侵PMS(Patch Management Server),散播恶意程式(For C&C,Command and Control)
-> 取得UNIX服务器root密码 (透过user存在连线程式中的密码纪录)
-> 入侵UNIX,预埋了破坏用的script (其实也有入侵Windows Server预埋script)
-> 3/20 发动攻击,使用script修改MBR(Main Boot Record)后,强制重开机
(至潜伏到发动攻击之间,有没有进行资料窃取,目前调查报告中都没有注明...)
-> 系统重开机后,因为MBR被修改导致无法顺利开机,大量系统瘫痪。
4. 紧急应变:
据说是使用DR机制(Disaster Recovery),将系统紧急回复/使用备援机,
但交易停止时间仍达2小时之久。此时考验的就是单位的RTO了。
(Recovery Time to Object)
5. 检讨原因:
大致上点出几个疏失
主要:
A. root密码于本机储存
B. 营运网段未隔离
次要:
A. 社交工程防御意识不足
相信有很多资安大厂会大肆宣扬,说你应该要买更新的资安设备、
换更新的防毒软件,才可以抓到这些APT攻击。
但坦白说,我们来看一下历程中
入侵由 社交工程开始,
第一个接到的资安设备应该是 AntiSpam或IPS/FW,
代表AntiSpam/IPS/FW都没办法拦截下来。
第二个是AntiVirus,当使用者收到Email并打开附件时,
现在的AntiVirus其实会做一次检查。也没拦截下来。
第三个是OA端受入侵的电脑,持续与C&C Server作回报,走的应该是Web(HTTP/HTTPS)
,这时候负责的应该是Proxy(或者资安公司喜欢讲Web Security Gateway)
也没拦下来。
所以一连串来看
IPS -> FireWall -> AntiSpam -> AntiVirus -> Proxy
这么多设备串连都抓不到....
但其实最要命的关键还是在
root密码本机存放 + 营运网段未隔离
才导致最后的服务器入侵及破坏。
当其实上述两点也就是资安中的基本要求而已。
密码管理及网段区隔。
买再先进的防御设备,若还是在基本资安工作上有缺漏,
只能说功亏一篑。
以上是目前的心得,板上的朋友们若也有研究此事,不妨大伙来聊聊心得