作者coflame (吾養吾浩然之氣)
看板MIS
標題[閒聊] 聊一下關於去年的南韓攻擊事件
時間Sun Mar 9 20:15:59 2014
(文長,慎入,若只想看結論的朋友可以直接END)
最近針對APT稍微做了些功課,
關於近期最大一波攻擊:Dark Seoul (黑暗首爾) 事件
跟大家聊聊~
各位網路上都找得到相關資料,在這裡也讓大家對這波攻擊有些了解。
當然,先來看一下這波攻擊造成多少災害:
1.
受害對象:南韓金融業、電視台
因為工作關係,比較關切金融業的狀況,
以這波受害來講,已知的有三家銀行:
新韓銀行:員工數13000人、分行1000間以上
總資產約6.5兆台幣 (台灣最大的銀行目前約是4.2兆)
農協銀行:資產約5.5兆
濟洲銀行
所以第一件事,各位可能會意識到,受害的其實是很大間的銀行,
銀行的資訊安全等級其實是相對一般產業要高的,
尤其大間的銀行又更加重視。
那為什麼還是會被入侵呢?稍後來談
2.
受害損傷:銀行被迫停止交易兩小時,核心資料庫及網路銀行停擺、
ATM服務全數失效。
當然事後的追查,是不是還有潛伏期間的資料竊取,
商譽損失、主管機關的罰鍰、後續客戶追訴的交易損失....等等,難以估計
3.
入侵手法:
事前先入侵受信任的網站,暗埋程式
↓↓
↓↓
社交工程 -> 透過網頁下載並植入程式 -> 潛伏並持續收集資訊及暗中擴散入侵
-> 入侵PMS(Patch Management Server),散播惡意程式(For C&C,Command and Control)
-> 取得UNIX伺服器root密碼 (透過user存在連線程式中的密碼紀錄)
-> 入侵UNIX,預埋了破壞用的script (其實也有入侵Windows Server預埋script)
-> 3/20 發動攻擊,使用script修改MBR(Main Boot Record)後,強制重開機
(至潛伏到發動攻擊之間,有沒有進行資料竊取,目前調查報告中都沒有註明...)
-> 系統重開機後,因為MBR被修改導致無法順利開機,大量系統癱瘓。
4.
緊急應變:
據說是使用DR機制(Disaster Recovery),將系統緊急回復/使用備援機,
但交易停止時間仍達2小時之久。此時考驗的就是單位的RTO了。
(Recovery Time to Object)
5.
檢討原因:
大致上點出幾個疏失
主要:
A. root密碼於本機儲存
B. 營運網段未隔離
次要:
A. 社交工程防禦意識不足
相信有很多資安大廠會大肆宣揚,說你應該要買更新的資安設備、
換更新的防毒軟體,才可以抓到這些APT攻擊。
但坦白說,我們來看一下歷程中
入侵由 社交工程開始,
第一個接到的資安設備應該是 AntiSpam或IPS/FW,
代表AntiSpam/IPS/FW都沒辦法攔截下來。
第二個是AntiVirus,當使用者收到Email並打開附件時,
現在的AntiVirus其實會做一次檢查。也沒攔截下來。
第三個是OA端受入侵的電腦,持續與C&C Server作回報,走的應該是Web(HTTP/HTTPS)
,這時候負責的應該是Proxy(或者資安公司喜歡講Web Security Gateway)
也沒攔下來。
所以一連串來看
IPS -> FireWall -> AntiSpam -> AntiVirus -> Proxy
這麼多設備串連都抓不到....
但其實最要命的關鍵還是在
root密碼本機存放 + 營運網段未隔離
才導致最後的伺服器入侵及破壞。
當其實上述兩點也就是資安中的基本要求而已。
密碼管理及網段區隔。
買再先進的防禦設備,若還是在基本資安工作上有缺漏,
只能說功虧一簣。
以上是目前的心得,板上的朋友們若也有研究此事,不妨大夥來聊聊心得
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 60.248.90.145
※ 編輯: coflame 來自: 60.248.90.145 (03/09 20:18)
推 cem236321:南韓市占率最高的防毒軟體被入侵 03/09 22:36
→ cem236321:程式直接跟著病毒碼派送到用戶端 03/09 22:36
→ cem236321:等時間到一起發作 03/09 22:36
→ cem236321:以上 證明防毒軟體效果有限 03/09 22:37
推 Wishmaster:APT是不可能靠防毒的,end 03/09 22:41
推 aleeon:謝謝分享,軟體的防範總是能夠被破解 03/10 23:45
推 s922989369:正常企業不會只用一套防毒,會搭其他防護 03/10 23:53
推 s922989369:FW丶Ips、WAF、MailGateway等 03/10 23:55
推 s922989369:更甚者,product與backup server 會用不同防毐 03/10 23:57
推 s922989369:總之資安不是只有MlS,全體員工都應參與 03/11 00:00
推 s922989369:就我所知遊戲業、金融業都是要求全體員工上資安課程 03/11 00:03
→ freeunixer:台灣太多不正常企業了,全部買一樣才會省,最好不用錢的 03/11 01:21
推 bojack:APT的防護要靠"縱深防禦" :p 03/12 10:50
推 liskenny:backup server使用不同的防毒嗎?有沒有推薦企業使用組合? 03/12 19:01
→ juliai:說來說去,最後關鍵還是在教育使用者阿 03/16 21:14