上周南韓網路攻擊事件引發各資安大廠關注,紛紛揭露各種研究報告。問題直指惡意程式藉由防毒軟體的修補程式管理系統(PMS)來散佈,但對於關鍵的PMS是如何遭受攻擊卻一直未有充分資訊。台灣最大資安社群,台灣駭客年會HITCON成員近日深入研究後對此事件提出看法。
擅長資安事件處理的徐千洋,整理受害企業之一新韓銀行在事發第二天所做的內部調查報告表示,有可能是銀行的ISP的DNS伺服器遭竄改,導致原本應連線到防毒軟體公司的PMS系統錯誤連結到惡意網站,而惡意程式可能又偽造更新程式的數位簽章,所以成功將惡意程式”派送”到用戶端電腦。
這一波惡意程式的特徵就如同稍早媒體所揭漏的消息,透過特定字串HASTATI來覆蓋並毀損MBR、關閉兩家掃毒軟體工具、存取透過Physical Drive、建立section、設定於3月20日14:00或15:00啟動運作。
然而,這次攻擊除了影響3萬2千台電腦外,更厲害的是同時也癱瘓銀行核心系統Oracle資料庫並造成無法重新啟動。擅長惡意程式分析的邱銘彰根據現有惡意程式樣本分析後發現,該支惡意程式同時具有硬碟與Unix wiper抹除能力,因此可刪除Oracle 的DBMS造成無法重新開機。
至於惡意程式是如何進到重要的核心系統伺服器上?根據推測,極有可能因為系統管理者便宜行事,將資料庫伺服器的帳號密碼直接寫在組態中,以便於日後直接登入,因為在分析時也發現該支惡意程式具有Putty遠端連線功能,因此將搜尋到的SSH Client帳密成功登入到資料庫。
然而另一條線索,從惡意程式的"製造日期"來看,一部分惡意程式判斷在今年1月30日就已潛伏在受害企業當中,還有另一支則早在去(2012)年7月30日就已進駐,從惡意檔案的檔名命名方式來看,可能與當時所爆發Java 零時差漏洞攻擊有關。
邱銘彰指出,此次的攻擊不像其他資安事件會留下惡意程式與線索,透過逆向工程分析與鑑識可以循線查出攻擊來源。由於許多惡意程式在攻擊過程中隨著硬碟損毀而被刪除,包括這次所取得的惡意程式樣本也只是後門程式在用的工具而非後門程式本身,因此加深調查難度。
在調查過程中,HITCON強調沒有直接證據顯示此次攻擊是北韓所為,僅能證實這次的攻擊手法與2009、2011年極為相似。已經不是第一次被駭的新韓銀行,這次的緊急應變堪稱迅速周全,在攻擊爆發後的半小時,通報韓國金融監管單位(類似台灣金管會),儘管核心系統遭受攻擊而癱瘓,卻也在兩小時內就讓資料庫復原,使大部分銀行業務得以恢復運作,而不像第一次花了整整兩天時間,包括資安部、IT系統規劃部在系統面的緊急應變,以及金融部檢查客戶存款數字是否有異常等,同一時間各部門各司其職。徐千洋特別指出,從報告中還看出,即使在緊急事件的處理當下,新韓銀行仍然仔細地把每個時間點對系統所作的處置清楚記錄下來,這一點值得其他企業學習。
然而,新韓銀行此次所犯的錯誤也值得其他銀行借鏡,包括網路隔離做得不夠確實,分行與總行在同一個LAN,導致惡意程式擴散範圍加大,甚至擴散至前台的精簡型電腦;此外,重要的核心系統僅透過單一帳號密碼就能存取等。
最後,從政府應變來看,在事件爆發後,韓國立即成立調查小組,統一對外發言窗口,事件通報到總統,總統朴槿惠立即做出指示並發表聲明。並且當天調查小組就派員駐點到主要受害的6家企業,進行事件處理與調查。
南韓屢次經過資訊戰的洗禮,包括企業或政府已逐漸建立迅速的資安事件緊急應變措施。資安專家張裕敏提醒,台灣企業在這方面仍然有許多不足之處,例如:沒有離線備份只有在線備份,若遇到攻擊事件可能一起被刪除、又或者要進行災難復原,但用Ghost復原回來的檔案卻也全部被植入病毒等等。
在網路發達的此刻,資訊戰一觸即發,不須飛彈只需木馬。雖然網路威脅難以避免,遭受攻擊也在所難免,然而如何將災害減到最低,是大家可以努力的方向。台灣與南韓有著相同的處境,企業與政府都應引以為鑑。
事件回顧:
南韓遭大規模病毒攻擊 駭客來自歐美四國
透過更新下載、毀損MBR 攻擊南韓手法似曾相識?