https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

駭客與詐騙集團合作無間 定期檢測監控以制敵

2012 / 05 / 23
林恆生、高振元
駭客與詐騙集團合作無間  定期檢測監控以制敵

台灣地區網路會員購物交易式網站,因與大陸地區的同文同種,以及台灣地區電話詐騙盛行,在有金錢利益的誘使下,精密的組織分工,有系統有組織化的網路犯罪結構已悄然成形,也成為華文區域最常見的駭客犯罪行為。

華文區地下經濟生態系統:駭客與詐騙集團的結合

話說某晚,正與朋友餐敘酒酣耳熱之際,一通電話打斷了愉悅的心情,某個擔任IT主管的朋友,其公司會員的網路交易資訊疑似外洩,而交易資訊被竊取提供給詐騙集團,作為精準式電話詐騙使用,造成客服人員疲於應付會員的來電確認電話。這樣的資安事故類型也逐漸成為華文地區駭客犯罪的常見模式。

觀察實際案例發現,從會員交易完成到收到詐騙集團的電話,已從過去的6個月縮短到1個月內的交易資料,顯示犯罪模式越趨成熟,駭客可快速的兜售竊取出來的交易資訊。時間縮短對詐騙集團最大的好處,便是可以越快利用近期的交易資訊,將會大大提高電話詐騙的成功率。以往消費者收到詐騙集團謊稱的金流交易失敗,很容易因為已收到貨品且信用卡已出帳完成繳費,而識別出詐騙行為,但縮短時間後,從交易到資料被利用詐騙僅需不到1個月(如圖1),很容易讓會員因為信用卡帳款尚未出帳請款,而誤信詐騙以為交易失敗必須重新使用銀行轉帳匯款。

1: 華文區常見駭客結合詐騙集團犯罪模式,交易不到一個月的資訊迅速外洩被詐騙集團利用 

 

駭客常透過網頁木馬取得伺服器控制權

 

在參與該類資安事故調查的過程中,我們發現駭客入侵網站常見作法幾乎都有幾個固定步驟:1.掃描目標網站可利用來上傳之漏洞或弱點。2.上傳網頁木馬(Web Shell)取得網站伺服器的控制權,如圖2所示為一常見網馬JFoler3.為確保後續仍然能夠持續連入持續竊取最新的交易資訊,通常會植入一反向連結後門,繞過防火牆的正向阻擋。4.植入後門後,就透過伺服器上的資料庫連線設定檔的連線資訊,直接連接資料庫進行交易資料的竊取。

 

圖2: 常見JSP網馬JFoler。駭客上傳網頁木馬(Web Shell)後取得網站伺服器控制權,可新增、刪除、修改、上傳、瀏覽檔案以及執行程式。

 

特別發現的是,台灣地區的網站多數為委外開發,同一委外廠商所開發出來的網頁程式,出現的漏洞弱點幾乎相同,常見的像是使用了早期版本的FCKeditor套件,卻未移除其中的Resources Browser(如圖3),該套件不僅提供瀏覽伺服器端的檔案功能外,更可上傳網馬控制伺服器,因此常被利用為一上傳漏洞。此外,也發現有部分案例是因為未關閉Tomcat預設管理頁面,再透過暴力猜測管理介面密碼後進入管理介面上傳木馬,導致網站被駭客成功入侵。

圖3: FCKeditor的Resources Browser,國內網站開發廠商常用套件存在上傳漏洞。

 

鴕鳥心態處理入侵事故 交易資料持續外洩

值得特別注意的是,許多業者遭到入侵後,並未確實調查出駭客入侵的途徑以及其所利用的弱點漏洞,或甚至根本不知道遭到駭客入侵後該如何處理,逕自利用備份還原,就以為系統已經安全,殊不知駭客早已於第一次入侵後,就留下各種後門,以便可隨時連入取得更新的交易資訊,即使透過備份還原,最多也只能回復到系統正常狀態,並不能修復系統潛藏被駭客利用的入侵漏洞,因此駭客大可再次入侵再次竊取交易資訊或植入後門。這種鴕鳥心態僅是表面處理入侵事故,常常也是導致交易資料持續外洩,無法根除防範,甚至到最後,連資料怎麼外洩出去的都毫無頭緒。

在碰到資料外洩時,除非公司已具備有資安事故調查經驗之資安顧問,尋求有相關處理經驗的資安顧問協助也是一個好方法。從過去處理的案例曾發現,業者因為於發生資安事故之初,急病亂投醫,先找A資安廠商來弱點掃描,又找B資安廠商來滲透測試,最後並未發現主入侵途徑,也未移除埋入的後門,導致交易資料仍持續外洩。最後問題無法解決,才開始著手日誌的分析,進行入侵事故調查,確實找出駭客的入侵途徑並進行防堵與強化,徹底找出入侵事故交易資訊外洩的主因,然而因為事故調查前的資安檢測,確實也造成調查階段日誌分析上的干擾,增加調查所需要的時間。

歸納面對資安事故時,整個調查與處理概約幾個重要的步驟,提供於發生入侵事故時,避免或減少錯誤的行動延誤調查與處理的時機。
(1) 從外洩的資料來推測或繪製所有可能的外洩節點。例如:內部處理人員或是對外開放的網購網站等。
(2) 根據機率與難易度排序最先調查的可能外洩節點。
(3) 調查前先針對收集的日誌建立檔案MD5以確保調查日誌副本與正本之間內容的一致性,並記錄所有調查過程以利日後的法證保留。
(4) 最好能夠中斷服務或甚至斷網,切斷駭客可能的持續連線。
(5) 調查出外洩節點後,找出造成外洩的漏洞,並列出被駭客修改過的資料、可能外洩的帳號密碼,評估駭客是否有進行橫向滲透入侵,列出欲檢查、調查以及復原的主機清單,收集駭客上傳的各項工具推衍駭客可能的行為。
(6) 根據前一步驟所列之主機清單進行大範圍的掃描,清查所有植入的後門或各種惡意程式,可利用防毒掃描電腦或利用收集到駭客所上傳的工具特徵撰寫檢查腳本程式進行掃描,也可選擇直接重灌電腦作業系統並備份還原應用系統以及恢復資料。
(7) 更改可能外洩的帳號以及密碼,並修復調查到駭客所利用的漏洞。最後對整體資安進行強化,例如透過弱點掃描與滲透測試找出更多潛藏的弱點漏洞。
(8) 確認問題已修護完成後再恢復服務,並持續監控觀察是否有再度發生資訊外洩。
(9) 最後就是準備以及因應可能的各項法律問題,並擬定因應措施。

上線前及定期資安檢測 輔以資安監控

此外,企業也可根據駭客常見的交易網站入侵模式,擬定對應的預防、監控與處理機制,如圖4所示。駭客會蒐集並掃描網站上潛藏的漏洞弱點,所以系統上線前(或委外開發驗收前)、營運期間也應定期進行白箱、黑箱資安檢測,來確保程式與系統環境等的安全,目前常見的資安服務包含:
(1) 白箱程式源碼檢測:透過對原始碼的檢測審查,直接發掘程式錯誤之處予以修改。
(2) 黑箱系統弱點掃描、網頁弱點掃描:主要是檢查營運環境的系統設定、漏洞修補或網頁程式執行階段的漏洞問題。
(3) 黑箱滲透測試:模擬駭客思維,對受測網站進行各種可能情境的入侵模擬測試,並根據測試結果進行修護。

透過定期的資安檢測作為預防措施,而嚴密的監控就可做為第二層防線,坊間資安監控廠商,針對駭客植入網頁木馬的情境,也有利用對網站伺服器的網頁資料夾監控,過濾排除上傳圖檔的允許格式,針對網頁程式的任何異動都要能產生警報,並且刪除非預期上傳檔案格式,如此一來,駭客就算發現了網站漏洞,上傳了網頁木馬,也可透過此類程式異動監控方式發現異常,並自動刪除網頁木馬。此外,也可透過導入網頁應用程式防火牆(Web Application Firewall),設定能檢測網頁木馬的防護規則來進行阻擋或監控,也能達到同樣的監控或防護效果。最後,完整的監控措施,還包含了監控網站伺服器是否發現了駭客工具的出現,通常會結合防毒程式以及防火牆的資訊來進行監控,監控防毒程式是否有駭客工具警報,也監控防火牆上是否發現反向連結木馬等。資安監控是資安整體防護的一環,透過規劃良好的資安監控措施,可快速發現入侵問題並適時處理問題,以減少並控制造成的損害影響。

最後,資安防護最重要的是由上而下健全的管理制度,資安工作的推動常常會犧牲了許多方便性,但是與資安事故發生所造成的損失相比,徹底落實資安管理制度仍是最好的資安防護策略。

 

圖4: 網站入侵常見模式,以及對應預防與監控措施

 

結語

因應個人資料保護法即將施行之際,個資外洩除了巨額罰款之外,商譽受損導致的交易損失更是難以估計。因此,建議企業平日便要與專業合格的資安廠商維持良好互動,透過簽署合作備忘錄或委託資安服務等,並且可參照ISO 27001建立屬於自己公司的資訊安全管理系統,取得認證並定期進行內部與外部管理制度稽核,再搭配資安黑白箱檢測以及資安監控,預先擬定資安事故應變之作業流程與通報機制,做到管理與技術相輔相成,對資料保護盡善良保管人之責任,相信能夠做到資安事故的預防,並在面對資安事故的處理,也能夠從容以對,縮小影響範圍,保護企業也保護信賴您公司的廣大會員。

後記:截至截稿時,筆者透過Google Hacking仍能發現有部份政府單位仍存在FCKeditor Resources Browser可能被利用上傳網頁木馬之漏洞,筆者所屬之資安團隊已循政府通報流程,通報政府單位進行處理,然仍可見此簡單之老漏洞,所造成影響之深遠。


﹝本文片由作者提供,兩位作者皆具備CISSP、CEH證照,目前任職於資安監控服務廠商。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com