首頁 > 焦點新聞

拼出南韓攻擊事件原貌 HIT:ISP的DNS伺服器是關鍵

作者:張維君 -2013 / 04 / 01 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

上周南韓網路攻擊事件引發各資安大廠關注,紛紛揭露各種研究報告。問題直指惡意程式藉由防毒軟體的修補程式管理系統(PMS)來散佈,但對於關鍵的PMS是如何遭受攻擊卻一直未有充分資訊。台灣最大資安社群,台灣駭客年會HITCON成員近日深入研究後對此事件提出看法。

擅長資安事件處理的徐千洋,整理受害企業之一新韓銀行在事發第二天所做的內部調查報告表示,有可能是銀行的ISP的DNS伺服器遭竄改,導致原本應連線到防毒軟體公司的PMS系統錯誤連結到惡意網站,而惡意程式可能又偽造更新程式的數位簽章,所以成功將惡意程式”派送”到用戶端電腦。

這一波惡意程式的特徵就如同稍早媒體所揭漏的消息,透過特定字串HASTATI來覆蓋並毀損MBR、關閉兩家掃毒軟體工具、存取透過Physical Drive、建立section、設定於3月20日14:00或15:00啟動運作。

然而,這次攻擊除了影響3萬2千台電腦外,更厲害的是同時也癱瘓銀行核心系統Oracle資料庫並造成無法重新啟動。擅長惡意程式分析的邱銘彰根據現有惡意程式樣本分析後發現,該支惡意程式同時具有硬碟與Unix wiper抹除能力,因此可刪除Oracle 的DBMS造成無法重新開機。

至於惡意程式是如何進到重要的核心系統伺服器上?根據推測,極有可能因為系統管理者便宜行事,將資料庫伺服器的帳號密碼直接寫在組態中,以便於日後直接登入,因為在分析時也發現該支惡意程式具有Putty遠端連線功能,因此將搜尋到的SSH Client帳密成功登入到資料庫。

然而另一條線索,從惡意程式的"製造日期"來看,一部分惡意程式判斷在今年1月30日就已潛伏在受害企業當中,還有另一支則早在去(2012)年7月30日就已進駐,從惡意檔案的檔名命名方式來看,可能與當時所爆發Java 零時差漏洞攻擊有關。

邱銘彰指出,此次的攻擊不像其他資安事件會留下惡意程式與線索,透過逆向工程分析與鑑識可以循線查出攻擊來源。由於許多惡意程式在攻擊過程中隨著硬碟損毀而被刪除,包括這次所取得的惡意程式樣本也只是後門程式在用的工具而非後門程式本身,因此加深調查難度。

在調查過程中,HITCON強調沒有直接證據顯示此次攻擊是北韓所為,僅能證實這次的攻擊手法與2009、2011年極為相似。已經不是第一次被駭的新韓銀行,這次的緊急應變堪稱迅速周全,在攻擊爆發後的半小時,通報韓國金融監管單位(類似台灣金管會),儘管核心系統遭受攻擊而癱瘓,卻也在兩小時內就讓資料庫復原,使大部分銀行業務得以恢復運作,而不像第一次花了整整兩天時間,包括資安部、IT系統規劃部在系統面的緊急應變,以及金融部檢查客戶存款數字是否有異常等,同一時間各部門各司其職。徐千洋特別指出,從報告中還看出,即使在緊急事件的處理當下,新韓銀行仍然仔細地把每個時間點對系統所作的處置清楚記錄下來,這一點值得其他企業學習。

然而,新韓銀行此次所犯的錯誤也值得其他銀行借鏡,包括網路隔離做得不夠......《未完》
如欲閱讀完整內容,請成為《進階會員》

推薦此文章
8
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…