文章提供:圖文資通組
文章來源:https://www.bnext.com.tw/article/60631/ot-ia-securty-hacker-basic-qa
發佈日期2020.12.21 數位時代 #資訊安全 #資安政策
「我們是Fancy Bear,即將在X月X日攻擊你們的伺服主機,除非匯款20個比特幣到指定錢包,否則你的客戶服務將完全中斷。 我的名氣歡迎去Google搜查看看,先前紐西蘭交易所遭受的攻擊(編按:導致四天股市交易中斷)就是我做的,給你一週時間準備,跟損失的企業商譽跟客戶信任相比,這個金額其實很便宜。」—Fancy bear
這是一封真實的駭客攻擊威脅信件,10月寄給一間台灣屬一屬二大型跨國集團,結局是這番攻擊預告被資安專家們擋下,但這封信背後顯示的,是跨國駭客集團的囂張,及網路攻擊事件的頻繁。
近期美國能源局、核子安全局遭駭,鴻海北美廠區也遭勒索病毒入侵,台灣境內包括仁寶、研華、中油先後傳中毒,網友間風傳駭客勒索信,都是指定受害者要在期限內支付比特幣,才能解毒。
比特幣因為交易隱密,不易被追蹤,全球企業拼雲端化,更使得駭客攻擊機率增加,在科技大廠事件頻傳下,資安重要性浮上檯面,為何愈來愈多大型企業被駭?究竟如何中毒的?誰交付「贖金」呢?《數位時代》透過訪談資安專家安碁資訊技術副總黃瓊瑩及資安長顧寶裕,將駭客勒索事件科普知識一次分享。
Q:為何大型企業常報導遭駭?他們不是在資源上,對資安防護意識上,都比中小企業更高嗎?
顧:這種大規模感染病毒事件,過去駭客是亂槍打鳥,到處攻擊,對方中毒後就會要求錢,偏向小型攻擊,但現在駭客多半組成大型團體組織,有分工,針對大企業動輒要求百萬美金贖金,因為更有效率賺更多。
Q:中勒索病毒的管道有哪些?
黃:中勒索軟體大致可以分四類。
1. 網站突破:最常見是「無主主機」,在很多大企業單位,很多沒在用的主機系統忘記下線
2. 具備上傳功能網站:比方政府各部會有民眾陳情功能,可以夾檔申報,這很容易被網頁木馬(Webshell)木馬程式攻擊,防毒軟體完全偵測不到,有些網站我們一查可以抓到100多個木馬程式
3. 控制AD(集中式目錄管理服務)帳密外洩
4. 很多資訊系統管理者,會到處登入不同電腦做主機維修,但很可能該電腦是被感染的,密碼就遭竊。
Q:可否讓我們理解,在防毒軟體或防火牆下,到底科技大廠怎麼中毒的?
顧:員工電腦跟網站是主要弱點,尤其員工工作上必須收信,點了就會連結到外網,比方駭客會寄發「免費抽獎/演唱會門票」之類的信,員工點進去,病毒就會進入企業網路摸索收集資料,探知哪些人是做業務的,然後寄發業務相關郵件給員工。
駭客都是有計畫的,他會先丟釣魚郵件,看員工會不會開啟,或從周邊裝置如隨身碟下手放毒,一旦侵入企業內網再埋伏搜索,很可能會花幾個月功夫;也有可能是給員工一個釣魚網站網址,或者掃描企業網站,找弱點,對他們來說,花一番功夫也沒關係,因為報酬很豐厚。
企業的資訊部門一定也會重兵防守,所以很多時候是發給企業員工釣魚郵件,慢慢感染同事電腦,再從內部網路鑽到漏洞,藉此側錄AD主機的帳號密碼,一旦拿到帳密,就能成功感染AD主機。
釣魚郵件難「零中毒率」,員工開信應提高警覺
Q:那麼訓練員工不要亂開信有用嗎?企業中毒後,會究責開釣魚信的員工嗎?
黃:我們10年做過100萬次釣魚郵件內部測試,沒有遇過中毒率零的,顯示這真的很難,但內部釣魚信測試只是要讓員工提高警覺性,不能保證不出問題。
曾經有一個案例是,醫院的人資部門收到一封來自雅虎信箱的求職信,很誠懇的內容,自我介紹工作經驗並附上履歷檔案,後來發現該檔案夾後門。人資工作就是徵才,究責這個很難,不可能要求人資不開履歷信,這也是駭客很用心的地方,難道你要人資「用肉眼掃毒」嗎?
另一個詐騙很簡單叫變臉郵件詐騙(Business Email Compromise, BEC),駭客模仿供應商來往信件,郵件地址只有差一個字,比方O打成0,銀行行員看跟往常往來信格式一樣,沒有看清楚,例行匯款就匯出去了,行員必須提高警覺。
Q:駭客如何威脅企業付款?。為何會一下子大規模中毒,可否說明真實可能的現況?
顧:國際上有很多活躍的駭客組織,比方已經退休的MAZE,這些駭客集團有做分工,組織化,他們知道要廠商肯付錢,必須讓廠商「短期內大規模中毒」,否則難以迫使企業支付,企業會肯付錢是因為「需要快速恢復原狀。」
舉個例子,比方兩個小時內讓一萬台電腦中9000台電腦中毒,要一台一台修太耗時,企業老闆無法處理時,就可能會支付。這是駭客希望施壓壓力。
因此關鍵是短期內,大規模中毒,那麼關鍵就是就是透過「派送技術」,比方防毒軟體會更新病毒碼,他們最常攻擊AD伺服器/資產管理伺服器/防毒軟體中控台,一旦這些主機中毒,就跟更新病毒碼一樣,會派送病毒給所有企業內電腦,造成大規模中毒。
Q:中毒後會有什麼勒索模式?有些駭客威脅曝光企業機密?
顧:病毒有很多種,有些是有後門,可以加密企業資料時備份一份在駭客端,駭客會威脅不給錢就公佈企業資料,或地下網站再賣一次,但駭客必須有資料儲存容量,另一種最直接是加密企業硬碟內資料,不把資料拿走。
駭客也講究信用跟評價?企業真的會付錢嗎?
Q:真的有企業會付款嗎?
顧:你不會知道企業到底有沒有付錢,有時候你看新聞,外匯公司當機兩週後,突然就恢復正常了,但企業付款也不會講,真的支付也不會是公司名義支付,很多會透過第三方白手套支付,或者透過第三方跟駭客討價還價。
目前聽過的駭客拿到錢,都會給鑰匙,企業拿到鑰匙,9000台電腦同時複製金鑰,半小時內就會恢復所有資料。
Q:駭客這麼有「誠信」,拿錢會真的給金鑰?付款給駭客,會不會讓他食髓知味,再來攻擊?
顧:幾乎都不會發生(拿錢不給鑰匙),因為這樣一來,駭客圈都會知道這個人沒信用,且受駭客戶也會去到處講:中毒千萬別給XXX錢,因為XXX不會給鑰匙。
根據過去經驗,付款都能拿到鑰匙,駭客的信用是在的,但這是為了存活/繼續生活的手段,所以被駭者才會支付,甚至廠商都是透過白手套公司去打折討價還價,做一些協議,要求未來不再攻擊。
通常勒索完,已經給錢了,主機解密後還留有病毒,這真的沒辦法知道,當然企業必須立刻內部加強資安部署,但駭客拿錢後,目前還沒聽過哪家公司被打兩次。
Q:可否給企業防駭幾個建議?
黃:建議AD最高管理者不能出門,權限要分層,或做很多設計SOP流程,否則只要一點被突破,最高管理者帳密就會曝光。
其次網段要切割,跟內部串連要做一些功能分工,不能暢行無阻,否則最高權限被瓦解後,駭客建立立足點後,就中毒了。
另外遠端連線或外部連線,國外協力廠商來更新軟體,網路芳鄰上傳下載檔案,都很容易中毒,若在家辦公,員工家裡電腦有污染或資訊服務託管業者中毒,連回公司主機也可能讓企業中毒。
未來趨勢:水電力等關鍵基礎設施做資安
Q:企業中毒後怎辦?
黃:廠商如何清理加強防護有兩點,一是復原、二是調查。
但兩者是矛盾的,復原後就不好調查證據,調查中如何復原。復原後,怎知道感染源頭清除了沒?所以企業要緊急應變,有步驟,統一指揮,才不會亂,不會把調查證據被抹掉。其次要先把把惡意程式清理乾淨,才復原。復原後,若源頭沒找到,會又被感染。所以這要有強有力指揮。
我給企業關鍵一句話:查找原因,弱點補起來。這考驗管理能力,主機管理能否即時,中毒後是否可以侷限只在這台電腦,不要蔓延,我們不可能零危險,但資安監控中心(Security Operation Center,SOC)是可以監控抓病毒。
Q:資安趨勢是什麼?水電公司也開始防毒?
顧:資料顯示OT(營運技術系統)攻擊事件增加中,比方伊朗駭客去攻打以色列淨水廠,希望控制加藥系統造成大規模中毒事件,這屬於國家級攻擊,關鍵基礎設施如金融醫療或民生水電若遭駭,會引發後果,所以國家也開始重視,行政院已經要求8大關鍵基礎設施要建立情資分享平台(ISAC)。
水電等基礎設施的機器設備,跟資安監控的電腦不同比方西門子或施耐德控制系統,與一般資訊系統不同,走封閉設備,學習攻擊的駭客少,有的話多半是國家級駭客。
不過,現在工廠管理電腦也開始用Windows,會連線,也常會導致IT(資訊技術)中毒,讓機器也不能運轉,導致生產停頓,工業控制系統(如煉油塔/發電機鍋爐)跟IT重疊度高,我們也要讓IT不會導致OT(營運技術)當機,現在觀察是工廠端資安教育訓練比較缺乏,廠區應變能力低,OT的資安人才也較少。
台灣券商在紐西蘭交易所被攻擊後,也收到很多威脅信。現在金管會也要求銀行保險業每年作DDoS演練,演練目的要測試電信業者ISP流量清洗力:比方中華電信要幫忙做第一波流量清洗,擋住網路攻擊。或測試內容服務網路(CDN)雲端,驗證耐不耐打,以及銀行內部資安設備測試。
過去OT資安是政府部會專案在做,慢慢民營業者也開始談,高科技園區及工廠慢慢看到有需要,2021年我們也會展開工廠攻防演練,加強OT對資安重視。