文章提供:图文资通组
文章来源:https://www.bnext.com.tw/article/60631/ot-ia-securty-hacker-basic-qa
发佈日期2020.12.21 数位时代 #资讯安全 #资安政策
「我们是Fancy Bear,即将在X月X日攻击你们的伺服主机,除非匯款20个比特币到指定钱包,否则你的客户服务将完全中断。 我的名气欢迎去Google搜查看看,先前纽西兰交易所遭受的攻击(编按:导致四天股市交易中断)就是我做的,给你一週时间准备,跟损失的企业商誉跟客户信任相比,这个金额其实很便宜。」—Fancy bear
这是一封真实的骇客攻击威胁信件,10月寄给一间台湾属一属二大型跨国集团,结局是这番攻击预告被资安专家们挡下,但这封信背后显示的,是跨国骇客集团的嚣张,及网路攻击事件的频繁。
近期美国能源局、核子安全局遭骇,鸿海北美厂区也遭勒索病毒入侵,台湾境内包括仁宝、研华、中油先后传中毒,网友间风传骇客勒索信,都是指定受害者要在期限内支付比特币,才能解毒。
比特币因为交易隐密,不易被追踪,全球企业拼云端化,更使得骇客攻击机率增加,在科技大厂事件频传下,资安重要性浮上檯面,为何愈来愈多大型企业被骇?究竟如何中毒的?谁交付「赎金」呢?《数位时代》透过访谈资安专家安碁资讯技术副总黄琼莹及资安长顾宝裕,将骇客勒索事件科普知识一次分享。
Q:为何大型企业常报导遭骇?他们不是在资源上,对资安防护意识上,都比中小企业更高吗?
顾:这种大规模感染病毒事件,过去骇客是乱枪打鸟,到处攻击,对方中毒后就会要求钱,偏向小型攻击,但现在骇客多半组成大型团体组织,有分工,针对大企业动辄要求百万美金赎金,因为更有效率赚更多。
Q:中勒索病毒的管道有哪些?
黄:中勒索软体大致可以分四类。
1. 网站突破:最常见是「无主主机」,在很多大企业单位,很多没在用的主机系统忘记下线
2. 具备上传功能网站:比方政府各部会有民众陈情功能,可以夹档申报,这很容易被网页木马(Webshell)木马程式攻击,防毒软体完全侦测不到,有些网站我们一查可以抓到100多个木马程式
3. 控制AD(集中式目录管理服务)帐密外洩
4. 很多资讯系统管理者,会到处登入不同电脑做主机维修,但很可能该电脑是被感染的,密码就遭窃。
Q:可否让我们理解,在防毒软体或防火墙下,到底科技大厂怎么中毒的?
顾:员工电脑跟网站是主要弱点,尤其员工工作上必须收信,点了就会连结到外网,比方骇客会寄发「免费抽奖/演唱会门票」之类的信,员工点进去,病毒就会进入企业网路摸索收集资料,探知哪些人是做业务的,然后寄发业务相关邮件给员工。
骇客都是有计画的,他会先丢钓鱼邮件,看员工会不会开启,或从周边装置如随身碟下手放毒,一旦侵入企业内网再埋伏搜索,很可能会花几个月功夫;也有可能是给员工一个钓鱼网站网址,或者扫描企业网站,找弱点,对他们来说,花一番功夫也没关系,因为报酬很丰厚。
企业的资讯部门一定也会重兵防守,所以很多时候是发给企业员工钓鱼邮件,慢慢感染同事电脑,再从内部网路钻到漏洞,藉此侧录AD主机的帐号密码,一旦拿到帐密,就能成功感染AD主机。
钓鱼邮件难「零中毒率」,员工开信应提高警觉
Q:那么训练员工不要乱开信有用吗?企业中毒后,会究责开钓鱼信的员工吗?
黄:我们10年做过100万次钓鱼邮件内部测试,没有遇过中毒率零的,显示这真的很难,但内部钓鱼信测试只是要让员工提高警觉性,不能保证不出问题。
曾经有一个案例是,医院的人资部门收到一封来自雅虎信箱的求职信,很诚恳的内容,自我介绍工作经验并附上履歷档案,后来发现该档案夹后门。人资工作就是徵才,究责这个很难,不可能要求人资不开履歷信,这也是骇客很用心的地方,难道你要人资「用肉眼扫毒」吗?
另一个诈骗很简单叫变脸邮件诈骗(Business Email Compromise, BEC),骇客模仿供应商来往信件,邮件地址只有差一个字,比方O打成0,银行行员看跟往常往来信格式一样,没有看清楚,例行匯款就匯出去了,行员必须提高警觉。
Q:骇客如何威胁企业付款?。为何会一下子大规模中毒,可否说明真实可能的现况?
顾:国际上有很多活跃的骇客组织,比方已经退休的MAZE,这些骇客集团有做分工,组织化,他们知道要厂商肯付钱,必须让厂商「短期内大规模中毒」,否则难以迫使企业支付,企业会肯付钱是因为「需要快速恢復原状。」
举个例子,比方两个小时内让一万台电脑中9000台电脑中毒,要一台一台修太耗时,企业老闆无法处理时,就可能会支付。这是骇客希望施压压力。
因此关键是短期内,大规模中毒,那么关键就是就是透过「派送技术」,比方防毒软体会更新病毒码,他们最常攻击AD伺服器/资产管理伺服器/防毒软体中控台,一旦这些主机中毒,就跟更新病毒码一样,会派送病毒给所有企业内电脑,造成大规模中毒。
Q:中毒后会有什么勒索模式?有些骇客威胁曝光企业机密?
顾:病毒有很多种,有些是有后门,可以加密企业资料时备份一份在骇客端,骇客会威胁不给钱就公佈企业资料,或地下网站再卖一次,但骇客必须有资料储存容量,另一种最直接是加密企业硬碟内资料,不把资料拿走。
骇客也讲究信用跟评价?企业真的会付钱吗?
Q:真的有企业会付款吗?
顾:你不会知道企业到底有没有付钱,有时候你看新闻,外匯公司当机两週后,突然就恢復正常了,但企业付款也不会讲,真的支付也不会是公司名义支付,很多会透过第三方白手套支付,或者透过第三方跟骇客讨价还价。
目前听过的骇客拿到钱,都会给钥匙,企业拿到钥匙,9000台电脑同时复制金钥,半小时内就会恢復所有资料。
Q:骇客这么有「诚信」,拿钱会真的给金钥?付款给骇客,会不会让他食髓知味,再来攻击?
顾:几乎都不会发生(拿钱不给钥匙),因为这样一来,骇客圈都会知道这个人没信用,且受骇客户也会去到处讲:中毒千万别给XXX钱,因为XXX不会给钥匙。
根据过去经验,付款都能拿到钥匙,骇客的信用是在的,但这是为了存活/继续生活的手段,所以被骇者才会支付,甚至厂商都是透过白手套公司去打折讨价还价,做一些协议,要求未来不再攻击。
通常勒索完,已经给钱了,主机解密后还留有病毒,这真的没办法知道,当然企业必须立刻内部加强资安部署,但骇客拿钱后,目前还没听过哪家公司被打两次。
Q:可否给企业防骇几个建议?
黄:建议AD最高管理者不能出门,权限要分层,或做很多设计SOP流程,否则只要一点被突破,最高管理者帐密就会曝光。
其次网段要切割,跟内部串连要做一些功能分工,不能畅行无阻,否则最高权限被瓦解后,骇客建立立足点后,就中毒了。
另外远端连线或外部连线,国外协力厂商来更新软体,网路芳邻上传下载档案,都很容易中毒,若在家办公,员工家里电脑有污染或资讯服务託管业者中毒,连回公司主机也可能让企业中毒。
未来趋势:水电力等关键基础设施做资安
Q:企业中毒后怎办?
黄:厂商如何清理加强防护有两点,一是復原、二是调查。
但两者是矛盾的,復原后就不好调查证据,调查中如何復原。復原后,怎知道感染源头清除了没?所以企业要紧急应变,有步骤,统一指挥,才不会乱,不会把调查证据被抹掉。其次要先把把恶意程式清理干净,才復原。復原后,若源头没找到,会又被感染。所以这要有强有力指挥。
我给企业关键一句话:查找原因,弱点补起来。这考验管理能力,主机管理能否即时,中毒后是否可以侷限只在这台电脑,不要蔓延,我们不可能零危险,但资安监控中心(Security Operation Center,SOC)是可以监控抓病毒。
Q:资安趋势是什么?水电公司也开始防毒?
顾:资料显示OT(营运技术系统)攻击事件增加中,比方伊朗骇客去攻打以色列净水厂,希望控制加药系统造成大规模中毒事件,这属于国家级攻击,关键基础设施如金融医疗或民生水电若遭骇,会引发后果,所以国家也开始重视,行政院已经要求8大关键基础设施要建立情资分享平台(ISAC)。
水电等基础设施的机器设备,跟资安监控的电脑不同比方西门子或施耐德控制系统,与一般资讯系统不同,走封闭设备,学习攻击的骇客少,有的话多半是国家级骇客。
不过,现在工厂管理电脑也开始用Windows,会连线,也常会导致IT(资讯技术)中毒,让机器也不能运转,导致生产停顿,工业控制系统(如炼油塔/发电机锅炉)跟IT重叠度高,我们也要让IT不会导致OT(营运技术)当机,现在观察是工厂端资安教育训练比较缺乏,厂区应变能力低,OT的资安人才也较少。
台湾券商在纽西兰交易所被攻击后,也收到很多威胁信。现在金管会也要求银行保险业每年作DDoS演练,演练目的要测试电信业者ISP流量清洗力:比方中华电信要帮忙做第一波流量清洗,挡住网路攻击。或测试内容服务网路(CDN)云端,验证耐不耐打,以及银行内部资安设备测试。
过去OT资安是政府部会专案在做,慢慢民营业者也开始谈,高科技园区及工厂慢慢看到有需要,2021年我们也会展开工厂攻防演练,加强OT对资安重视。