在今年年初的延燒武漢肺炎疫情之下,導致全球的情勢產生大幅變化,許多資安活動被迫中斷或是改以線上舉辦。首度移師南港展覽館2館的2020 Cybersec臺灣資安大會,在8月11日如期登場,針對臺灣企業接連發生的目標式勒索攻擊事件,也成為第1天開場Keynote熱門議題。其中,奧義智慧共同創辦人邱銘彰便針對5月4日中油發生的勒索病毒攻擊事件,推測其中可能發生的過程。
他們藉著5月上旬,有1家遇到類似攻擊的企業,因發現惡意程式與中華電信公布的Hash值相同,而請奧義協助鑑識的過程,邱銘彰從中他們找出可能的跡證,再加上法務部調查局與中華電信公開的資料,來進行事件過程的串聯。雖然奧義沒有直接參與中油事件的調查,但是這次依據取得的疑似同一起攻擊事件受害企業資料,來對於整個發生過程進行推敲,仍然相當有參考價值。
臺灣今年上半發生的目標式勒索攻擊事件,可說是時有所聞,其中又以5月4日中油因遭到勒索病毒攻擊,導致民眾到加油站只能使用自助加油機,開始引發民心不安,甚至調查局也罕見於同月15日透過新聞稿,針對5月初一系列針對重要能源產業和高科技公司的勒索軟體攻擊事故,發表他們的調查結果,表示是中國駭客組織Winnti Group,或者是與其關係密切的組織所為,並強調發動攻擊的駭客也鎖定另外10家企業,只是還沒有爆發,要這些企業及早防範。
邱銘彰認為,從調查局新聞稿所透露的訊息,可以看到這起事件幾個值得留意的地方,首先,勒索病毒是從網域伺服器透過群組原則(GPO)進行派送,這顯然不是一般的勒索病毒的感染行為,因為,病毒不會自行先找到網域伺服器才進行散布,邱銘彰由此推斷,這不是單純的勒索軟體攻擊事件。
再者,從中華電信的資安通報中,所列出的C&C中繼站資訊,他認為此次發動攻擊的惡意程式僅有2個,不應該存在那麼多中繼站伺服器。
不過,光是從調查局和中華電信所揭露的資料,還是難以進一步分析。正好有一家企業因為遭受勒索軟體攻擊,而找上奧義來進行鑑識,這家企業特別引起他們注意的原因,是因為尋求鑑識的動機:該企業發現有個惡意程式的Hash值,竟與上述中華電信公布的資料符合。
雖然有了這一個新的線索,但是因為這家委託的公司在勒索軟體攻擊爆發後,已將大多數的電腦重灌,導致事後調查極度困難,所幸邱銘彰他們發現,網管的電腦仍然保留在事故發生後的狀態,並未重灌處理,因此就從這臺電腦著手進行調查。
駭客早於一周前有所行動
結果發現,這臺電腦仍然與C&C中繼站,分別是64.64.234[.]24,及104.233.224[.]227通訊,奧義便利用該電腦殘存的證據,進行分析,他們找到駭客最早4月26日23時48分開始有所動作,駭客經由排程派送惡意程式到網管的電腦,並執行qwin5.exe和dewm.exe。邱銘彰推測,駭客其實早就在這間受害企業裡面潛伏,並且已經取得高權限,只是在等待時機,因為一旦發動攻擊就有可能觸發企業的警報,導致攻擊工具因為企業重灌而消失。
由於5月20日是總統的就職大典,駭客挑選4月底下手的時間點也相當吻合。因此,邱銘彰指出這是精心策畫的攻擊事件。
在派送惡意程式到網管電腦後,4月27日凌晨1時1分,駭客又在這臺電腦植入後門程式CDPSSVC.DLL。不過,從駭客執行的指令來看,其中使用的批次檔install.bat,邱銘彰初步從這個檔名判斷,這起攻擊事件與APT10(Cloud Hopper)有關。
然後,駭客在5月4日和5日之間,在不同受害企業,按下勒索軟體攻擊的按鈕。邱銘彰說,當駭客凌晨發出指令,下達派送新的GPO內容之後,這些公司裡的電腦,一旦使用者登入,GPO規則也隨之更新,載入勒索軟體工具,就進入到電腦裡面,這是由PowerShell編寫而成的工具。雖然這些惡意程式在電腦一早開機就植入,但是直到12點10分才開始加密檔案。為何駭客要挑選在中午下手?邱銘彰認為,中午午餐時段是使用者最鬆懈的時間之一。
邱銘彰猜測,當員工發現電腦遭受攻擊之後,接下來就是IT人員全部召回,進行一連串的電腦重灌。不過,由於這次駭客使用的2隻惡意程式裡,第1隻發動攻擊的並沒有勒索訊息,因此邱銘彰認為,駭客的目的是要讓企業難堪,造成民生與經濟的重創,要求贖金應該不是真正的動機。
從上述的分析結果,邱銘彰推測整起事件發生的過程:駭客在4月26日開始活動,並具在隔日凌晨第1次安裝後門程式,接著在4月29日,又再度安裝後門程式。為何駭客要這麼做?邱銘彰說,很有可能是駭客第1次安裝之後,進行與C&C中繼站連線測試發現配置有誤,而在隔了2天後重新安裝了新的後門程式,這個程式的檔案名稱與前一個相同,但Hash值不同。
直到5月4日,中油加油站開始傳出無法正常運作的情況,但邱銘彰說,事實上從5月4日到6日,還有其他企業也開始遭到攻擊。相同的是,駭客都是半夜更新GPO,早上電腦套用後,中午檔案就被加密。
背後發動攻擊的組織,僅能確定與中國有高度關連
為何邱銘彰認為背後可能發動攻擊的駭客組織,與調查局點名的Winnti Group有所不同?邱銘彰提出另一項證據,他找出C&C中繼站的IP位址,位於中國陝西,是一家購物網站「賺錢貓」所屬網域。他也透過自家分析系統的人工智慧引擎,將這些中繼站資料與過往的文獻進行比對,發現相關的特徵與APT10攻擊手法比較接近。至於會有這樣的結果,邱銘彰表示,他後來找到2016年有一些研究報告指出,這2個駭客組織存在合作關係,會共享攻擊的工具,Winnti Group有時候也會使用APT10的工具。
雖然分析結果有所不同,但假如邱銘彰找到的報告所述為真,硬是要區別由那個駭客組織所發動,其實相當困難。事實上,調查局的新聞稿也沒有一口咬定就是Winnti Group所為,他們指出也有可能是其他與這個組織有關的駭客。因此即使結果上有所差異,但可以肯定的是,這起針對臺灣多家企業發動的目標式勒索攻擊,基本上應該與中國有極大的關連。
但比起攻擊來源,邱銘彰強調,企業不應該只有看到後面的勒索軟體攻擊,因為那往往是駭客作案完成,進行毀屍滅跡的破壞行為。他認為企業要留意的是,這起事件中駭客從開始有所行動,中間有10天左右的時間,假如企業能夠察覺,或許就能阻止勒索軟體發動攻擊。
"過程" - Google 新聞
August 12, 2020 at 08:33AM
https://ift.tt/2FhuXhB
【臺灣資安大會直擊】針對中油5月初遭受勒索病毒攻擊,奧義智慧共同創辦人推敲更全面的事件樣貌,點出駭客精心策畫的作案過程 - iThome Online
"過程" - Google 新聞
https://ift.tt/2UsLxyQ
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
Bagikan Berita Ini
0 Response to "【臺灣資安大會直擊】針對中油5月初遭受勒索病毒攻擊,奧義智慧共同創辦人推敲更全面的事件樣貌,點出駭客精心策畫的作案過程 - iThome Online"
Post a Comment