2013年3月27日 星期三

透過更新下載、毀損MBR 攻擊南韓手法似曾相識?

透過更新下載、毀損MBR 攻擊南韓手法似曾相識?



上周南韓傳出三家銀行及電視台遭受網路攻擊導致系統癱瘓事件,引起各方關注。儘管南韓已經不是第一次發生類似事件,且此次受害規模與過去相比並不大。但由於不同過去的攻擊手法,因而仍引起多家資安廠商的探討。其實若深入比較過去的攻擊,攻擊手法似乎似曾相識。

此次大家關注的焦點之一在於惡意程式透過企業的修補程式更新系統(PMS, Patch Management System)而散佈,此惡意程式還能先停止韓國當地品牌AhnLabs防毒軟體的運作,因此成功感染更多受害企業內部電腦。回頭看2011年3月那波40多個政府、金融機構網站遭到DDoS分散式阻斷攻擊,當時就已透過P2P軟體的更新下載來散佈惡意程式,且當時AhnLabs為了減少殭屍電腦還對此特別提供掃毒程式。至於中了此次惡意程式電腦的主開機記錄(MBR)會被損毀,導致電腦無法重新開機。在2009年7月前後那幾波的攻擊似乎已看到伏筆,當時也有傳出該惡意程式被設定啟動的時間是在日後。

南韓官方將此次攻擊定義為進階持續滲透攻擊APT,駭客先透過社交工程電子郵件滲透到受害企業端點電腦,在一點一滴取得更多可用於攻擊的訊息。趨勢科技資深技術顧問簡勝財認為此次駭客入侵受害企業的PMS,有可能是惡意程式已經潛伏在企業一段時間,也許再透過鍵盤側錄程式取得PMS的登入權限,或有較高深的技巧直接入侵PMS的漏洞。

面對現今APT惡意程式攻擊,企業防不勝防。簡勝財認為,透過端點、主機端、閘道端等多層次的防禦部署,可越早監控到惡意流量,就可將災害減到最低是該有的資安策略思維。

轉載自《資安人科技網》