2013年5月2日 星期四

一場有組織的網路戰爭:320韓國黑暗日駭客攻擊手法大剖析


一場有組織的網路戰爭:320韓國黑暗日駭客攻擊手法大剖析

320駭客攻擊事件的特色是長期滲透,精心策畫,駭客用盡各種手段入侵,利用人性弱點竊取核心系統密碼,透過深信不疑的正常管道散播惡意程式,再鎖定目標準確打擊,就是一場有組織的網路戰爭

根據韓國資安專家社群IssueMakersLab的研究,依據惡意程式程式碼的特徵、加密手法、C&C操控通訊協定等證據的比對,IssueMakersLab推論,韓國320駭客攻擊行為可追溯到2007年,並循著以下攻擊途徑來實現這次320大規模破壞行動。

首先,駭客先想辦法入侵企業使用者常瀏覽的網站,利用ActiveX漏洞植入惡意程式,等待企業使用者瀏覽到這些被入侵的網站時,使用者的電腦就會感染惡意程式。

駭客可以遠端遙控這些被感染的電腦,暗中蒐集企業內部資料,並將這些資料傳送給第一波攻擊所使用的操縱伺服器(C&C Server)。

這群駭客進一步利用C&C伺服器下載更多惡意程式到企業使用者的電腦上,並掃描通訊埠,找出企業內部負責更新防毒軟體的中控伺服器或是資料庫伺服器,尋找可利用的漏洞。

確認漏洞可用後,駭客接著利用受感染的使用者電腦連接第二波攻擊所使用的C&C伺服器。第二波C&C伺服器會利用防毒中控伺服器的漏洞,將原先要派送的更新檔置換成惡意程式。最後,就是透過企業內部的防毒中控伺服器自動派送惡意程式給內部電腦,才能一次破壞了48,700臺電腦。

在這次320韓國的攻擊事件流程中,有幾項駭客能夠發動攻擊的關鍵,分別敘述如後。

圖解韓國320駭客攻擊事件


根據韓國資安研究組織IssueMakersLab的研究,依據惡意程式程式碼的特徵,韓國320駭客事件可追溯到2007年,以下是此次事件駭客可能的攻擊途徑之一。

駭客入侵企業使用者常瀏覽的網站,利用ActiveX漏洞植入惡意程式,一旦企業使用者瀏覽被入侵的網站,電腦就被惡意程式感染。駭客利用被感染的電腦,將企業內部資料傳送給第一波攻擊所使用的操縱伺服器(C&C Server)。駭客利用C&C伺服器下載更多惡意程式,用來掃描企業內部的防毒中控伺服器或是資料庫伺服器,有哪些可利用的漏洞。確認可利用的漏洞後,駭客利用受感染的使用者電腦連接第二波攻擊所使用的C&C伺服器。駭客利用防毒中控伺服器的漏洞,將原先要派送的更新檔置換成惡意程式。企業內部的防毒中控伺服器自動派送惡意程式,造成4萬8千多臺電腦到破壞,服務中斷。

註1:第一波攻擊使用的C&C伺服器總共有38臺,其中34臺位在南韓,另外4臺散佈在4個不同國家

註2:第二波攻擊使用的C&C伺服器總共有18臺,其中3臺位在南韓,另外15臺散佈在7個不同國家


手法1:以釣魚信件欺騙員工,突破企業安全網


釣魚信件偽裝成騙人的信用卡交易記錄,以鬆懈使用者的戒心,並引誘使用者打開附件中的壓縮檔,點選其中的惡意程式而感染到使用者的電腦中,進而在背景下載更多惡意程式入侵企業內網。

趨勢科技在駭客發動攻擊前就曾攔截到駭客假冒韓國銀行所寄出的釣魚電子郵件,這封信件的主旨為3月份信用卡交易記錄,來鬆懈企業員工的戒心,信件內容說明附件是交易記錄,並要求企業員工打開附件,因為信用卡是日常生活慣用的支付工具,通常都會依據信件要求點選解開附件檔案。這個附件中包含兩個檔案,一個是圖檔,而另外一個是壓縮檔。

趨勢科技臺灣區技術總監戴燊表示,這封信件有問題的附件正是壓縮檔。當企業員工依據信件要求,解開壓縮檔後,會產生一個執行檔,一旦這名員工又點選了這個執行檔,執行檔便會連結至駭客特製的釣魚假網站,網站看起來就像是韓國人常瀏覽的網站,只不過這個假網站會在背景下載惡意程式,來感染這名員工的電腦,而這個惡意程式便是駭客用來侵入企業內網的後門程式,可以進一步遠端遙控這臺受到感染的電腦暗中連線至駭客的中繼站伺服器,繼續在背景下載更多不同功能的惡意程式,駭客為了增加調查人員的追查難度,還會不斷更換中繼站的位址。

這次攻擊中,也有企業IT人員沒有察覺到這個釣魚信件的異狀,而導致IT人員的電腦被植入惡意程式。

駭客還會暗中下載了側錄程式來監控IT人員電腦,取得更新檔伺服器(Patch Management Server)的管理者帳號密碼,藉此大量派送惡意程式,造成大規模的破壞。這突顯了,IT人員因為身分特殊,擁有許多重要系統的管理權限,更應該提高警覺心,不該亂開啟來路不明的信件。

一封看似平凡的電子郵件,因為使用者的疏忽,釀成嚴重的後果,根據各大資安廠商的研究報告,社交工程是駭客發動APT攻擊時,最愛用的手段之一,尤其是釣魚郵件。釣魚信件並非一般的垃圾郵件,更能輕易地繞過資安機制,若是使用者沒有警覺心,很容易就受騙上當。


手法2:植入4大類惡意程式,暗中組織攻擊軍隊

根據韓國政府發布的期中調查報告顯示,總共找到了76支惡意程式,這麼多的惡意程式各有不同的功能,其中9支具有破壞性,其餘惡意程式則負責如監視或入侵之用。不少資安廠商也在事發後,搜集到各種惡意程式樣本。

鑑識過惡意程式樣本的艾斯酷博資深資安顧問邱銘彰表示,有些惡意程式具有摧毀硬碟的功能,有些則是只是下載工具,有的惡意程式甚至是2種功能都有。

依據盧森堡Zataz資安網站技術長Eric Romang彙總各資安業者的分析樣本後,他依用途將惡意程式分成4大類,分別包括了Wipe清除惡意程式、Drop&Wipe(下載與清除)惡意程式、Drop&Wipe&Deface(下載、清除與網頁置換)惡意程式,最後一種是Drop&Backdoor(下載與開後門)惡意程式。

顧名思義,Wipe惡意程式只用於清除電腦硬碟中的資料,而Drop&Wipe則是會下載Wipe程式來執行清除動作,而第三種Drop&Wipe&Deface,則不只是下載Wipe程式,還會入侵目標電腦上的網站,將官網首頁內容替換成駭客宣示用或其他網頁。

最後一類Drop&Backdoor則是用來在目標電腦中建立後門或植入遠端遙控用的木馬程式。

76種已被發現的惡意程式樣本中,大多可以歸類到上述4類,也有一些惡意程式的用途有待研究,還屬於未知功能的惡意程式。

這些惡意程式就像是分工精密的攻擊部隊一樣,有的程式負責攻擊,有的負責潛入,或是暗中運送其他攻擊部隊進入企業內網。分工越細,每一支惡意程式的功能越專一,檔案大小就能越小,被發現的機率也越低。即使企業針對內網部署了防毒牆、IPS入侵防禦系統等防護機制,也不一定能找出所有的攻擊部隊,還須搭配其他工具,或檢測機制如網管工具、Log稽核工具等,才能綜合判斷找出可疑的程式。

320韓國黑暗日受駭災情

駭客先入侵企業內部的病毒碼更新主機,如這次遭駭的AhnLab Policy Center資安政策管理平臺,以及Hauri ViRobot ISMS資安管理平臺。然後駭客再利用更新病毒檔的正常管道,將惡意程式傳送到企業裏的每一臺個人電腦或伺服器上。


手法3:竊取遠端連線密碼,取得伺服器控制權

除了透過釣魚機制搭配側錄工具竊取IT管理密碼之外,這次攻擊出現了另一種少見的密碼竊取手法,有一些惡意程式會搜尋電腦內的遠端連線工具mRemote與SecureCRT的設定檔,分別是confCons.xml與*.ini,從設定檔中找到管理者帳號(root)登入時所使用的網站連線設定,來取得登入帳號和加密過後的密碼資訊,雖然該密碼是加密後才儲存,有些遠端連線工具的加密機制不夠嚴謹時,要破解密碼對駭客來說並非難事。

另外Eric Romang表示,許多IT管理人員不一定會即時更新遠端連線工具的版本,駭客就可以利用舊版連線工具的弱點來竊取連線密碼。

例如2011年時國外資安部落格Cosine Security就揭漏mRemote採用的加密方式不夠嚴謹,所以2012年開始就沒有推出新版本;或是舊版SecureCRT也被發現有弱點,加密後的密碼可被破解,得更新到最新版本才能無虞。像SecureCRT 7.0.3,也就是最新版本,目前還沒有密碼被成功解密的記錄。

Eric Romang還模擬了另一種竊取連線授權的方法,是透過偷取驗證私密金鑰的手法,就算不知道連線密碼,還是能成功進入遠端主機執行派送工作。

像SecureCRT除了可使用帳號密碼登入之外,還可以使用SSH私鑰(Private SSH Key)的連線驗證方式,來存取遠端連線伺服器。


若IT人為了省事,建立遠端連線SSH私鑰(Private SSH Key)時,沒有強制u設定使用私鑰連線時要搭配輸入管理密碼,惡意程式只要搜尋硬碟找出私鑰檔案,駭客不需要花時間破解密碼,就能用這個私鑰登入遠端伺服器。 

若IT人為了省事,建立私鑰時,沒有強制使用私鑰連線時要搭配輸入管理密碼,惡意程式只要搜尋硬碟找出私鑰檔案的存放位置,駭客不需要花費時間破解密碼,就能使用這個私鑰登入遠端伺服器。


手法4:入侵防毒資安管理主機,大量派送惡意程式

這次事件造成大量電腦同時中毒的關鍵,是因為惡意程式透過偷取帳號密碼的手法,取得了資安軟體更新主機的管理權限,再利用企業對防毒主機的信賴,使用更新軟體的機制來大量派送惡意程式。

一旦資安管理平臺也沒有檢查派送的修補程式是否為防毒軟體公司釋出的檔案,駭客就能趁機偷渡不法惡意程式到員工的個人電腦上。

這次事件被駭淪陷的防毒更新主機軟體包括韓國防毒軟體廠商AhnLab(安博士)的AhnLab Policy Center資安政策管理平臺,以及另一家防毒軟體公司ViRobot的資安管理平臺Hauri ViRobot ISMS。

AhnLab也在3月29日承認出錯,因為APC資安管理平臺有漏洞,導致駭客能繞過登入驗證,取得管理權限來派送惡意程式。


手法5:癱瘓個人電腦和伺服器

惡意程式是在事發之前就進入企業,感染使用者電腦。使用者電腦受駭後,惡意程式會先修改系統設定檔,將惡意程式列為開機時會自動執行的程式之一,待使用者開機後,再利用GetLocalTimec函數判別韓國當地時間是否來到駭客預設的攻擊時間,也就是3月20日當天下午2~3點之間,在這個預設時間之前,惡意程式就如同正常檔案一般,防毒軟體也不易發現,一旦時間到了駭客設定的攻擊時間,惡意程式就會開始執行,先確認使用者電腦安裝的作業系統版本為何,接著關閉AhnLab(安博士),以及另一家防毒軟體公司HAURI的防毒軟體,讓使用者電腦喪失防禦能力。


此圖是駭客攻擊Unix/Linux伺服器的腳本程式,可以看到,惡意程式進入Unix/Linux系統後,會先利用if then條件是來判斷伺服器的作業系統版本,不論SunOS、AIX、HP-UX或是Linux,都是惡意程式的攻擊對象,會刪除系統核心目錄,包括了/kernel、/usr、/etc、/home。

緊接著,惡意程式再透過PhysicalDrive指令存取硬碟主開機記錄(Master Boot Record,MBR),以「PRINCPES」、「HASTATI」和「PR!NCPES」等字元複寫電腦MBR(Master Boot Records),McAfee表示,惡意程式還會破壞檔案系統,造成硬碟內的資料無法恢復。

不過,若是使用者作業系統版本為Windows Vista以上,惡意程式則會找出硬碟內所有資料,填入0,雖然資料仍存在,但毫無意義。

惡意程式完成MBR破壞之後,便執行關機指令shutdown -r -t 0,使用者電腦因MBR毀損而無法重新啟動。

而此次事件較為特別的地方是,某支惡意程式會同時對Windows系統與Unix和Linux系統發動攻擊。若是惡意程式無法順利抹除開機磁區,則會刪除/kernel、/usr、/etc、/home這4個資料夾。而這4個資料夾依序存放驅動主機各項硬體的偵測程式與驅動模組、應用軟體函式庫或是自行下載的軟體、系統開機過程需要讀取的檔案、系統使用者專屬的目錄。一旦這些目錄被刪除了,伺服器也無法運作而讓服務中斷了。

轉載自《iThome》