【遠東銀行遭駭追追追】權限控管超級重要！駭客入侵遠銀關鍵，就是這兩組帳密遭盜

遠東銀行遭駭盜轉18億元案發至今，雖然超過9成9的款項都已追回，但對企業IT部門、銀行CIO或資安圈而言，更重要的是找出駭客入侵銀行的手法，才能從中學到教訓，避免自己成為下一家的受害企業。但是，駭客如何入侵遠銀的細節，刑事警察局遲遲沒有透露更多細節，而臺灣參與調查的資安公司也因保密協定，而拒絕透露更多處理過程。

倒是，國外資安公司McAfee兩名資安研究人員，在12日發表了一篇「偽勒索軟體在台灣銀行搶案中的角色分析」一文，詳細透露了，他們分析遠東銀行一支惡意程式木馬後的結果，從程式碼中找到了2個遠東銀行的網管帳密，這正是駭客可以進一步入侵SWIFT系統的關鍵之一。
發表這篇分析的是McAfeeg首席工程師和科學家Christiaan Beek，以及McAfee網路安全部門院士兼總科學家Raj Samani。因為有位參與了遠銀入侵事件調查的不明人士，將一支惡意程式樣本上傳到了線上掃毒服務Virustotal，也讓這個惡意程式樣本曝光。McAfee正是取得了這個惡意程式樣本才能進行這次的分析。

刑事警察局早在在10月5日傍晚接獲遠銀報案後，就查扣了SWIFT系統、電腦主機等，13日時透露，已經從11個可疑程式中找出了6個惡意程式，但刑事警察局只有簡單描述這批惡意程式的功能，包括了散布、加密及遠端遙控功能，除了感染遠銀內部電腦，也會蒐集相關情資進行回報，並且加密部分電腦的檔案資料。刑事警察局以偵察不公開為由，只有簡單幾句話的說明，沒有透露更多細節，對於駭客如何入侵遠東銀行的管道也三緘其口。

反倒是根據McAfee最初接獲的消息（另一個McAfee沒有說明的來源），駭客入侵的起點，是一封附件藏有後門的釣魚郵件。McAfee也展示了這些釣魚信件的2張截圖，一張是釣魚郵件要求受害者打開一個偽造的「Docusign文件」存取網頁，另一個則是偽裝成一個加密PDF線上文件的開啟連結，但這些附件連結都是假冒的，只要受害者點選連結來開啟文件，都會轉向到一個惡意程式網站，來下載一個不明檔案到受害者的電腦中。McAfee透露了這個惡意網址是hxxps://jobsbankbd.com/maliciousfilename.exe  （資安公司已經將惡意程式檔名隱匿）。

資安公司McAfee公開了2張遠銀遭駭中關鍵釣魚信件附檔畫面。

若透過全球WHOIS查詢這個網址，註冊這個網址是位於孟加拉國首都達卡的一家公司，也就是2016年2月知名SWIFT遭駭事件案主孟加拉央行的所在地。不過，McAfee沒有透露這個網址是駭客所有，或者又是駭客所入侵的另一個跳板網站，不過，若瀏覽這個網站，就會看到一個偽造的Yahoo登入畫面，反映出這個網站可能目前還是一個釣魚網站。

回到駭客入侵手法上，當遠銀受害員工點選惡意附件，將惡意木馬下載到電腦後，這個惡意網站還另外藏了一個後門機制，可以讓犯罪者存取銀行內受害者的電腦系統。兩者結合下，讓攻擊者得以進入銀行的內部電腦，進一步取得系統的帳號密碼。McAfee研究員更從惡意程式樣本的程式碼分析中，找到了攻擊者手上的2組遠銀管理者帳密資料。

日前iThome從第三方取得6支惡意程式中的5支惡意程式的檔名，包括了bitsran.exe和RSW72CE內有加密勒索木馬RANSOM_HERMS.A之外，另外三支程式的檔名分別是msmpeng.exe（BKDR_KLIPOD.ZTEJ-A病毒）、splwow32.exe（BKDR_KLIPOD.ZTEJ-B病毒）和FileTokenBroker.dll（TROJ_BINLODR.ZTEJ-A病毒）。而McAfee分析的這支惡意程式樣本則是bitsran.exe。

McAfee反組譯這個惡意程式，還原程式碼後發現，遠銀事件攻擊者取得兩個帳號密碼，FEIB\SPUSER14和FEIB\scomadmin，惡意程式會在遭駭電腦中，建立了一個排程任務，並且監視電腦內建防毒軟體服務的運作。資安軟體一般不會將此視為惡意行為，但這卻是攻擊者用來找出銀行內部防毒軟體的部署情況，才能進一步刪除系統防毒服務，瓦解系統資安預警機制。

McAfee從反組譯惡意程式所找到的2組遠銀系統管理帳密，也反映出，駭客為了入侵遠銀內部系統而量身打造了這個專用惡意程式，還不斷利用這兩組帳號密碼來測試遠銀的其他系統，是否可以用同一組密碼入侵。

上周金管會也公布了派員進駐遠銀的初步調查結果，發現在權限管理上，遠銀沒有符合最小授權原則，而是給予最高權限。再加上遠銀的SWIFT伺服器也沒有落實實體隔離，可能基於作業方便與其他的電腦連結，雖然負責個人電文放行的工作站有隔離，但因主機沒有做好實體隔離，成為駭客入侵的管道。

綜合金管會和McAfee的分析，可以推測，正因駭客取得最高權限的帳密，又能連線到沒有採取實體隔離的SWIFT伺服器，攻擊者才能進一步控制SWIFT系統。這2組帳號正是這次遠銀遭駭盜轉事件的關鍵。

這支惡意程式還特別會排除三種語系，俄羅斯語系、烏克蘭語系和白俄羅斯語系，遇到這三種語系的系統就不會入侵，但這也可能是駭客故佈疑陣。另外McAfee發現，駭客所用的Hermes勒索加密軟體還只是一個開發中的版本，而不是原始的Hermes軟體。