臺灣駭客年會議程組主席叢培侃(網路暱稱PK)表示,駭客利用雲端硬碟作為C&C中繼站,遠端遙控政府部門內的傀儡電腦,是今年上半年常見的APT攻擊手法。

圖片來源: 

iThome

臺灣除了是惡意程式的寶島,政府部門更是許多APT(先進持續性威脅)攻擊鎖定的對象。臺灣駭客年會議程組主席、臺灣威瑞特(Verint)公司資安研究長叢培侃(網路暱稱PK)日前參加HITCON搶先看現場網路直播時表示,臺灣政府今年上半年常見的APT攻擊手法,其中,駭客利用雲端硬碟作為C&C中繼站,遠端遙控政府部門內的傀儡電腦,除非全面禁用雲端硬碟,否則難以有效解決。

專精在資安事件數位鑑識的叢培侃表示,在面對資安事件發生時,絕對不能只看到片段資訊而忽略全貌,只想解決現有的問題,反而忽略如何找到資安事件的根因。根據他今年上半年,協助臺灣政府機關進行相關資安事件調查與鑑識時,發現駭客經常使用2種APT攻擊手法,掌控政府內的電腦,他希望透過揭露這樣的攻擊手法,提醒更多人注意類似的攻擊手法而有所提防。

駭客利用雲端儲存硬碟作為中繼站,遙控政府內傀儡電腦

隨著雲端儲存的普及,有許多政府機關也善用這類雲端服務,增進資料交換的效能。不過,叢培侃表示,今年上半年在臺灣政府機關發現,駭客利用修改自開放原始碼DropNet的惡意程式,連線Dropbox、Google硬碟等雲端儲存服務儲存駭客的控制指令,藉此遙控政府內部的傀儡電腦。

他進一步指出,這個DropNet惡意程式本身沒有設定其他的C&C等中繼站資訊,透過連到Dropbox、Google硬碟等各種雲端儲存空間,接受駭客的指定訊息。因為所有的通訊都是採用HTTPS加密連線,包括各種網路閘道端的檢測設備,都無法解析加密連線的內容,加上,這個惡意程式是用開放原始碼的DropNet修改,一般的防毒軟體也都不會預警。目前常見植入受駭電腦檔案包括:igfxpres.exe、DropNet.dll和dropbox.exe。

在分析這個修改自DropNet的惡意程式時,叢培侃表示,該惡意程式最大的缺點在於,駭客解碼的令牌(Token)必須寫死在程式碼中,所以,資安鑑識人員只要可以找到感染到該惡意程式的電腦做鑑識分析,就可以看到有哪些受駭電腦。目前許多重要機關電腦都有被植入這個惡意程式,也可以遠端遙控傀儡電腦,他說:「除非機關單位中斷所有雲端儲存服務的連線,否則,目前很難有好的防護方式。」

從這樣的手法也可以發現,政府以往習慣透過網路閘道端的內網防護策略,因為這個APT攻擊的惡意程式,直接連網Dropbox、Google硬碟接受遙控電腦的指令,也使得閘道端的防護失效,除非阻斷所有連網,這也證明,政府也必須回頭重視用戶端電腦的安全,定期的掃描、檢測,仍是重要的防護策略。

利用Dll Sideloading技術,將惡意程式隱匿在正常程式根目錄下

叢培侃指出,另外一種常見手法就是,駭客將平時執行在微軟作業系統、臺灣常見APT惡意程式Dalgan APT病毒,透過DLL Side-loading技術,將惡意程式隱藏在一些常見程式的根目錄中,例如:Version.dll、Comres.dll、rasaut64.dll(64位元)和rasaut.dll(64位元)等,並透過電腦開機時,會優先載入系統system.dll程式的特性,優先載入這些偽裝成正常程式的惡意程式根目錄。

駭客用來隱匿自身的應用程式,包括防毒軟體、資產管理軟體、儲存系統、燒錄軟體等,都是這一波被駭客假冒函式庫,將惡意程式隱匿在正常程式.dll根目錄下的手法。他指出,因為一般人對於載入.dll程式並沒有特別關注,反而讓駭客可以利用優先載入系統.dll檔案的特性,載入惡意程式偽裝的惡意程式而不自知。

叢培侃表示,駭客另外的攻擊手法則是,透過載入一個加密的惡意程式,主體是一個加密過的主體(Shellcode),附帶一個功能簡單的程式,例如Version.dl檔案,因為系統無法識別加密軟體,所以不會覺察有異,而附帶的應用程式功能簡單明瞭到大家不疑有他。他說,這個APT惡意程式就在上述兩種隱匿的手法下,順利被植入臺灣政府機關的電腦中。

更有甚至,他提醒,這個Dalgan惡意程式會把C&C(控制與命令伺服器)資訊寫在惡意程式中,目前惡意程式只要一啟動,就會連上某些特定的部落格,駭客只需要將控制訊息以加密方式,公布在這些特定的部落格中,惡意程式啟動後,連上部落格,就可以接收到駭客的指令,駭客只需要更新部落格的加密資訊,就可以下達指令給惡意程式。他說,也因為下達駭客指令的部落格,都屬於一般正常的、不會阻斷連網的網站,要查出異狀很難,對資安鑑識更是一大挑戰。

目前,Dalgan也已經在今年3月被微軟確認,是一個會攻擊微軟平臺的惡意程式,已經進階到64位元,但他說,駭客惡意程式已經進步到可以在64位元的電腦執行,不過,許多資安偵查軟體目前也只有32位元,無法在64位元電腦中執行,這也顯得資安防護產品在產品更新上已經落後駭客許多。

至於,在如何防範駭客利用這樣手法在使用者電腦植入惡意程式,叢培侃建議,公司的IT人員應該要有意識的檢查system32下.dll的程式,是否有出現在其他應用程式的根目錄下,並針對每個應用程式做完整性驗證,確保都沒有經過竄改。「雖然比較花時間,但至少可以減少惡意程式對使用者造成的危害。」他說。

提供機關企業資安病歷,做好資安風險評估

「機關組織內的AD(目錄服務)伺服器,一直是駭客的好幫手。」叢培侃表示,許多單位建置了單一登入系統(SSO),便利使用者只需要登入單一系統後,就可以登入其他所需要登入的系統。也因此,駭客只要可以設法取得用戶端電腦的管理員權限(Local Admin),就可以透過內網橫向擴散的方式,鎖定特定的對象。

他表示,許多Local Admin的帳號密碼幾乎都是使用預設值,依照他資安鑑識的經驗,使用預設帳號密碼的比例幾乎百分之百。這也成為機關組織容易忽略的資安盲點,也是駭客容易利用的弱點所在。

再者,駭客也可以透過高權限使用者的帳號,進一步取得所需的機敏資料。但叢培侃也提醒,許多高權限使用者不見得指的是位階高的使用者,有更多時候,駭客鎖定的是協助高階主管處理事情的秘書電腦,才是真正存放許多機敏資料的特定電腦。

即便有許多組織機關都已經取得所謂的ISO 27001資安認證,卻還是會犯一些簡單的錯誤,叢培侃認為,關鍵原因在於沒有做好正確資訊資產的風險評估。因此,機關組織和企業在面對資安事件的處理時,經常因為無法有效評估企業的資安風險、無法提供完整的資安病歷,對於後續的資安資源無法產生有效的配置,也對企業帶來更大的資安風險。「提供機關組織的資安履歷,是面對資安威脅的第一步。」他說。

確保受駭電腦的完整性,作為資安鑑識之用

不過,他提醒,所有的犯罪事件處理方式都一樣,首先,都應該要設法維持犯罪現場的完整,避免閒雜人等的進出才能找到犯罪者的蛛絲馬跡,才有辦法找到兇手。網路犯罪也是如此,任意的解毒、重灌,就是破壞網路犯罪的現場,只是協助駭客知道受駭者已經察覺,進而增進惡意程式的隱匿功能,使得該惡意程式更難被資安團隊發現罷了。甚至於,叢培侃近期的研究也發現,有國外政府部門的電腦,被單一駭客組織掌控超過10年之久。

因此,叢培侃建議,最妥善的方式其實是,應該要將受駭電腦的硬碟完整複製後進行資安鑑識,再把乾淨的電腦系統上線使用。透過這樣的方式,確保有完整的受駭記錄軌跡可以追蹤,又可以有安全的電腦可以使用。

HITCON議程組主席叢培侃(右)日前在HITCON搶先看網路直播中,分享2015年駭客年會議成主軸,也對外揭露今年上半年臺灣政府部門最常面臨的2種APT攻擊手法。

 

熱門新聞

Advertisement