-
-
[转帖]韩国骇客事件惊人手法:防毒公司沦为派毒工具
-
发表于: 2013-3-24 16:49 1417
-
韩国遭到骇客攻击,多家银行、保险公司、电视台、甚至有电信公司受骇,超过32,000台电脑当机,硬碟开机磁区损毁,无法重新提供服务,资安专家剖析,造成巨大灾情的关键是,防毒软体的更新主机被骇,反而成为散播恶意程式的攻击跳板
韩国3月20日发生史上最大骇客攻击事件,防毒公司的伺服器被骇,反而开始散播内有恶意程式的软体,感染了多家银行、电视台等企业内部共3万2千台个人电脑,在3月20日下午2点造成大规模当机。
企业所信赖的防毒软体公司,竟然成为骇客的派毒工具。根据资安专家的调查,发生于韩国3月20日的大规模骇客攻击事件,之所以能一次瘫痪3万多台电脑,最主要的原因是骇客控制了防毒软体公司的病毒更新伺服器,原先应该是派送最新的防毒定义档给企业用户,结果竟变成直接将恶意程式送进企业。 韩国在3月20日下午2点,包括新韩、农协和济洲等3家银行与KBS(韩国放送公社)、MBC(韩国文化广播公司)等2家电视台,超过32,000台电脑以及部分ATM提款机,都在同一时间当机,即使重新开机也无法启动电脑。之后陆续还传出YTN(联合电视新闻台)、NH生命保险及NH损害保险公司,也遭到类似的攻击。 台湾MaAfee技术经理沈志明指出,这些当机的电脑都被植入恶意程式,当恶意程式的计时器侦测到预设的启动时间3月20日下午2点,程式就开始以「PRINCPES」、 「HASTATI」和「PR!NCPES」字元复写电脑主要开机磁区MBR(Master Boot Records),接着执行关机指令shutdown -r -t 0。这些受害的电脑关机后,因为开机磁区已被修改,因此就无法开机。 曾于美国空军任职、并参与美韩情报交换专案的FireEye亚太及日本区公共事务部总经理Gene Casady表示,这起攻击事件能在同一时间造成数万台电脑当机,是因为骇客使用一个罕见的手法。骇客先**南韩防毒软体厂商AhnLab(安博士)的病毒码更新主机,再利用更新病毒档的正常管道,将恶意程式传送到企业里的电脑。因为企业信赖防毒公司的病毒档更新,因此不会阻挡厂商的病毒更新主机,骇客也就利用这个企业毫无防备的弱点,将恶意程式直接送进企业里,并且让每台电脑都安装了恶意程式,等到攻击行动时间一到就自动启动。 HP韩国的资安团队也发现相同的攻击模式,HP资安事业部北亚区技术顾问经理萧松瀛表示,骇客不只利用AhnLab,另一家防毒软体公司ViRobot也被骇客利用来攻击企业的电脑。 过去韩国曾多次遭到瘫痪攻击,骇客主要采取DDoS(分散式阻断式攻击)的方法。Gene Casady表示,要能有效发动DDoS攻击,骇客得先有办法**大量的电脑,要挟持数量够多的傀儡电脑,才有足以瘫痪主机或网路的破坏力。但这起事件的骇客却找到更有效率的作法,锁定防毒软体公司的几台特定主机,再由这些主机散播恶意程式给下游大量的电脑。 面对这种新的攻击模式,Gene Casady认为,就算是已经部署网页过滤防护,也难以抵挡这种攻击,因为企业会把病毒更新主机、弱点修补更新主机,都列为安全的白名单,恶意程式循此管道**,根本不会被拦截。 根据FireEye研究,这个恶意程式主要针对微软Windows XP SP2、SP3及Windows 7。已分析此恶意程式的艾克索夫资深资安顾问邱铭彰指出,这起事件的攻击模式和之前韩国总统府(青瓦台)攻击事件如出一辙,都是摧毁硬碟的资料,甚至连破坏硬碟所使用的程式参数都相同。 除了 利用病毒更新主机的渗透手法,FireEye也发现骇客以伪装的银行信件,诱使银行员工下载邮件夹带的恶意程式。台湾阿码科技日前监测恶意电子邮件的情况,也发现大量的韩国电子邮件内含已被骇客植入恶意程式的网站连结。阿码科技执行长黄耀文表示,这些已经被骇的网站涵盖非营利组织、教育机关、商业公司及研究机构等,而且恶意邮件的数量在3月19日达到最高峰,也就是骇客发动大规模攻击的前一天。 Gene Casady表示,许多资安专家都在第一时间加入抢救,有些银行和电视台已经陆续恢复运作,但是因为受害的电脑数量庞大,估计需要1周才能完全恢复正常运作。 究竟是谁发动此次网路攻击,众说纷纭。不过,台湾勤业众信数位鉴识团队表示,南韩网路服务业者LG Uplus的用户首页,被一个宣称是「Whois Team」的骇客组织换掉了首页,但是否确定为该组织发动攻击,以及目的为何,依旧不明。 韩国政府也试图想要找出网路攻击的来源,发现有些攻击的网路IP来自中国甚至北韩。由于此时是韩国和美国的联合军事演习最后一周,过去北韩政府都会在此时,发动一波军事攻击作为回应;加上,北韩上周唯一一家ISP业者,也发生离线、无法提供网路服务的情况,令许多人有此联想。 一旦发生类似的网路攻击,Gene Casady建议,第一步就是将相关的设备离线,唯有将网路断线后,才能分析恶意程式,也能避免灾情进一步扩散。 再者,必须适度限缩管理员的人数和权限,缩小单一管理员的权限,避免这些帐号不慎外泄时,因为权限过高反而让攻击者为所欲为。最后则是应有纵深防御的观念。他说,没有任何一套资安解决方案可以确保百分之百的安全,因此,企业应该在各个可能的环节,部署相对应的资安防护设备,以提高整体的安全性。 行政院政务委员张善政表示,过去一年多来,政府透过各种组织的改造,提高政府资安通报应变层级,以及提高对网路攻击的警觉性,也针对网路骇客攻击国家的关键基础建设的应变,做了一些模拟演练。但他说,基于国家安全,实际的作法无法对外公开,但一个明显的组织调整就是,以往负责第一线政府资安防御的行政院资通安全会报技术服务中心,将 从第一线处理一般庶务性的资安事件,提升为第二线资安研究,借此累积更多的资安能量。
韩国3月20日发生史上最大骇客攻击事件,防毒公司的伺服器被骇,反而开始散播内有恶意程式的软体,感染了多家银行、电视台等企业内部共3万2千台个人电脑,在3月20日下午2点造成大规模当机。
企业所信赖的防毒软体公司,竟然成为骇客的派毒工具。根据资安专家的调查,发生于韩国3月20日的大规模骇客攻击事件,之所以能一次瘫痪3万多台电脑,最主要的原因是骇客控制了防毒软体公司的病毒更新伺服器,原先应该是派送最新的防毒定义档给企业用户,结果竟变成直接将恶意程式送进企业。 韩国在3月20日下午2点,包括新韩、农协和济洲等3家银行与KBS(韩国放送公社)、MBC(韩国文化广播公司)等2家电视台,超过32,000台电脑以及部分ATM提款机,都在同一时间当机,即使重新开机也无法启动电脑。之后陆续还传出YTN(联合电视新闻台)、NH生命保险及NH损害保险公司,也遭到类似的攻击。 台湾MaAfee技术经理沈志明指出,这些当机的电脑都被植入恶意程式,当恶意程式的计时器侦测到预设的启动时间3月20日下午2点,程式就开始以「PRINCPES」、 「HASTATI」和「PR!NCPES」字元复写电脑主要开机磁区MBR(Master Boot Records),接着执行关机指令shutdown -r -t 0。这些受害的电脑关机后,因为开机磁区已被修改,因此就无法开机。 曾于美国空军任职、并参与美韩情报交换专案的FireEye亚太及日本区公共事务部总经理Gene Casady表示,这起攻击事件能在同一时间造成数万台电脑当机,是因为骇客使用一个罕见的手法。骇客先**南韩防毒软体厂商AhnLab(安博士)的病毒码更新主机,再利用更新病毒档的正常管道,将恶意程式传送到企业里的电脑。因为企业信赖防毒公司的病毒档更新,因此不会阻挡厂商的病毒更新主机,骇客也就利用这个企业毫无防备的弱点,将恶意程式直接送进企业里,并且让每台电脑都安装了恶意程式,等到攻击行动时间一到就自动启动。 HP韩国的资安团队也发现相同的攻击模式,HP资安事业部北亚区技术顾问经理萧松瀛表示,骇客不只利用AhnLab,另一家防毒软体公司ViRobot也被骇客利用来攻击企业的电脑。 过去韩国曾多次遭到瘫痪攻击,骇客主要采取DDoS(分散式阻断式攻击)的方法。Gene Casady表示,要能有效发动DDoS攻击,骇客得先有办法**大量的电脑,要挟持数量够多的傀儡电脑,才有足以瘫痪主机或网路的破坏力。但这起事件的骇客却找到更有效率的作法,锁定防毒软体公司的几台特定主机,再由这些主机散播恶意程式给下游大量的电脑。 面对这种新的攻击模式,Gene Casady认为,就算是已经部署网页过滤防护,也难以抵挡这种攻击,因为企业会把病毒更新主机、弱点修补更新主机,都列为安全的白名单,恶意程式循此管道**,根本不会被拦截。 根据FireEye研究,这个恶意程式主要针对微软Windows XP SP2、SP3及Windows 7。已分析此恶意程式的艾克索夫资深资安顾问邱铭彰指出,这起事件的攻击模式和之前韩国总统府(青瓦台)攻击事件如出一辙,都是摧毁硬碟的资料,甚至连破坏硬碟所使用的程式参数都相同。 除了 利用病毒更新主机的渗透手法,FireEye也发现骇客以伪装的银行信件,诱使银行员工下载邮件夹带的恶意程式。台湾阿码科技日前监测恶意电子邮件的情况,也发现大量的韩国电子邮件内含已被骇客植入恶意程式的网站连结。阿码科技执行长黄耀文表示,这些已经被骇的网站涵盖非营利组织、教育机关、商业公司及研究机构等,而且恶意邮件的数量在3月19日达到最高峰,也就是骇客发动大规模攻击的前一天。 Gene Casady表示,许多资安专家都在第一时间加入抢救,有些银行和电视台已经陆续恢复运作,但是因为受害的电脑数量庞大,估计需要1周才能完全恢复正常运作。 究竟是谁发动此次网路攻击,众说纷纭。不过,台湾勤业众信数位鉴识团队表示,南韩网路服务业者LG Uplus的用户首页,被一个宣称是「Whois Team」的骇客组织换掉了首页,但是否确定为该组织发动攻击,以及目的为何,依旧不明。 韩国政府也试图想要找出网路攻击的来源,发现有些攻击的网路IP来自中国甚至北韩。由于此时是韩国和美国的联合军事演习最后一周,过去北韩政府都会在此时,发动一波军事攻击作为回应;加上,北韩上周唯一一家ISP业者,也发生离线、无法提供网路服务的情况,令许多人有此联想。 一旦发生类似的网路攻击,Gene Casady建议,第一步就是将相关的设备离线,唯有将网路断线后,才能分析恶意程式,也能避免灾情进一步扩散。 再者,必须适度限缩管理员的人数和权限,缩小单一管理员的权限,避免这些帐号不慎外泄时,因为权限过高反而让攻击者为所欲为。最后则是应有纵深防御的观念。他说,没有任何一套资安解决方案可以确保百分之百的安全,因此,企业应该在各个可能的环节,部署相对应的资安防护设备,以提高整体的安全性。 行政院政务委员张善政表示,过去一年多来,政府透过各种组织的改造,提高政府资安通报应变层级,以及提高对网路攻击的警觉性,也针对网路骇客攻击国家的关键基础建设的应变,做了一些模拟演练。但他说,基于国家安全,实际的作法无法对外公开,但一个明显的组织调整就是,以往负责第一线政府资安防御的行政院资通安全会报技术服务中心,将 从第一线处理一般庶务性的资安事件,提升为第二线资安研究,借此累积更多的资安能量。
赞赏
看原图
赞赏
雪币:
留言: