(文长，慎入，若只想看结论的朋友可以直接END) 最近针对APT稍微做了些功课， 关於近期最大一波攻击：Dark Seoul (黑暗首尔) 事件 跟大家聊聊~ 各位网路上都找得到相关资料，在这里也让大家对这波攻击有些了解。 当然，先来看一下这波攻击造成多少灾害： 1. 受害对象：南韩金融业、电视台 因为工作关系，比较关切金融业的状况， 以这波受害来讲，已知的有三家银行： 新韩银行：员工数13000人、分行1000间以上 总资产约6.5兆台币 (台湾最大的银行目前约是4.2兆) 农协银行：资产约5.5兆 济洲银行 所以第一件事，各位可能会意识到，受害的其实是很大间的银行， 银行的资讯安全等级其实是相对一般产业要高的， 尤其大间的银行又更加重视。 那为什麽还是会被入侵呢？稍後来谈 2. 受害损伤：银行被迫停止交易两小时，核心资料库及网路银行停摆、 ATM服务全数失效。 当然事後的追查，是不是还有潜伏期间的资料窃取， 商誉损失、主管机关的罚锾、後续客户追诉的交易损失....等等，难以估计 3. 入侵手法： 事前先入侵受信任的网站，暗埋程式 ↓↓ ↓↓ 社交工程 -> 透过网页下载并植入程式 -> 潜伏并持续收集资讯及暗中扩散入侵 -> 入侵PMS(Patch Management Server)，散播恶意程式(For C&C,Command and Control) -> 取得UNIX伺服器root密码 (透过user存在连线程式中的密码纪录) -> 入侵UNIX，预埋了破坏用的script (其实也有入侵Windows Server预埋script) -> 3/20 发动攻击，使用script修改MBR(Main Boot Record)後，强制重开机 (至潜伏到发动攻击之间，有没有进行资料窃取，目前调查报告中都没有注明...) -> 系统重开机後，因为MBR被修改导致无法顺利开机，大量系统瘫痪。 4. 紧急应变： 据说是使用DR机制(Disaster Recovery)，将系统紧急回复/使用备援机， 但交易停止时间仍达2小时之久。此时考验的就是单位的RTO了。 (Recovery Time to Object) 5. 检讨原因： 大致上点出几个疏失 主要： A. root密码於本机储存 B. 营运网段未隔离 次要： A. 社交工程防御意识不足 相信有很多资安大厂会大肆宣扬，说你应该要买更新的资安设备、 换更新的防毒软体，才可以抓到这些APT攻击。 但坦白说，我们来看一下历程中 入侵由 社交工程开始， 第一个接到的资安设备应该是 AntiSpam或IPS/FW， 代表AntiSpam/IPS/FW都没办法拦截下来。 第二个是AntiVirus，当使用者收到Email并打开附件时， 现在的AntiVirus其实会做一次检查。也没拦截下来。 第三个是OA端受入侵的电脑，持续与C&C Server作回报，走的应该是Web(HTTP/HTTPS) ，这时候负责的应该是Proxy(或者资安公司喜欢讲Web Security Gateway) 也没拦下来。 所以一连串来看 IPS -> FireWall -> AntiSpam -> AntiVirus -> Proxy 这麽多设备串连都抓不到.... 但其实最要命的关键还是在 root密码本机存放 + 营运网段未隔离 才导致最後的伺服器入侵及破坏。 当其实上述两点也就是资安中的基本要求而已。 密码管理及网段区隔。 买再先进的防御设备，若还是在基本资安工作上有缺漏， 只能说功亏一篑。 以上是目前的心得，板上的朋友们若也有研究此事，不妨大夥来聊聊心得 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 60.248.90.145 ※ 编辑: coflame 来自: 60.248.90.145 (03/09 20:18)