吳明宜金融業攻擊管道多元化 防護亦應與時俱進
金融業面臨日愈多樣化的攻擊型態,手法亦不斷翻新,防護也必須跟著演進。
從 2015 年以來,全球銀行先後傳出駭客組織駭入 SWIFT 國際轉帳網路,導致印度聯合銀行損失 1.7 億美元、孟加拉銀行損失 8100 萬、國內某商銀遭盜轉 6000 萬美元,其他還有厄瓜多銀行、越南先鋒銀行及泰國索納利銀行,他們都進階精準攻擊 (APT) 侵入內網的受害者。
FireEye 台灣區大中華區首席技術顧問蕭松瀛指出 APT 攻擊週期中,針對前兩個階段– 初始偵查、初始感染—應採取「預防」措施,防止惡意程式進入企業內網。而後面 4 個階段,從惡意式程式建立更新用的立足點、提升權限、在系統間橫向移動,再到竊取資料並傳送出去,則必須採取「回應」。
預防階段中的任務包括執行惡意程式偵測及攔阻、縱向流量檢測、採用端點防護 (EPP) 、第三方安全監控服務 (MSSP) 及取得戰術情報,而在回應階段,則需處理人為攻擊、橫向流量檢測、端點偵測及回應 (EDR) 、取得營運威脅情報以及第三方偵測及回應 (MDR) 服務。蕭松瀛指出,國內企業在導入入侵偵測 (IPS) 偵測網路層 APT 相當普及,但較少做到橫向檢測
蕭松瀛也公佈 FireEye 針對台灣金融業第 4 季遭受攻擊及感染的主要惡意程式。在攻擊方面,前三名分別為 malware.binary(30.4%) 、 malware.archive(18.8%) 及 Local.Infection(13.4%),這些惡意程式包含在壓縮檔進入,或是重覆發動攻擊。其次,網釣郵件包含惡意 URL 、 VBS 檔突破垃圾郵件過濾 (antispam) 進入內網、電子郵件 Word 附檔夾帶 Exploit 攻擊增加。此外還有零時差攻擊 (Zero Day),下載看似.jpg,進入電腦則存成 Windows.exe 檔案,之後則會對外部網站建立連線,並有伊朗駭客組織 APT34 及中國的 APT3 對本地金融業發動攻擊。
2017 年第 4 季利用漏洞攻擊的檔案格式中,Word(.doc) 佔了 74% 、第二名則為 Excel(約 21%) 。令人意外的,已很少見 PDF 檔案攻擊已降低許多的案例。
而在金融業遭感染趨勢方面,本季感染狀況並不多,主因之一是金融業部署 HTTPS 比例超過 50%,安全設備要能解密 SSL 才能檢測到更多,而 FireEye NX 服務在 2018 年第 1 季新上線的新世代機型,就能具備解密 SSL 的能力,屆時可免費提供給現有 NX 客戶。
此外他還提醒要注意有感染的端點是否出現回報 (callback) 情形。本季有 callback 的程式以 Generic.DNS 佔最大宗,並有遠端控制的 Ramnit.DNS 及針對銀行的 ZeusSent.DNS,此類程式會進行 DNS 回報查詢。而試圖對外部 C&C 伺服器進行 Callback 則代表電腦確定感染。其中比例最大的是 Pony/Fareit,其他有 Lokibot 、 Fareit 與 Generic 、 XtremeRAT 等。 Pony/Fareit 主要功能在竊取帳密,可發動 DDoS,近二年轉向金融業攻擊。 Lokibot 能夠竊取 114 種軟體的帳號密碼利用 HTTP Post 回傳 C&C 伺服器,並允許客製化。此外還有針對銀行業的 XtremeRAT,這個惡意程式只要花 373 美元即可買到,它會掃瞄連網 Web 伺服器的 port 443 漏洞入侵,讓駭客得以遠端控制電腦。
FireEye 針對金融業的回報檢測除了 IP 、網域外,還能檢查通訊內容、 non-HTTP 協定的回報行為,還能在 inline 模式直接攔阻回報。而如果終端有重覆回報,表示惡意程式尚未清除掉,也需特別留意。
蕭松瀛指出,經過今年第四季台灣的本地銀行遭盜轉事件,國內金融業產生幾項轉變。包括對安全的要求會超過對速度、流量,員工上網自由將逐漸縮減,能瀏覽的網站減少,同時金融業開始導入「偵測即攔截」的 inline 即時攔阻方案,進而解密 HTTPS 流量、檢查惡意程式橫向移動行為。最後,聯防機制觀念興起;金管會著手建立跨金融業的戰略情報共享,而金融業者也應考慮導入跨廠商、產品的情報共享,以加速網路威脅的防禦和回應。