close
(原文撰寫於2019年)
最近台灣資安事件較受矚目的是全台高達22家醫院遭勒索軟體攻擊事件,幸運的是這次的事件沒有帶來重大的衝擊與損失。勒索軟體造成的災情經常佔據資訊媒體版面,事件次數之多成為近年來讓人聞之色變的攻擊,過去最著名的攻擊案例便是台積電產線大當機事件,這也是台灣史上最大的資安事件。
為什麼勒索軟體發生多年卻無法杜絕?
勒索軟體攻擊事件頻傳且愈演愈烈,一方面因為勒索軟體不斷變種,從Reveton、CryptoLocker到Bad rabbit…等,其攻擊的方法及造成的後果都不盡相同;二方面是攻擊的途徑不再單一,可能是透過郵件進行傳播,後來演變為網頁惡意廣告、透過漏洞攻擊等手法,也因此當企業的資安防護有漏洞的狀況下,便是駭客潛入企業達到目地的契機點。
潛伏在我們身邊的攻擊其實很多
在這裡舉幾個常見的攻擊方式:
1.進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
主要特色是運用複雜且多方位的工具及手法,針對特定組織進行低調緩慢且長期性的潛伏以取得重要資料。其攻擊的方式與社交工程密不可分。APT攻擊的方式有幾個階段:
圖片來源:SNAS Institute
🅐偵察對象(Reconnaissance):鎖定攻擊對象資料並收集公開人員及系統相關資訊
🅑製作工具(Weaponization):針對在偵察階段找到的資訊開發惡意程式
🅒派送工具(delivery):找尋管道傳送入侵工具,例如社交程式、惡意郵件、水坑式攻擊等
🅓漏洞攻擊(Exploitation):透過可以植入惡意程式的漏洞開始進行攻擊
🅔安裝(Installation):安裝惡意軟體並以最小且無法被偵測的負荷量下載其它相關元件
🅕命令與控制(Command & Control):控制網路並開始識別主機進而收集所需資料
🅖採取行動(Action on Objectives):開始進行最終任務,例如回傳資料、資料加密等。
🅑製作工具(Weaponization):針對在偵察階段找到的資訊開發惡意程式
🅒派送工具(delivery):找尋管道傳送入侵工具,例如社交程式、惡意郵件、水坑式攻擊等
🅓漏洞攻擊(Exploitation):透過可以植入惡意程式的漏洞開始進行攻擊
🅔安裝(Installation):安裝惡意軟體並以最小且無法被偵測的負荷量下載其它相關元件
🅕命令與控制(Command & Control):控制網路並開始識別主機進而收集所需資料
🅖採取行動(Action on Objectives):開始進行最終任務,例如回傳資料、資料加密等。
2勒索軟體(Ransomware)
簡單來說就是一種將受害者的電腦鎖起來或加密硬碟檔案的惡意程式,待受害者付清贖金後才將電腦或檔案解鎖,其中最讓人害怕的便是加密勒索。因為有不少案例在付了贖金取得解碼金鑰後,確仍無法讓檔案能回復到正常可使用狀態。而誘使受害者上勾的最大宗攻擊方式便是網路釣魚信件。
3社交工程(Social engineering)
社交工程指的是通過與他人的合法地交流來使其心理受到影響,使他們採取特定行動或者是透露一些機密資訊的方式,例如釣魚式攻擊、電腦蠕蟲、垃圾郵件、惡意軟體 。由於社交工程利用的是人類的天性,例如好奇心、同情心,恐懼心等情感,因此誘使人們採取駭客所期待的行動成功率非常的高,這也是APT攻擊流程中的重要環節。4變臉詐騙(Business Email CompormiseHYPERLINK,BEC)
其主要手法依舊是仰賴社交工程。主要是發送看似合法、簡潔有理卻急迫事件的電子郵件寄送給受害者,要求他們立即執行一些任務。例如要求合作廠商在匯款日前變更匯款帳戶;或者假冒董事長名義發電郵給財務主管進行匯款。
國內外資安重大事件
所謂知彼知己百戰百勝,知道駭客基本攻擊方式後,再透過歷史事件了解駭客的攻擊手法,不失為強化資安措施的必要參考來源之一。以下整理這些年來國內外重大資安事件及攻擊手法如下供參考。
台灣區
📑事件❶
|
時間
|
2019.08
|
|
受害機構
|
台灣22家醫院
|
|
事件原因
|
勒索軟體攻擊
|
|
災情或損失
|
衛福部表示,各醫院皆已在事發1至2小時內解除危機,目前系統都運作正常,也無出現個資外洩
|
|
被攻擊過程或手法
|
經初步查證,某些醫院主機被駭客當成跳板並經由 VPN 網路攻擊。iThome指出此次是遭GlobeImposter 3.0感染。GlobeImposter是最活躍勒索病毒種類之一,主要通過垃圾郵件、滲透掃描、遠程桌面、惡意程序捆綁等方式植入,利用密碼抓取工具獲取管理員密碼後對內網服務器發起掃描並人工投放勒索病毒,導致文件被加密病毒將加密後的文件重命名為.Ox4444擴展名,並要求用戶通過郵件溝通贖金跟解密密鑰等。
|
📑事件➋
📑事件➌
📑事件➍
📑事件➎
📑事件➏
|
時間
|
2018.12
|
|
受害機構
|
萬豪酒店
|
|
事件原因
|
資料外洩
|
|
災情或損失
|
遭英國政府以違反GDPR重罰9920萬英鎊
|
|
被攻擊過程或手法
|
駭客行動時使用雲端主機(cloud-hosting),並利用跳躍伺服器入侵預訂系統進行資料竊取,其共高達約5億名顧客的資料外洩
|
📑事件➌
|
時間
|
2018.08
|
|
受害機構
|
台積電
|
|
事件原因
|
勒索軟體攻擊
|
|
災情或損失
|
導致延遲交貨,預估營收損失52億元
|
|
被攻擊過程或手法
|
遭勒索軟體WannaCry的變種感染攻擊。安裝人員先將機臺連上網路,再開始進行防毒處理(違反SOP)。當時準備上線的的新機臺(內有病毒),在未經網路隔離及防毒系統處理下,連接到台積電的生產網路,加上臺灣所有廠區生產網路部連結在一起,造成竹科、中科、南科廠區的相關設備受到大規模感染。WannaCry利用微軟作業系統的SMBv1/SMBv2漏洞,並且採用攻擊工具EternalBlue掃描網路上已開啟445埠的Windows電腦,自動進行水平攻擊,一旦攻擊並滲透成功,勒索軟體就會在受害電腦自動執行,將檔案逐一加密同時平行移動繼續入侵其他有SMB漏洞的電腦。而此次感染機台的WannaCry變種病毒,沒有加密機制,而是造成系統發生了當機或是重複開機等症狀。
|
📑事件➍
|
時間
|
2018.08
|
|
受害機構
|
北市衛生局
|
|
事件原因
|
網路漏洞
|
|
災情或損失
|
70多個系統遭駭,竊得台北市民個資298萬餘筆
|
|
被攻擊過程或手法
|
駭客首先鎖定資安防護較差的中、小企業網站,利用網站漏洞植入名稱為「一句話木馬」的網頁型後門,植入後駭客只要輸入自己設定的密碼,就能輕鬆入侵為所欲為,例如植入惡意軟體、竊取系統內資料。此事件在駭客滲透成功後,建立具有管理員權限的帳號,得以遠端進行監控,使其成為跳板對衛生局資訊系統進行攻擊。
|
📑事件➎
|
時間
|
2017.10
|
|
受害機構
|
遠東銀行
|
|
事件原因
|
APT38攻擊
|
|
災情或損失
|
事件發生當下被轉走台幣18億,目前追回至剩400多萬
|
|
被攻擊過程或手法
|
駭客取得兩組網管密碼成功入侵遠東銀行的國際匯款交易系統(SWIFT),植入惡意程式,並遭駭客暗中盜匯高達6,000萬美元鉅款。
「APT 38」每次犯案遵循相同模式,大致可分為 6 個步驟,分別為「訊息收集」、「初步滲透」、「內部偵查」、「攻擊 SWIFT 伺服器」、「轉移資金」、「銷毀證據」。
|
📑事件➏
|
時間
|
2016.07
|
|
受害機構
|
第一銀行
|
|
事件原因
|
駭入ATM
|
|
災情或損失
|
估計損失200萬美元
|
|
被攻擊過程或手法
|
一銀倫敦分行電腦主機的電話錄音硬碟遭駭,並入侵派送軟體,進而開啟ATM遠端控制服務,派送完後透過網路遠端登錄服務Telnet進行遠端控制,利用軟體更新時順便植入惡意程式,潛伏在ATM裡,導致駭客可以在遠端驅動ATM吐鈔,吐鈔完後自動刪除惡意程式及Log記錄。
|
國外地區
📑事件❶
📑事件➋
📑事件➌
📑事件➍
📑事件➎
📑事件➏
📑事件➐
|
時間
|
2019.07
|
|
發生地點
|
美國
|
|
受害機構
|
第一資本銀行(Capital one)
|
|
事件原因
|
網路攻擊
|
|
災情或損失
|
1億名美國和600萬名加拿大客戶受影響,14萬個美國社會安全號碼和100萬個加拿大社會安全號碼外洩。預計將花費 1 億至 1.5 億美元處理包括客戶通知,信用監控,技術成本以及相關法律費用
|
|
被攻擊過程或手法
|
通過網路防火牆應用的「配置漏洞」獲得這些資訊的存取權限。
|
📑事件➋
|
時間
|
2019.07
|
|
發生地點
|
南非約翰尼斯堡
|
|
受害機構
|
城市電力公司(City Power)
|
|
事件原因
|
勒索軟體
|
|
災情或損失
|
用戶近12小時無法用電
|
|
被攻擊過程或手法
|
該公司資料庫、網路、應用程式等遭勒索軟體加密無法運作,客戶無法透過網站買電、賣電、上傳發票及存取公司網站。
|
📑事件➌
|
時間
|
2019.05
|
|
發生地點
|
美國馬里蘭州
|
|
受害機構
|
巴爾的摩市政府
|
|
事件原因
|
勒索軟體
|
|
災情或損失
|
癱瘓所有公共服務。估計後續清除與復原工程成本高達1,800萬美元
|
|
被攻擊過程或手法
|
巴爾的摩市第二次遭到勒索軟體攻擊。此次受名為Robbin Hood的勒索軟體攻擊約10,000台電腦,政府電子郵件無法訪問、所有水電費、停車費無法繳納、所有房產交易無法進行,市政府拒絕支付13個比特幣(約12萬美元)贖金,花了一週左右時間恢復一半的服務,但估計後續清除與復原工程成本高達1,800萬美元。
|
📑事件➍
|
時間
|
2018.11
|
|
發生地點
|
美國
|
|
受害機構
|
《洛杉磯時報》(Los Angeles Times)、《芝加哥論壇報》(Chicago Tribune) 、《巴爾的摩太陽報》(Baltimore Sun)、《華爾街日報》(Wall Street Journal) 及《紐約時報》(New York Times)
|
|
事件原因
|
勒索軟體
|
|
災情或損失
|
癱瘓基礎設施
|
|
被攻擊過程或手法
|
病毒潛入電腦系統,28 日擴散至印刷系統,致伺服器中斷。攻擊來自美國境外,目前沒有證據顯示客戶的支付資料或個人識別資料外洩,駭客主要目的可能是癱瘓報業而非竊取資料。中毒文件都帶有「.ryk」extension,初步鎖定為勒索軟件 Ryuk,其攻擊目標主要為高價值企業,透過攻擊企業核心系統以勒索金錢
|
📑事件➎
|
時間
|
2018.07
|
|
發生地點
|
新加坡
|
|
受害機構
|
新加坡醫療保健集團(SingHealth)
|
|
事件原因
|
APT攻擊
|
|
災情或損失
|
病患個資外洩
|
|
被攻擊過程或手法
|
攻擊者透過特定前端工作站進而存取SingHealth IT系統,並設法取得特權帳號權限後,進入資料庫取得150萬名病患個資。另有一說法指出駭客可能是基於政治目地,為的是盜取新加坡總理李顯龍的所有就醫記錄。
|
📑事件➏
|
時間
|
2017.06
|
|
發生地點
|
哥本哈根
|
|
受害機構
|
馬士基(Maersk)集團
|
|
事件原因
|
勒索軟體
|
|
災情或損失
|
損失約介於2億到3億美元之間,旗下APMT碼頭公司在歐美和印度的港口電腦全都因為網攻而癱瘓,造成原本要運送出去的貨櫃全堵塞在港口。
|
|
被攻擊過程或手法
|
NotPetya惡意軟體藉由烏克蘭會計軟體MeDoc進入了企業網路,在其9項主要業務中,有3項受到波及,皆為貨櫃相關業務,造成必需立即關閉這些系統而造成業務中斷。
|
📑事件➐
|
時間
|
2017.03
|
|
發生地點
|
美國
|
|
受害機構
|
Equifax
|
|
事件原因
|
網站漏洞攻擊
|
|
災情或損失
|
估計損失14億美元
|
|
被攻擊過程或手法
|
Equifax是美國三大信用監測機構之一。
駭客自今年5月中旬到7月29日這段時間,利用網站漏洞(漏洞:CVE-2017-5638:一個 Apache Struts 2 的漏洞)竊取1.43億筆用戶的重要個資,約3分之2的美國民眾個人資料外洩,包括姓名、社會安全號碼、駕照編號與信用卡號碼等。其中約有20.9萬名的消費者信用卡號碼資訊遭竊,另外18.2萬人可辨識個人資訊的文件也流出
|
文章標籤
全站熱搜
留言列表
{{ article.title }}