從駭客入侵調查案來看資安防護機制

關貿網路資安顧問林恆生。

隨著電子商務的蓬勃發展與資料數位化保存的趨勢，犯罪集團早已結合駭客組織充分分工，針對存放在資料庫中的電子商務交易紀錄以及個人資料竊取提供詐騙，或利用各是社交郵件植入後門從辦公室內的筆記型電腦逐步進行入侵行為竊取重要檔案，包含竊取各類設計草稿、產品規格等各式檔案。

關貿網路資安顧問林恆生指出，該類有組織、動機與目標明確的駭客團體，一旦鎖定目標，便會持續收集該標的物的資訊，尋找可能的入侵途徑，甚至等待新的攻擊手法或漏洞揭漏，利用漏洞修補的資安空窗期迅速進行入侵。

如某電商網購廠商客服人員收到多起會員通知疑似有詐騙集團利用交易入帳失敗為詐騙的方式，意圖讓會員重新轉帳，而且詐騙通知電話都在交易發生的兩三天內就收到疑似詐騙電話，該業者也因此展開內部調查。

該案例很快在內部就被定位到是公司的IT資料庫交易資料外洩，非產品供應商的資料外洩，因為客服紀錄的這些疑似收到詐騙電話的會員反應案例，其所交易的產品有多個供應商，並非單一供應商，因此IT主管便承受極大的內部壓力，在這個個案上，該IT主管也立刻找了一外部友商資安服務業者進行調查，但因為始終找不到入侵點，所以該友商便建議進行弱點掃描與滲透測試，結果卻導致後續我們接手調查的日誌資訊，檢測行為與真正的攻擊混淆，嚴重干擾了事故入侵原因調查。

林恆生指出，如果找不到原因，又要做弱掃及滲透測試等可能破壞證據的動作時，應先備份保全相關的日誌紀錄等佐證資料後再進行。

後來的調查發現，此案友商之所以無法發現任何入侵軌跡，主要是因為整個調查重點都被聚焦在主要的網購網站，而實際上卻是透過其他週邊系統的漏洞，利用防火牆存取管控不足，未將重要交易紀錄與個資等資料庫進行最小可存取來源管控，被駭客從其他次要系統入侵後，由內部橫向入侵取得重要的交易紀錄，並植入反向連結後門以便即時竊取最新的交易紀錄供詐騙集團使用，整個地下生態鏈詐騙集團藉由駭客集團竊取個資與即時交易紀錄，成功詐騙後再透過車手取款，這樣的模式隨著電子商務交易的發展，越顯嚴重。

以該案例來說，技術上短期的緊急應變建議措施，如關閉對外後台管理介面，並修正上傳檢核漏洞，或是重灌OS環境，以及進行密碼的全面更新，同時還要清查是否有駭客新增管理者帳號，掃毒及執行木馬檢測，必要時還得移除網站備份檔案。

中長期的防範與強化措施，包括調整防火牆政策，使用網站專用帳號啟動服務，強化後台管理介面存取管控，帳號弱密碼清查與檢測，以及資安監控導入與定期資安檢測，都是不可疏忽的作為。

而在辦公室檔案型資料的資安案例方面，林恆生表示，曾有駭客透過電子郵件與受害企業互動，告知客服的網站有漏洞，還「熱心」的附上帶有截圖的doc文件檔，其實這個doc檔是駭客用來傳送後門程式的夾帶檔案。這類針對式且互動式的社交工程惡意電子郵件手法，對第一線面對用戶的同仁是相當大的考驗，對IT與管理單位更是頭痛的課題。

該個案的處理建議，包括遞交樣本給防毒廠商製作偵測與解毒疫苗，並確認公司內可能遭植入後門的範圍，確認開啟附件的同仁office是否存再漏洞未更新，並進行後門檢測與斷網等處置，並判斷重灌或一隻一隻找出後門進行移除。在處理後，持續進行監控看是否有控制住未在對外擴散，並進行相關宣導，如安裝Patch程式，或是要求不可開啟來路不明的郵件，如有可疑郵件，一要先跟負責資安同仁聯繫。

駭客透過社交郵件植入後門，只是第一步，最終目的可能是竊取各式文件檔案、公文或設計圖稿電子檔等，團隊曾在一資安健診服務時，發現駭客使用的工具腳本，直接把整個公司的所有Office類相關文件打包傳出帶走。

其中如何從社交郵件所植入的單台後門，取得適當的權限去搜尋每台電腦挑出重要檔案打包攜出，常見方式至少有3種以上，例如利用系統漏洞，如MS08-067、MS12-020等；第二種是監聽或傾印該台電腦上的本地管理員密碼雜湊(Local Administrator Password Hash)來破密，但因為這種方式有時無法順利破解，所以駭客較常採用PtH手法(Pass-the-Hash)，該手法是利用微軟會保存密碼的Hash且使用Hash進行認證的設計所構思的內部入侵手法，因應之道就是關閉本地管理員改另新增一帳號加入管理群組，以維護平日管理作業，並進行作業系統更新作業。

現在面臨的資安防護挑戰是更加嚴峻，駭客有組織化的持續鎖定標的不斷試探，確實考驗著相關單位的預警或應變作業，從整體面的思考資安縱深防護，藉由資安軟硬體設備或資安專業檢測服務等架構一安全管控的環境與作業，及早識別與處理風險，並準備好相關因應作業程序與流程或外部專業支援，在面對資安風險的當下，能夠最快速的正確的因應處理，管控災損避免影響營運或商譽。