原标题:【远东银行遭骇追追追】权限控管超级重要!骇客入侵远银关键,就是这两组帐密遭盗
远东银行遭骇盗转18亿元案发至今,虽然超过9成9的款项都已追回,但对企业IT部门、银行CIO或资安圈而言,更重要的是找出骇客入侵银行的手法,才能从中学到教训,避免自己成为下一家的受害企业。但是,骇客如何入侵远银的细节,刑事警察局迟迟没有透露更多细节,而台湾参与调查的资安公司也因保密协议,而拒绝透露更多处理过程。
倒是,国外资安公司McAfee两名资安研究人员,在12日发表了一篇“伪勒索软件在台湾银行抢案中的角色分析”一文,详细透露了,他们分析远东银行一支恶意程式木马后的结果,从程式码中找到了2个远东银行的网管帐密,这正是骇客可以进一步入侵SWIFT系统的关键之一。发表这篇分析的是McAfeeg首席工程师和科学家Christiaan△Beek,以及McAfee网络安全部门院士兼总科学家Raj△Samani。因为有位参与了远银入侵事件调查的不明人士,将一支恶意程式样本上传到了线上扫毒服务Virustotal,也让这个恶意程式样本曝光。McAfee正是取得了这个恶意程式样本才能进行这次的分析。
刑事警察局早在在10月5日傍晚接获远银报案后,就查扣了SWIFT系统、电脑主机等,13日时透露,已经从11个可疑程式中找出了6个恶意程式,但刑事警察局只有简单描述这批恶意程式的功能,包括了散布、加密及远端遥控功能,除了感染远银内部电脑,也会搜集相关情报进行回报,并且加密部分电脑的档案资料。刑事警察局以侦察不公开为由,只有简单几句话的说明,没有透露更多细节,对于骇客如何入侵远东银行的管道也三缄其口。
反倒是根据McAfee最初接获的消息(另一个McAfee没有说明的来源),骇客入侵的起点,是一封附件藏有后门的钓鱼邮件。McAfee也展示了这些钓鱼信件的2张截图,一张是钓鱼邮件要求受害者打开一个伪造的“Docusign文件”存取网页,另一个则是伪装成一个加密PDF线上文件的开启连结,但这些附件连结都是假冒的,只要受害者点选连结来开启文件,都会转向到一个恶意程式网站,来下载一个不明档案到受害者的电脑中。McAfee透露了这个恶意网址是hxxps://jobsbankbd.com/maliciousfilename.exe? (资安公司已经将恶意程式档名隐匿)。
若通过全球WHOIS查询这个网址,注册这个网址是位于孟加拉国首都达卡的一家公司,也就是2016年2月知名SWIFT遭骇事件案主孟加拉央行的所在地。不过,McAfee没有透露这个网址是骇客所有,或者又是骇客所入侵的另一个跳板网站,不过,若浏览这个网站,就会看到一个伪造的Yahoo登入画面,反映出这个网站可能目前还是一个钓鱼网站。
回到骇客入侵手法上,当远银受害员工点选恶意附件,将恶意木马下载到电脑后,这个恶意网站还另外藏了一个后门机制,可以让犯罪者存取银行内受害者的电脑系统。两者结合下,让攻击者得以进入银行的内部电脑,进一步取得系统的帐号密码。McAfee研究员更从恶意程式样本的程式码分析中,找到了攻击者手上的2组远银管理者帐密资料。
日前iThome从第三方取得6支恶意程式中的5支恶意程式的档名,包括了bitsran.exe和RSW72CE内有加密勒索木马RANSOM_HERMS.A之外,另外三支程式的档名分别是msmpeng.exe(BKDR_KLIPOD.ZTEJ-A病毒)、splwow32.exe(BKDR_KLIPOD.ZTEJ-B病毒)和FileTokenBroker.dll(TROJ_BINLODR.ZTEJ-A病毒)。而McAfee分析的这支恶意程式样本则是bitsran.exe。
McAfee反组译这个恶意程式,还原程式码后发现,远银事件攻击者取得两个帐号密码,FEIB\SPUSER14和FEIB\scomadmin,恶意程式会在遭骇电脑中,建立了一个排程任务,并且监视电脑内建防毒软件服务的运作。资安软件一般不会将此视为恶意行为,但这却是攻击者用来找出银行内部防毒软件的部署情况,才能进一步删除系统防毒服务,瓦解系统资安预警机制。
McAfee从反组译恶意程式所找到的2组远银系统管理帐密,也反映出,骇客为了入侵远银内部系统而量身打造了这个专用恶意程式,还不断利用这两组帐号密码来测试远银的其他系统,是否可以用同一组密码入侵。
上周金管会也公布了派员进驻远银的初步调查结果,发现在权限管理上,远银没有符合最小授权原则,而是给予最高权限。而远银的SWIFT伺服器并没有落实实体隔离,可能基于作业方便与其他的电脑连结,虽然负责个人电文放行的工作站有隔离,但因主机没有做好实体隔离,成为骇客入侵的管道。
综合金管会和McAfee的分析,可以推测,正因骇客取得最高权限的帐密,又能连线到没有采取实体隔离的SWIFT伺服器,攻击者才能进一步控制SWIFT系统。这2组帐号正式这次远银遭骇盗转事件的关键。
这支恶意程式还特别会排除三种语系,俄罗斯语系、乌克兰语系和白俄罗斯语系,遇到这三种语系的系统就不会入侵,但这也可能是骇客故布疑阵。另外McAfee发现,骇客所用的Hermes勒索加密软件还只是一个开发中的版本,有一些而不是原始的Hermes软件。
?
?
?
?
?
iThome△Security
相关:
示意图,与新闻事件无关。 图片来源: Hyatt 全球连锁饭店品牌凯悦(Hyatt)再传骇客入侵事件,指出今年3月18日至7月2白天曾于柜台刷卡的资料遭到骇客存取,总计有11个国家的41间饭店受到波及,其中有18家位于中国,
微软Windows的动态资料交换协议DDE遭骇客滥用,新攻击手法兴起
示意图,与新闻事件无关。 思科(Cisco)旗下的资安团队Talos近日在调查一起假冒美国证券交易委员会(SEC)进行鱼叉式网钓攻击的骇客行动时发现,骇客利用了微软Windows中的动态资料交换(Dynamic△Data△Exchange
【远银遭骇追追追】快清查内部网络!远银遭骇5支恶意程式特征公开(还有骇客中继站IP)
远东银行遭骇盗转事件中,刑事局已经发现了5支骇客留下的恶意程式,其中2支是加密勒索木马,另外3支是用来入侵和灭迹的恶意程式。早在10月6日记者会中,金管会就曾提醒台湾金融业者,要注意RANSOM_HERMS.A加密勒索木
【远银遭骇追追追】骇客集团连续锁定台湾,台湾金融业历年遭骇事件簿
金融业者近年来面临著资讯防护的内忧外患,内部资安要精准控管、滴水不漏,面对外部的骇客恶意攻击,也要有抵御的能力。从去年开始的第一银行ATM盗领案、今年初的证卷商集体遭DDoS阻断式网络攻击,一直到最近的远东银
示意图,与新闻事件无关。 图片来源: 远东商银 针对远银被骇遭盗转6000万美元一案,金管会基于金融机构主管机关的身份对远东商银进行调查,发现远银在内部控管上有明显的疏失,导致骇客有机可趁。国内媒体报道,金