從日本三菱重工事件回顧今年的資安事件與個人防護

Posted by Mr. D-Day

今年9月20日的時候,日本讀賣新聞首度揭露了三菱重工遭到駭客入侵的資安事件。據報導,今年8月間,三菱重工旗下的長崎造船所、神戶造船所、名古屋誘導推進系統製造所(位於愛知縣小牧市的)等8個據點,至少約有80台電腦與伺服器遭受感染。根據調查,駭客先入侵位於東京的一間國際電話服務商,透過被入侵的電腦,寄送夾帶有惡意檔案的電子郵件給日本航空宇宙工業会(SJAC),繼而從SJAC的電腦進一步取得重點人士的電子郵件,接續地寄送惡意郵件給這些對象。所以,很明顯地,三菱重工遭到了所謂的APT攻擊(Advanced Persistent Threat,這個名詞去年為各位解說過了,第一次看到的的朋友請看這裡)。

駭客的年度業績只有這一條嗎?顯然不是。


RSA SecurID與Lockheed Martin的連鎖效應

駭客今年初就已經先繳出一張成績單。2011年3月,EMC旗下的RSA公司也遭到了駭客入侵,並且成功的竊取了部分的SecurID技術資料。整個入侵過程宛如電影情節般刺激,一鏡到底沒有NG。

1. 首先,RSA有兩個團隊的人在兩天之內分別收到標題為『2011 Recruitment Plan』的惡意郵件,這封信件夾帶了一個檔名為『2011 Recruitment plan.xls』的試算表。

2. 其實本來這個事件是可以沒有後續的,可是因為有一位盡責的RSA同仁,對這信件實在是太感興趣了。他從垃圾信件裡把這封信取出來,然後點了下去。但事實上,這個附件含有當時最新的 Adobe Flash 零時差(Zero day)漏洞,CVE-2011-0609。

3. 這下好了,電腦被植入了惡名昭彰的Poison Ivy遠端控制程式,並且開始接受駭客下達的指令辦事。

4. 緊接著相關人士,包含 IT 與非 IT 人員的電腦都陸陸續續遭受入侵。

5. 當RSA發現開發用伺服器遭受入侵後,駭客隨即開始撤離,打包重要的資料回傳遠端主機,又迅速的搬離該主機,清除任何蹤跡。

事情結束了嗎?並沒有。

2011年5月,美國聯邦政府主要的軍火供應商之一的Lockheed Martin遭受到駭客入侵。駭客透過Lockheed Martin的VPN遠端連線系統進攻,這個VPN系統主要是提供給員工遠端簽入公司網路之用,而它使用的正是RSA生產的SecurID硬體。雖然,這次的入侵並非直接透過惡意郵件,但卻是利用先前3月於RSA竊取的機密資料完成的攻擊行動。這樣的連鎖效應比起直接攻擊更為可怕,這就有點像你家隔壁遭小偷,剪斷窗戶爬到你家,最後連你家也被偷一樣。

駭客:其實我們很操的,又沒有股票分紅。真要說的話,還是今年初拜訪過的這一間公司最為輕鬆。

HBGary資料外洩事件

2011年2月,國際知名的資安公司HBGary遭受到Anonymous駭客組織的入侵,取走了共計6萬封的信件,並且被完全公開,至少約1TGB的備份資料被銷燬。這個事件可以說讓創辦人之一,Greg Hoglund,一整個顏面無光。因為,Greg Hoglund並不是一般地球等級的駭客,早在1998年開始,他就深入研究Rootkit與緩衝溢位攻擊(Buffer Overflow)技術,也是第一隻Window Rootkit程式的作者。

Source: http://krebsonsecurity.com

比起RSA的員工,HBGary的IT管理人員更是盡責的好員工。看到上面這一張圖嗎?這是一封駭客假冒Greg Hoglund寫給HBGary IT Manger的信件。概略翻譯如下:

我現在人在歐洲出差,情況非常緊急,我想連回公司的伺服器,可以幫我改一下firewall設定跟改Root密碼成chageme123嗎?

之後會發生什麼事情,我想就不用再說明了。

保密防諜,人人有責

雖然,這些重大資安事件的對象都是一些擁有機密資料的企業組織,自然很容易成為APT攻擊的滲透目標,那作為一個普通人,是不是看完這篇就倒頭大睡,不用理會這些資安問題了。這倒也不是,從HBGary的詐騙手法到三菱重工的惡意郵件滲透,可以很清楚看到,整個受害事件都是從最不起眼的地方開始,然後逐漸一步步的逼近,越是深入,包裝的越精緻,越是不容易被發現。我們小老百姓,平時奉公守法,還會幫老太太過馬路,但是萬一不小心被冒名,變成幫駭客送詐騙信件,就不怎麼令人開心了。只不過,個人用戶也買不起什麼防APT攻擊的設備,電腦的防毒軟體又掃不出這些惡意郵件(可以參考我去年寫的一篇,從亞跆盟事件看駭客的活動與威脅),還是先找點免費的東西先試用一下吧。

Virus Total

Virus Total, http://www.virustotal.com/

Virtus Total 是標準的工具之一,只要上傳你認為有問題的檔案,它就可以同時幫你使用各種不同廠牌的防毒軟體掃描一遍。除了檔案以外,它現在又新增了掃描URL的功能,所以,如果各位朋友收到了怪怪的Email,裡面包含了什麼奇怪的連結,也可以先用Virtus Total檢查一下。

XecScan

XecScan, http://scan.xecure-lab.com/

XecScan是一個線上免費的惡意檔案檢測工具,主要是針對像是PDF, DOC, XLS這類的文件,如果你收到的是一些奇怪的PDF檔,可以上傳到這裡檢查看看。只不過,這個服務的分析結果看起來太專業了,我想一般朋友應該是很難理解,幸好,掃描完以後它至少會跟我說一句「It was not APT file :)」。

XecMail Cloud

如果有GMail信箱的朋友,常常覺得很多信件都是有問題的,想點又不敢點,推薦可以試試看XecMail Cloud這個服務。只要輸入你的Gmail帳號,經過你的認證後,它會嘗試掃描你GMail信箱近90天內含有夾檔的郵件,找找有沒有夾帶惡意文件。

XecMail Cloud, http://xecmail.xecure-lab.com/

檢查過的信件都會標示XecMail/Checked,據使用者手冊的說明,有問題的信件則會標上XecMail/APT的字眼。我自己試用了以後的想法是,幸好,我不是個咖。

喜歡這篇文章嗎? 分享出去給作者一點鼓勵吧!