一銀盜領案
調查局發現,一銀倫敦分行是駭客入侵的端點之一
找出了惡意程式,確認ATM遭駭,但是這些惡意程式從哪來是下一個要解決的問題,再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的C&C跳板伺服器來遙控,駭客勢必得遠端手動操控才能執行。
調查局轉而聚焦於清查一銀內網的各種異常連線記錄,終於找到了在7月9日時大量來自海外一銀倫敦分行連線到臺灣ATM的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器。但是,一銀這家倫敦分行沒有ATM業務,不需連線回臺灣ATM,不應出現任何連線記錄,而對位於臺灣的ATM設備,也不應該出現對外的異常連線。調查局因此而能推斷,一銀倫敦分行就是造成這次事件的駭客入侵端點之一,駭客入侵了這臺伺服器做為跳板,再進一步攻入總行的ATM。
調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回3顆硬碟,包括了遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。
不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵。
調查局目前雖然仍不願意排除內鬼接應的可能性,但是從APT(進階持續性威脅)攻擊的角度分析,也有可能是透過魚叉式釣魚郵件(Spear Phishing)的方式,先入侵倫敦分行行員的個人電腦後,再藉由內部橫向移動的方式,進一步掌控倫敦分行內網主機以及電話錄音系統。
ForceShield技術長林育民早在十年前就曾示範用ATM漏洞,遠端控制Wincor牌ATM,成功遙控吐鈔。他表示,ATM安全弱點可分為3大類,一是內鬼所為,如內部人員及維護廠商動手腳,其次是駭客直接從外部入侵,第三則是利用軟硬體漏洞取得ATM的控制權限。
林育民認為,從目前調查局釋出的資料看來,一銀ATM盜領事件像是駭客直接從外部入侵造成的資安事件。
調查局新北市調查處在18日晚上10點,揭露了最新的數位鑑識結果,以及所拼湊出來的一銀遭駭流程,我們彙整近2周所揭露的各項調查資訊,以及資安專家的看法,進一步畫出了更詳細的第一銀行ATM盜領事件遭駭流程圖,也向調查局再次查證,確認新的流程幾乎和目前案情100%相似。
駭客集團6階段入侵ATM
根據調查局所揭露的資料,可以將駭客入侵一銀ATM的流程,分成6個階段,包括了階段1、從分行入侵內網。階段2、建立內網潛伏基地。階段3、暗中蒐集入侵情報。階段4、ATM入侵準備、階段5、開啟ATM遠端控制、階段6、植入ATM控制木馬,發動盜領。-600-1.png)
第一銀行ATM盜領事件遭駭流程示意圖
階段1 從分行入侵內網
雖然調查局仍不願意排除內鬼接應的可能性,但根據數位鑑識結果,可推測駭客首先入侵的是個人電腦。從APT(進階持續性威脅)攻擊的角度來分析,駭客有可能透過魚叉式釣魚郵件的方式,騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。
階段2 建立內網潛伏基地
攻佔一臺內網PC之後,駭客就等於在內網埋了一顆棋子,下一步就是要建立一個具備管理者權限的內網潛伏基地,可提供對外連線能力和入侵臺灣內網的跳板,根據資安專家分析,駭客取得一臺內網PC的控制權後,很容易取得更多內網情報,甚至是管理者帳號密碼。
據了解,一銀的海外分行都各自有專線連回臺灣總行,從駭客可以如入無人之境的侵門踏戶來看,至少確定,總行對於海外分行登入連線的部分,並沒有進行相當嚴格的身分確認,加上有內網專線的幫忙,使得海外分行和總行系統,並沒有實質且明顯的分野。
調查局主管曾經私下透露,一銀在保護客戶資料的資料庫系統,採取了非常嚴謹的防護措施,但是對於內部系統之間的使用,可能是基於「都是自己人」的心態,加上一般員工都不想要太麻煩的認證系統,這也使得海外分行和臺灣總行連接的系統,往往只需要簡單的帳號、密碼就可以順利登入。
也因此,駭客控制了一臺不起眼的錄音系統伺服器,進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。
階段3 暗中蒐集入侵情報
因為錄音系統也是一銀內部系統之一,穿透防火牆的存取連線行為也是合法行為,不易遭監控軟體發現。
後來發現儲存在ATM系統的木馬程式,是儲存在C:\install以及C:\Documents and Setting\Administrator\兩個目錄中。
資安專家指出,如果透過軟體派送的惡意程式,在上述兩個資料夾中都有發現,就邏輯推論,派送的軟體應該比取得管理員權限的程式,可能更早1~2個月,駭客就已經進入分行的內部系統中放置木馬。
在這段期間,駭客不僅掌握了第一銀行總行內網的網路拓樸,至少概略架構可以得知,另外也能發現,一銀ATM更新方式,不是過去的實體光碟更新,而是透過一套軟體派送伺服器來更新ATM程式,駭客只要竊取了派送系統管理者帳密,再蒐集到ATM的實體位置和IP的對應,就能明確攻擊特定位置的任一臺ATM,例如這次就是鎖定北中22家分行的ATM。
階段4 ATM入侵準備
根據調查局追蹤,駭客在7月4日透過ATM軟體派送伺服器,發送了一個可以開啟ATM遠端連線服務(Telnet Service)的DMS更新包,可將Telnet服務從手動模式轉為自動開啟模式。
階段5 開啟ATM遠端控制
收到這個更新包的ATM系統,自動按照例行系統更新程序執行,等到下一次系統重新開機後,ATM就會自動開啟了遠端連線服務,讓駭客可以遠端控制這臺ATM。
根據調查局統計,除了41臺成功遭駭的ATM,另有3臺ATM也遭植入木馬,但駭客沒有成功控制ATM。可推測,可能是因這3臺ATM還未重開機,因此沒有套用駭客客制的更新包而躲過一劫。
階段6 植入ATM控制木馬,發動盜領
過了幾天,7月9日時,駭客再次從遠端登入,開始將木馬程式派送到ATM設備中,包括了控制ATM遠端吐鈔程式cngdisp.exe及cngdisp_new.exe,以及顯示受駭ATM資訊的惡意程式cnginfo.exe。
另外還上傳了一個批次檔cleanup.bat,可用來執行微軟內建加密刪除工具sdelete.exe,銷毀所有木馬程式。
階段5 開啟ATM遠端控制
收到這個更新包的ATM系統,自動按照例行系統更新程序執行,等到下一次系統重新開機後,ATM就會自動開啟了遠端連線服務,讓駭客可以遠端控制這臺ATM。
根據調查局統計,除了41臺成功遭駭的ATM,另有3臺ATM也遭植入木馬,但駭客沒有成功控制ATM。可推測,可能是因這3臺ATM還未重開機,因此沒有套用駭客客制的更新包而躲過一劫。
階段6 植入ATM控制木馬,發動盜領
過了幾天,7月9日時,駭客再次從遠端登入,開始將木馬程式派送到ATM設備中,包括了控制ATM遠端吐鈔程式cngdisp.exe及cngdisp_new.exe,以及顯示受駭ATM資訊的惡意程式cnginfo.exe。
另外還上傳了一個批次檔cleanup.bat,可用來執行微軟內建加密刪除工具sdelete.exe,銷毀所有木馬程式。
遠端駭客先透過Telnet在ATM執行惡意程式cnginfo.exe開啟吐鈔口,負責取款的車手早在幾天前就先入境臺灣,在遠端駭客指定的時間到特定ATM面前,來確認吐鈔口是否開啟,若成功開啟表示該ATM已遭控制,車手就回報給遠端駭客進行下一個動作。
遠端駭客確認入侵成功後,開始執行遠端執行cngdisp.exe或cngdisp_new.exe吐鈔,每次吐鈔60張。所以,從ATM監視影片上才看到,車手完全不用接觸ATM或輸入密碼,就能取款。清空這臺ATM的鈔票後,車手再前往下一臺ATM繼續盜領。而遠端駭客也會執行自動刪除批次檔cleanup.bat,用sdelete.exe刪除所有入侵木馬程式和Log記錄檔。
從銀行治理上,第一銀行一直是模範生,是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位,加上金管會對於銀行向來是高度控管,而且一銀在ATM上,也一直都還是採用SNA封閉網路架構的銀行,也難怪,爆發ATM盜領事件時,震驚社會及金融圈。
資安專家表示,從目前外界可以獲得的資訊來看,一銀的ATM網路和內部辦公網路並沒有有效隔離,一銀對ATM上啟動哪些服務和作業系統日誌都沒有監控,這也會造成一銀爆發如此重大ATM盜領事件時,無法有任何事先預警機制。
若進一步解析第一銀行的IT治理,我們也可以發現盲點所在。
首先,不論是ISO 27001或者是ISO 20000,都是以資訊單位為認證範圍的認證,加上,金融業長期認為,封閉網路系統的ATM是比較安全的,都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。
再者,一銀的ATM設備雖都有安裝防毒軟體,但這次木馬軟體得經過調查局鑑識後,才確定為惡意程式,對防毒軟體而言,很難事前分辨出這是惡意程式來攔截,只會判定為是一種具備特殊功能的執行檔時。
白名單控管ATM存取更安全
不少資安專家建議,銀行面對這類關鍵服務時,應該以白名單方式來控管,僅允許少數合法程式可以在ATM系統中執行,而非由防毒軟體來判斷應用程式的安全性。
第三,ATM裝置上缺乏相關的預警系統,例如,ATM有異常金錢提領時,為什麼沒有任何警示;而當ATM的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,也都是讓這樣的盜領事件,殺的讓人措手不及的原因。
許多資安專家都呼籲,不論是一銀或其他金融業者,主管機關要求的各種資安與IT管理認證,不應該只是為了認證而認證,不應該將所有經歷都放在填ISO表單,全部紙本作業看起來安全,事實證明,就是有可能爆發讓人異想不到的資安事件。
「技術性的檢驗落實,才是IT與資安認證的重點。」一位老牌資安專家語重心長地說。
參考文獻:https://www.ithome.com.tw/news/107294、https://www.youtube.com/watch?v=qR6Bu9PbXUI
遠端駭客確認入侵成功後,開始執行遠端執行cngdisp.exe或cngdisp_new.exe吐鈔,每次吐鈔60張。所以,從ATM監視影片上才看到,車手完全不用接觸ATM或輸入密碼,就能取款。清空這臺ATM的鈔票後,車手再前往下一臺ATM繼續盜領。而遠端駭客也會執行自動刪除批次檔cleanup.bat,用sdelete.exe刪除所有入侵木馬程式和Log記錄檔。
從銀行治理上,第一銀行一直是模範生,是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位,加上金管會對於銀行向來是高度控管,而且一銀在ATM上,也一直都還是採用SNA封閉網路架構的銀行,也難怪,爆發ATM盜領事件時,震驚社會及金融圈。
資安專家表示,從目前外界可以獲得的資訊來看,一銀的ATM網路和內部辦公網路並沒有有效隔離,一銀對ATM上啟動哪些服務和作業系統日誌都沒有監控,這也會造成一銀爆發如此重大ATM盜領事件時,無法有任何事先預警機制。
若進一步解析第一銀行的IT治理,我們也可以發現盲點所在。
首先,不論是ISO 27001或者是ISO 20000,都是以資訊單位為認證範圍的認證,加上,金融業長期認為,封閉網路系統的ATM是比較安全的,都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。
再者,一銀的ATM設備雖都有安裝防毒軟體,但這次木馬軟體得經過調查局鑑識後,才確定為惡意程式,對防毒軟體而言,很難事前分辨出這是惡意程式來攔截,只會判定為是一種具備特殊功能的執行檔時。
白名單控管ATM存取更安全
不少資安專家建議,銀行面對這類關鍵服務時,應該以白名單方式來控管,僅允許少數合法程式可以在ATM系統中執行,而非由防毒軟體來判斷應用程式的安全性。
第三,ATM裝置上缺乏相關的預警系統,例如,ATM有異常金錢提領時,為什麼沒有任何警示;而當ATM的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,也都是讓這樣的盜領事件,殺的讓人措手不及的原因。
許多資安專家都呼籲,不論是一銀或其他金融業者,主管機關要求的各種資安與IT管理認證,不應該只是為了認證而認證,不應該將所有經歷都放在填ISO表單,全部紙本作業看起來安全,事實證明,就是有可能爆發讓人異想不到的資安事件。
「技術性的檢驗落實,才是IT與資安認證的重點。」一位老牌資安專家語重心長地說。
參考文獻:https://www.ithome.com.tw/news/107294、https://www.youtube.com/watch?v=qR6Bu9PbXUI
留言
張貼留言