如果透过Whois查询假冒民进党中央党部网站的资讯发现,这是今年4月6日成立的网站,4月7日就用来发动网站攻击,修复完毕后,随即又遭到入侵。这种行为表示,骇客对于民进党中央党部网站的掌握,已经如入无人之境。
资安公司FireEye台湾分公司日前发布一份新闻稿,揭露民进党中央党部的网站,在今年的4月份,连续遭到骇客入侵两次,并且侧录浏览民进党网站使用者的资料。FireEye也指出,民进党短期内遭到两次入侵,但都在最短时间内立即修复,但从骇客可以连续成功入侵民进党中央党部的网站来看,也证明骇客已经真正掌握民进党部的网站漏洞,重複入侵只是一种宣示的行为。毕竟,民进党成为台湾真正的执政党,可以入侵一个国家执政党党部的网站,对于以窃取机密资料的骇客而言,这当然是一个重要的入门砖、转捩点。
不过,民进党中央党部发言人王闵生针对FireEye公布的入侵资讯,对外一律表示,民进党向来很重视资讯安全,近期没有收到党部网站被入侵的消息,而且,重要的是,因为民进党不是FireEye的客户,所以FireEye根本不可能知道民进党中央党部是否被入侵。
也有媒体报导指出,民进党向来很重视资安,以前也曾经在进行重要会议时,会将参与者的手机和电子产品全部关机放在塑胶袋内,放在其他地方集中保管,以避免有心人士窃取重要讯息。
以这类APT(进阶持续性)攻击为主的骇客而言,基本上是越低调越好,大家都不知道时,骇客就可以潜伏更久、偷到越多资料。对于资安圈人士而言,如果王闵生的说法就代表民进党内部对于资安防护的概念的话,也会让人忍不住担心民进党整体的资安防护概念已经是不及格的成绩;而认为一定要是FireEye的客户,才能够知道民进党是否遭到攻击的说法,更加证明,民进党完全看低这些资安研究员的能耐,以管窥天的结果,只是更加彰显自己在资安领域这方面的无知而已。
民进党中央党部资安观念薄弱,防护能力必然不足
王闵生如果知道,民进党中央党部原本就是长期被骇客锁定攻击的对象,却仍对外表示,「总统大选选后至今,不论是病毒邮件或瘫痪网站的骇客攻击,民进党并没有遇到特殊大量的网路攻击现象。」如果不是他故意睁眼说瞎话、企图营造民进党不懂资安、让骇客可以掉以轻心进而露出马脚的??作法外,那就表示,民进党的资安防护观念还是太薄弱,薄弱到自我感觉良好时,那就是民进党中央党部资安溃败的起点。
王闵生发言凸显的无知关键就是,民进党不是FireEye的客户,所以FireEye不会知道民进党是否遭骇、是否被入侵。他的说法,让一干资安专家们笑到倒地不起,因为,除非攻击是从使用者内部系统发生的,例如要找出攻击者从哪里入侵会在内部移动的过程,就一定要到使用者端做调查,否则,有许多网路攻击的攻击轨迹或资讯,其实在网路上就可以找到。
像是近年来,有许多资安公司的资安研究员会从网路上的各种管道,追查各种可能的攻击迹象,进而彙整出一个攻击趋势或者是手法,对外发布,希望藉由提醒,让更多使用者注意类似的攻击手法、避免受骇。而这些管道包括骇客经常主动公布攻击资讯的论坛网站、暗网(Dark Web),或者是一些网路聊天室(IRC),甚至是网路黑市的资讯等等,都可以从中观察到一些蛛丝马迹,再由资安研究员抽丝剥茧,找出关键所在。
根据FireEye释出的资料,骇客再4月7日入侵民进党中央党部网站后植入后门程式,会将浏览民进党网站的使用者,导引到另外一个到植入Scanbox恶意程式码的恶意网站(wxw。dpp-org。com)(资讯人员应该将此网址纳入阻挡规则,避免误连,将www改成wxw,将.改??成句点),浏览官网者的使用资讯也会因此被侧录资料。民进党随即在4月8日修复网站漏洞后,但在4月13日却又发现官网又再度遭到骇客入侵,之后也立即在第二次遭骇后,完成网站漏洞修补。
根据Whois的资料,这个恶意网站是今年4月6日才成立的网站,4月7日就用来发动攻击,而注册网站的资料都可以乱写,但是注册国确认是中国,而有经验的资安专家从这个Whois的填写资料也推测,极有可能是上海网军注册的网站。
把手机装塑胶袋内集中保管的实体隔离方式,也不是真的安全
再者,从其他媒体报导也有提到,民进党党中央为了避免资料外洩,也会先把与会者的手机关机后,将在塑胶袋里放置在其他地方集中保管。当然,放到塑胶袋里的作法也让资安专家们大笑,要更严格的不让手机有讯号可以被侦测到,除了可以放在具备隔绝电磁波的装置内,也可以使用更专业的法拉利环,阻绝手机的讯号。
即便想要透过将手机放在他处的实体隔离方式,确保资讯不会外洩,但是,除非保管手机的地方,不会有任何人迹出没,也不会连上任何网路连线等,不然,这也只是半调子的资安防护作法而已。加上,现在的手机大多数无法拔掉电池,便有许多被骇客操控的手机,可以让你以为手机已经关机的状况下,仍然开启其他可以蒐集和传输资料的通讯管道或App等,进行各种资料的蒐集和传输,让人防不胜防。
但是,我们也可以想像,民进党中央党部的IT人员,如果想要把在党部工作的员工们,或者是将参加中常会或是中执会诸公们的手机强制控管,除非,身为总统兼党主席的蔡英文以身作则,要求所有党部员工的电脑与行动设备都纳入管控,并对于每周定期参与民进党各种会议??成员的笔记型电脑、平板电脑和智慧型手机全数纳入强制控管,不然是不可能做到的。
尤其是,党部工作员工可以视为企业对员工做权限和行动装置控管来处理,但是,许多党部员工对于这些参加会议的资深、大牌又不受控的委员们,往往是莫可奈何,除非不得不为,不然这些委员们绝对不可能允许个人的手机、平板电脑或笔记型电脑受到任何控管。这也凸显出,为什幺所有的资安政策制定和推动,都必须是由上而下推动,才可能成功。
除了隔绝讯号的法拉利环,也可以利用行动装置控管(MDM)或者是应用程式控管(MAM)的方式来控管党部员工的各种行动装置,像是MDM可以控製手机的照相机、录音机或者是其他资料传输功能,在某种情境下是无法操作使用的:若是MAM,就可以让各种机敏资料的读取,都必须在某个指定的App内才可以使用,也可以让这些机敏资料的流向可被追蹤。
另外,对于平常只有开会才出现的参与会议委员们,也可以考虑参考类似行政院每週举办跨部会的行政院院会时,所採用的无纸化会议,可以进一步做到控管并追蹤与会委员们手中机敏资料的流向。
毕竟,大家都知道,这些只是来开会的委员们,因为不受民进党中央党部管控,加上通常不具备足够的IT和资安防护观念,除了笔记型电脑可能是大毒窟、各种恶意程式集散地,所使用的手机也可能隐藏会偷资料的恶意App在内,就有可能成为机敏资料外洩的源头之一。
面对APT攻击,「一定会被入侵」是最基本的防护前提
就资安的攻击和防御而言,攻击只需要有一个点的突破,就可以达到攻击的目的,但是防御,往往都需要做到点、线、面全方面的纵深防御,才可能真正达到「防御」的目的。也因此,骇客的攻击只需要找到一个点,就可以顺利入侵使用者端的电脑,但是,使用者的防护却需要做到全方位的保护,还不一定可以真正做到不被入侵的情况下,防护的难度是远远高于攻击的难度。
也因此,面对这类APT的攻击,现代的资安防御概念和早期的概念已经有所转变。现在所有的企业和使用者,都必须假设「一定会被入侵成功,只是时间早晚而已」作为防护的前提,再来评估如何从最弱的环节进行防御来看,回头看看,民进党的资安防御概念如果是认为该单位没有被入侵,甚至因此感到沾沾自喜或自满时的态度来看时,我们甚至可以大胆推论,民进党系统被入侵且没有被外界发现,早已是必然的结果。
APT攻击之所以刁钻难防,是因为这几乎是所有资安攻击中,最高级的综合格斗术,整合了社交网路攻击手法,搭配鱼叉式钓鱼邮件,利用各种零时差漏洞或者是应用程式的弱点,顺利入侵使用者电脑后,就可以在藉此植入木马或是后门程式,让骇客可以进行远端遥控、定期下达窃取或回传资料的指令,而当骇客已经可以掌控锁定攻击的目标中的某一台电脑,就可以进一步藉由横向移动(Lateral Movement)的方式,逐步从次要的系统,慢慢地往主要锁定的目标前进。
而当骇客成功抵达锁定攻击的目的地时,第一个动作往往是发动隐身术,不被各种防毒程式、防御系统和设备察觉木马程式的存在,就像是骇客在电脑系统中,努力先设法躲过巡逻卫兵的盘查,通过第一关。
接下来,远端透过木马程式操控使用者电脑的骇客,就会开始透过各种方式下达指令,除了传统的木马程式Phone Home行为、主动跟骇客报到,或者是透过木马程式连回命令与指令伺服器(C C Server)接收通知,甚至是偷偷隐身在系统中,伪装成一般的电脑程式而不动声色,直到最后一刻、发动致命攻击等,都是常见的手法之一。骇客下达指令的方式也有许多变形,像是之前就有资安研究员发现,骇客是透过木马程式连线到一般的部落格方式下达指令,这种方式被察觉到的机率就很低。
木马程式接收骇客的命令,最主要的目的就是要进行情搜,尽可能的蒐集所有的资料再回传给骇客;而如果骇客所需要的资料,并不在木马程式所在的电脑或系统时,就会开始进行系统内部的移动,直到找到锁定的系统、拿到所需要的资料才会停止。
当木马程式取得所需要的资料时,就需要将资料回传给骇客。而在资料回传的过程中,最美妙的方式就是木马程式在回传资料给骇客的过程中,可以隐藏在一般80埠或443埠的对外网路流量中将资料外传,使用者通常不容易发现有任何异常状态,木马程式就可以顺利完成任务。
不过,顺利完成任务的木马程式通常不会轻易的「功成身退」,可以顺利在某一台重要的电脑或系统中潜伏并达成窃取并回传资料的任务,骇客就不会轻易放弃这个重要的滩头堡据点,所以,最常见的状况就是,骇客完成回传资料的任务时,又默默的隐身在系统中,在尽可能不被防护程式察觉的情况下,静静等待下一次的骇客指令后再行动。
从骇客植入木马程式到潜伏系统中一直到被使用者察觉,根据各大资安公司的调查,这些APT攻击的木马程式,潜伏在系统内而不被发现的时间,从半年到十年不等。这也意味着,一般被锁定的使用者其实最少有半年的时间,是完全曝露在骇客的掌握之中;加上,目前没有任何一种资安解决方案,可以百分之百防止APT攻击,所以,许多资安专家都建议,在面对难以察觉的APT攻击时,除了提高现有防御设备的侦测率之外,也必须开始学会「了解你的敌人」,就时候就需要有网路威胁情资( Cyber?? Threat Intelligence,CTI)帮忙使用者找出敌人的动态,藉此找到反制的方法。
也因为这类攻击的隐匿性,一旦使用者察觉到任何攻击者的风吹草动时,「立刻将电脑重灌」绝对是要命的禁忌,反而应该要找外部的资安专家,从这个木马程式的攻击轨迹中,找到系统的入侵点,除了做资安事件的处理(Incident Response,IR),更需要透过资安鉴识的方式,找到入侵的来龙去脉,才有机会进一步预防下次APT资安事件的发生。
?
本週(5/29~6/4)重要资安事件回顾:
※ 全球网路时间协定出状况,NTP修补严重的DDoS安全漏洞
※ 美国联邦储备系统过去5年至少 ??遭受50次骇客攻击,惹来众议院关切
※ Apple Store、iCloud、Music等凌晨传断线
※ 中国网军520前后加强情搜,不只民进党,连时代力量都不放过
※ 骇客在黑市兜售微软Windows零时差安全漏洞,叫价9万美元
※ FBI:去年美国企业因网路犯罪损失10亿美元,商业邮件诈骗佔1/4
※ Sirin Labs发表要价1.4万美元加密手机Solarin,讲电话不再怕被窃听
※ 报导:脸书的Messenger用户将可选择端对端加密保护通讯隐私
※ PC预载更新软体潜藏危机,五大品牌PC都可能遭中间人攻击
※ 微软、Google及脸书将配合欧盟,移除网路上的仇恨言论
※ 孟加拉央行盗转案后近4个月,SWIFT终于表态愿採用双因子认证
?
I 相关 / Other
【秀黛周报】童心未泯,六一万岁!
6.1有一批自称“宝宝”的巨婴宣称“儿童节”是他们的节日,到处索要礼物!对待这种人,我只想说:“我也要,我也要!毕竟,我还是个孩子。&rdquo
【秀黛周报】童心未泯 六一万岁!
6.1有一批自称“宝宝”的巨婴宣称“儿童节”是他们的节日,到处索要礼物!对待这种人,我只想说:“我也要,我也要!毕竟,我还是个孩子。”
民进党中央党部官方网站在4月7日和4月13日分别遭到骇客入侵,虽然民进党立刻修复网站漏洞,却也证明中国网军已经掌握民进党的情资系统,随着蔡英文520上任,情搜力道又更加强。 图片来源: FireEye提供 台湾面临的网
资安周报第25期:国安会就是资安神盾局,谘询委员李德财挑大樑
立法院通过废止资安科技中心设置条例,总统蔡英文也在5月25日正式颁布命令后,宣告资安科技中心正式废止。 总统蔡英文日前在接见美国商务部助理部长贾朵德(Marcus Jadott)时曾经表示,台湾除了会强化相关的网路安
台湾旅游业迎来 黑色6月 或因民进党两岸政策不明 近期,据台湾媒体报道,台湾地区自今年以来大陆游客人数不断减少,根据当地出入境管理机构的数据,今年三月份时,大陆来台的入境签证申请依然不少,但近期申请人数持