【普通】

近期APT攻擊案例分享

國家資通安全會報 技術服務中心

【普通】

1

大綱

● APT趨勢探討

● APT攻擊案例分享

–利用軟體更新機制

–利用網路設備做為駭客中繼站

–利用零時差弱點(OpenSSL Heartbleed)

●結論與建議

【普通】

進階持續威脅(Advanced Persistent Threat, APT)

趨勢探討

【普通】

3

國際資通安全威脅趨勢

Stuxnet

【普通】

4

APT研究報告重點

● 前三大APT受駭產業：金融服務(15%)、媒體與娛樂(13%)與製造業(10%)

● 67%的受駭組織不知道自已被APT– 只有33%的受駭組織能夠自己發現資安漏洞

● 受害組織平均229天才會發現被APT– 最長潛伏期2,287天

● 93%惡意信件是在非假日所發出

● 44%惡意信件是針對組織內部的IT部門所發出

資料來源：2014 Mandiant 網路攻擊趨勢報告

【普通】

5

APT攻擊長期趨勢

總統就職典禮

十一黃金週

ECFA 日本311大地震

提出ECFA方案

統計期間：2009-01 ~ 2012-11

重點機關惡意信件分析數量

【普通】

6

APT手法演變(1/2)

● 自2013年初，駭客為降低在入侵初期階段即遭到

偵測發現之風險，因此將入侵前段攻擊對象改為

政府機關採用之軟體或服務供應商

網際攻擊狙殺鍊(Cyber Kill Chain)

改為針對軟體或服務供應商而非直接針對政府機關

【普通】

7

APT手法演變(2/2)

● 軟體或服務供應商服務對象廣泛，且資安意識與

機制欠缺

● 可利用供應商之軟體更新機制，堂而皇之將惡意

程式包裹在更新軟體中，遂行大量且匿蹤入侵政

府機關目的

● 或可利用網頁型木馬搭配瀏覽器之零時差弱點進

行水坑式(Watering Hole)攻擊

● 駭客也可能攻擊網路設備，搭配網路設備具有功

能蒐集與傳輸資料

【普通】

8

水坑式(Watering Hole)攻擊

● 攻擊型態的轉變

–從社交工程郵件轉向水坑式攻擊，係指

駭客先觀察攻擊目標習慣瀏覽哪些網站，

再去入侵那些網站並植入惡意程式

● 美國能源部網站遭入侵

–102年美國能源部站點曝露矩陣(Site Exposure Matrices, SEM)網站被攻破，

用於攻擊美國勞工部與美國能源部之

核武研究與測試人員

【普通】

APT攻擊案例分享(一)利用軟體更新機制

【普通】

10

攻擊軟體更新機制

●駭客攻擊軟體更新機制，以加速惡意程式擴散

– 水坑式攻擊

– 具效率，易於擴散攻擊

– 具彈性，可針對特定對象

79%

12 hours remain

unauthorized connection

Software update progress

【普通】

11

• 藉由修改版本更新伺服器內之程式碼，進行惡意

程式散佈

受害電腦駭客 版更伺服器

修改原始碼

遠端未授權伺服器

發送更新要求

重新導向

下載惡意程式

1 2

3

4

Case 1-應用程式軟體更新

【普通】

12

Case 2-影音撥放軟體更新(1/3) ● 駭客針對KMPlayer的特定版本發動攻擊

【普通】

13

Case 2-影音撥放軟體更新(2/3)

● 調查發現，駭客攻擊韓國KMPlayer更新伺服器，

且會過濾特定使用者散布惡意程式

–受害使用者一經連線即會下載並執行惡意程式

–正常使用者不受影響

惡意程式2

駭客

回傳資料3

更新

正常使用者

重新導向

更新程式

1

2

3

受害使用者

更新1

更新伺服器

更新程式下載伺服器

【普通】

14

Case 2-影音撥放軟體更新(3/3)

● 由於此播放軟體十分受歡迎，影響層面廣大，因

此102/8/7行政院資安辦發布新聞稿提醒使用者須

小心防範

【普通】

APT攻擊案例分享(二)利用網路設備做為駭客中繼站

【普通】

16

攻擊網路設備做為駭客中繼站

●駭客攻擊網路設備，做為駭客中繼站

– 容易忽略，缺乏管理

– 沿用初始設定未變更

– 具備多種功能(VPN、路由設定、IP 轉換對應)

Miss something??

【普通】

17

Case 1-醫院路由器遭駭(1/2)

受害路由器

VPN轉送

3

受害主機

控制

駭客

1

受害者報到2

●特點

– 弱密碼遭破解

– 修改設定檔

– 利用內建VPN進行遠端控制

●網路設備成為中繼站

● 駭客可藉路由器遠端控制受

害者

【普通】

18

●修改設定檔

– 開啟特定連接埠(如80、443)供受害主機連入報到

– 利用VPN通道將資料轉送

Case 1-醫院路由器遭駭(2/2)

【普通】

19

受害路由器

透過VPN傳送3

電子郵件伺服器

控制

駭客

1

受害者郵件2

●特點

– 收取受害者郵件

– 利用VPN將郵件轉送回駭客

– 變更設定檔

●網路設備成為中繼站

– 駭客可藉路由器竊取受害者

電子郵件

Case 2-企業內部路由器遭駭(1/3)

【普通】

20

●變更設定

– 新增帳戶

– 駭客利用內建VPN於遠端控制與蒐集受害者郵件

Case 2-企業內部路由器遭駭(2/3)

【普通】

21

● 分析結果

– 8個政府機關人員郵件遭收取

–駭客掌握至少515個郵件帳號(其中441個屬於台灣)

項次 網域 次數

1 ISP 業者(*.net) 3852 民間企業 (com.tw) 203 單位組織 (org.tw) 174 學術單位 (edu.tw) 115 政府機關 (gov.tw) 8

Case 2-企業內部路由器遭駭(3/3)

【普通】

22

遭竊郵件內容(1/2)

【普通】

23

遭竊郵件內容(2/2)

【普通】

APT攻擊案例分享案例分享(三)利用零時差弱點

(OpenSSL Heartbleed)

【普通】

25

Heartbleed is Coming…..

25

【普通】

26

這是一般回應狀況…

資料來源：http://xkcd.com/1354/

【普通】

27

這也是一般回應狀況…

資料來源：http://xkcd.com/1354/

【普通】

28

要五毛給一塊??

資料來源：http://xkcd.com/1354/

【普通】

29

OpenSSL漏洞說明

• OpenSSL於103/4/9公告存在高風險漏洞，編號為

CVE-2014-0160。OpenSSL漏洞也稱為Heartbleed漏洞

• 攻擊者利用該漏洞無需通過權限或身份驗證，即

可讀取伺服器記憶體，竊取SSL私密金鑰、

Session Cookie、使用者帳號密碼等

• 攻擊者可對由 OpenSSL 保護的網路通信進行解密、

偽冒或進行中間人攻擊，竊取E-mail、文件及通

訊內容等，導致伺服器遭到入侵而取得機敏資訊

【普通】

30

OpenSSL漏洞攻擊示意圖

30

具Heartbleed漏洞

登入系統

加密回傳資料

攻擊

可能取得帳號、密碼、信用卡資料、加密私鑰等資訊

網站伺服器網站伺服器網站伺服器網站伺服器

郵件伺服器郵件伺服器郵件伺服器郵件伺服器

其他資訊系統與設備其他資訊系統與設備其他資訊系統與設備其他資訊系統與設備駭客

一般使用者

【普通】

31

OpenSSL影響版本

OpenSSL 1.0.1 ~ 1.0.1f

OpenSSL 1.0.2-beta ~ 1.0.2-beta1

OpenSSL修復版本

OpenSSL 1.0.1g

OpenSSL 1.0.2-beta2 (截至103/5/15官網尚未釋出)

影響範圍

安裝有漏洞版本OpenSSL的任意作業系統與套件

OpenSSL漏洞影響範圍

【普通】

32

OpenSSL專區

● OpenSSL專區

– 弱點說明

– 影響範圍

– 檢測方式

– 檢測工具

– 防護建議

http://www.icst.org.tw/Heartbleed.aspx?lang=zh

【普通】

33

服務提供者/管理者要做什麼？

● 檢查資訊系統與設備使用之OpenSSL版本，並儘速更新

– 可參考技服中心之蒐集受影響相關軟體設備資訊

http://www.icst.org.tw/Heartbleed.aspx?lang=zh

● 使用資安設備(如：IPS、IDS) 阻擋Heartbleed攻擊

● 更換管理者帳號密碼

– 建議一併更換使用者帳號密碼

● 重新產生伺服器私密金鑰

– 已證實Heartbleed漏洞將洩漏伺服器私密金鑰

● 更換伺服器憑證

【普通】

34

使用者該做什麼？

● 確認常用網站是否存有Heartbleed漏洞

–可利用簡易外部OpenSSL檢測工具確認網站是否具

Heartbleed漏洞

Heartbleed-Ext (Firefox瀏覽器附加元件)Chromebleed (Chrome 瀏覽器擴充套件)

● 變更常用網站帳號密碼

–先確認網站已無Heartbleed漏洞再變更帳密

● 瀏覽的網站如果存有Heartbleed漏洞

–通知管理者儘快修補漏洞

–儘速離開網站

【普通】

結論與建議

【普通】

36

結論與建議

● APT不是只有政府才會面臨議題，對民間企業是現在進行

式的威脅

– 應建立對維護廠商之權限控管與稽核策略，降低駭客攻擊委外廠商，

再入侵政府機關之可能

– 資安防護的範圍需擴張到協力廠商，共同打擊APT的威脅

● 網路設備較易遭網管人員忽視，網路設備啟用後應變更預

設密碼並確保密碼複雜度，內部設備並應避免使用相同帳

號密碼，以免遭駭客有機可趁

● 應定期檢視郵件伺服器之收信紀錄，即時發現駭客竊取郵

件之行為

【普通】

37

總有一天駭到你…

● 資安威脅無可避免，對於機關組織而言，需要

能夠及時掌握情資，以利儘速應對，降低威脅

所帶來的衝擊與影響

● 資訊安全除技術環節外，更重要的是管理問題；

如何在兼顧資安與使用者便利性上找到平衡點，

建立資安政策與規範，並落實執行，同時培養

人員的資安認知與意識，會是機關面臨的最大

挑戰

【普通】

38

報告完畢

敬請指教