2013年4月12日 星期五

[hitcon]駭客年會三月份-針對南韓被駭事件說明心得




2013320日,南韓發生重大駭客攻擊事件,多數金融產業和公司相繼被攻擊,造成經濟層面重大損失,同時引起國際社會重視此資安事件,紛紛檢視自我的資安防禦與災害的復原能力。在328日,台灣駭客年會hitcon,發起了邀請函,廣邀各界資安人士前往參與有關此次韓國資安事件,所分析出來的一些惡意程式碼與解析相關log說明,出席的單位,不乏是銀行業者、科技廠商、政府部門、國安與軍事機構等。

此次的會議內容,依序介紹南韓攻擊事件的概觀、南韓惡意程式分析、日韓資安界朋友的看法、南韓資安現況與駭客養成、從韓國資訊戰看台灣資安發展等議題,針對韓國資安事件的分析,其攻擊手法,主要是先從攻擊目標的上層廠商(防毒軟體Ahlab/hauri)下手,先在軟體更新伺服器上藏入惡意程式(Trojan)並設定好發動的時間,藉由軟體更新的功能,逐一派送到每個需要更新程式的目標電腦上,等日期到後,整體發動攻擊,因此令人難以防範。主要是讓目標電腦受到主開機紀錄(Master Boot Record,MBR)損害,強制將磁區一直寫入0,並銷毀硬碟內容(Disk Wiper),導致後續的採證分析工作困難,因病毒本身也被格式化了。經由還原分析受攻擊的電腦,發現可疑的病毒程式有:ApcRuncomd.exeOthDown.exeschsvcsc.dll等,再進一步分析其病毒程式碼內容,發現其被編譯的過程中,些許的語法(..\\physicaldrive%d.)與編譯機器,與先前攻擊whoisTeam組織有相似的關係,值得注意的事,此次的攻擊事件不單單針對windows系統,連unix系統也遭受其害。

探討國際上的社會事件(南韓被駭),其事後復原的能力是相當強大的,主要原因政府單位與資安單位有著強烈合作與警覺性的心態下,做好資安的防範工作,並經由長期的演練下,才能在事後發生2~3小時內,初步恢復基本的金融秩序,此南韓資安事件,使台灣各政府單位與資安部門,應密切注意,據統計,台灣每年被駭事件,並不亞於其他各國,且日本國家開始注意網路上攻擊事件,開始成立特別搜查隊,來負責網路攻擊事件,此事件值得供台灣進行參考研究,與民間資安合作,加強資訊安全領域,多參與各地方資安研習內容,是相當重要的,後續hitcon7/19-7/20有每年一度的資安年會,政府部門與資安單位可多參與交流相關資安技術。

更進一步的資訊:http://blog.xecure-lab.com/2013/03/darkseoul-apt.html

[網路詐騙]雙機房搞詐騙 出入太吵破功


〔記者張協昇/台中報導〕

專詐中國人的張勇承詐騙集團,在台中設假機房,再透過「指向型天線」,將網路訊號傳送至2公里外的真機房,讓警方難以順藤摸瓜,不料真機房卻因出入複雜遭檢舉反而破功,刑事局估計去年5月迄11月,半年多已向中國人詐財上億人民幣。
張勇承集團使用網路電話,向中國民眾亂槍打鳥發送「社保卡遭冒用盜刷」訊息,再冒公安或檢察官,以涉洗錢要監管帳戶,令被害人匯款,並利用中國銀行發行的「U盾」(網路轉帳認證器,類似國內網路銀行金融卡轉帳讀卡機),經網路銀行轉帳,化整為零匯至中國人頭戶洗錢。

警方表示,每位網路使用者都有一組IP位址,IP如同網路的門牌號碼,從IP就可到查到使用者的位置,張嫌為防止警方循IP追來,故意租中市北屯區某大樓10樓充做「A點」假機房,在此裝設「指向型天線」及「網路攝影機」,將網路訊號輾轉傳送至2公里外某大樓14樓的「B點」真機房,一旦警方進入A點查緝,只能查到電腦設備,卻逮不到人,而在B點的人員卻能透過網路攝影機監看,必要時可撤離B點。

但百密一疏,B點卻因出入複雜,被民眾察覺可疑而報警,主嫌張勇承等5人落網,查扣指向型天線。警方表示,無線網路天線一種是全向型天線,另一種是指向型天線,全向型天線的訊號輻射水平範圍為360度,適合短距離空間使用,例如一般室內IP分享器;指向型天線發射訊號則集中在某個角度與方向,主要用途為長距離固定方位傳輸,須有發射器與接收器才可使用,視其發射功率大小,訊號傳送距離有時可達3、4公里遠。



[網路詐騙]46名騙子 馬國落網押返


中國時報【羅浚濱╱竹縣報導】
一個專門行騙大陸地區民眾的詐騙集團,不時被警方查抄後將機房及組織移到國外,馬來西亞警方日前破獲兩處機房,共逮捕四十六名台灣人,廿一日分批引渡遣返,由刑事局偵七隊與新竹縣警方押回竹北分局偵訊,研判嫌犯都是同一詐騙集團,深入追查幕後首腦。
警方指出,該詐騙集團是取得大陸民眾的個資後,假冒大陸人民法院檢察官和公安局,向民眾詐稱信用卡遭盜辦,從中詐騙金錢,一名被騙十萬餘元人民幣的被害人,向北京公安局報案,各地公安局也接獲不少類似案件。
大陸公安局追查IP發現,詐騙集團的發話機房設在馬來西亞,馬國警方接獲通知,在雪蘭莪州破獲一處機房,逮捕卓昇(廿八歲)等廿六名嫌犯,台籍廿人、五名大陸及一名馬國,查扣五台電腦及伺服器等犯罪證據。另外,在吉隆坡的機房逮捕陳保竹(卅三歲)等廿六名男女嫌犯都是台灣人,查扣八台電腦、伺服器及名單等證物。

資料來源:http://news.chinatimes.com/society/110503/112013012200134.html