2013年4月12日 星期五

[hitcon]駭客年會三月份-針對南韓被駭事件說明心得




2013320日,南韓發生重大駭客攻擊事件,多數金融產業和公司相繼被攻擊,造成經濟層面重大損失,同時引起國際社會重視此資安事件,紛紛檢視自我的資安防禦與災害的復原能力。在328日,台灣駭客年會hitcon,發起了邀請函,廣邀各界資安人士前往參與有關此次韓國資安事件,所分析出來的一些惡意程式碼與解析相關log說明,出席的單位,不乏是銀行業者、科技廠商、政府部門、國安與軍事機構等。

此次的會議內容,依序介紹南韓攻擊事件的概觀、南韓惡意程式分析、日韓資安界朋友的看法、南韓資安現況與駭客養成、從韓國資訊戰看台灣資安發展等議題,針對韓國資安事件的分析,其攻擊手法,主要是先從攻擊目標的上層廠商(防毒軟體Ahlab/hauri)下手,先在軟體更新伺服器上藏入惡意程式(Trojan)並設定好發動的時間,藉由軟體更新的功能,逐一派送到每個需要更新程式的目標電腦上,等日期到後,整體發動攻擊,因此令人難以防範。主要是讓目標電腦受到主開機紀錄(Master Boot Record,MBR)損害,強制將磁區一直寫入0,並銷毀硬碟內容(Disk Wiper),導致後續的採證分析工作困難,因病毒本身也被格式化了。經由還原分析受攻擊的電腦,發現可疑的病毒程式有:ApcRuncomd.exeOthDown.exeschsvcsc.dll等,再進一步分析其病毒程式碼內容,發現其被編譯的過程中,些許的語法(..\\physicaldrive%d.)與編譯機器,與先前攻擊whoisTeam組織有相似的關係,值得注意的事,此次的攻擊事件不單單針對windows系統,連unix系統也遭受其害。

探討國際上的社會事件(南韓被駭),其事後復原的能力是相當強大的,主要原因政府單位與資安單位有著強烈合作與警覺性的心態下,做好資安的防範工作,並經由長期的演練下,才能在事後發生2~3小時內,初步恢復基本的金融秩序,此南韓資安事件,使台灣各政府單位與資安部門,應密切注意,據統計,台灣每年被駭事件,並不亞於其他各國,且日本國家開始注意網路上攻擊事件,開始成立特別搜查隊,來負責網路攻擊事件,此事件值得供台灣進行參考研究,與民間資安合作,加強資訊安全領域,多參與各地方資安研習內容,是相當重要的,後續hitcon7/19-7/20有每年一度的資安年會,政府部門與資安單位可多參與交流相關資安技術。

更進一步的資訊:http://blog.xecure-lab.com/2013/03/darkseoul-apt.html

沒有留言:

張貼留言