2017/10/19-經國際資安團隊分析-從遠銀盜匯手法談資安防禦案例.pptx
KazamaKigi
0 views
23 slides
Sep 18, 2025
Slide 1 of 23
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
About This Presentation
資安防護就像洋蔥一樣 層層保護
最外層 社交工程演練 若無法落實,有一位員工開啟釣魚信件附檔,就破功了
接著就看電腦端點防護是否有落實,若端點防護各項目都有落實,但遇到更高明的駭客 用zero day漏洞來提升權限,這一層也�...
Slide Content
從 遠銀 盜 匯 手法 談 資安防禦 報告者 : 2017/10/19
源頭 指向 … 遠銀 經國際資安團隊分析
Lazarus Group ( 拉撒路 ) 一次攻擊行動暴露北韓官方 IP Lazarus Group = 所以全球資安公司認為 … 南韓更信誓旦旦宣稱 …
整體事件時間推演
整體事件時間 推演
6 McAfee 推測是 員工 點閱釣魚郵件
# MD5 檔名 上傳來源 First Seen Compile Time 1 d08f1211fe0138134e822e31a47ec5d4 bitsran.exe TW 2017-10-03 01:01:31 2017-10-01 15:37:31 監測趨勢的防毒軟體 使用 SMB 服務入侵 2 b27881f59c8d8cc529fa80a58709db36 RSW7B37.tmp - 2017-10-03 01:01:37 2017-10-01 11:34:07 病毒植入程式 愛馬仕勒索病毒 3 3c9e71400b72cc0213c9c3e4ab4df9df msmpeng.exe US 2017-10-07 08:58:00 2017-02-20 11:09:30 Lazarus 使用的通訊程式 4 0edbad9e6041d43f97c7369439a40138 FileTokenBroker.dll TW 2017-10-12 02:50:15 2017-01-05 01:11:33 解密輔助函式庫 , 搭配 svchost 服務 5 97aaf130cfa251e5207ea74b2558293d splwow32.exe TW 2017-10-12 02:50:15 2017-02-20 11:09:30 後門程式 6 62217af0299d6e241778adb849fd2823 N/A GB 2017-10-08 03:32:47 2017-09-21 09:27:43 舊版愛馬仕勒索病毒 7 0dd7da89b7d1fe97e669f8b4156067c8 N/A MY 2017-03-14 02:13:01 2017-03-06 17:32:58 舊版愛馬仕勒索病毒 8 61075faba222f97d3367866793f0907b N/A MY 2017-02-16 03:25:00 2017-02-10 15:03:30 舊版愛馬仕勒索病毒 惡意 程式 列表
金管會通報
9 bitsran.exe(1/2) McAfee 反組譯這個惡意 程式 , 還原 程式碼後 發現 , 兩 個帳號 密碼 :FEIB\SPUSER14 和 FEIB\scomadmin, 駭客 為了入侵遠銀內部系統而量身 打造這個 專用惡意 程式 , 還 不斷利用這兩組帳號 密碼透過 TCP 445 SMB 服務 入侵 遠銀 的 其他電腦。 Account Name Account Password 權限 FEIB\SPUSER14 #ED{REMOVED} 可能是 Sharepoint 用戶帳戶 FEIB\scomadmin !it{REMOVED} 可能對應於 System Center Operations Manager 管理員
10 bitsran.exe(2/2) 惡意 程式會在遭駭電腦中,建立了一個排程任務,並且監視電腦內建防毒軟體服務的運作 。後續使用 taskkill 指令 , 進一步 刪除系統防毒服務,瓦解系統資安預警機制。 Process Name Process Description tmbmsrv.exe Trend Micro Unauthorized Change Prevention Service tmccsf.exe Trend Micro OfficeScan Common Client Solution Framework cntaosmgr.exe Trend Micro OfficeScan Add-on Service Client Management Service ntrtscan.exe Trend Micro OfficeScan NT RealTime Scan pccntmon.exe Trend Micro OfficeScan Antivirus real-time scan monitor tmlisten.exe Trend Micro OfficeScan NT Listener tmpfw.exe Trend Micro OfficeScan NT Firewall
病毒植入 程式母體 , 本身會產製愛 馬仕勒索 病毒 勒索病毒動作 : 針對微軟作業系統 語系 0x0419 (俄語), 0x0422 (烏克蘭語)和 0x0423 (白俄羅斯語 )該 病毒會 失效 。 對特定 硬碟代碼 C:, D:, E:, F:, G:, and H : 內的副檔名 *.VHD *.bac *.bak *.wbcat *.bkf Backup*.* backup*.* *.set *.win *. dsk 使用 AES256 演算 法對文件進行加密 。 每 個加密的目錄將留下贖金 單 。 RSW7B37.tmp
後門程式功能, 它 將接受及執行駭客的遠程 命令,有效 地 讓駭客 完全 控制受影響 的電腦。 執行後,輪詢週期 繼續與遠端 C&C 維繫連線。 splwow32.exe FileTokenBroker.dll 該 DLL 會被 加載 到合法服務 svchost.exe 或 (netsvcs) 的地址空間中 ,接收加密資料後解密並產製 PE 執行格式,交由 svchost 執行。
13 持續 全員社交工程演練及點 閱受罰規定, 以 強化 整體 資 安意識 。 端點 防護 系統維護人員及電腦使用者需符合最小授權原則 ,在 工作必需範圍內授權 即可。 本機各項 軟體安全性 更新 需即時 。 本機安全性 設定 需遵守政府組態基準 (GCB ) 。 非 必要 服務 請 關閉 如遠端桌面、網芳或 SMB ( 445 )服務 。 若 需要請使用軟體防火牆作來源 IP 控 管 。 執行內網主機弱點掃描,後續弱點修補需專人督促及追蹤 。 本機實施程式黑名單,禁用 vssadmin.exe 、 cmd.exe 、 powershell.exe 、 TeamView 、 P2P 等工具。 日誌 即時 監控 取得重要設備 ( 如 微軟 AD 、防毒中控台 等 ) 的 Windows 安全事件 日誌與服務日誌, 若有以下事項立即 發出 告警 非上班時間登入 。 管理者帳號來自白名單以外的 IP 。 如事件 ID 4698: A scheduled task was created 。 短時間內某特定 IP 使用相同帳號連接到大量 設備 。 專家建議 (1/2)
14 重要 系統及網路環境 ( 如金融交易 ) 需與內 、 外網作完全實體 隔離。 重要系統 落實多因子維度認證機制( Multi-factor Authentication ),包括 SWIFT 帳號管理 人員 專家建議 (2/2)
落實多因子維度認證機制 重要網路 / 系統作實體隔離 日誌即時監控 端點防護 : 1. 帳號符合最小授權原則 2. 各項軟體安全性更新 3. 本機安全性設定 4. 非必要服務請關閉 社交工程演練 資安防護就像洋蔥
沒有 實體隔離的網路環境 一台 PC 同時接內外網 ( 雙網卡或 NAT ) 中毒後 , 此 PC 是駭客經由 Internet 到內網 重要服務 的 GateWay
實體隔離網路環境 建置成本高 使用不方便 任何資安解決作法 : 簡單事情複雜化 內 網 PC 中毒後 , 木馬無法聯外 , 駭客無法操控 外網 PC 中毒 , 也 無法連到 內部重要伺服器 .
實體隔離無法防範破壞性病毒 如震 網病毒( Stuxnet )
為國際金融業務提供快捷、準確、優良的服務 SWIFT ( 跨國金融交易 )
SWIFT 問題多 SWIFT 問題多
過去入侵 SWIFT 的駭客 手法 原文網址 : https ://read01.com/2z0n7j.html#.WeWwz4_- kpt 原文網址 : https ://read01.com/4Q2GNd.html#.WeWxlI_-kpt
相關 人士稱, SWIFT 確實會核驗系統發送信息中的密碼來確保信息來自銀行用戶的終端設備。但是 一旦網絡盜竊者獲取了密碼和證書, SWIFT 就無法判斷操作者是不是真正的帳戶持有人了 。而黑客正式鑽了這個空子,盜取了一名銀行雇員的 SWIFT 證書,金額盜走了巨額資金 。 2013 年 - 索納莉銀行( Sonali Bank ) 據路透社報導, 2013 年孟加拉國的索納莉銀行( Sonali Bank )也發生了類似孟加拉央行的攻擊事件,在索納莉事件中,攻擊者盜取了 25 萬美金的銀行資金。銀行 IT 運營部的高級官員稱,在索納莉銀行劫案中, 黑客們在一台電腦上安裝 keylogger 來竊取其他系統的密碼 ,然後 使用 SWIFT 系統發送偽造的轉帳申請 。 過去入侵 說明
這明顯暴露出銀行自身的安全防護薄弱,另外攻擊者通過網絡攻擊就可以獲得 SWIFT 權限,並加以操作,以及攻擊者對 SWIFT 的 Alliance Access 客戶端軟體的數據有效性驗證指令,繞過相關驗證等等,這些都暴露出 SWIFT 本身也存在一定問題,如是否在普通的帳號密碼驗證機制基礎上, 可以加一些需要依賴物理設備或環境才能進行驗證的步驟 ,這樣能大大隔離純粹來自網絡的攻擊 。 原文網址: https://read01.com/4Q2GNd.html 攻擊 SWIFT 之 流程
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 0
- Slides 23
- Age 76 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
32 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
33 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
31 views
14
Fertility awareness methods for women in the society
Isaiah47
30 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
27 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
29 views