一線之隔,災難降臨

資安事件層出不窮,政府也喊出資安即國安,顯見資安的重要性。近年來調查處理過的資安事件,讓我印象深刻的是文章接下來要談的這個個案。

這個案件起因於該單位某日接到技服中心通報告知發現疑似惡意檔案下載並回報惡意中繼站。經調查發現駭客是從網站的弱點發動攻擊,並將號稱”一句話木馬”的端遙控工具上傳到單位網站,藉此工具讓駭客得以遙控該網站,進行網路橫向刺探與攻擊。所謂的”一句話木馬”其實就只有一行指令”eval(req)”,此指令原始

用途是提供網站開發人員檢測網站平台是否能依據所給予的命令正確執行與運作,但也讓駭客有機會利用此命令執行駭客想做的事,包含關閉防毒軟體、下載特定檔案(如惡意程式本體)、搜尋網路芳鄰,一但找到其他電腦/伺服器存在就嘗試滲透進行橫向移動。然這一切的原點就在於網站提供上傳檔案功能,讓駭客有了第一個突破口,分析網站存取紀錄就發現駭客就是利用該網站開放上傳檔案功能,將包含”一句話木馬”的網站程式檔案上傳到遭駭的網站,並找到該上傳檔案位於網站路徑的位置模索清楚後,就透過網站執行

駭客的程式,開始後續一連串的橫向刺探與攻擊行動。這個突破口在我們看來就是網站開發人員為了開發方便與應用,沒有進行檔案上傳的邊界檢查,過濾不應接收的檔案類型(如禁止上傳*.aspx或*.php),方才導致駭客有可利用之漏洞。

 

再來是這個案件另一個致命傷就在於這台網站伺服器就部署在內部網路,與內網伺服器都在相同網段,因此導致這台網站遭到滲透成功後,駭客也藉由此網站當跳板橫向攻擊內網其他伺服器,並完成埋入惡意程式及回報駭客控制的惡意中繼站。調查過程期間發現,駭客為了讓單位資安人員不易察覺駭客所植入的惡意程式,利用多種手法來隱蔽:

1.如更換原廠的 iusb3mon.dll( Intel USB 3 的動態載入函式庫)

2.透過正常的程序載入惡意的dll(ppext.dll)

3.偽裝成 Intel Storage Check 的軟體服務

且駭客在這個個案並未運用惡意程式常見手法來隱藏自己(如 SSDT Hook、Inject PE、檔案隱藏、程序隱藏…),面對這些駭客手法,除非是深具經驗的資安人員,否則難以從個別電腦/伺服器上輕易發現駭客埋藏的惡意程式蹤跡。

 

這個案件,透過鑑識調查工具以攻擊入侵時間軸並配合防火牆日誌統合分析,發現多台伺服器遭到成功滲透並回報惡意中繼站,調查完畢後最終也將這些惡意程式清理乾淨,所幸這個案件發現的早,經調查並無發現資料外洩情事,讓相關人員可以稍微放心。

 

從這個個案可以發現網站管理常出現的問題與資安架構重大致命傷,在此依循下列幾點建議避免網站一但遭駭後,內網跟著淪陷:

1. 網站提供上傳檔案功能時,應限制可上傳的檔案類型,例如 *.aspx / *.php / *.exe…,避免駭客藉此上傳駭客工具。

2. 網站提供上傳檔案之目錄,應限制透過於網站路徑可存取該目錄,或限制可執行網站程式,避免駭客上傳駭客工具後即可利用網站可存取該檔案執行駭客下達的命令。

3. 網站應部署於 DMZ 區,避免與內部網路混用,導致網站一但遭駭,內網接著淪陷。

4. 建議應部署 Web Application Firewall 來抵擋駭客針對網站所發動的攻擊行動,因為網站是公共服務,需對外開服一般民眾可以存取,無可避免的事駭客就能對其發動滲透攻擊,有了 WAF 至少可抵擋與減緩駭客的攻擊行動。