資訊安全技術論壇

 找回密碼
 加入會員
搜索
查看: 2575|回復: 0

[報導] 【詳細圖解】駭客入侵一銀 ATM 流程追追追

[複製鏈接]
發表於 2016-7-25 16:34:31 | 顯示全部樓層 |閱讀模式
本帖最後由 DannyLan 於 2016-7-25 16:36 編輯

【詳細圖解】駭客入侵一銀ATM流程追追追

遙控臺北、臺中 22 家第一銀行分行內 41 臺 ATM 的操作指令,竟來自遠在 1 萬公里外的英國,一臺第一銀行倫敦分行內鎖在鐵櫃中的電話錄音伺服器主機,成了駭客遠端遙控 ATM 大吐鈔的跳板。根據調查局目前揭露的資料,可以將駭客入侵一銀 ATM 的流程,分成 6 個階段。

文/黃彥棻 | 2016-07-25發表


7 月 10 日凌晨 5 點半,一名頭戴黑白帽和大口罩的男子,走近臺北四平街市場附近的一銀吉林分行 ATM 提款機,一把一把地,接連從提款機吐鈔口,拿出一疊疊厚鈔,不需提款卡,沒輸入任何密碼,甚至不用接觸 ATM 就能領錢,彷彿像電影情節一般,ATM 成了一臺源源不絕地任意吐鈔的機器。不只這家分行,7 月第二個周末凌晨,第一銀行臺北和臺中市合計有 22 家分行共 41 臺 ATM 都遭人清空,累計遭盜走了 8,327 萬 7,600 元。

也因為發生如此重大且震驚全臺社會和金融圈的案件,包括警察單位和調查局等,都用盡全力、幾乎是不眠不休地進行搜查,彼此扮演不同分工合作的角色,警方負責查緝從涉案車手到洗錢的犯罪份子,調查局資安鑑識實驗室則解析相關犯罪手法,找到遠端遙控的惡意程式以及可能的入侵路徑等。雙方分進合擊,試圖拼湊這起臺灣史上,第一次沒有提款卡也能盜領大量現金的犯罪案件全貌。

事情發生在颱風假的隔天,全臺還在關心臺鐵松山火車站爆炸事件的後續發展時,在 10、11 日清晨,來自於包括俄羅斯的十多名負責領錢的車手們,分別於第一銀行臺中和臺北等 22 間分行、41 臺 ATM 自動提款機,總共從 ATM 盜領 8,327 萬元。在周一消息曝光後不久警方也公布了可疑嫌犯照片,發布通緝公告。

透過綿密的監控設備,逮到洗錢的嫌犯並追回贓款

警方案發不久就能鎖定可疑嫌犯,正是因為臺灣有一套綿密的監控視訊系統。

首先,警方在不同的監控攝影機中,發現了同一臺汽車,列為高度可疑的犯案車輛,再透過車牌辨識系統,快速找到這臺汽車來自租車公司,從中進一步調查租車的外籍車手行蹤。爾後,透過車手的通聯記錄,找到更多相互聯繫的同夥,才能夠陸續查出在這起 ATM 盜領事件中,究竟還有哪些共犯,最後發現至少多達 16、17 人犯案。但也因此發現,領款車手角色的嫌犯,都已在案發第三天就先後出境了。

原先以為車手出境,這起盜領事件可能就這樣無疾而終,不過,或許就是因為俄羅斯黑幫之間的分工角色相對精密,彼此只扮演整起事件中的部分環節,即便車手出境,卻有負責洗錢、處理贓款的角色,跟著入境,接手後續洗錢處理的事件,臺灣警方才有機會循線追人、逮人,更順便追回大部分的贓款。

不到 10 天,警方在 7 月 18 日逮捕 3 名在臺灣的外籍洗錢嫌犯後,找回 6,024 萬元,警政署長陳國恩宣布破案,2 天後更在臺北市內湖區的西湖公園草叢中,陸續找到其餘一千多萬元,僅剩數百萬元未尋獲。

不過,雖然捉到洗錢嫌犯,也順利找回大部分遭盜款項,但是,俄羅斯黑幫究竟是如何遠端遙控 ATM 盜領大筆金額?所謂的一銀倫敦分行是否就真的是駭客入侵的端點?為什麼應該控管嚴謹的銀行內網,駭客有辦法入侵並且植入惡意程式?所謂的 ATM 封閉網路,就真的安全嗎?臺灣銀行業者的資安防護,真的已經瀕臨潰堤的邊緣嗎?除了一銀之外,是不是還有其他銀行業者遭駭客鎖定,恐成為下一個被入侵的肉票呢?

第一個遭逮捕的拉脫維亞籍洗錢嫌犯安德魯被移送時,面對大量警方和媒體詢問下,曾經幽幽地說出:「你們只是擔心那些被搶的錢。」更讓人覺得這起犯罪事件背後可能並不單純,如果無法找出俄羅斯黑幫如何滲透到一銀內部網路,如何在 ATM 植入惡意程式,這起犯罪案件還不算真正地破案。

惡意程式具備自毀匿蹤能力,事後追查難度高

在警方大動作追人追款之際,調查局也沒閒著。事情發生後,第一銀行先將發生金額短少的 41 臺 ATM 設備,陸續送到調查局的資安鑑識實驗室進行檢測,希望從中找到任何蛛絲馬跡,回溯駭客可能的入侵路徑。

一開始,這批 ATM 的數位鑑識過程並不順利。分析了多臺 ATM,連一丁點可疑的惡意程式足跡都找不到,調查局鑑識團隊沒有放棄,全體成員不眠不休投入,終於在案發的第二天,找出三隻可能的惡意程式,第三天就分析出程式功能,對外界說明這些惡意程式和一個批次檔各自的用途。

進一步反組譯惡意程式樣本後,調查局資安鑑識團隊猛然發現,為何先前多臺受駭 ATM 中,一點都找不到任何跡證?主因就是這些惡意程式中,有一個用於刪除的批次檔 cleanup.bat,會透過系統內建加密刪除工具 sdelete.exe,來移除藏在 ATM 內部的所有惡意程式和相關檔案,做到來去不留痕跡,而調查局發現惡意程式的那一臺 ATM,其實是因為自毀程式執行失效才留下把柄。

調查局發現,一銀倫敦分行是駭客入侵的端點之一

找出了惡意程式,確認 ATM 遭駭,但是這些惡意程式從哪來是下一個要解決的問題,再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的 C&C 跳板伺服器來遙控,駭客勢必得遠端手動操控才能執行。

調查局轉而聚焦於清查一銀內網的各種異常連線記錄,終於找到了在 7 月 9 日時大量來自海外一銀倫敦分行連線到臺灣 ATM 的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器。但是,一銀這家倫敦分行沒有 ATM 業務,不需連線回臺灣 ATM,不應出現任何連線記錄,而對位於臺灣的 ATM 設備,也不應該出現對外的異常連線。調查局因此而能推斷,一銀倫敦分行就是造成這次事件的駭客入侵端點之一,駭客入侵了這臺伺服器做為跳板,再進一步攻入總行的 ATM。

調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回 3 顆硬碟,包括了遭駭伺服器內的 2 顆硬碟,和遭入侵 PC 的硬碟。

不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵。

調查局目前雖然仍不願意排除內鬼接應的可能性,但是從 APT (進階持續性威脅) 攻擊的角度分析,也有可能是透過魚叉式釣魚郵件 (Spear Phishing) 的方式,先入侵倫敦分行行員的個人電腦後,再藉由內部橫向移動的方式,進一步掌控倫敦分行內網主機以及電話錄音系統。

ForceShield 技術長林育民早在十年前就曾示範用 ATM 漏洞,遠端控制 Wincor 牌 ATM,成功遙控吐鈔。他表示,ATM 安全弱點可分為 3 大類,一是內鬼所為,如內部人員及維護廠商動手腳,其次是駭客直接從外部入侵,第三則是利用軟硬體漏洞取得 ATM 的控制權限。

林育民認為,從目前調查局釋出的資料看來,一銀 ATM 盜領事件像是駭客直接從外部入侵造成的資安事件。

調查局新北市調查處在 18 日晚上 10 點,揭露了最新的數位鑑識結果,以及所拼湊出來的一銀遭駭流程,我們彙整近 2 周所揭露的各項調查資訊,以及資安專家的看法,進一步畫出了更詳細的第一銀行 ATM 盜領事件遭駭流程圖,也向調查局再次查證,確認新的流程幾乎和目前案情 100% 相似。

駭客集團 6 階段入侵 ATM

根據調查局所揭露的資料,可以將駭客入侵一銀 ATM 的流程,分成 6 個階段,包括了階段 1、從分行入侵內網。階段 2、建立內網潛伏基地。階段 3、暗中蒐集入侵情報。階段 4、ATM 入侵準備、階段 5、開啟 ATM 遠端控制、階段 6、植入 ATM 控制木馬,發動盜領。



階段 1  從分行入侵內網

雖然調查局仍不願意排除內鬼接應的可能性,但根據數位鑑識結果,可推測駭客首先入侵的是個人電腦。從 APT (進階持續性威脅) 攻擊的角度來分析,駭客有可能透過魚叉式釣魚郵件的方式,騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。

階段 2  建立內網潛伏基地

攻佔一臺內網 PC 之後,駭客就等於在內網埋了一顆棋子,下一步就是要建立一個具備管理者權限的內網潛伏基地,可提供對外連線能力和入侵臺灣內網的跳板,根據資安專家分析,駭客取得一臺內網 PC 的控制權後,很容易取得更多內網情報,甚至是管理者帳號密碼。

據了解,一銀的海外分行都各自有專線連回臺灣總行,從駭客可以如入無人之境的侵門踏戶來看,至少確定,總行對於海外分行登入連線的部分,並沒有進行相當嚴格的身分確認,加上有內網專線的幫忙,使得海外分行和總行系統,並沒有實質且明顯的分野。

調查局主管曾經私下透露,一銀在保護客戶資料的資料庫系統,採取了非常嚴謹的防護措施,但是對於內部系統之間的使用,可能是基於「都是自己人」的心態,加上一般員工都不想要太麻煩的認證系統,這也使得海外分行和臺灣總行連接的系統,往往只需要簡單的帳號、密碼就可以順利登入。

也因此,駭客控制了一臺不起眼的錄音系統伺服器,進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。

階段 3  暗中蒐集入侵情報

因為錄音系統也是一銀內部系統之一,穿透防火牆的存取連線行為也是合法行為,不易遭監控軟體發現。

後來發現儲存在 ATM 系統的木馬程式,是儲存在 C:\install 以及 C:\Documents and Setting\Administrator\ 兩個目錄中。

資安專家指出,如果透過軟體派送的惡意程式,在上述兩個資料夾中都有發現,就邏輯推論,派送的軟體應該比取得管理員權限的程式,可能更早 1~2 個月,駭客就已經進入分行的內部系統中放置木馬。

在這段期間,駭客不僅掌握了第一銀行總行內網的網路拓樸,至少概略架構可以得知,另外也能發現,一銀 ATM 更新方式,不是過去的實體光碟更新,而是透過一套軟體派送伺服器來更新 ATM 程式,駭客只要竊取了派送系統管理者帳密,再蒐集到 ATM 的實體位置和 IP 的對應,就能明確攻擊特定位置的任一臺 ATM,例如這次就是鎖定北中 22 家分行的 ATM。

階段 4  ATM 入侵準備

根據調查局追蹤,駭客在 7 月 4 日透過 ATM 軟體派送伺服器,發送了一個可以開啟 ATM 遠端連線服務 (Telnet Service) 的 DMS 更新包,可將 Telnet 服務從手動模式轉為自動開啟模式。

階段 5  開啟 ATM 遠端控制

收到這個更新包的 ATM 系統,自動按照例行系統更新程序執行,等到下一次系統重新開機後,ATM 就會自動開啟了遠端連線服務,讓駭客可以遠端控制這臺 ATM。

根據調查局統計,除了 41 臺成功遭駭的 ATM,另有 3 臺 ATM 也遭植入木馬,但駭客沒有成功控制 ATM。可推測,可能是因這 3 臺 ATM 還未重開機,因此沒有套用駭客客制的更新包而躲過一劫。

階段 6  植入 ATM 控制木馬,發動盜領

過了幾天,7 月 9 日時,駭客再次從遠端登入,開始將木馬程式派送到 ATM 設備中,包括了控制 ATM 遠端吐鈔程式 cngdisp.exe 及 cngdisp_new.exe,以及顯示受駭 ATM 資訊的惡意程式 cnginfo.exe。

另外還上傳了一個批次檔 cleanup.bat,可用來執行微軟內建加密刪除工具 sdelete.exe,銷毀所有木馬程式。

遠端駭客先透過 Telnet 在 ATM 執行惡意程式 cnginfo.exe 開啟吐鈔口,負責取款的車手早在幾天前就先入境臺灣,在遠端駭客指定的時間到特定 ATM 面前,來確認吐鈔口是否開啟,若成功開啟表示該 ATM 已遭控制,車手就回報給遠端駭客進行下一個動作。

遠端駭客確認入侵成功後,開始執行遠端執行 cngdisp.exe 或 cngdisp_new.exe 吐鈔,每次吐鈔 60 張。所以,從 ATM 監視影片上才看到,車手完全不用接觸 ATM 或輸入密碼,就能取款。清空這臺 ATM 的鈔票後,車手再前往下一臺 ATM 繼續盜領。而遠端駭客也會執行自動刪除批次檔 cleanup.bat,用 sdelete.exe 刪除所有入侵木馬程式和 Log 記錄檔。

從銀行治理上,第一銀行一直是模範生,是非常早期就已經取得包括 ISO 27001 和 ISO 20000 雙認證的單位,加上金管會對於銀行向來是高度控管,而且一銀在 ATM 上,也一直都還是採用 SNA 封閉網路架構的銀行,也難怪,爆發 ATM 盜領事件時,震驚社會及金融圈。

資安專家表示,從目前外界可以獲得的資訊來看,一銀的 ATM 網路和內部辦公網路並沒有有效隔離,一銀對 ATM 上啟動哪些服務和作業系統日誌都沒有監控,這也會造成一銀爆發如此重大 ATM 盜領事件時,無法有任何事先預警機制。

若進一步解析第一銀行的 IT 治理,我們也可以發現盲點所在。

首先,不論是 ISO 27001 或者是 ISO 20000,都是以資訊單位為認證範圍的認證,加上,金融業長期認為,封閉網路系統的 ATM 是比較安全的,都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。

再者,一銀的 ATM 設備雖都有安裝防毒軟體,但這次木馬軟體得經過調查局鑑識後,才確定為惡意程式,對防毒軟體而言,很難事前分辨出這是惡意程式來攔截,只會判定為是一種具備特殊功能的執行檔時。

白名單控管 ATM 存取更安全

不少資安專家建議,銀行面對這類關鍵服務時,應該以白名單方式來控管,僅允許少數合法程式可以在 ATM 系統中執行,而非由防毒軟體來判斷應用程式的安全性。

第三,ATM 裝置上缺乏相關的預警系統,例如,ATM 有異常金錢提領時,為什麼沒有任何警示;而當 ATM 的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,也都是讓這樣的盜領事件,殺的讓人措手不及的原因。

許多資安專家都呼籲,不論是一銀或其他金融業者,主管機關要求的各種資安與 IT 管理認證,不應該只是為了認證而認證,不應該將所有經歷都放在填 ISO 表單,全部紙本作業看起來安全,事實證明,就是有可能爆發讓人異想不到的資安事件。

「技術性的檢驗落實,才是 IT 與資安認證的重點。」一位老牌資安專家語重心長地說。

文章來源: iThome - http://www.ithome.com.tw/news/107294

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?加入會員

x
您需要登錄後才可以回帖 登錄 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|資訊安全技術論壇  

GMT+8, 2021-10-21 10:57 , Processed in 30.159023 second(s), 28 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表