遠東銀行遭駭盜轉18億元案發至今,雖然超過9成9的款項都已追回,但對企業IT部門、銀行CIO或資安圈而言,更重要的是找出駭客入侵銀行的手法,才能從中學到教訓,避免自己成為下一家的受害企業。但是,駭客如何入侵遠銀的細節,刑事警察局遲遲沒有透露更多細節,而臺灣參與調查的資安公司也因保密協定,而拒絕透露更多處理過程。

倒是,國外資安公司McAfee兩名資安研究人員,在12日發表了一篇「偽勒索軟體在台灣銀行搶案中的角色分析」一文,詳細透露了,他們分析遠東銀行一支惡意程式木馬後的結果,從程式碼中找到了2個遠東銀行的網管帳密,這正是駭客可以進一步入侵SWIFT系統的關鍵之一。
發表這篇分析的是McAfeeg首席工程師和科學家Christiaan Beek,以及McAfee網路安全部門院士兼總科學家Raj Samani。因為有位參與了遠銀入侵事件調查的不明人士,將一支惡意程式樣本上傳到了線上掃毒服務Virustotal,也讓這個惡意程式樣本曝光。McAfee正是取得了這個惡意程式樣本才能進行這次的分析。

刑事警察局早在在10月5日傍晚接獲遠銀報案後,就查扣了SWIFT系統、電腦主機等,13日時透露,已經從11個可疑程式中找出了6個惡意程式,但刑事警察局只有簡單描述這批惡意程式的功能,包括了散布、加密及遠端遙控功能,除了感染遠銀內部電腦,也會蒐集相關情資進行回報,並且加密部分電腦的檔案資料。刑事警察局以偵察不公開為由,只有簡單幾句話的說明,沒有透露更多細節,對於駭客如何入侵遠東銀行的管道也三緘其口。

反倒是根據McAfee最初接獲的消息(另一個McAfee沒有說明的來源),駭客入侵的起點,是一封附件藏有後門的釣魚郵件。McAfee也展示了這些釣魚信件的2張截圖,一張是釣魚郵件要求受害者打開一個偽造的「Docusign文件」存取網頁,另一個則是偽裝成一個加密PDF線上文件的開啟連結,但這些附件連結都是假冒的,只要受害者點選連結來開啟文件,都會轉向到一個惡意程式網站,來下載一個不明檔案到受害者的電腦中。McAfee透露了這個惡意網址是hxxps://jobsbankbd.com/maliciousfilename.exe  (資安公司已經將惡意程式檔名隱匿)。

資安公司McAfee公開了2張遠銀遭駭中關鍵釣魚信件附檔畫面。

若透過全球WHOIS查詢這個網址,註冊這個網址是位於孟加拉國首都達卡的一家公司,也就是2016年2月知名SWIFT遭駭事件案主孟加拉央行的所在地。不過,McAfee沒有透露這個網址是駭客所有,或者又是駭客所入侵的另一個跳板網站,不過,若瀏覽這個網站,就會看到一個偽造的Yahoo登入畫面,反映出這個網站可能目前還是一個釣魚網站。

回到駭客入侵手法上,當遠銀受害員工點選惡意附件,將惡意木馬下載到電腦後,這個惡意網站還另外藏了一個後門機制,可以讓犯罪者存取銀行內受害者的電腦系統。兩者結合下,讓攻擊者得以進入銀行的內部電腦,進一步取得系統的帳號密碼。McAfee研究員更從惡意程式樣本的程式碼分析中,找到了攻擊者手上的2組遠銀管理者帳密資料。

日前iThome從第三方取得6支惡意程式中的5支惡意程式的檔名,包括了bitsran.exe和RSW72CE內有加密勒索木馬RANSOM_HERMS.A之外,另外三支程式的檔名分別是msmpeng.exe(BKDR_KLIPOD.ZTEJ-A病毒)、splwow32.exe(BKDR_KLIPOD.ZTEJ-B病毒)和FileTokenBroker.dll(TROJ_BINLODR.ZTEJ-A病毒)。而McAfee分析的這支惡意程式樣本則是bitsran.exe。

McAfee反組譯這個惡意程式,還原程式碼後發現,遠銀事件攻擊者取得兩個帳號密碼,FEIB\SPUSER14和FEIB\scomadmin,惡意程式會在遭駭電腦中,建立了一個排程任務,並且監視電腦內建防毒軟體服務的運作。資安軟體一般不會將此視為惡意行為,但這卻是攻擊者用來找出銀行內部防毒軟體的部署情況,才能進一步刪除系統防毒服務,瓦解系統資安預警機制。

McAfee從反組譯惡意程式所找到的2組遠銀系統管理帳密,也反映出,駭客為了入侵遠銀內部系統而量身打造了這個專用惡意程式,還不斷利用這兩組帳號密碼來測試遠銀的其他系統,是否可以用同一組密碼入侵。

上周金管會也公布了派員進駐遠銀的初步調查結果,發現在權限管理上,遠銀沒有符合最小授權原則,而是給予最高權限。再加上遠銀的SWIFT伺服器也沒有落實實體隔離,可能基於作業方便與其他的電腦連結,雖然負責個人電文放行的工作站有隔離,但因主機沒有做好實體隔離,成為駭客入侵的管道。

綜合金管會和McAfee的分析,可以推測,正因駭客取得最高權限的帳密,又能連線到沒有採取實體隔離的SWIFT伺服器,攻擊者才能進一步控制SWIFT系統。這2組帳號正是這次遠銀遭駭盜轉事件的關鍵。

這支惡意程式還特別會排除三種語系,俄羅斯語系、烏克蘭語系和白俄羅斯語系,遇到這三種語系的系統就不會入侵,但這也可能是駭客故佈疑陣。另外McAfee發現,駭客所用的Hermes勒索加密軟體還只是一個開發中的版本,而不是原始的Hermes軟體。


Advertisement

更多 iThome相關內容