圖片來源:Keterangan(https://pxhere.com/id/photo/1204607)

當企業軟體更新服務被駭客盯上,讓原本信任的管道成資安破口,而這次華碩更新主機遭駭事件,更讓企業憂心的是,是否還有其他過去信任的管道,也可能帶來同樣的風險。

在這次議題中,多半是圍繞在軟體更新服務討論,但是,也有資安服務業者提出不同層面、但架構類似的問題,讓我們注意到更多的威脅面。例如,除了有更新服務會被濫用,駭客若要散布惡意程式,也可以在企業內部利用正常的軟體派送管道,像是任何有中央控制臺架構、具備軟體派送功能的系統。

事實上,多年前已有資安專家提醒,憂心這些預設的信賴機制,也會是駭客下手的目標,不過我們較少看到這類事件被揭露。在這次報導過程中,我們找到經常協助企業進行資安事件處理的安碁資訊,該公司技術副總黃瓊瑩也以他們的經驗,說明這種威脅的實際存在。

除了連外上層管道,企業內部建置的軟體派送工具也面臨入侵風險

在2015年,已有類似的駭客攻擊手法,是在企業內網中啟動了假冒的防毒中控主機,會先向原本真正的防毒中控臺要求資訊,以取得註冊數與版本等相關參數,接下來再向用戶端程式發送封包,通知向新的主機報到,藉此派送惡意程式後再消失。黃瓊瑩表示,透過事後的調查分析,他們才發現這起事件的更新路徑有問題,同時也注意到軟體缺乏相應的下載檢查機制,甚至還發現駭客曾利用通知降版方式,來規避既有檢查的狀況。後續,防毒業者也對此改良防護機制,像是在產品部署註冊時,都會用公鑰架構來加密,讓上述假冒、掉包的方式無法進行,因此,在2016年後,已較少看到這樣的問題。

但是,這樣的攻擊手法也不斷變化。在2018年他們又看到這樣的威脅,原因出在企業內部管理的問題,被駭客竊取相關的金鑰,使得駭客又可以原本的假冒方式來攻擊。另外,他們在2016年也發現有駭客是利用資產管理系統,來散布惡意程式。這也表示,入侵者相當清楚這些軟體的架構與溝通方式。

對此,黃瓊瑩指出,以往企業都會重視AD伺服器的防護,但萬萬沒想到這些具有中控、遠端派送功能的系統,也能被駭客操弄。因此,在現行攻擊手法的轉變之下,他認為,不論是防毒中控臺、資產管理系統、更新主機,這些系統的防護層級,都應該要提升到如同AD伺服器防護,予以更嚴格的管理。

更值得關注的是,黃瓊瑩還大膽預測下一波濫用的管道,很可能會是政府組態基準設定與檢測工具(GCB),這也意謂著政府組織要特別關注。

此外,對於最近發生的更新伺服器主機遭駭事件,黃瓊瑩也強調伺服器本身金鑰防護的重要性,可多多利用HSM(Hardware Security Module)、IC卡,強化金鑰管理的安全。

    5


熱門新聞

Advertisement