从黑客入侵调查案来看网安防护机制

关贸网络网安顾问林恒生。

随着电子商务的蓬勃发展与数据数码化保存的趋势，犯罪集团早已结合黑客组织充分分工，针对存放在数据库中的电子商务交易纪录以及个人数据窃取提供诈骗，或利用各是社交邮件植入后门从办公室内的笔记本电脑逐步进行入侵行为窃取重要档案，包含窃取各类设计草稿、产品规格等各式档案。

关贸网络网安顾问林恒生指出，该类有组织、动机与目标明确的黑客团体，一旦锁定目标，便会持续收集该标的物的信息，寻找可能的入侵途径，甚至等待新的攻击手法或漏洞揭漏，利用漏洞修补的网安空窗期迅速进行入侵。

如某电商网购厂商客服人员收到多起会员通知疑似有诈骗集团利用交易入帐失败为诈骗的方式，意图让会员重新转帐，而且诈骗通知电话都在交易发生的两三天内就收到疑似诈骗电话，该业者也因此展开内部调查。

该案例很快在内部就被定位到是公司的IT数据库交易数据外泄，非产品供应商的数据外泄，因为客服纪录的这些疑似收到诈骗电话的会员反应案例，其所交易的产品有多个供应商，并非单一供应商，因此IT主管便承受极大的内部压力，在这个个案上，该IT主管也立刻找了一外部友商网安服务业者进行调查，但因为始终找不到入侵点，所以该友商便建议进行弱点扫描与渗透测试，结果却导致后续我们接手调查的日志信息，检测行为与真正的攻击混淆，严重干扰了事故入侵原因调查。

林恒生指出，如果找不到原因，又要做弱扫及渗透测试等可能破坏证据的动作时，应先备份保全相关的日志纪录等佐证数据后再进行。

后来的调查发现，此案友商之所以无法发现任何入侵轨迹，主要是因为整个调查重点都被聚焦在主要的网购网站，而实际上却是透过其他周边系统的漏洞，利用防火墙存取管控不足，未将重要交易纪录与个资等数据库进行最小可存取来源管控，被黑客从其他次要系统入侵后，由内部横向入侵取得重要的交易纪录，并植入反向连结后门以便实时窃取最新的交易纪录供诈骗集团使用，整个地下生态链诈骗集团藉由黑客集团窃取个资与实时交易纪录，成功诈骗后再透过车手取款，这样的模式随着电子商务交易的发展，越显严重。

以该案例来说，技术上短期的紧急应变建议措施，如关闭对外后台管理界面，并修正上传检核漏洞，或是重灌OS环境，以及进行口令的全面更新，同时还要清查是否有黑客新增管理者帐号，扫毒及执行木马检测，必要时还得移除网站备份档案。

中长期的防范与强化措施，包括调整防火墙政策，使用网站专用帐号启动服务，强化后台管理界面存取管控，帐号弱口令清查与检测，以及网安监控导入与定期网安检测，都是不可疏忽的作为。

而在办公室档案型数据的网安案例方面，林恒生表示，曾有黑客透过电子邮件与受害企业互动，告知客服的网站有漏洞，还「热心」的附上带有截图的doc文件档，其实这个doc档是黑客用来传送后门程序的夹带档案。这类针对式且交互式的社交工程恶意电子邮件手法，对第一线面对用户的同仁是相当大的考验，对IT与管理单位更是头痛的课题。

该个案的处理建议，包括递交样本给防毒厂商制作侦测与解毒疫苗，并确认公司内可能遭植入后门的范围，确认开启附件的同仁office是否存再漏洞未更新，并进行后门检测与断网等处置，并判断重灌或一只一只找出后门进行移除。在处理后，持续进行监控看是否有控制住未在对外扩散，并进行相关宣导，如安装Patch程序，或是要求不可开启来路不明的邮件，如有可疑邮件，一要先跟负责网安同仁联系。

黑客透过社交邮件植入后门，只是第一步，最终目的可能是窃取各式文件档案、公文或设计图稿电子档等，团队曾在一网安健诊服务时，发现黑客使用的工具脚本，直接把整个公司的所有Office类相关文件打包传出带走。

其中如何从社交邮件所植入的单台后门，取得适当的权限去查找每台电脑挑出重要档案打包携出，常见方式至少有3种以上，例如利用系统漏洞，如MS08-067、MS12-020等；第二种是监听或倾印该台电脑上的本地管理员口令杂凑(Local Administrator Password Hash)来破密，但因为这种方式有时无法顺利破解，所以黑客较常采用PtH手法(Pass-the-Hash)，该手法是利用微软会保存口令的Hash且使用Hash进行认证的设计所构思的内部入侵手法，因应之道就是关闭本地管理员改另新增一帐号加入管理群组，以维护平日管理作业，并进行操作系统更新作业。

现在面临的网安防护挑战是更加严峻，黑客有组织化的持续锁定标的不断试探，确实考验着相关单位的预警或应变作业，从整体面的思考网安纵深防护，藉由网安软硬件设备或网安专业检测服务等架构一安全管控的环境与作业，及早识别与处理风险，并准备好相关因应作业程序与流程或外部专业支持，在面对网安风险的当下，能够最快速的正确的因应处理，管控灾损避免影响营运或商誉。