顯示廣告
隱藏 ✕
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-05-05 09:33:21
看板 Gossiping
作者 maple7973 (Ciang)
標題 Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
時間 Mon May  4 21:56:02 2020


純粹來湊個熱鬧 做個不專業的分析
現在有的情報:
1.檔案被加密
2.網頁掛掉
3.開著的機子都還能運作
4."應該"有異地備援
5.使用win server
6.GPO被改(?
7.有WSUS(?
8.防火牆擋很嚴
以上

不專業分析 分兩個面向來看:
1.檔案中毒:
  1.1通常為隨身碟或下載檔案,在GPO有阻擋的情況下,隨身碟無法使用
     另外防毒軟體也不是裝飾品,即使下載檔案或可以使用隨身碟都會直接掃毒。
     如果想要讓病毒掃不到也不是沒方法,但在這邊不好公開。
  1.2另假設真的是檔案中毒,擴散感染,依照已知的加密病毒擴散模式,
     加密病毒會在與「中繼站」取得雙向連線後才開始加密。
     所以出口防火牆只要有擋住,基本上也不會有事。
  1.3理論上只要查防火牆的連線記錄就大概知道是不是檔案中毒了。

2.被入侵:
  2.1破口9成在DMZ區的網頁跟服務,DMZ是離內網最近的地區,
     對外是開放服務,對內是程式更新(管理伺服器)。
     架構大概長這樣(網路上找的):
     https://blog.xuite.net/play.station/twblog/180515066-DMZ
DMZ @ 晟小二 :: 隨意窩 Xuite日誌
[圖]
 DMZ 功能以指定一個(虛擬IP)主機作為 DMZ 主機。DMZ 與網際網路之間封包的來源埠號與目的埠號將保持不變,只有 DMZ 虛擬 IP 變更為路由器的 WAN IP 位址,反之亦然。 多重 NAT 功能中,路由器上可以指定多重 WAN IP 位址,每個 WAN IP 都可對應到單獨 ...

 

  2.2假設某服務被攻破,駭客首先需要知道他進的是哪台伺服器,
     然後摸網路環境,再來想辦法跳到另一台主機。

  2.3無論駭客是否有跳到另一台主機,重點都還是進行病毒的散播。
     散播基本可以透過三種方式
     (1)依已知情報,有AD跟WSUS,只要取得這兩台主機的權限即可大量散播病毒。
     (2)感染共用檔案,讓管理員執行檔案後擴散感染。
     (3)讓病毒慢慢爬。

3.個人淺見
3.1排除人員惡意,檔案中毒機率過低。
3.2DMZ區檢查點:
   可上傳檔案之服務(含圖片)>網頁服務漏洞>服務漏洞>OS漏洞>其他
3.3現在無法連上中油官網應該是阻斷內對外並做清查。
3.4無法使用信用卡只能現金交易,應該是避免病毒擴散出去,先把服務切斷。
3.5有備援,但問題不在備援,而是在端點(含各加油站),
   只要任一端點的毒沒清掉,備援上了就是找死。
3.6以危機處理來說,中油做法算正確,對外斷網,對內清查,能營運的持續營運。

以上個人淺見,歡迎討論

另外我想講一個
接下在公家機關/國營事業服務的資訊/資安人員可能會面臨一件很蠢的事
就是上級要求加強端點防護(個人電腦防毒軟體 社交工程 bla bla bla...)
請從節點下手好嗎! 節點 節點 節點 很重要 說三次!
端點下功夫只是耗費人力跟時間,效益奇差無比
節點下功夫,方便管理,要死也死一區而已
不從節點下手從端點下手,大家一起死!
舉個例子
武漢肺炎是戴口罩比較有用還是關國門比較有用?
當然關國門阿 草
如果台灣北部群聚感染嚴重,南部未見疫情
請問封城比較有效還是戴口罩?
當然是封城阿 草
節點 懂!?

※ 引述《YummyYummy (優米平方 好想吃大腸)》之銘言:
: ※ 引述《ColeNorris (Cole)》之銘言:
: : 剛剛不小心摔了一跤暈倒  做了一些夢
: : 1.影響的範圍遠比大家想的還大 連總公司都中標 中油網頁也已經死了
: 這個講法從頭到尾都有問題  因為就是總公司中獎
: 網頁當然也是伺服器主機  從這邊開始就能知道你應該是文組
: 結果亂講卻推爆


: : 2.因為炸掉的是中油自身的系統  所以沒有擴散到銀行
: :  (因為金管會很嚴  中油跟銀行中間都會檔好)
: :   所以信用卡跟現金能用  但是其他中油自身支付的方式全部炸裂
: 同1  你根本搞不懂自己在講啥
: 信用卡那些本來就不是中油好嗎?   JCB/VISA/MASTER又關你屁事啊
: : 3.現在各站點機台只要一開機 或重開機 馬上全部都被加密
: :   能夠用的只剩下原本就開機 還沒有重開機過的機器
: :   現在發公文通知所有站 絕對不能關機或重開機
: : 4.源頭是公司沒有控管到的隨身碟 , 插上去之後就.....GG
: : 5.據說 "沒有異地備援機制"  現在各資訊處臉臭到不行
: 很不巧  剛好夢到國中國的中油  是有異地備援的
: 所以清查後  只要總公司發文就能重建了
: 所以你聽誰講的?
: : 6.因為系統炸裂  第一線員工變成整個下午沒事做
: :   因為這根本不是他們能處理的情況  整個超閒der
: : 中油應該算是資安法中的關鍵基礎設施
: : 我看這次真的要飛了
: 真巧,我剛好午睡睡到現在才醒來
: 看你的IP還沒飛又亂講
: 你應該是想挑戰法務對吧?
: 講一下真正最怪的地方
: 1.中油伺服器居然WIN平台90%以上  這是很匪夷所思
: 你說用戶端就算了  伺服器要開WIN是幹三小?
: 2.一條龍的總公司管理
: 所以這次是總公司被當成突破口   然後被攻破後  居然變成GPO
: 稍微了解皮毛的都知道  企業組織上層直接派發命令給大家電腦
: 那要怎麼檔?
: PS 真正的"聽說"  賽X鐵X的亞太區人物   應該被叫去夾軟蛋了

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 110.26.190.186 (臺灣)
※ 文章代碼(AID): #1Ui1xqnU (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1588600564.A.C5E.html
torosome: 嗯1F 05/04 22:01
lbjstar: 閱2F 05/04 22:03
gogojay: 1.1 吧3F 05/04 22:03
hsiehhsing: 上面不會管您這個,他們會鎖死個人電腦的4F 05/04 22:26
Raptors1: 來領一下防中毒小卡就沒事了5F 05/04 23:04
wubai1119: 這種一定是內部擴散的,要從DMZ早就發作了6F 05/04 23:04
showingstar: 定時器發作 早就都感染了7F 05/04 23:20
goury: 最後病毒的例子反而有疑議...如果戴口罩比較沒用處,那韓國8F 05/04 23:36
goury: 擋下來難道是封節點?總之在這次病毒上,一堆還是未知的,
goury: 用來舉例反而有問題
AISC: 防毒小卡11F 05/05 00:34
maple7973: 要從內部打進入點不多,社交工程或是接內又接外的電腦12F 05/05 09:00
maple7973: 比較有可能
maple7973: 用武漢肺炎舉例確實是有不同的地方,主要還是節點的重
maple7973: 要性。以100個部門一萬台電腦來說,要在一萬台電腦下
maple7973: 功夫,需要耗費多少資源?資訊單位有這麼多人力搞?光
maple7973: 是追更新就忙死了,更新完還有可用性問題。那如果從10
maple7973: 0個部門下手,只要管理100個節點,相對就簡單了,任一
maple7973: 節點爆了,就是100台受影響,風險相對可以接受

--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 265 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇