2016-07-26第一銀行ATM盜領事件遭駭流程示意圖

張貼日期:2016/7/26 下午 03:54:35

 階段1  從分行入侵內網

雖然調查局仍不願意排除內鬼接應的可能性,但根據數位鑑識結果,可推測駭客首先入侵的是個人電腦。從APT(進階持續性威脅)攻擊的角度來分析,駭客有可能透過魚叉式釣魚郵件的方式,騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。

 階段2  建立內網潛伏基地

攻佔一臺內網PC之後,駭客就等於在內網埋了一顆棋子,下一步就是要建立一個具備管理者權限的內網潛伏基地,可提供對外連線能力和入侵臺灣內網的跳板,根據資安專家分析,駭客取得一臺內網PC的控制權後,很容易取得更多內網情報,甚至是管理者帳號密碼。

據了解,一銀的海外分行都各自有專線連回臺灣總行,從駭客可以如入無人之境的侵門踏戶來看,至少確定,總行對於海外分行登入連線的部分,並沒有進行相當嚴格的身分確認,加上有內網專線的幫忙,使得海外分行和總行系統,並沒有實質且明顯的分野。

調查局主管曾經私下透露,一銀在保護客戶資料的資料庫系統,採取了非常嚴謹的防護措施,但是對於內部系統之間的使用,可能是基於「都是自己人」的心態,加上一般員工都不想要太麻煩的認證系統,這也使得海外分行和臺灣總行連接的系統,往往只需要簡單的帳號、密碼就可以順利登入。

也因此,駭客控制了一臺不起眼的錄音系統伺服器,進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。

 階段3  暗中蒐集入侵情報

因為錄音系統也是一銀內部系統之一,穿透防火牆的存取連線行為也是合法行為,不易遭監控軟體發現。

後來發現儲存在ATM系統的木馬程式,是儲存在C:\install以及C:\Documents and Setting\Administrator\兩個目錄中。

資安專家指出,如果透過軟體派送的惡意程式,在上述兩個資料夾中都有發現,就邏輯推論,派送的軟體應該比取得管理員權限的程式,可能更早1~2個月,駭客就已經進入分行的內部系統中放置木馬。

在這段期間,駭客不僅掌握了第一銀行總行內網的網路拓樸,至少概略架構可以得知,另外也能發現,一銀ATM更新方式,不是過去的實體光碟更新,而是透過一套軟體派送伺服器來更新ATM程式,駭客只要竊取了派送系統管理者帳密,再蒐集到ATM的實體位置和IP的對應,就能明確攻擊特定位置的任一臺ATM,例如這次就是鎖定北中22家分行的ATM。

 階段4  ATM入侵準備

根據調查局追蹤,駭客在7月4日透過ATM軟體派送伺服器,發送了一個可以開啟ATM遠端連線服務(Telnet Service)的DMS更新包,可將Telnet服務從手動模式轉為自動開啟模式。

 階段5  開啟ATM遠端控制

收到這個更新包的ATM系統,自動按照例行系統更新程序執行,等到下一次系統重新開機後,ATM就會自動開啟了遠端連線服務,讓駭客可以遠端控制這臺ATM。

根據調查局統計,除了41臺成功遭駭的ATM,另有3臺ATM也遭植入木馬,但駭客沒有成功控制ATM。可推測,可能是因這3臺ATM還未重開機,因此沒有套用駭客客制的更新包而躲過一劫。

 階段6  植入ATM控制木馬,發動盜領

過了幾天,7月9日時,駭客再次從遠端登入,開始將木馬程式派送到ATM設備中,包括了控制ATM遠端吐鈔程式cngdisp.exe及cngdisp_new.exe,以及顯示受駭ATM資訊的惡意程式cnginfo.exe。

另外還上傳了一個批次檔cleanup.bat,可用來執行微軟內建加密刪除工具sdelete.exe,銷毀所有木馬程式。

遠端駭客先透過Telnet在ATM執行惡意程式cnginfo.exe開啟吐鈔口,負責取款的車手早在幾天前就先入境臺灣,在遠端駭客指定的時間到特定ATM面前,來確認吐鈔口是否開啟,若成功開啟表示該ATM已遭控制,車手就回報給遠端駭客進行下一個動作。

遠端駭客確認入侵成功後,開始執行遠端執行cngdisp.exe或cngdisp_new.exe吐鈔,每次吐鈔60張。所以,從ATM監視影片上才看到,車手完全不用接觸ATM或輸入密碼,就能取款。清空這臺ATM的鈔票後,車手再前往下一臺ATM繼續盜領。而遠端駭客也會執行自動刪除批次檔cleanup.bat,用sdelete.exe刪除所有入侵木馬程式和Log記錄檔。

從銀行治理上,第一銀行一直是模範生,是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位,加上金管會對於銀行向來是高度控管,而且一銀在ATM上,也一直都還是採用SNA封閉網路架構的銀行,也難怪,爆發ATM盜領事件時,震驚社會及金融圈。

資安專家表示,從目前外界可以獲得的資訊來看,一銀的ATM網路和內部辦公網路並沒有有效隔離,一銀對ATM上啟動哪些服務和作業系統日誌都沒有監控,這也會造成一銀爆發如此重大ATM盜領事件時,無法有任何事先預警機制。

若進一步解析第一銀行的IT治理,我們也可以發現盲點所在。

首先,不論是ISO 27001或者是ISO 20000,都是以資訊單位為認證範圍的認證,加上,金融業長期認為,封閉網路系統的ATM是比較安全的,都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。

再者,一銀的ATM設備雖都有安裝防毒軟體,但這次木馬軟體得經過調查局鑑識後,才確定為惡意程式,對防毒軟體而言,很難事前分辨出這是惡意程式來攔截,只會判定為是一種具備特殊功能的執行檔時。

白名單控管ATM存取更安全

不少資安專家建議,銀行面對這類關鍵服務時,應該以白名單方式來控管,僅允許少數合法程式可以在ATM系統中執行,而非由防毒軟體來判斷應用程式的安全性。

第三,ATM裝置上缺乏相關的預警系統,例如,ATM有異常金錢提領時,為什麼沒有任何警示;而當ATM的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,也都是讓這樣的盜領事件,殺的讓人措手不及的原因。

許多資安專家都呼籲,不論是一銀或其他金融業者,主管機關要求的各種資安與IT管理認證,不應該只是為了認證而認證,不應該將所有經歷都放在填ISO表單,全部紙本作業看起來安全,事實證明,就是有可能爆發讓人異想不到的資安事件。

「技術性的檢驗落實,才是IT與資安認證的重點。」一位老牌資安專家語重心長地說。