※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-05-05 09:33:21
看板 Gossiping
作者 標題 Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
時間 Mon May 4 21:56:02 2020
純粹來湊個熱鬧 做個不專業的分析
現在有的情報:
1.檔案被加密
2.網頁掛掉
3.開著的機子都還能運作
4."應該"有異地備援
5.使用win server
6.GPO被改(?
7.有WSUS(?
8.防火牆擋很嚴
以上
不專業分析 分兩個面向來看:
1.檔案中毒:
1.1通常為隨身碟或下載檔案,在GPO有阻擋的情況下,隨身碟無法使用
另外防毒軟體也不是裝飾品,即使下載檔案或可以使用隨身碟都會直接掃毒。
如果想要讓病毒掃不到也不是沒方法,但在這邊不好公開。
1.2另假設真的是檔案中毒,擴散感染,依照已知的加密病毒擴散模式,
加密病毒會在與「中繼站」取得雙向連線後才開始加密。
所以出口防火牆只要有擋住,基本上也不會有事。
1.3理論上只要查防火牆的連線記錄就大概知道是不是檔案中毒了。
2.被入侵:
2.1破口9成在DMZ區的網頁跟服務,DMZ是離內網最近的地區,
對外是開放服務,對內是程式更新(管理伺服器)。
架構大概長這樣(網路上找的):
https://blog.xuite.net/play.station/twblog/180515066-DMZ
DMZ @ 晟小二 :: 隨意窩 Xuite日誌
![[圖]]()
DMZ 功能以指定一個(虛擬IP)主機作為 DMZ 主機。DMZ 與網際網路之間封包的來源埠號與目的埠號將保持不變,只有 DMZ 虛擬 IP 變更為路由器的 WAN IP 位址,反之亦然。 多重 NAT 功能中,路由器上可以指定多重 WAN IP 位址,每個 WAN IP 都可對應到單獨 ...
![[圖]](https://blog.xuite.net/play.station/twblog/180515066/cover600.jpg)
2.2假設某服務被攻破,駭客首先需要知道他進的是哪台伺服器,
然後摸網路環境,再來想辦法跳到另一台主機。
2.3無論駭客是否有跳到另一台主機,重點都還是進行病毒的散播。
散播基本可以透過三種方式
(1)依已知情報,有AD跟WSUS,只要取得這兩台主機的權限即可大量散播病毒。
(2)感染共用檔案,讓管理員執行檔案後擴散感染。
(3)讓病毒慢慢爬。
3.個人淺見
3.1排除人員惡意,檔案中毒機率過低。
3.2DMZ區檢查點:
可上傳檔案之服務(含圖片)>網頁服務漏洞>服務漏洞>OS漏洞>其他
3.3現在無法連上中油官網應該是阻斷內對外並做清查。
3.4無法使用信用卡只能現金交易,應該是避免病毒擴散出去,先把服務切斷。
3.5有備援,但問題不在備援,而是在端點(含各加油站),
只要任一端點的毒沒清掉,備援上了就是找死。
3.6以危機處理來說,中油做法算正確,對外斷網,對內清查,能營運的持續營運。
以上個人淺見,歡迎討論
另外我想講一個
接下在公家機關/國營事業服務的資訊/資安人員可能會面臨一件很蠢的事
就是上級要求加強端點防護(個人電腦防毒軟體 社交工程 bla bla bla...)
請從節點下手好嗎! 節點 節點 節點 很重要 說三次!
端點下功夫只是耗費人力跟時間,效益奇差無比
節點下功夫,方便管理,要死也死一區而已
不從節點下手從端點下手,大家一起死!
舉個例子
武漢肺炎是戴口罩比較有用還是關國門比較有用?
當然關國門阿 草
如果台灣北部群聚感染嚴重,南部未見疫情
請問封城比較有效還是戴口罩?
當然是封城阿 草
節點 懂!?
※ 引述《YummyYummy (優米平方 好想吃大腸)》之銘言:
: ※ 引述《ColeNorris (Cole)》之銘言:
: : 剛剛不小心摔了一跤暈倒 做了一些夢
: : 1.影響的範圍遠比大家想的還大 連總公司都中標 中油網頁也已經死了
: 這個講法從頭到尾都有問題 因為就是總公司中獎
: 網頁當然也是伺服器主機 從這邊開始就能知道你應該是文組
: 結果亂講卻推爆
: : 2.因為炸掉的是中油自身的系統 所以沒有擴散到銀行
: : (因為金管會很嚴 中油跟銀行中間都會檔好)
: : 所以信用卡跟現金能用 但是其他中油自身支付的方式全部炸裂
: 同1 你根本搞不懂自己在講啥
: 信用卡那些本來就不是中油好嗎? JCB/VISA/MASTER又關你屁事啊
: : 3.現在各站點機台只要一開機 或重開機 馬上全部都被加密
: : 能夠用的只剩下原本就開機 還沒有重開機過的機器
: : 現在發公文通知所有站 絕對不能關機或重開機
: : 4.源頭是公司沒有控管到的隨身碟 , 插上去之後就.....GG
: : 5.據說 "沒有異地備援機制" 現在各資訊處臉臭到不行
: 很不巧 剛好夢到國中國的中油 是有異地備援的
: 所以清查後 只要總公司發文就能重建了
: 所以你聽誰講的?
: : 6.因為系統炸裂 第一線員工變成整個下午沒事做
: : 因為這根本不是他們能處理的情況 整個超閒der
: : 中油應該算是資安法中的關鍵基礎設施
: : 我看這次真的要飛了
: 真巧,我剛好午睡睡到現在才醒來
: 看你的IP還沒飛又亂講
: 你應該是想挑戰法務對吧?
: 講一下真正最怪的地方
: 1.中油伺服器居然WIN平台90%以上 這是很匪夷所思
: 你說用戶端就算了 伺服器要開WIN是幹三小?
: 2.一條龍的總公司管理
: 所以這次是總公司被當成突破口 然後被攻破後 居然變成GPO
: 稍微了解皮毛的都知道 企業組織上層直接派發命令給大家電腦
: 那要怎麼檔?
: PS 真正的"聽說" 賽X鐵X的亞太區人物 應該被叫去夾軟蛋了
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 110.26.190.186 (臺灣)
※ 文章代碼(AID): #1Ui1xqnU (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1588600564.A.C5E.html
※ 同主題文章:
05-04 15:11 □ [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用現金及信用卡加油
05-04 15:20 ■ [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用現金及信用卡加油
05-04 15:32 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-04 17:01 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-04 17:50 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能
05-04 18:04 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-04 18:57 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-04 20:01 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-04 20:17 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-04 20:31 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
● 05-04 21:56 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-04 22:08 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
05-05 01:19 ■ Re: [新聞] 快訊/中油遭「勒索病毒」攻擊!僅能使用
推 : 嗯1F 05/04 22:01
推 : 閱2F 05/04 22:03
推 : 1.1 吧3F 05/04 22:03
推 : 上面不會管您這個,他們會鎖死個人電腦的4F 05/04 22:26
推 : 來領一下防中毒小卡就沒事了5F 05/04 23:04
→ : 這種一定是內部擴散的,要從DMZ早就發作了6F 05/04 23:04
推 : 定時器發作 早就都感染了7F 05/04 23:20
推 : 最後病毒的例子反而有疑議...如果戴口罩比較沒用處,那韓國8F 05/04 23:36
→ : 擋下來難道是封節點?總之在這次病毒上,一堆還是未知的,
→ : 用來舉例反而有問題
→ : 擋下來難道是封節點?總之在這次病毒上,一堆還是未知的,
→ : 用來舉例反而有問題
推 : 防毒小卡11F 05/05 00:34
→ : 要從內部打進入點不多,社交工程或是接內又接外的電腦12F 05/05 09:00
→ : 比較有可能
→ : 用武漢肺炎舉例確實是有不同的地方,主要還是節點的重
→ : 要性。以100個部門一萬台電腦來說,要在一萬台電腦下
→ : 功夫,需要耗費多少資源?資訊單位有這麼多人力搞?光
→ : 是追更新就忙死了,更新完還有可用性問題。那如果從10
→ : 0個部門下手,只要管理100個節點,相對就簡單了,任一
→ : 節點爆了,就是100台受影響,風險相對可以接受
→ : 比較有可能
→ : 用武漢肺炎舉例確實是有不同的地方,主要還是節點的重
→ : 要性。以100個部門一萬台電腦來說,要在一萬台電腦下
→ : 功夫,需要耗費多少資源?資訊單位有這麼多人力搞?光
→ : 是追更新就忙死了,更新完還有可用性問題。那如果從10
→ : 0個部門下手,只要管理100個節點,相對就簡單了,任一
→ : 節點爆了,就是100台受影響,風險相對可以接受
--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 266
回列表(←)
分享