【挑戰】
眾所皆知,駭客常使用各種網路攻擊方式,例如零時差攻擊、網路釣魚、暴力攻擊、社交工程、惡意軟體等,試圖取得系統存取權與敏感資料,進而對企業、政府、組織或個人等造成重大威脅。以個資外洩為例,造成民眾受到詐騙而損失金錢,也直接造成企業名譽受損。
根據 IBM 的報告[1] ,在 2023 年,全球資料外洩的平均成本將達到 445 萬美元,包括營業損失到業務停擺、補救、法律費用等各種費用,光這些損失,就可能足以讓一家小公司破產。此外,哈佛商業評論[2] 更指出,資料外洩可能導致企業信用評等下調,影響企業維持市場地位的能力,使公司面臨更高的借貸成本和財務風險。
因此,面對駭客惡意攻擊所造成的資安事件,企業或組織該如何有效處置?以下藉由 TeamT5 實際協助企業組織處理個資外洩的案例,了解駭客如何透由網路攻擊取得敏感個資,以及處理事件所需的緊急應處作為,將事件威脅發生所造成的損失降到最低,並規劃未來場域所需注意的防禦重點。
【發現個資外洩,快速協助處置】
當 TeamT5 接獲客戶的資安事件處理需求,得知企業有個資外洩,造成民眾被詐騙情況,且網路環境中的重要服務主機有防毒告警的狀況。
收到客戶需求後,TeamT5 資安事件應變處理團隊(CSIRT)隨即與客戶訪談了解案況,即時掌握場域中的網站主機有 WebShell 及惡意程式告警資訊,立即提供相關事件研判與處置建議,說明如下。
解讀告警資訊,研判可能肇因
TeamT5 團隊具有 20 年以上網路威脅研究經驗,及時協助客戶判讀所收到的告警,研判攻擊者的可能入侵途徑。
提供應處建議,控制事件擴散
為避免其他數位資產受到影響,TeamT5 團隊建議採取網路設備斷網取證、端點隔離掃描、系統備份分析等緊急應變措施。在未釐清案發根因前,場域網路設備與終端應採取「不開通網路通訊」為原則,避免攻擊者再次進入場域破壞。若有系統因業務營運需求無法離線隔離時,則建議採取最小存取原則,限制系統僅能與相關主機連線,控制服務存取範圍。
關鍵證據收集,調查分析規劃
除了客戶所提供的場域網路系統配置、相關設備資訊及記錄保存狀況等資訊外,TeamT5 同時規劃完整的事件調查計畫,藉由在場域主機端點上部署 TeamT5 自行研發的威脅鑑識分析平台 ThreatSonar,並加上專業取證工具分析,透由專業的資安事件調查人員,確認環境中服務主機與其他作業電腦的安全狀況。
端點偵測分析,掌握受駭範圍
在事發當日,TeamT5 隨即協助客戶實行以下重點行動:
- 重點取證分析: 依據案況,TeamT5 團隊研判可能為重點事發的主機,並藉由專業工具取證分析、案發時網路設備通訊紀錄,以進一步作為事件關聯調查使用。
- 全面掃描端點,匡列受駭範圍: ThreatSonar 快速掃描場域內主機安全,結果發現涉案主機具高風險(Level 5)威脅,分析其命中 APT 偵測規則的惡意威脅、異常登入事件、可疑檔案路徑與惡意中繼站(C2)清單等威脅情資;另有主機被偵測出有橫向移動、攻擊者利用遠端桌面服務等惡意行為。
【調查事件根因,可視化攻擊軌跡】
根據場域主機的快篩分析結果以及網路紀錄分析,TeamT5 團隊隨即對於場域事件發生狀況執行關聯調查作業,使能掌握攻擊路徑與駭侵根因。
事件調查分析
發現網站管理頁面,有容易遭破解的弱密碼(weak passwords)被利用。並且在網站上偵測到一句話木馬,經檢視後發現,駭客是透過檔案上傳的漏洞,將惡意網頁程式上傳到目標伺服器。同時,發現官網有 相關檔案資訊洩漏問題。
場域事證關聯
從主機事件紀錄發現,後續有 Powershell 及橫向移動等行為,並歸納可能遭掌握利用的帳號,及攻擊來源 IP 資訊。
彙整調查結果
藉由可視化的事件軌跡彙整表達,讓客戶了解事件發生的攻擊路徑,清楚知道攻擊者是如何利用網站弱點,及透過不同 IP 存取網站後台,再取得特權帳號後,進行內網橫向移動的滲透行為。
【阻斷攻擊來源、復原事發環境】
在完成事件調查並找出駭侵根因後,TeamT5 與客戶合作,協助確認資安事件所需相關的回應行動狀況。
確認場域端點安全狀況是否純淨
透過端點安全掃描程式,先確認場域中的端點是否有惡意威脅行為,例如後門程式、駭客工具、橫向移動等,並透過防毒軟體掃描確認後,再逐一開放端點上網。
審視網路存取規則是否嚴謹
檢查場域中網管與一般使用者存取服務主機的規則,避免所有主機都能對服務主機做遠端登入行為,例如 RDP、WinRM、SMB、Anydesk 等,阻斷攻擊者橫向移動的風險。
確認系統帳號權限是否適當
針對遭利用的帳號,如果非已知帳號,須立即停用並確認帳號建立時間點;另外如果 AD 已經有遭植入後門程式或橫向移動,則須立即變更網域管理者與使用者密碼、評估是否重建 AD。
確認系統漏洞是否已可控制
分析調查網站、AP、DB 等系統紀錄,確認是否有惡意來源與行為,並阻擋發現到的惡意來源,同時修補可能的漏洞。並分析調查防火牆的連線來源和帳號使用狀況,確認設備狀態並更新版本,必須確保設備安全無虞後再上線服務。
【檢視資安策略、強化未來防禦】
為防禦類似的事件再度發生,TeamT5 建議客戶遵循美國 NIST Cybersecurity Framework 架構[3],檢視企業場域中對於辨識(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、復原(Recover)[4] 等五大防禦面向:
1. 強化場域系統安全(識別、偵測、保護)
- 掌握場域中的系統端點配置與運作狀況。
- 強化後台管理帳密與限制存取來源。
- 管控資料存取來源,限制危險預存程序使用。
- 對於有上傳文件之系統需要有惡意檔案檢測防範機制。
2. 加強監控分析措施(識別、偵測、保護)
- 導入端點掃描監控機制,即時告警、阻擋惡意行為。
- 強化網路行為監控與系統服務紀錄備份分析機制。
- 建立威脅情資產出機制,提早發現可疑威脅來源與場域弱點。
3. 建立事件應變機制(回應、復原)
- 針對可能發生之高風險事件類型(如勒索軟體、個資遭竊、APT 入侵等),依循 NIST Incident Response Plan 建立 IR Playbook,訂定事件處理作業程序(包含事前監控分析、事中抑制消除、事後復原改善等),使事件發生時能有所依循。
【參考資料】
[2] Keman Huang, Xiaoqing Wang, William Wei, and Stuart Madnick, 2023,“The Devastating Business Impacts of a Cyber Breach,” Harvard Business Review
Related Post
IR 服務深度介紹
2023.09.27
【資安事件應變處理案例】勒索加密找上門,該如何應變?
incident response, threat hunting
產品與服務
2023.07.10
如何依據 NIST 資安框架,檢查企業資安防禦狀況?
cyber security, cyber governance
產品與服務
2023.07.03
什麼是 NIST 資安框架? 核心概念是什麼?
cyber security, cyber governance
IR 服務深度介紹
2023.06.26
威脅狩獵案例分享:勒索軟體入侵之調查與應變
threat hunting, MDR