刑事警察局第九大隊,科技研發科數位證據股股長陳詰昌,將事件偵查過程、解析等等事件分析的紀錄。
一銀ATM駭客入侵內網關鍵、手法
下述摘錄整理自此篇:偵九揭露一銀ATM駭客入侵內網關鍵,竊取密碼2套手法曝光
刑事警察局第九大隊,科技研發科數位證據股股長陳詰昌,在臺灣駭客年會HITCON Pacific上報告了偵查的過程,剖析事件前後的日誌檔(Log Analysis)、逆向工程(Reverse Engineering)以及數位鑑識(Digital Forensics)的結果。
駭客能夠在銀行內網來去自如,就是因為2個取得帳密的關鍵方法
- 第一銀行在倫敦分行的「電話錄音主機」做為跳板,駭入內網
- 全部都建立有管理權限的帳號
- 33 個 DMS 封裝檔檔案利用應用程式惡意程式派送到受駭的ATM設備
- 管理者帳號具有Telnet連網權限,啟動 FTP
- 到 NCR 下載「cnginfo.exe」、「cngdisp.exe」、「cngdisp_new.exe」和批次檔「cleanup.bat」
- 在犯案後,執行「cleanup.bat」把犯案記錄「displog.txt」清除,徹底滅證
特徵
- 犯案的程式特徵都有限定日期,在一銀ATM盜領案中發現的4支惡意程式,都只在今年7月份執行才有效
- 吐鈔程式設定的參數也十分類似,包括鈔匣數限制、出鈔張數限制,其參數設定幾乎相同
- 犯案過程會產生一個程式漏洞,就是留下記錄檔(disp.txt),用來記錄吐鈔資訊,並提供給成員作為核對使用,跟一銀ATM盜領案留下的「cngdisp.txt」相同。(使用SDELETE進行滅證)
內網來去自如,駭客如何取得管理者密碼
駭客如何取得管理者密碼,主要有兩種方式:
- Windows 2008即開始有的功能:Group Policy Preference(群組原則設定),這個功能讓管理者可以用各種不同的原則進行系統及應用配置
- 駭客利用群組原則設定功能,在Domain Controller主機下都存在著groups.xml的檔案,而同一個網域下的每臺電腦都可以讀取這個groups.xml。當獲取該檔案後,就可以看到經過AES 256位元加密後的密碼。「所以你既然有金鑰,有加密的結果,你就可以解密,取得管理者的密碼。」
- 個人電腦,他指出,可以透過MiMiKatz滲透工具來獲取密碼。例如,這次駭客在ATM上執行MiMiKatz程式,就可以在具管理者權限下,解析存在記憶體中的管理者密碼。
- 在一銀案中,可以看到86.exe的檔案執行結果,確實也是用MiMiKatz工具來解析記憶體內的資料,但是並非用來取得密碼,「可以看到,他們是在進行捕捉Terminal Server的服務,讓多個使用者同時去做telnet的事情。」