遠東銀行被駭18億的經驗彙整 - 2017

遠東銀行第一次入侵被匯走50萬(USD),再來馬上就出現被盜走 6000萬美金(約18億台幣)的新聞,被拿走多少錢,犯人是誰再自行看新聞即可,此篇文章在於紀錄被駭的經過、注意事項。

2017/10 補:TWCERT/CC 分析報告 (PDF)

遠東銀行被駭18億的經驗彙整

此次遠東銀行被入侵的是 SWIFT 系統,找出 11個可疑檔案,6隻惡意程式 (包含兩個加密勒索木馬、三隻用來入侵和滅跡的程式)

先講微軟建議的,這個確實也是一般公司常見的問題:

【遠銀遭駭追追追】微軟建議:資安防禦,每一處都是最前線

  • 這次遠東銀行資安事件帶來的最大啟示是,「現今資安已經沒有前線、後線之分,不能因為應用程式位居牆後,就不進行強化」許多企業過去認為封閉、安全的環境,反而被忽略,成為駭客攻擊的弱點
  • 企業應該要開始投注心力,檢視過去那些被視為安全的環境

這篇文章有對駭客的程式、參數、DLL 等等非常完整的分析,詳見:(推薦此篇必看)

下述整理自此篇:被駭18億元 遠銀犯3大錯

金管會檢查局查出三大致命錯誤,導致此次重大資安事件

  1. 對相關人員授權過大,不符合「最小授權原則
  2. 國際匯款系統SWIFT,並沒有作到完全實體隔離,有連結到個人電腦的情況
  3. 內部稽核並沒有落實檢視,忽略資安漏洞

詳細內容:

  • 遠銀疑似誤觸釣魚信,被植入木馬程式,遭駭客入侵SWIFT系統,直接轉走6,000萬美元
  • 金管會表示,去年即發現國際上SWIFT系統有被駭客入侵的情況,105年9月即發函要求各銀行將SWIFT系統作實體隔離,即網路及人工授權工作站都必須與主機隔離,但這次發現遠銀「只作半套」,工作站有實體隔離,但有其他維護系統跟SWIFT主機在同一網段,造成駭客透過其他系統入侵SWIFT主機。
  • 相關系統維護人員的授權過大,不符合最小授權原則,即在工作必需範圍內授權即可,若有額外需求,再逐次申請開放權限,但遠銀可能便宜行事,一次就給了系統維護人員最高權限,造成駭客可透過個人電腦就入侵SWIFT主機。
  • 第三大錯誤是去年銀行局就提醒所有銀行要注意SWIFT系統方相關資訊安全,從前台作業、法遵與風險管理到最後內部稽核共有三道防線,但遠銀自己卻沒有發現缺口,一直到今年10月3日覺得系統有異常,10月5日發現SWIFT系統被入侵。

下述摘錄自此篇:遠銀遭駭 金融資安拉警報 專家提9措施防範

  1. 確認管理與派送系統(如微軟 AD、防毒中控台等)的網路存取、帳號管理控制與安全檢測是否落實
  2. 落實分行人員作業用電腦安全防護,避免因資訊部門遠端作業,造成高權限帳號密碼外洩
  3. 布建從點、線、面的防禦縱深。若駭客從分行進入,可將損害範圍限縮於該分行,確保不會因少數分行遭駭,進而影響到SWIFT系統
  4. 盤查「作業必要出入口」,或有無為了維修方便而建立不為人知的「維護管道」
  5. 設計並落實異常交易與行為告警機制,如SWIFT 遭關閉完整性檢查功能等
  6. 盡速符合 SWIFT 用戶強化方案,避免類似情境再次發生
  7. 重新針對 SWIFT 特有的編丶核、放流程,進行風險評估,特別是電文內容遭偽冒的風險
  8. 分析日常業務面向之正常交易行為,落實偽冒偵測機制,加深整體資安務護縱深
  9. 落實多因子維度認證機制(Multi-factor Authentication),包括 SWIFT 帳號管理人員

相關網頁

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料