SecuX Author: K. Yang, CISO & CIO @ SecuX Technology, Inc. 安瀚科技股份有限公司
區塊鏈歷經 10 年以上的發展與演進至今,2020 年全球區塊鏈生態體系中,包括了許多公司企業參與其中,包括了:資訊系統整合商、Fintech 相關的整合公司、金控、銀行、壽險等金融科技相關產業。
此外,區塊鏈與加密貨幣相關,或已結合區塊鏈並技術整合之產業,例如:國內外加密貨幣交易所、加密貨幣軟體、硬體錢包、健康及保健醫療、無現金支付系統、數位資產整合商、供應鏈及物流系統商、商務服務(飯店、餐飲、各式服務業等…)體系、電商(線上購物)、新創產業及各式媒體服務業、以及準備與區塊鏈進行技術整合的店商與產業等…
區塊鏈生態體系,在這 10 多年來迅速蓬勃發展,在各式服務中,具備更高的含金量。其相較於過去,駭客去入侵攻擊一般性質的服務主機或系統。也因此,整個區塊鏈生態體系,已然成為攻擊者眼中有利可圖的目標之一。
而基於區塊鏈下的生態系統,將之歸納收斂,並整合後,簡列舉如下 4 種,並分析探討駭客常用的攻擊型態與手法:
圖一,分別列出了,數位貨幣交易所 (DCEs)、各種加密錢包、支付生態體系、以及其它區塊鏈相關的服務產業所提供的電商服務軟體、程式或平台。
在攻擊者的攻擊型態中,圖一左下的網路頻寬的破壞或干擾包括:各種分散式拒絕服務攻擊 (DDoS, Distributed Denial-of-Service) attacks,其目的在於使目標網路或系統資源耗盡,直至服務中斷。比如:影響正常交易、產生幣值波動。
左下第二個是帳戶系統包括:釣魚、終端逆向破解、植入後門、木馬、欺詐窮舉、竊聽、通訊分析偽裝 、訊息竄改、中間人等。比如:進行盜號,竄改地址,轉移使用者數位資產等。
支付及相關服務平台包括:透過 Web Apps 程式碼弱點、漏洞、0 day 等,使用攻擊程式或自主程式侵入系統,並取得系統權限,進行非法操作,合法存取與授權,進而盜取用戶端重要資料、資訊、或移轉用戶端的數位資產。
以下歸納、並截錄自 2011 至 2019 年間,區塊鏈的重大安全事件,並簡述各種駭客的攻擊型態與入侵模式:
上述歷年的攻擊事件,先簡略分析駭客主要的攻擊手法,傳統上,一般伺服主機被入侵、超級管理員帳密被破解或遭盜用而不自知。此外,經由後門/木馬程式感染用戶電腦,並透過電腦內的軟體錢包盜用金鑰、認證,並取得權限、轉移用戶數位資產。
在一般的數位貨幣交易所中,利用交易所線上網站程式碼的 (漏洞),或被駭客發掘 0 day (未知型的弱點,或稱零時差),直接侵入,並轉移數位貨幣、或利用系統 (弱點)、可能透過長時的 APT,而/或被攻擊者發掘出 0 day,使入侵者可繞過前端的多重認證與安控系統、直接侵入內部主機系統,可製造並產生異常交易,或使幣值波動。
另外,透過釣魚網站,獲取用戶帳號後,進行資產盜取、或直接透過後門/木馬程式,感染系統管理者電腦,取得帳號密碼後,再轉進攻入自家區塊鏈結點主機、或交易所內的交易伺服主機,提昇系統權限、獲取大量使用者帳戶、金鑰、機敏性資料,並大量轉移數位貨幣。
2019 年 5 月有一起安全事件,是交易所遭攻擊者分散式大規模、及長時的滲透並侵入系統,攻擊者竊取了大量 API 密鑰,以及 Google 驗證 2FA 碼等相關資料、此外,還包括了該交易所的線上充值功能,並被駭客挖掘出漏洞,遭駭客侵入,損失慘重。去年 11 月,EIDOS 挖礦 CPU 惡意消耗的漏洞,免費挖礦事件。同年 11 月,韓國 Upbit 交易所被盜,損失 34 萬 ETH 事件。
近期於 2020 年 2 月,美國 Poloniex 交易所驚傳系統錯誤!12 分鐘的交易紀錄遭回溯,詳情並無公佈。
要成功入侵攻擊「具規模的資訊系統體系」,例如「大型數位貨幣交易所」、「金控銀行」、或各種大架構下的「支付生態系統」等,非一朝夕,而惡意攻擊或入侵者,為何能成功的入侵或攻擊並穿透系統?
事實上,這樣的攻擊方式,將之定義為一種「針對性」、「多重階段」、「長時且持續性」,的對目標進行戰略性分析、評估、規劃、而後採取正規方式的一連串有組織的入侵與攻擊活動,在資安界稱它為 (Advanced Persistent Threat ) APT attacks。
即然 APT 攻擊是一種高度針對性、多重階段、長時且「持續性的攻擊」行動,意即:當攻擊者採用了某一套系統穿透攻擊或滲透方法腳本,但卻不可行之下,那麼,攻擊者將再思考另一套方式,直到成功為止。要注意一個重點,它是「一套」不是「一種」,這時 DDN 的作用,將起關鍵作用,因為,重重的安防、關卡與檢查點,會讓攻擊者在時間與空間成本上,產生更多的評估、疑慮與決定所需要投入的成本。
作者的前篇文章:「邊緣計算 (Edge Computing) 的端點及縱深防禦網路 (DDN) 的安全問題與最新發展」,有提到 DDN 的設計概念,也是資訊基礎設施的基本安全防禦體系,但若要降低或反制 APT 可能造成的安全風險,則必需要比 DDN 更先進且更多的安全機制與作為。
萬變不離其宗,戲法人人會變,巧妙各有不同,有多種 APT 的各種論述,但以下是作者所定義及解釋的,下列 1–5 項,將簡述 APT 會採取的攻擊步驟:
1. 對目標的規劃階段:評估並確認,(1)攻擊目標、(2)攻擊難度、(3)攻擊目標的資訊系統、(4)該資訊系統的防禦機制、體系、資訊安全人員、(5)預定期程與時間、(6)投入成本等,確認後,將會對目標,做徹底的研究並做各種細部分析、APT 會是一個群組,分工合作,完成上述所有規劃後,進入下階段,並立即展開馬拉松式的攻擊行動。
2. 侵入或穿透目標階段:在上述第一階段中,已徹底研究該目標,並已長時間的研究分析、並定義了多個腳本與攻擊方法,開始進行偵測、測試、入侵等一連串攻擊活動,在最後,成功的侵入該目標系統,並完成此階段任務。註:攻擊的方式,例如:社交工程、網路釣魚或暴力破解等攻擊,但事實上,整個攻擊行動、採用的方法、工具與侵入手法非常靈活、複雜且多元。(此將不細述)
3. 控制並取得有價資訊階段:攻擊者進入該目標內的資訊系統及環境後,開始進行最重要的系統權限提昇等活動,當攻擊者提昇權限後,即能控制系統,開始盜取有價資訊與資料。
4. 對目標資訊系統植入程式階段,如下 (1), (2), (3) 項:
(1) 攻擊者開始植入多種自制的通聯程式 (0 day) attacks,這些自制程式,它無任何特徵值可比對、它在任何已知的病毒資料庫 (Anti-Virus Database) 中沒有被註記為已知的病毒碼 (VP, Virus Pattern),因此,它無法由任何 (Virus Scan Engine) 病毒掃瞄引擎發現、它或許也能繞過行為比對式的 (IDS, Intrusion Detection System),入侵偵測系統,或入侵防護系統 (IPS, Intrusion Prevention System),或是入侵反制系統 (IRS, Intrusion Response System)
(2) 當然,入侵者很清楚,自已本身與其攻擊程式,將採緩慢式的攻擊或繞過各種特徵比對的方式,儘可能不去觸發這些偵防與反制系統。由於它排除所有入侵攻擊行為比對的模式,因此,很有可能,你用的任何防禦性安控系統、都無法偵測並發現,它就像隱形的一樣。(註:因為種種攻擊行為模式,程式碼的特徵,都不是事前可以預知且預先定義的。已知的 IPS/IDS,均採取預設的反應或防護來阻擋所謂的已知入侵攻擊手法。)
(3) 這些程式,可能長時附著在你的系統中,而實際上,它可能是各式的自制木馬/後門程式 (Trojans and Backdoors)、或將之成為傀儡殭屍網路中的一成員,(Botnet or Zombies),它由 Bot Herder 來控制。常見的是把各式各樣自制的 Rootkits 套件組,complier 進你的 kernel 裏,就像在做各種 honeypot 一樣,只是改成目標主機,然後 A-B-T。
5. 入侵者隱形自已並清除軌跡階段:進出目標資訊系統時,都是未被發現的狀態,並清除任何軌跡。
區塊鏈生態系統上,是攻擊者目前最喜愛的產業生態環境之一,而要如何防範 APT? 安全防護策略為何?
除基本的縱深防禦網路設計外,需要重新評估並檢視:
1. 所有相關的系統管理者的取存權限,並確保管理者了解 APT 的安全性與可能產生的風險,這也是系統管理人員先期需具備的概念與知識。
2. 監控所有資訊系統、系統管理員、以及外部使用者連入我方系統/網路的行為與異常網路流量分析,這能確保任何形式的異常系統行為都在掌控。
3. 有相對應的訊息反饋機制,能即時通報資訊安全人員,並盡可能在最短時間內採取入侵反制 (IR, Intrusion Response)、或立即提昇安全防禦的緊急措施。
4. 重新檢視、盤點、有哪些需要加強保護的資料或資訊? 意即,預先做好資訊資產的分類與管理,確保資料內容和安全風險的分類與分級,什麼資料可能是攻擊者最想要取得的資訊? 而這些資訊,則可能成為攻擊者的目標,如此之下,就很清楚哪些部份需要再加強防護。
除上述所提及的 3 點重要項目之外、以及具備基礎的資安防護認知 (例如:社交工程、網路釣魚陷阱、定期系統更新、檢查、程式修補,特定系統的高強度密碼管理、弱點分析檢測、自主系統軟體測試等…),並整合設計 DDN 的縱深防禦機制,以及安全資訊與事件管理系統監控中心 (SIEMs, Security Information & Event Management system) Center。
另外,較為大型的單位,還有 (NOC, Network Operation Center) 網路維運中心以及安全維運中心 (SOC, Security Operation Center) 等,透過全面性的安全監控與管理機制,可加快任何安全事件發生時的快速反應,追踨可能的潛在安全威脅。此外,定期做各種安全事件發生的演練 (營運持續計劃、營運復原計劃、災難復原計劃等),此部份屬 ISO/IEC 國際標準定義的範疇,主要目的在於,當面對緊急事件發生時,能具備快速反應時間。
若能即時掌握訊息脈動,將能有效緩解已發生事件,或是事先預知潛在的APT 問題,當攻擊者在侵入或準備穿透目標階段時,安管監控中心,具備一定層度的安管機制,也會反應到異常網路行為與軌跡記錄,它可能是攻擊者對於我方系統的測試、偵測、或系統資訊搜集,此時,就能即時反應或反制,將潛在的傷害與安全風險降至最低。
SecuX Author: K. Yang, CISO & CIO @ SecuX Technology, Inc. 安瀚科技股份有限公司 www.secuxtech.com
