文/中芯數據
根據中芯數據IPaaS資安團隊的觀察和分析,發現疑似中國駭客組織以多種攻擊手法,對國內多個單位進行攻擊,且多針對於GIS系統與相關單位為主要目標。我們的研究員於2023~2024期間發現多筆針對GIS系統攻擊事件,且時至今日還持續進行中,從其行為可判斷該團體不斷試圖情搜本國地理資訊,如有在使用相關GIS系統的單位,建議盡快針對內部設備進行異常行為確認,或制定應對駭客攻擊的應急計劃,以免遭駭客潛伏於單位內部造成資安威脅。
案例分享
在去年的案例中,駭客對特定單位實施了多次攻擊,其中包括以GIS相關設備作為入侵點。他們使用遠端桌面(RDP)進行入侵,並利用一系列情搜指令如ipconfig、net user、quser等,注入惡意程式到正常程式中,並植入惡意後門進行潛伏。這些行爲顯示該集團可能試圖長期偷取GIS相關資料。此外,他們還使用特定手法刪除主機上的Event Log,增加鑑識調查的難度。為了避免防火牆封鎖國外IP的限制,他們將惡意中繼站IP設於台灣內,以確保連線不受阻礙。
在2023年初,攻擊者透過合作廠商的帳號進行了對單位A的攻擊。他們利用正常維護時間登入,而由於廠商負責系統維運,單位內未察覺異常。攻擊者在探測期間多次測試其他帳密,並企圖使用DLL Side-Loading手法躲避偵測。儘管3月導入IPaaS發現並阻擋了攻擊,但攻擊者仍持續對單位感興趣,於2023年內多次嘗試入侵,而IPaaS也都在第一時間即時通報,避免客戶資料被竊取。
持續擴大攻擊事件
在同一年底,單位B也發現了同一組攻擊者的活動。這次攻擊者為了擴大影響範圍,入侵後立即試圖掃描和連線大量設備,並掛載多個遠端磁碟。中芯數據資安團隊推測攻擊者試圖確認這些設備中的檔案,並嘗試刪除大量設備的日誌,以持續藏匿於單位設備中。另一家單位C屬於維護廠商,在其設備中也發現了攻擊者植入的「Cobalt Strike」試圖入侵。兩個單位都被IPaaS快速發現,並成功阻擋了攻擊,成功為我們的客戶避免了後續橫向風險的發生。
在2024年,同一組駭客又出現在單位D進行攻擊。攻擊者曾在2023年底通過單位的VPN連線進入設備,並將未知的惡意程式放入其中。為了避免被偵測,這個惡意程式靜默運行了大約4個月,然後開始進行探測行為。為了進一步掩蓋其行蹤,攻擊者將惡意程式注入到正常服務中。這使得攻擊者可以利用設備內的任意程序進行探測。在被阻擋後的2個禮拜,攻擊者再次發動了攻擊。當然IPaaS服務在每次攻擊中都能即時通報,我們確保了服務單位的GIS相關資料沒有任何洩漏。
資安團隊的建議
根據中芯數據的觀察和分析,針對GIS系統的攻擊事件持續進行,這樣的情況下,針對這些攻擊採取一些安全措施是絕對必要的。以下是中芯數據資安團隊建議:
- 由於攻擊者使用台灣IP,阻擋國外IP已不再有效,建議對於需要對外或遠端維護的GIS相關設備進行行為偵測分析,以及時發現並應對攻擊行為。
- 攻擊者有滅證行為,建議部署即時全收EDR以追蹤攻擊行為及來源,提高對攻擊的感知和應對能力。
- 確認GIS維護廠商的資安防護措施,避免帳密和攻擊來源與維護廠商相關。強化維護廠商的資安能力將有助於有效保護單位免受攻擊。
最緊要的關鍵是建立針對未知惡意後門的檢測機制與因應措施,特別是面對攻擊者使用合法帳號和服務的方式進行攻擊。在建立這樣的機制時,以下問題需要特別注意:
- 每日大量告警是否有辦法進行全面確認?
- 資安人員能否分析告警是否為資安攻擊?
- 是否有人員鑽研最新的攻擊手法,針對單位進行調整?
- 如何在攻擊發生的第一時間給予佐證資料?
中芯數據IPaaS服務
考慮到攻擊者經常更換惡意程式和中繼站,傳統的黑名單、病毒碼和中繼站封鎖等防禦機制可能無法有效處理這些攻擊。在面對這種情況時,需要尋找更具彈性和靈活性的解決方案,包括如何更快地發現新型攻擊,即時發現並應對可能的安全漏洞和攻擊事件等。中芯數據的IPaaS服務可以作為內部資安團隊的延伸,提供更專業和全面的資安監控和應對能力。這種合作將能夠更快速地發現和應對進階威脅,有效保護組織的資訊安全。
中芯數據為客戶提供意圖威脅即時鑑識服務(IPaaS, Intention Prediction as a Service),達到保護企業網路安全的目的。IPaaS 不僅通過檢測全球情報和台灣獨有情報資料庫提供優質的資安防護,並透過獨有的Intended Intrusion Hunting(IIH)服務提供更先進進階的防禦能力。相較於傳統的資安設備都僅對單一行為進行偵測告警,IIH機制會對可疑行為的前後行為進行整合判斷,從而立即發現駭客的入侵行為,不論是利用系統或軟體漏洞進入,還是透過內部設備或合法管道進行入侵,都能即時偵測到。一旦發現可疑行為,IPaaS服務將立即通報並提供詳細的惡意程式資訊和完整的處置辦法,確保單位能成功應對各種最新的威脅,同時處理過程中單位內的服務都能正常運行不中斷。中芯數據 Cyber Defense Center 作為您企業內部資安團隊的延伸,協助企業共同防禦進階威脅。
