索尼影視(Sony Pictures)被駭始末

  • 索尼高層的薪資資料
  • 索尼員工的個人資料
  • 好萊塢明星的聯絡資料與旅行用的別名

上述資料已經被署名#GOP( Guardians of Peace)的駭客公諸於世

索尼所製作《名嘴出任務》(The Interview)內容描寫了刺殺北韓領袖金正恩的情節,外界推測索尼很可能是因為此片而惹來北韓的報復。但北韓政府已經否認,而索尼與FBI迄今仍未確認公布攻擊來源。

一個索尼影視(Sony Pictures)遭受到毀滅性駭客攻擊的禮拜,一連串外洩的內部文件和試算表將公司員工和高層人員的資料公諸在外。根據一開始的報導,索尼在收到威脅訊息(骷顱頭圖案出現在他們的電腦螢幕上)後關閉了整個企業網路。訊息來自一個自稱為「Guardians of Peace(和平守護者,#GOP)」的駭客團體,警告說這只是個開始,他們會持續到要求被滿足為止。在新聞爆發出這起駭客事件後不久,開始有許多人認為是曾經用過「wiper」惡意軟體的北韓參與此事件。

[更多資訊:駭客如何將警告性桌布放入索尼公司電腦?到趨勢科技部落格閱讀分析美國聯邦調查局警訊背後的「破壞性」惡意軟體]

跟大多數入侵外洩事件一樣,我們會隨著時間過去而瞭解更多關於入侵事件的性質,進行中的調查提供了一些可靠的細節,而大多數關於駭客攻擊的頭條新聞都集中在是誰做的而非被取走了什麼。同時,研究人員也已經確認發起攻擊的破壞性惡意軟體。從安全角度來看,最重要的是要記錄此一事件的各個方面和緊急而相應地作出反應。關於此次攻擊,我們已經整理出關鍵日期和事件來提供發生何事,什麼被偷及誰是幕後黑手的概述。

11月25日 –首篇關於索尼影視(Sony Pictures)企業網路被駭事件報導

11月28日 – 科技新聞網站 Re/code報導北韓被調查是否與此攻擊有關

11月29日 – 未發行電影的試映片,出現在檔案分享網站上

12月1日 – 索尼影視(Sony Pictures高階主管薪資遭曝光

12月2日 – 索尼員工的個人資料以及其他公司內部文件(更多酬勞細節、姓名、出生日期、社會安全號碼等資訊)被公開。

12月2日 – 美國聯邦調查局發出破壞性惡意軟體警告

12月3日 – Re/code聲稱北韓正式被點名為攻擊幕後黑手

12月5日 –  – Sony Pictures員工收到威脅郵件,若不支持駭客行動全家都會有危險!中文報導

12月6日 – 北韓發表聲明,稱這次攻擊彰顯了「正義」,但否認參與

12月 10 日-好萊塢明星遭池魚之殃,個人資料被公布(中文報導)

12 月 15 日-索尼要求媒體別再公布外洩文件,並銷毀副本(中文報導)

Continue reading “索尼影視(Sony Pictures)被駭始末”

< 索尼影業被駭事件 > GOP 駭客組織給Sony Pictures員工的警告與 WIPALL 惡意軟體變種分析

趨勢科技 之前討論了「破壞性」美國聯邦調查局安全通報和關於WIPALL惡意軟體家族的分析及其對索尼影視(Sony Pictures)大規模駭客攻擊的直接關聯。

駭客hacker

在此篇文章中,我們將進一步討論其他 WIPALL惡意軟體變種和它們與索尼影視(Sony Pictures)員工受感染電腦內所見#GOP警告相關的主要行為。下面是對此文章所要討論感染鏈的概述:

BKDR64_WIPALL.F停用McAfee服務

WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數(-a、-m、-d、-s)執行數個自身複本,其中包含其主要行為。

圖1、BKDR_WIPALL.C的主要惡意軟體行為

Continue reading “< 索尼影業被駭事件 > GOP 駭客組織給Sony Pictures員工的警告與 WIPALL 惡意軟體變種分析”

< 索尼影視(Sony Pictures)攻擊事件 > 深入分析美國 FBI 所提供之「破壞性」惡意軟體樣本

趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。

駭客hacker

美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。

下面是趨勢科技的調查分析結果:

BKDR_WIPALL惡意軟體分析

我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。

這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:

圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼

這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。

圖2、惡意軟體登入到網路的程式碼片段  Continue reading “< 索尼影視(Sony Pictures)攻擊事件 > 深入分析美國 FBI 所提供之「破壞性」惡意軟體樣本”

索尼影視(Sony Pictures)企業網路遭受重大攻擊:為何你需要領先APT 目標攻擊一步

處理攻擊、入侵和資料竊取問題是目前許多組織要面對的工作之一。這類威脅就像是組織固定會面對的問題,而不正確防禦策略所帶來的後果將會很快地顯現出來。

索尼影視(Sony Pictures)最近的攻擊事件突顯出這個問題。在11月下旬,該公司企業網路被自稱為和平守護者(#GoP)的團體所入侵。一張首先發表在Reddit的圖檔表示此圖被秀在每一位員工的電腦上,帶來駭客們的訊息,要求他們的「需求需要得到滿足」。

駭客聲稱他們擁有數個包含機密員工資料的ZIP檔案,包括姓名、個人檔案、薪資和生日。其他據稱被竊的資料是主演索尼影視(Sony Pictures)電影明星的個人資料。

五部尚未發表的完整長度影片也被洩露到各個檔案分享網站。

索尼影視(Sony Pictures)對此事件的反應也值得強調。對於這類高層級攻擊的典型反應是要讓組織可以適當地調查現有攻擊並將對組織的日常運作影響減至最低。然而,現有關於此次攻擊的報告顯示他們的反應是禁用整個企業網路。不僅嚴重地影響日常營運,也讓調查任何攻擊變得更加困難。

一般來說,攻擊企業網路被認為是對竊取金錢或資訊有興趣。這次攻擊提醒了IT管理員某些攻擊主要是被設計來破壞目標組織的運作 – 實際上,就是駭客主義的呈現。組織必須考慮到這一點並相對應地來保護自己的網路。

 

@原文出處:Sony Pictures Corporate Network Hit by Major Attack: Why You Need to Stay Ahead of Targeted Attacks

對索尼被攻擊事件的報導隨著我們看到更多發展而繼續下去。這裡是跟此事件有關的文章列表: