台灣中小企業遭受阻斷服務攻擊案例分析

 許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。

當有企業被攻擊的新聞出現,內容通常都把目標放在最終使用者或大型企業本身。不過有許多網路犯罪的目標是中小企業。在這篇文章裡,我們要來看看台灣的中小企業是如何遭受到攻擊,以及人們可以從這些事件裡學到什麼樣的教訓。

駭客 蒙面

許多台灣的中小企業會在自己的網路內架設網頁伺服器,卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務,使得他們不安全的伺服器成為攻擊的主要目標。

讓我們來看看最近的一起案例,可以很好的說明這些攻擊如何進行。在五月卅日,我們收到一家不明公司(我們稱之為A公司)的支援請求,因為他們遭受到阻斷服務攻擊,讓他們的伺服器無法被連上。

但我們所看到的完全是另外一個問題。趨勢科技發現他們的網頁伺服器已經被入侵,利用的是伺服器的漏洞。而且就如前所述,這網頁伺服器也可以存取公司的內部網路,所以攻擊者也拿下了公司Active Directory伺服器的控制權。我們還確認至少有兩批攻擊者存在:一個是在四月廿四日前運作,另外一個出現在這日期之後。

台灣中小企業遭受阻斷服務攻擊案例分析

 

圖一、攻擊時間表

這起威脅的行為並沒有特別不尋常,一旦網路被入侵,這些都是常見的後果。此外,攻擊者會不斷地透過自己的後門來放入新的工具。

許多企業只是重新安裝和重建系統,好可以馬上回復運作,但這樣並沒有解決問題。因為問題的根源是脆弱而不安全的網頁伺服器,而這部分並沒有被解決,攻擊者可以一再重複地入侵,重新佈置後門到目標網路內。

 

台灣中小企業遭受阻斷服務攻擊案例分析

圖二:持續地攻擊

將後門程式埋入網路的方法很多。可以透過遠程存取工具(合法工具或其他工具),漏洞和內建的腳本(初階者使用)。許多都很難被偵測或移除。在這次的事件中,我們甚至發現上傳的圖片(使用者大頭貼)可以用來注入腳本到網頁伺服器來執行。

讓這攻擊能夠成功的原因是中小企業內一些相當不安全的程序。將網頁伺服器架設在自己的網路內會讓業務暴露在嚴重的風險中(如同這次的例子)。對中小企業來說,比較安全的做法是利用網站代管服務。

不過,從另一方面來看,這種不安全的做法是可以理解的。企業看到了新技術所帶來的機會,而往往忽視了安全上的風險。當使用工具時,他們覺得需要跟大企業競爭,卻沒有足夠的資源來真正跟上他們的競爭對手。效率和成本效益往往是最優先的順序,不幸的是,安全性往往是被忽略的。

雖然這次攻擊的具體經驗可能只適用於一些企業,但還是可以從更廣泛的角度來看這事件:技術所帶來的好處很誘人,但安全也同樣重要。使用新工具而不去考慮安全性是危險而不負責任的。因為企業會讓自己一再地遭受攻擊。

 

@原文出處:How Small Businesses Are Attacked By Cybercrime作者:Jank Jong(威脅研究員)