回顧歷年針對未修補系統的攻擊

趨勢科技 TrendMicro 企業資安, 惡意軟體病毒發展史, 漏洞攻擊

網路犯罪集團攻擊未修補的系統漏洞,依然是當前企業遭駭客入侵最常見的原因之一。隨著網路基礎架構和連網裝置的數量不斷成長,建立一套適當的修補管理程序可說是迫在眉睫。

儘管單單一次的系統修補就必須耗費企業數小時的時間來完成,但根據以往的事件來看,系統未隨時保持更新的代價反而更高。

以下快速回顧近幾年來所發生的一些最具破壞性的網路攻擊與資料外洩事件,從這些事件,我們不難看出未修補的漏洞對企業機構的傷害有多大。

[相關新聞:How to get ahead of vulnerabilities and protect your enterprise business]

2016-2017年: Petya/NotPetya

  • 受害者:歐洲與美國的各種企業機構
  • 漏洞攻擊手法/漏洞:EternalBlue、EternalRomance (2017 年 4 月已修補)
  • 事件發生日期:2016 年 3 月 / 2017 年 6 月
  • 估計損失:100億美元

歐洲及美國各種銀行、發電廠、交通運輸系統、海運、藥廠、石油、營建、醫療等機構的系統在感染之後離線了數個小時。據稱這些攻擊主要鎖定烏克蘭境內的關鍵基礎架構及系統 (事件發生在放假前夕),但卻因為橫向擴散的原因而迅速蔓延至歐洲其他國家。

2016-2017年:WannaCry

  • 受害者:全球 150 個國家 23 萬家企業機構
  • 漏洞攻擊手法/漏洞:EternalBlue (2017 年 4 月已修補)
  • 事件發生日期: 2016 年 3 月/ 2017 年 5 月
  • 估計損失:40 至 80億美元

ShadowBroker 駭客團體將偷來的漏洞攻擊程式碼外流至地下網路。隨後,Microsoft發布了一項安全公告來修補相關漏洞,但卻僅針對當時還提供支援的系統版本。因此,一些仍在使用老舊系統以及無法安裝更新的企業機構便首當其衝,成為受害目標。

2017年:Equifax 資料外洩

  • 受害者:Equifax Inc.
  • 漏洞攻擊手法/漏洞:CVE-2017-5638:一個 Apache Struts 2 的漏洞(2017 年 3 月已修補)
  • 事件發生日期 :2017 年 5 月至 7 月
  • 估計損失:14 億美元

駭客竊取了超過 1.6 億名美國、英國及加拿大民眾的個人身分識別資訊 (PII),其中包括:姓名、社會安全碼、住址、電子郵件、生日、支付卡號碼以及電話號碼。此外,根據調查顯示,駭客也駭入了該機構的線上申訴入口網站,暴露了一些客戶上傳的文件和影像。

2014-2015:美國人事管理局 (OPM )資料外洩

  • 受害者:美國人事管理局 (OPM)
  • 漏洞攻擊手法/漏洞:經由 USIS 公司攻擊 SAP企業資源管理應用程式的未公開漏洞
  • 事件發生日期: 2014 年 7 月/2015 年 6 月
  • 估計損失:10 億美元

最早的資料外洩始於 2014 年 7 月並持續了 4 個月。後續事件則為經由第三方服務機構或政府機關的間接外洩。2015 年,某駭客集團被發現竊取了超過 400 萬筆前任及現任美國政府人員的資料,包括:個人敏感資訊、外國聯絡人、高級安全權限,以及過去的職務。

2018年:Drupalgeddon/Drupalgeddon 2

  • 受害者:使用未修補的 Drupal CMS內容管理系統的企業
  • 漏洞攻擊手法/漏洞:CVE-2018-7600、CVE-2018-7602 (2018 年 3 月已修補)
  • 事件發生日期:2018 年 4 月及 6 月
  • 估計損失:1.75 億美元

網路犯罪集團利用該 CMS 系統的資安漏洞來提高權限,進而修改或刪除網站上的內容,最終並在系統植入 Monero (門羅幣) 挖礦程式。儘管 Drupal 在接獲趨勢科技通報之後便迅速釋出修補更新,但企業機構卻未能立即更新自己的 CMS 系統。

2018年 Fastbooking 資料外洩

  • 受害者: Faskbooking
  • 漏洞攻擊手法/漏洞 :未公開的網站應用程式漏洞
  • 事件發生日期:2018 年 6 月
  • 估計損失:未公開  

一名駭客利用某個網站應用程式的資安漏洞,從 100 個國家 4,000 多家飯店竊取了旅客的個人身分識別資料 (PII)。事件發生之後,光日本一家擁有 82 家分店的連鎖飯店就通知了 124,000 名旅客,告知駭客可能已竊取了他們的個人敏感資料 (姓名、國籍、住址、電子郵件)。此攻擊亦從多家飯店竊取了信用卡號碼等付款相關資訊。  

2017-2018年:Operation Soft Cell

  • 受害者:多個國家的電信公司
  • 漏洞攻擊手法/漏洞:PoisonIvy、PlugX、修改過的 China Chopper 網站指令程式、MIMIKATZ
  • 事件發生日期:2017 至 2018 年
  • 估計損失:未公開

2018 年,網路資安研究人員陸續從一些電信公司與網路服務供應商的系統發現間歇性的駭客入侵與資料傳輸活動。經過 2017 年起為期 6 個月的調查發現,這些事件看似獨立,但卻都鎖定竊取通話詳細記錄,有可能是想要蒐集特定對象的情報,如:通話來源、目的地、通話時間、裝置廠牌、裝置詳細資料,以及實際所在地點。

2017年:ZNIU 惡意程式

受害者:40 個國家 5,000 多名 Android 使用者
漏洞攻擊手法/漏洞:Dirty Cow、IovyRoot
事件發生日期:2017 年 9 月
估計損失:未公開

ZNIU 惡意程式的各個不同版本遍布在 30 萬個以上的應用程式當中,絕大部分都是遊戲和成人內容。ZNIU 會安裝後門程式、蒐集裝置的電信公司資訊、透過簡訊支付款項給一家空殼公司讓受害者蒙受龐大電信費損失。此惡意程式家族囊括了 6 個 Rootkit,能攻擊所有 Android 版本。Google 在接獲通報之後便立即釋出修補更新。

對策:

  • 一旦廠商釋出安全更新即應盡速修補系統以防漏洞遭駭客攻擊。
  • 使用資安廠商推出的虛擬修補技術來保護老舊系統。
  • 建立一套修補管理政策來持續監控含有漏洞的元件、功能及軟體。

安裝並啟用一套多層式防護系統來監控異常活動,自動偵測及攔截惡意網路活動與流量,從閘道至端點全面保護您的企業。

原文出處:Cybercrime and Exploits:Attacks on Unpatched Systems

相關文章:

《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
PCASTLE門羅幣挖礦病毒利用無檔案技術,再次針對中國發動攻擊
《IOT 》Mirai 變種利用13種漏洞攻擊路由器等裝置