純粹來湊個熱鬧 做個不專業的分析
現在有的情報:
1.檔案被加密
2.網頁掛掉
3.開著的機子都還能運作
4."應該"有異地備援
5.使用win server
6.GPO被改(?
7.有WSUS(?
8.防火牆擋很嚴
以上
不專業分析 分兩個面向來看:
1.檔案中毒:
1.1通常為隨身碟或下載檔案,在GPO有阻擋的情況下,隨身碟無法使用
另外防毒軟體也不是裝飾品,即使下載檔案或可以使用隨身碟都會直接掃毒。
如果想要讓病毒掃不到也不是沒方法,但在這邊不好公開。
1.2另假設真的是檔案中毒,擴散感染,依照已知的加密病毒擴散模式,
加密病毒會在與「中繼站」取得雙向連線後才開始加密。
所以出口防火牆只要有擋住,基本上也不會有事。
1.3理論上只要查防火牆的連線記錄就大概知道是不是檔案中毒了。
2.被入侵:
2.1破口9成在DMZ區的網頁跟服務,DMZ是離內網最近的地區,
對外是開放服務,對內是程式更新(管理伺服器)。
架構大概長這樣(網路上找的):
https://blog.xuite.net/play.station/twblog/180515066-DMZ
2.2假設某服務被攻破,駭客首先需要知道他進的是哪台伺服器,
然後摸網路環境,再來想辦法跳到另一台主機。
2.3無論駭客是否有跳到另一台主機,重點都還是進行病毒的散播。
散播基本可以透過三種方式
(1)依已知情報,有AD跟WSUS,只要取得這兩台主機的權限即可大量散播病毒。
(2)感染共用檔案,讓管理員執行檔案後擴散感染。
(3)讓病毒慢慢爬。
3.個人淺見
3.1排除人員惡意,檔案中毒機率過低。
3.2DMZ區檢查點:
可上傳檔案之服務(含圖片)>網頁服務漏洞>服務漏洞>OS漏洞>其他
3.3現在無法連上中油官網應該是阻斷內對外並做清查。
3.4無法使用信用卡只能現金交易,應該是避免病毒擴散出去,先把服務切斷。
3.5有備援,但問題不在備援,而是在端點(含各加油站),
只要任一端點的毒沒清掉,備援上了就是找死。
3.6以危機處理來說,中油做法算正確,對外斷網,對內清查,能營運的持續營運。
以上個人淺見,歡迎討論
另外我想講一個
接下在公家機關/國營事業服務的資訊/資安人員可能會面臨一件很蠢的事
就是上級要求加強端點防護(個人電腦防毒軟體 社交工程 bla bla bla...)
請從節點下手好嗎! 節點 節點 節點 很重要 說三次!
端點下功夫只是耗費人力跟時間,效益奇差無比
節點下功夫,方便管理,要死也死一區而已
不從節點下手從端點下手,大家一起死!
舉個例子
武漢肺炎是戴口罩比較有用還是關國門比較有用?
當然關國門阿 草
如果台灣北部群聚感染嚴重,南部未見疫情
請問封城比較有效還是戴口罩?
當然是封城阿 草
節點 懂!?
※ 引述《YummyYummy (優米平方 好想吃大腸)》之銘言:
: ※ 引述《ColeNorris (Cole)》之銘言:
: : 剛剛不小心摔了一跤暈倒 做了一些夢
: : 1.影響的範圍遠比大家想的還大 連總公司都中標 中油網頁也已經死了
: 這個講法從頭到尾都有問題 因為就是總公司中獎
: 網頁當然也是伺服器主機 從這邊開始就能知道你應該是文組
: 結果亂講卻推爆
: : 2.因為炸掉的是中油自身的系統 所以沒有擴散到銀行
: : (因為金管會很嚴 中油跟銀行中間都會檔好)
: : 所以信用卡跟現金能用 但是其他中油自身支付的方式全部炸裂
: 同1 你根本搞不懂自己在講啥
: 信用卡那些本來就不是中油好嗎? JCB/VISA/MASTER又關你屁事啊
: : 3.現在各站點機台只要一開機 或重開機 馬上全部都被加密
: : 能夠用的只剩下原本就開機 還沒有重開機過的機器
: : 現在發公文通知所有站 絕對不能關機或重開機
: : 4.源頭是公司沒有控管到的隨身碟 , 插上去之後就.....GG
: : 5.據說 "沒有異地備援機制" 現在各資訊處臉臭到不行
: 很不巧 剛好夢到國中國的中油 是有異地備援的
: 所以清查後 只要總公司發文就能重建了
: 所以你聽誰講的?
: : 6.因為系統炸裂 第一線員工變成整個下午沒事做
: : 因為這根本不是他們能處理的情況 整個超閒der
: : 中油應該算是資安法中的關鍵基礎設施
: : 我看這次真的要飛了
: 真巧,我剛好午睡睡到現在才醒來
: 看你的IP還沒飛又亂講
: 你應該是想挑戰法務對吧?
: 講一下真正最怪的地方
: 1.中油伺服器居然WIN平台90%以上 這是很匪夷所思
: 你說用戶端就算了 伺服器要開WIN是幹三小?
: 2.一條龍的總公司管理
: 所以這次是總公司被當成突破口 然後被攻破後 居然變成GPO
: 稍微了解皮毛的都知道 企業組織上層直接派發命令給大家電腦
: 那要怎麼檔?
: PS 真正的"聽說" 賽X鐵X的亞太區人物 應該被叫去夾軟蛋了