跳到主要內容區塊

ntuccepaper2019

專題報導

強化檔案傳輸協定之數位韌性
  • 卷期:v0063
  • 出版日期:2022-12-20

作者:陳思蘊 / 臺灣大學計算機及資訊網路中心北區學術資訊安全維運中心工程師、李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師


前言

北區學術資訊安全維運中心(North Academic Security Operation Center, 以下簡稱N-ASOC)團隊在維運北區學術網路的過程中,發現許多主機嘗試使用暴力破解攻擊的資安事件,本文將以數位發展部唐鳳部長提及的「數位韌性」角度提供多項建議措施。

 

暴力破解攻擊

暴力破解攻擊(Brute-force attack)為針對帳號之密碼不斷嘗試破解,直至找出符合條件的結果為止,此種攻擊方式支援多種通訊協定,其中又以檔案傳輸協定最為普遍。常見方法有以下幾種:

  1. 窮舉法

針對密碼破解不斷以各種文字、數字與特殊符號的各種排列組合嘗試,直至找出符合條件的結果為止,此種方式相當耗費時間。

  1. 字典攻擊

預先製作一個清單作為破解密碼的字典,通常使用單字、生日與常見的帳號密碼,並逐一嘗試。

  1. 人工猜測

駭客會使用釣魚網站、社交工程郵件或是側錄軟體,猜測使用者常用的帳號密碼並嘗試登入。

N-ASOC團隊於2022年9月份偵測到約30多筆的主機嘗試密碼暴力破解的資安事件。

20221220_006304_01

圖1.、N-ASOC 2022年5月~9月暴力破解事件統計;圖片來源:N-ASOC

 

檔案傳輸協定

檔案傳輸協定(File Transfer Protocol, 以下簡稱FTP)用於使用者存取設備間的檔案傳輸,以明碼的方式登入或傳輸檔案,使用FTP常見的設備包含印表機/事務器、個人電腦與網路儲存設備(Network Attached Storage, 以下簡稱NAS)等等。FTP架設與使用都相當方便,網路上也提供許多FTP開源軟體,但若未特別留意預設組態之設定,則可能有資料外洩的風險。N-ASOC團隊於今年九月份利用Shodan搜尋學術網路下的設備,過濾後發現約有上千台FTP設備暴露在Internet公開網路上,並使用預設21 Port,其中又以可匿名登入的FTP設備危險性最高。

 

匿名登入

匿名登入為任何人不需要密碼以匿名(anonymous)帳號即可登入,N-ASOC團隊比對Shodan下載的資料驗證後發現,學術網路約有上百台可匿名登入的設備,其中不乏事務機、跑馬燈系統和個人電腦,若此類型設備暴露在公開網路上,且未限定連線IP,機敏資料外洩風險極高。北區ASOC近期在學網找到一些FTP設備,可任意存取設備中的資料,如圖2所示。

 

20221220_006304_02

圖2、FTP可能有資料外洩的風險;圖片來源:N-ASOC

 

進一步檢驗學術網路下的設備後,發現資料夾內甚至包含PhotoMiner木馬程式(如圖3),誘騙使用者執行後以便駭客遠端呼叫挖礦程式。許多廠商為了方便快速完成驗收,僅安裝基本功能未確認相關細節便將設備上線,建議管理者應將資訊安全也列入驗收程序內,以確保設備安全無虞。

 

20221220_006304_03

圖3、資料夾內包含SCR病毒;圖片來源:N-ASOC

 

PhotoMiner木馬程式會利用FTP與SMB服務短時間對內部網路進行傳播,並對外連線其他FTP伺服器再嘗試暴力破解,擴大受害範圍。此惡意程式會偽裝成Windows螢幕保護裝置,若使用者未確認其副檔名點擊執行,便會於背景呼叫挖礦程式、命令提示字元,並於Windows登陸檔內新增開機即自動啟動的註冊紀錄。

 

建議措施

韌性(Resilience)指的是資訊系統或資訊服務遭受破壞時,迅速恢復到原來的狀態,並從中學習、強化防護及應變機制。N-ASOC團隊以數位韌性的角度提供以下建議措施強化設備安全性。

建構主動防禦基礎網路,並抵禦潛在威脅:

  1. 避免將設備暴露於公開網路上,應放置於內部網路並使用VPN從外部連線存取。
  2. 隨時關注設備廠商是否有提供軟(韌)體更新。

提升關鍵設備韌性:

  1. 確認並關閉系統匿名登入的功能與廠商設置的預設帳密,加強密碼的長度與複雜度。
  2. 定期備份設備上的資料與設定,並測試是否可有效還原,且開啟防毒軟體自動掃描。
  3. 避免設備遭暴力破解攻擊,應限制系統密碼嘗試的次數

,當同一來源嘗試次數觸碰到閥值時,封鎖連線來源IP位址並通報學校資安管理人員處理。

風險管理:

  1. 設備管理者應主動稽核盤點IP(設備)用途,並定期審核系統權限。
  2. 淘汰不適任之廠商及其設備,審慎評估。

 

參考資料

  1. 唐鳳專欄:強化全民數位韌性。2022-08-02。網址:https://www.storm.mg/article/4447829
  2. 數位發展部;唐鳳部長:期許公私協力聯防 共同建立堅韌、安全、可信賴的智慧國家。2022-09-21。網址:https://moda.gov.tw/press/press-releases/2500
  3. 維基百科:檔案傳輸協定。2022-03-05。網址:https://zh.wikipedia.org/zh-tw/%E6%96%87%E4%BB%B6%E4%BC%A0%E8%BE%93%E5%8D%8F%E8%AE%AE
  4. 維基百科:蠻力攻擊。2022-08-08。網址:https://zh.wikipedia.org/zh-tw/%E8%9B%AE%E5%8A%9B%E6%94%BB%E5%87%BB
  5. TACERT:礦工木馬 PhotoMiner 病毒感染校園主機事件分析報告。2017-09-29。網址:https://portal.cert.tanet.edu.tw/docs/pdf/201709290109555585771228906051.pdf