第13卷第3期
中華民國108年6月出刊

關閉章節選單
頭條故事HEADLINE
NEWS
網路攻擊無所不在 食衣住行當心被駭通訊傳播網路資通安全防護之策略與整備(上篇)
人物專訪FOCUS
INTERVIEW
在不疑處有疑 資安攻防永無休止我國國家資通安全之願景及推動情形―專訪行政院資通安全處首任處長簡宏偉
會務側寫NCC
LOCOMOTION
委員會議重要決議
施昆弦
上一章

真假難辨的工具包 安裝前請三思家用路由器很好用―駭客強力推薦行銷

一、前言

越來越多的家用設備可以連上網際網路,民眾的家居生活也隨著變得更加便利。國際間的駭客對於家用連網科技的發展也充滿興趣,因為越多的設備連上網路,就有越多的接觸點可以用來突破,進而運用於惡意活動,取得駭客所需的成果。

例如107年5月的惡意程式VPNFilter肆虐,感染了Linksys、MikroTik、NETGEAR及TP-Link等品牌的路由器1、2。又如近期108年4月利用Google雲端平台劫持家用路由器的名稱伺服器,感染了D-Link、DSLink、Secutech及TOTOLINK等品牌的路由器3

二、我的事件

接下來分享筆者家用路由器的事件案例,讓大家了解駭客是如何利用家用路由器以及劫持名稱伺服器解析資訊,進而竊取行動裝置資訊與個人資料。

三、事件起源

請安裝Facebook擴展工具包提升安全性
圖1請安裝Facebook擴展工具包提升安全性
資料來源:技服中心

登登登…手機傳來新訊息的聲音。

螢幕顯示「請安裝Facebook擴展工具包提升安全性,以及使用流暢度.」。

我心想,原來是安全性更新,為了保持APP程式維持在最新版本,Okay,按下確定讓手機更新Facebook APP。

不久後,收到同事轉發一則國際組織電子郵件,描述發現亞洲國家使用者的家用路由器上的名稱伺服器網路位址被修改成臺灣的網路位址(名稱伺服器是很重要的網路服務,用於將人們使用的網站名稱轉換成設備解讀的數字網路位址4)。國外的家用路由器使用臺灣的名稱伺服器,依我的經驗來看,很少使用者會這麼設定,真是蠻奇特的,因為名稱伺服器網路位址通常設定為各國國內ISP提供的網路位址或者是設定為國際週知的公開名稱伺服器網路位址5

好奇心驅使下,看一下自己家裡的路由器設定。奇怪,怎麼不是常用的臺灣名稱伺服器網路位址,查一下看到的網路位址,是臺灣的網路位址沒錯,不過卻不是國內各家ISP的名稱伺服器網路位址,也不是國際週知的公開名稱伺服器網路位址。

到底是誰設定的?是出廠就這樣設定的? 還是國內ISP自動配發設定的?難道是……上次姪子來玩時胡亂設定的?

四、聯手分析

和同事們以及相關部門聯手檢查家用路由器與可疑的名稱伺服器,經過一番網路連線分析,檢查連線來源網路位址與目的網路位址,發現我的手機所綁定的網路位址會連線到奇怪的網站之外,還會在背景接收可疑指令與傳送我的個人資料。

網路連線分析
圖2網路連線分析
資料來源:技服中心

開始抽絲剝繭的檢查手機,才明白不久前更新的Facebook擴展工具包,原來是安裝了駭客製作精巧的惡意工具程式。

幾位同事接著檢測並分析Facebook擴展工具包的安全性,發現駭客使用新的方法解析惡意中繼站。駭客使用公開部落格的個人簡介內容(例如百度部落格)或是公開電子郵件服務上的郵件主旨(例如微軟Outlook)存放經過特殊演算法編碼後的惡意中繼站網路位址。駭客運用公開服務與特殊編碼方式,盡其可能的避免被資安防護設備阻擋而破壞了其所掌控的惡意活動。

駭客運用公開部落格存放惡意中繼站資訊
圖3駭客運用公開部落格存放惡意中繼站資訊
資料來源:技服中心
駭客運用公開電子郵件存放惡意中繼站資訊
圖4駭客運用公開電子郵件存放惡意中繼站資訊
資料來源:技服中心

五、攻擊流程

依據分析所得的資料,技服中心將此惡意活動稱為少爺殭屍網路6,並且掌握了駭客所運用的攻擊流程,接下來將讓大家了解整個攻擊流程以及駭客是如何透過家用路由器對行動裝置進行攻擊。

  1. ()駭客首先利用家用路由器出廠的預設帳號密碼或是利用暴力破解弱密碼,取得管理者權限,亦或是利用特定弱點,繞過權限管控機制。
  2. ()接著將家用路由器上的名稱伺服器設定改成駭客所建立的名稱伺服器主機網路位址,以進行下一階段的誘騙。
  3. ()接著駭客等待使用者的手機透過家用路由器的WiFi上網,經由已受駭的家用路由器解析名稱,再回傳惡意程式下載站網路位址,將使用者的手機連線導至惡意網站。
  4. ()使用者的手機連線至駭客所建立的惡意程式下載站,並跳出「請安裝Facebook擴展工具包提升安全性,以及使用流暢度.」訊息,誘騙使用者安裝惡意程式。
  5. ()安裝假冒為Facebook擴展工具包的惡意程式後,使用者的手機向公開部落格或公開郵件服務取得編碼的惡意中繼站之網路位址,經過解碼還原後就向惡意中繼站主機報到,駭客此時就可以開始為所欲為。
少爺殭屍網路攻擊流程
圖5少爺殭屍網路攻擊流程
資料來源:技服中心
駭客運用公開部落格存放惡意中繼站資訊
圖3駭客運用公開部落格存放惡意中繼站資訊
資料來源:技服中心
駭客運用公開電子郵件存放惡意中繼站資訊
圖4駭客運用公開電子郵件存放惡意中繼站資訊
資料來源:技服中心
少爺殭屍網路攻擊流程
圖5少爺殭屍網路攻擊流程
資料來源:技服中心

開始抽絲剝繭的檢查手機,才明白不久前更新的Facebook擴展工具包,原來是安裝了駭客製作精巧的惡意工具程式。

幾位同事接著檢測並分析Facebook擴展工具包的安全性,發現駭客使用新的方法解析惡意中繼站。駭客使用公開部落格的個人簡介內容(例如百度部落格)或是公開電子郵件服務上的郵件主旨(例如微軟Outlook)存放經過特殊演算法編碼後的惡意中繼站網路位址。駭客運用公開服務與特殊編碼方式,盡其可能的避免被資安防護設備阻擋而破壞了其所掌控的惡意活動。

五、攻擊流程

依據分析所得的資料,技服中心將此惡意活動稱為少爺殭屍網路6,並且掌握了駭客所運用的攻擊流程,接下來將讓大家了解整個攻擊流程以及駭客是如何透過家用路由器對行動裝置進行攻擊。

  1. ()駭客首先利用家用路由器出廠的預設帳號密碼或是利用暴力破解弱密碼,取得管理者權限,亦或是利用特定弱點,繞過權限管控機制。
  2. ()接著將家用路由器上的名稱伺服器設定改成駭客所建立的名稱伺服器主機網路位址,以進行下一階段的誘騙。
  3. ()接著駭客等待使用者的手機透過家用路由器的WiFi上網,經由已受駭的家用路由器解析名稱,再回傳惡意程式下載站網路位址,將使用者的手機連線導至惡意網站。
  4. ()使用者的手機連線至駭客所建立的惡意程式下載站,並跳出「請安裝Facebook擴展工具包提升安全性,以及使用流暢度.」訊息,誘騙使用者安裝惡意程式。
  5. ()安裝假冒為Facebook擴展工具包的惡意程式後,使用者的手機向公開部落格或公開郵件服務取得編碼的惡意中繼站之網路位址,經過解碼還原後就向惡意中繼站主機報到,駭客此時就可以開始為所欲為。

六、受駭影響

駭客可以對受駭的手機為所欲為,那駭客能對我的手機做什麼?對我有什麼影響?

  1. ()駭客拿到了我的通訊錄,雖然當中只有我姪子的電話,不過我很擔心姪子會不會也受駭。
  2. ()駭客拿到了我的簡訊,當中有我回高雄的高鐵訂位編號,還有我的拍賣登入認證訊息,還有我的私人簡訊。
  3. ()駭客在我的手機上如入無人之境地看我的活動與照片、改我的資料、玩我的遊戲、賣我的虛寶……,太令人心痛了,我價值不斐的虛寶。

唯一令我安心的是,這是我用來測試的虛擬手機。

七、防護建議

經由分析駭客的攻擊流程與手法,提出幾點強化資安防護的建議。

  1. ()個人方面:建議變更家用路由器的出廠預設密碼為高強度的密碼;檢查家用路由器的名稱伺服器是否設定為ISP提供或是可信賴的網路位址;停用家用路由器可被網際網路存取的連線設定;定期更新原廠的家用路由器韌體。另外,也建議手機安裝防毒程式進行防護,並且透過可信賴的來源更新APP,如Google Play或Apple APP Store。
  2. ()網際服務商方面:建議設定使用者的家用路由器時,限制可以遠端連線管理的網路位址,並且在每台家用路由器使用不同的管理密碼。
  3. ()製造商方面:建議預設將家用路由器設成不可被網際網路連線,並且在每台家用路由器出廠時使用不同的預設密碼。
  4. ()政策方面:建議業界或政府主管機關可以制定家用連網設備的出廠安全性規範,除了提高製造商的資安聲譽,也提升民眾使用連網設備的安全防護。

八、結語

隨著物聯網的發展,駭客也有更多的攻擊目標,這一次的事件是透過家用路由器進行惡意活動,下一步有可能透過不同的家用智慧連網設備來發動攻擊。除了使用者要提升資安意識,政府也應該有相關的物連網設備資安基準政策,多方努力建立更安全的物聯網智慧環境。

最後,我的家用路由器原來也可以用來當作惡意活動誘捕設備,進而發現新型態的資安攻擊與駭客手法。家用路由器真的很好用……我想。

(作者為國家資通安全會報技術服務中心資安工程師)

參考資料

  1. 惡意程式VPNFilter肆虐,https://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16112
  2. New VPNFilter malware targets at least 500K networking devices worldwide,https://blog.talosintelligence.com/2018/05/VPNFilter.html
  3. Ongoing DNS hijacking campaign targeting consumer routers,https://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/
  4. 名稱伺服器Domain Name System,https://en.wikipedia.org/wiki/Domain_Name_System
  5. 公開名稱伺服器Public DNS,https://en.wikipedia.org/wiki/Public_recursive_name_server
  6. 14萬韓製路由器與行動裝置遭少爺駭客掌控,https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16110
下一章
調整文字大小 回 NCC 首頁 瀏覽其他期 NCC NEWS 列印本章節 分享本頁面

搜尋本期

關閉搜尋

分享本文章

關閉分享