iThome

常言道:「保護防諜、人人有責」,針對實體的間諜我們很容易提醒自己要提高警覺,在「隔牆有耳」的前提下,各種機密資料的傳遞更為小心謹慎。以前的「長江一號」為了保護機敏資料的安全性,除了透過各種手法隱匿自己的身分外,也會把機敏資料作各種的加密,避免讓人一旦查獲相關資料,就可以立即了解其整個間諜集團的關聯性。

但是APT這種網路間諜的攻擊方式,最終目的在於取得針對性目標的機敏資料,進行情報蒐集,如同間諜一樣,除了要隱匿自己、不被察覺外,為達目的更是不擇任何手段。

所以說,若要定義駭客針對企業,採用的APT攻擊手法到底有哪些,其實現階段所有的資安漏洞和攻擊手法,都是駭客採用的APT攻擊手法。駭客採用的APT攻擊手法和一般網路攻擊手法差別在於,駭客因為已經鎖定目標,一定會千方百計找到各種可以使用的弱點和漏洞,從社交工程到各種資安攻擊入侵手法等,都是駭客使用的手法之一,務求順利潛伏到鎖定企業的內部,進而可以竊取資料、蒐集情資。

每個單位都可能是駭客鎖定的情蒐對象

若以McAfee先前發表的《灰鼠行動》資安調查報告中可以發現,包括大型企業、高科技製造業、國防工業、金融相關產業以及智庫與非政府組織等,都是駭客鎖定攻擊的對象。行政院科技顧問組資安小組主任柴惠珍表示,現在駭客的情報蒐集,除了以往基於敵對國家情報蒐集的可能性外,也開始出現基於企業其他珍貴智慧財產權、商業或金錢利益的各種情報蒐集。所以,只要有研發實力、擁有智慧財產權和商業機密的企業,也是駭客鎖定攻擊的對象。

除了產業特性外,Xecure-Lab首席資安研究員邱銘彰認為,和政府有往來,不論是上、下游供應鏈的互動,或者是企業委外承攬政府的相關業務時,駭客雖然原本是鎖定政府機關,但在企業對於APT攻擊手法缺乏警覺,加上某些企業資安防禦機制相對薄弱,駭客同樣可以鎖定這些企業,作為攻擊政府的跳板。也就是說,雖然駭客終極目標鎖定的是政府,但不小心的企業則可以讓駭客搭上攻擊的順風車,甚至成為幫凶。

除了企業外,柴惠珍認為,學校也是臺灣另外一個遭到駭客鎖定攻擊的對象。她指出,有一些專門接政府研究專案的學校或學術研究單位,擁有很多和政府合作的智慧財產權與專利,這些單位的資安防禦機制往往較為鬆散,也是駭客很容易鎖定入侵的對象。

在駭客的情蒐對象中,個人也無法倖免於難。以RSA遭駭為例,駭客就是鎖定特定員工、寄送特定網路釣魚信件,誘使員工開啟內含惡意程式的電子郵件。從這樣的案例中發現,只要員工的社交網絡和駭客鎖定攻擊的對象有重疊,個人就會成為企業最脆弱的環節。

惡意郵件是駭客主要攻擊手法

從Google到RSA,這些單位受駭的關鍵因素都是社交工程的惡意郵件。邱銘彰表示,駭客利用APT的主要攻擊手法仍是包含社交工程的惡意信件為主,因為情報在人的身上,電子郵件是個人聯絡信箱,鎖定電子郵件就可以鎖定人,相當具有針對性。

數聯資安技術處副總經理張裕敏認為,從該公司SOC(資安監控中心)的統計數據來看,駭客發動APT攻擊時,至少7、8成的攻擊手法是利用電子郵件夾帶惡意程式。以臺灣遭受駭客發動APT攻擊的演進歷程來看,早在2000年時是利用網路現有的漏洞發動攻擊,當時的攻擊多視為單一事件。

但到了2003~2004年,情況開始改變,張裕敏說,有50%的駭客會利用網路漏洞發動APT攻擊,另一半是透過社交工程手法寄送惡意郵件。從2008年開始,就有超過9成駭客是利用社交工程手法發動各種針對性攻擊。到了2011年,開始出現手機上的惡意程式,可以跨平臺、混合式攻擊,手機也成為駭客鎖定攻擊與偷取資料的目標。

這類透過電子郵件發送的惡意郵件中,冒名發送電子郵件是最常見的攻擊手法之一。

民進黨中央黨部文宣部副主任張力可表示,因為兩岸政治情勢複雜,民進黨長期都會有來自其他國家的IP連線,日前有黨部同仁調任競選辦公室的職務,但是在該名同仁正式調任前,相關同仁卻已經收到以該名同仁名義寄出的電子郵件。一經追查,才發現駭客老早就已經在相關同仁的電腦植入木馬程式,並假冒幹部同仁的名義,寄送副檔名為.doc、實則為.exe惡意程式到相關同仁的電子信箱。

張力可表示,惡意郵件攻擊已經是長期現象,由於黨部本身有資訊專職同仁可以協助同仁在閘道端做垃圾郵件過濾,會比較安全。但他也聽說,有些黨務主管喜歡使用個人電子信箱作為公務聯繫之用,因為缺乏資安意識,曾經收過假冒黨部同仁名義寄送假冒公務標題的惡意郵件,在不疑有他情況下直接開啟信件,導致黨務同仁的電腦被植入惡意程式。甚至,他也看過有同仁的私人信箱,因為電腦中毒後而被駭客設定郵件轉寄功能,所有信件都被轉寄到不明的電子信箱中。未來民進黨則將持續強化黨務同仁主管和志工的資安教育訓練。

除了冒名發送電子郵件的攻擊手法外,惡意郵件也是目前駭客針對臺灣政府甚至是企業最常使用的攻擊手法之一。張裕敏表示,該公司因為有針對政府做資安監控,比較容易歸納政府遭遇到的攻擊手法,但針對其他可能遭駭客鎖定攻擊的企業,則可以參考政府受攻擊的方式,引以為戒。

2010年3月~9月,駭客曾針對政府部門同仁,植入可以修改Word巨集安全性的惡意程式。這樣的攻擊方式曾停止一陣子,但從今年8月又開始盛行。

張裕敏表示,當駭客針對使用者電腦植入惡意程式後,該惡意程式會偷偷開啟預設關閉的Word巨集,並將預設為最高安全性的設定調降為最低安全性,再啟動遠端圖片下載巨集功能。當使用者在呼叫圖片下載的同時,被植入惡意程式的電腦則會再下載其他惡意或後門程式,也同時將該臺電腦的機密資料往外傳。

如果企業資安防護層級較好,同仁資安相關警覺性較高,同仁便不會開啟先前冒名或者是假冒公務標題的惡意郵件。但張裕敏表示,日前駭客也使用一種新的攻擊手法,誘使使用者點擊惡意郵件的命中率,幾乎是百分之百成功。

駭客搭配時事或公務相關的惡意郵件標題,誘使使用者開啟信件後,在該使用者的電腦植入惡意程式,之後伺機入侵該組織的郵件伺服器,並設法取得管理者權限。駭客會先鎖定特定重要對象,只要這些特定對象對外發送夾帶附件的電子郵件後,潛伏在郵件伺服器中的惡意程式,會在5分鐘內,假冒該特定對象另外發出第2封註明「先前附件檔案有誤,請以此封為主」的電子郵件,並且已經修改附件隱含惡意程式在內。

駭客除了會針對政府或企業特定使用者寄送惡意郵件外,2011年5月,趨勢科技發現Hotmail發生一起針對性的XSS攻擊。臺灣趨勢科技研發工程師翁世豪表示,透過對信件的分析發現,此次駭客鎖定1,498位特定對象,每封信都是給特定對象,都有一個特定的數字隱含在內。收件者只要預覽郵件,就會觸發駭客設定的攻擊方式,預設將收件者的聯絡人資料以及信箱的所有信件,都會陸續上傳到某個中繼站。而且,翁世豪說,該收件人的信箱也被預設了信件轉寄功能,因為收件對象不同,駭客設定的郵件轉寄位址也不一樣。這也是一起駭客發動的針對性攻擊。

駭客以APT手法發動網路攻擊的8階段

雖然電子郵件是這種網路間諜最常見的攻擊手法,但作為一個使命必達的網路間諜,為達目的、不擇手段的情況下,一定會同時使用多重鎖定的攻擊方式,務必將攻擊的網鋪天蓋地,讓被鎖定的對象無路可跑。柴惠珍表示,這幾年政府已經有無預警的社交工程演練,希望能藉此提高同仁的警覺性。但她說,企業因為忽略本身也可能是遭駭客鎖定攻擊的對象,往往對此較為忽略。

所以,除了理解電子郵件這種隱含社交工程手法的方式外,也可以從資安公司分析幾起駭客採用的APT手法,彙整可能的攻擊階段,知己知彼,才能了解自我預防之道。

彙整McAfee、RSA和Symantec的資料,間諜針對特定對象採用的APT攻擊手法可以分成8個階段,大致可以分成:偵察→找出可利用的漏洞(釣魚或零時差)→入侵→植入後門程式→安裝C&C可遠端控制工具→資料過濾外傳→撤離→留下隱藏的活棋。

階段1:偵察

打仗前一定要先能夠掌握敵人在哪理,觀察整體環境,知道誰是這一波的攻擊對象。臺灣McAfee技術經理沈志明表示,駭客鎖定特定對象,先利用社交工程取得相關資料,進而發覺可以入侵或利用的弱點。

階段2:找出可利用的漏洞(釣魚郵件或零時差)

鎖定對象後,沈志明說,利用發送魚叉式的網路釣魚郵件,針對被鎖定對象寄送相關的惡意郵件,夾帶惡意Word或PDF文件,利用還未修補的漏洞,取得在電腦植入惡意程式的第一個機會。

階段3:入侵

賽門鐵克大中華區資深技術顧問林育民表示,駭客入侵、滲透進企業後,通常會先潛伏一段時間,再伺機騙取管理者的帳號、密碼。為了確保攻擊成功,該惡意程式入侵後,會自我隱藏以避免被安全軟體發現。

階段4:植入後門程式

臺灣RSA資深技術顧問莊添發指出,植入後門程式取得管理者的帳號、密碼和權限,針對橫向沒受攻擊的網路系統,利用漏洞植入後門程式後,使該臺電腦門戶洞開,也會同時間低調取得其他重要人士的帳號密碼。

階段5:安裝C&C可遠端控制工具

沈志明強調,駭客為了偷電腦內的資料,會安裝遠端遙控下指令(Command & Control)工具,用來偷密碼、存取電子郵件、修正運行程式,還可以將機敏資料或智慧財產權,利用Tunnel或是木馬程式將內網資料往外送。

階段6:資料過濾外傳

駭客要的往往是特定的機敏資料,林育民說,當駭客鎖定攻擊對象、過濾找到所需的機敏資料外,會利用FTP和加密方式傳送機密資料;若有無法辨識的檔案格式,駭客也可能採用自己的加密方式外傳。

階段7:撤離

莊添發指出,將機敏資料往外傳後,駭客會先確認任務完成後才會進行撤離,同時會隱藏自己在系統中存在的蹤跡,不讓人有跡可尋,也會利用洋蔥式的路由和加密方式傳送機敏資料,隱形自己存在。

階段8:留下隱藏的活棋

駭客從受駭系統撤離後,並不意味著駭客喪失對鎖定對象的掌控權。莊添發表示,為了未來有需要時還可以操控該臺受駭電腦,駭客撤離前會在受駭系統留下沈睡的惡意程式(Sleeping Malware),以便有需要時隨時可用。

資安教育訓練是最後防線

面對駭客使用APT網路間諜的攻擊手法,臺灣趨勢科技技術總監戴燊認為,這並沒有單一解決之道,因為駭客為達目的、不擇手段的攻擊方式,企業的資安防護也必須從企業弱點的防護下手。

首先,防毒軟體還是基本防禦之道。駭客使用這些針對式的惡意程式,一般商用防毒軟體無法偵測,戴燊建議,政府或企業環境內應先部署各種感應器,並針對可疑的惡意程式樣本先進行第一輪的過濾後,再送到後端自動化分析機制,判斷該惡意程式是否是客製化的,若是,合作的防毒廠商就必須針對該特定樣本製作客製化的病毒碼給該單位。

不過,柴惠珍表示,面對駭客採用的APT攻擊手法,政府和企業仍應具有縱深防禦概念,若以美國政府使用的防毒機制為例,第一、二層防毒是採用現有的商用防毒軟體,但第三層涉及國家安全等級,限制只能套用CIA的資安政策設定。

除了防毒軟體的防禦層面外,進行企業環境的威脅偵測分析,是第2個預防之道。莊添發表示,要預防駭客發動APT攻擊,得先改變對威脅環境的認知,進行各種進階偵測威脅分析以降低災害。他說,許多IT人員為了避免遭到各種網路資安攻擊,甚至認為只要能夠作到完全阻擋就安全了。但是,現在企業營運跟IT息息相關,很多時候根本不是IT人員想擋就擋得了,一旦阻擋,可能連公司基本運作都會出問題。

第3點,企業內的IT基礎建設應具備足夠的防禦能力。出現APT的威脅後,莊添發認為,企業應該強化對IT基礎建設的投資,因為駭客是組織性、針對性的攻擊,「人有失手、馬有亂蹄」,只要有「一個人」踩到地雷中標,駭客的攻擊就能進入內網。不過,他說,以前大家認為阻擋性防禦,把威脅阻擋在門外就足夠,基礎建設好,就可以有能力阻擋惡意威脅。但是,現在就算有安全的基礎防護,駭客要有決心,時間一久,還是有機會進入公司內部。

除了原本偵測機制是否夠用,政府和企業還可以利用更進階的偵測機制,防禦進階的攻擊手法。行有餘力,建置有效、可用的SOC(資安監控中心),是第4種預防之道。

莊添發說,面對駭客使用的APT攻擊手法,除了看組織內的監控機制是否足夠,是否有專人可以分析封包或Session的攻擊特徵,也要看,從SOC的Log分析中,對於發生問題的封包來源是否存下來,而企業是否有足夠專業人士作這種資安分析。但翁世豪提醒,SOC經常是APT攻擊中略過(Bypass)的一環,企業內有人會用、懂得怎麼用,比有設備更重要。

張裕敏認為,至少每半年,必須要定期更改或調整網路架構,升高防禦機制的動態安全防護機制,是企業面對駭客發動APT攻擊的第5個防禦之道。他說,駭客會把鎖定攻擊的政府或企業網路架構、內部關係和人員名單資料蒐集得很完整,也清楚彼此的網路互動。他指出,企業強迫自己半年內調整網路架構難度雖高,但至少可以提供比較安全的網路環境。

第6點,從資安報表分析長期攻擊趨勢。要了解並防護駭客發起的APT攻擊,張裕敏表示,對於Log(登錄檔)記錄的分析,除了周報、月報外,更重要的是要看出長期的趨勢變化,時間更長的半年報甚至是年報所呈現出來的攻擊趨勢,其實更重要。因為面對駭客發動的APT攻擊,企業最忌諱當成單一事件,所以他也鼓勵IT同仁對於每個月資安事件的檢視,應該確定是否每個月都重複發生,也要觀察是否有持續性。

第7點,面對這種針對性攻擊,張裕敏認為,企業和政府都可以參考美國政府積極推動的「資訊安全內容自動化協定」(Security Content Automation Protocol,SCAP)。他說,不論是企業或政府推動SCAP後,好處是,所有的個人電腦組態統一,IT同仁容易評估風險,管理上也更為方便,一旦有新的資安政策加入,可以自動設定,並作到定期掃描和主動比對,幫企業或政府內的電腦做良好的健康檢查。他強調,SCAP保留了電腦所有功能,只是修正不正常組態設定的問題,並不是如同其他精簡型電腦,因為限縮電腦功能而作到安全與便於管理。

最後,資安教育訓練仍是企業面對APT威脅最後一道防線。從多起駭客採用APT攻擊手法來看,「人」依舊是企業環境安全的關鍵,張裕敏表示,閘道端的防禦頂多只能抵擋8成左右的威脅,其餘的資安防護,還是得仰賴更多的資安教育訓練,提升「使用者」的資安意識,避免受騙上當外,也必須從過往的經驗中,找出攻擊的關聯性與連結性,作到加以防範。

 

APT攻擊的特色

● 具有高度針對性

● 資金來源充裕

● 具有高竿的資料情報分析人員

● 具有讓自己潛伏並保持低調的技術能力

● 擁有多重面向和多樣工具的攻擊方式

資料來源:營運創新資安委員會(Security for Business Innovation Council),2011年8月

 

APT攻擊的8階段

雖然駭客針對企業發動的APT 攻擊手法,受駭者往往很難察覺,本身已經是被鎖定要竊取重要情資的對象,但是,在越來越多企業可能是網路間諜受駭對象時,彙整資安廠商分析駭客採用APT 的攻擊手法的8 個階段,可作為企業面對駭客APT 威脅時的自我檢視之道。資料來源:McAfee、RSA、Symantec,iThome整理,2011年8月

偵察

駭客鎖定特定對象,先利用社交工程取得相關資料,進而發覺可以入侵或利用的弱點。

找出可利用的漏洞

針對被鎖定對象寄送網路釣魚郵件,或零時差漏洞在電腦內植入惡意程式。

入侵

駭客入侵後,會先潛伏一段時間避免被安全軟體發現,再伺機騙取管理者的帳號、密碼。

植入後門程式

植入後門程式取得管理者的帳號、密碼和權限,針對橫向沒受攻擊的網路系統,低調取得其他重要人士的帳號密碼。

安裝C&C可遠端控制工具

安裝遠端遙控下指令(C&C)工具,用來偷密碼、存取電子郵件、修正運行程式,利用Tunnel或是木馬程式將內網資料往外送。

資料過濾外傳

當駭客鎖定攻擊對象、過濾找到所需的機敏資料外,會利用FTP和加密方式傳送機密資料。

撤離

為了未來有需要時還可以操控該臺受駭電腦,駭客撤離前會在受駭系統留下沈睡的惡意程式(Sleeping Malware),有需要時隨時可用。

 

歷年來重大網路安全事件

駭客針對特定政府或企業,長期間進行有計畫性、組織性資料竊取的網路間諜行為,早從1998年起,就有蘇聯駭客針對美國官方等單位發動攻擊。臺灣因為政治情勢特殊,早期的資安攻擊事件都視為單一的資安事件,直到2003年9月,經調查發現,當時已經有駭客鎖定88個政府機關進行資料竊取的行動。此後,也確認臺灣政府已經是駭客長期鎖定竊取情資的對象。以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始,企業成為駭客鎖定竊取情資的受駭者越來越多,2011年甚至是駭客鎖定企業APT的一年。

(看大圖)

 

APT攻擊與一般網路攻擊手法的差異

 

找出資安最脆弱的一環

APT讓許多國外企業聞風喪膽,因為知名企業紛紛淪陷。

Google在2010年1月對外宣稱遭到中國駭客入侵,並指出是APT模式,因為他們調查發現,攻擊行動經過精心策畫,而且目標明確,鎖定竊取Gmail特定用戶的信箱,而這些用戶都是反中國人士。

到底什麼是APT?從字面上拆解來看,Advanced指的是精心策畫的攻擊策略與高段的攻擊手法,Persistent指的是長期持續的潛伏,也就是說,攻擊者擁有十八般武藝,他會針對鎖定的目標採取長期抗戰,很有耐心地潛伏,並且用上所有的攻擊技能,尋找攻擊目標的弱點,不動聲色地破壞,以竊取其鎖定的資料。

APT這種為達目的不擇手段的攻擊,就像是有人雇用殺手,要除掉眼中釘,聽起來很恐怖,而且成功率可能會很高。如果有人雇用了本領高超的駭客,精心策畫要取得你的公司機密,你能抵擋得住嗎?

2011年3月,資安公司RSA對外坦承駭客入侵該公司,偷走了一些與SecurID雙因素身分認證系統有關的資料。SecurID不僅是RSA公司最重要的產品,也是目前市占率最高的Token產品。RSA對外聲明稿直指入侵事件是APT模式,雖然至今並沒有明確說明駭客到底偷走了什麼,不過有些專家擔心,駭客若處心積慮要入侵雙因素身分認證系統的資料庫,想必是要竊取SecurID的部分金鑰,以使用於其他的攻擊,那麼全世界廣泛使用的雙因素身分認證機制可能就會瓦解。

不出所料,大約是一個月過後,美國的武器製造商洛克希德馬丁傳出駭客事件,駭客入侵的方法是以複製的SecurID通過身分認證,這終於讓大家理解了RSA被駭的原因。可能駭客鎖定的目標是洛克希德馬丁這類軍事或是金融等擁有重要機密的公司,但先滲透RSA公司取得鑰匙,以方便入侵真正被盯上的目標公司。

這就像小偷不是直接破壞門鎖,而是先滲透製鎖公司,找到了複製鑰匙的方法,之後就能拿著跟你手上一模一樣的鑰匙,自由地進出你的家門,而你回到家亦無法由門鎖看出小偷已經來過了。

APT之恐怖在於不是一個特定的攻擊手法,而是攻擊者用盡所有的技巧,不惜長期滲透,一步步找到組織最脆弱的一環,例如在RSA被駭的例子中,駭客利用「公司年度徵才計畫」的假郵件欺騙員工,讓他們的電腦被感染,而為駭客開了大門,這就是RSA公司最脆弱的環節。面對APT威脅,可沒有什麼單一的特效藥,唯有找出自己最脆弱的環節,才能確保滴水不漏,而這將是資安防護最嚴苛的挑戰。

 


相關報導請參考「改寫IT規則的技術新趨勢」

熱門新聞

Advertisement